防止文件被恶意操作行为损坏的方法与系统技术方案

本发明专利技术公开了一种防止文件被恶意操作行为损坏的方法与系统，若存在删除文件的进程，白名单放行，黑名单直接阻止操作文件读写，灰名单进程则挂起并备份文件至可读保护区，备份完成后放行该进程；若存在修改文件的进程，白名单放行，黑名单直接阻止，灰名单则挂起进程并备份文件至可读保护区，备份完成后放行该进程；若存在加密/压缩加密操作则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为。本发明专利技术技术所述技术方案能够有效识别文件恶意操作行为，同时降低重要文件被恶意删除修改的风险频率。

Methods and systems to prevent files from being damaged by malicious actions

The invention discloses a method for preventing malicious file operation method and system damage behavior, if there is a deleted file process, white list release, blacklist stop operation directly read and write files, the process is suspended and gray list backup file to read protected areas, after the completion of the discharge line backup process; if there is to modify the file the process of the white list released a blacklist stop, gray list is hang up process and the backup file to read protected areas, after the completion of the backup release process; if there is encryption / compression and encryption operation is to determine the process within a preset time according to whether the operating frequency file exceeds the preset threshold value, if it is judged as suspected file malicious behavior. The technical scheme of the invention can effectively identify the malicious operation behavior of the file and reduce the risk frequency of the malicious deletion and modification of the important files.

【技术实现步骤摘要】
防止文件被恶意操作行为损坏的方法与系统
本专利技术涉及信息安全
，具体涉及一种防止文件被恶意操作行为损坏的方法与系统。
技术介绍
随着互联网迅速普及和蓬勃发展，各种勒索、加密软件、非法程序等非法操作电脑系统的文本文件、文档文件、图片文件、已安装程序相关文件、电影文件等，导致大量电脑文件被非法删除、非法加密。当遇到不法勒索者，其会使用高位数的非对称加密算法对文件进行加密处理，只有通过缴纳高额的数据恢复金额后才能通过非法者进行解密恢复文件。对于普通用户来说这些数据或许根本不重要，但这对于一个大的商业公司来说，相关的数据和文件是一个公司企业的核心资产，是至关重要的。比如电影公司、银行金融企业、国家政府企业、军事部门、科研部门、大型互联网公司等，一旦核心文件被加密或者被删除、或者核心程序的文件被删导致无法正常运行，无疑是一场噩梦。目前很多主流的安全卫士和杀毒软件均包含了文件防护功能，但是很多普通用户也并没有开启过，即使开启可以保证文件不被恶意篡改，但依旧会影响正常软件对文件的操作，即使通过白名单机制来保证正常程序对文件的操作行为，但是依旧无法保证所有白名单程序对文件的正常操作行为，同时也无法控制所有非法程序对文件的非法操作。对于很多的Linux服务器是没有安装安全卫士和杀毒软件的，很多企业单位的核心应用都部署在Linux服务器上，一旦服务器被攻击，数据文件被加密、删除，损失惨重，后果不堪设想。
技术实现思路
本专利技术克服了现有技术的不足，提供一种防止文件被恶意操作行为损坏的方法与系统，旨在通过分析程序对文件的操作行为和操作前后文件的变化来判断当前文件操作行为是否存在恶意，进而提升对恶意程序和恶意代码的检出率。考虑到现有技术的上述问题，根据本专利技术公开的一个方面，本专利技术采用以下技术方案：一种防止文件被恶意操作行为损坏的方法，包括：将对文件的操作分为黑名单、白名单和灰名单权限，并判识对文件进行修改、删除或压缩的进程的程序属于黑名单或白名单或灰名单；根据拥有白名单权限程序的指令直接做出修改、删除或压缩文件的操作，以及直接拒绝为黑名单权限程序的修改、删除或压缩文件的进程；对灰名单权限程序进行的修改、删除或压缩文件的进程，则暂停灰名单程序进程并备份文件至文件可读保护区，备份完成后放行该程序进程。为了更好地实现本专利技术，进一步的技术方案是：根据本专利技术的一个实施方案，还包括：根据备份文件与修改文件的熵值判断操作是否为恶意。根据本专利技术的另一个实施方案，所述熵值判断包括：收集被修改、压缩或删除的文件的原文件路径、文件名或文件后缀名，并判断被操作的文件名、文件后缀名的比例是否超过设定的阈值；以及根据原文件路径判断原文件是否为同一文件夹或是文件路径是否包含相同部分；或还将收集的源文件路径、文件名、文件后缀名以及文件相同部分文件路径以字符串的形式存入特征库，用于后续数据分析。根据本专利技术的另一个实施方案，包括：通过备份文件与修改文件的熵值对比结果，判断当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为，则记录黑名单。根据本专利技术的另一个实施方案，包括：通过备份文件与修改文件的熵值对比结果，判断当前进程是否对文件进行了压缩操作及源文件删除；若存在压缩操作和源文件删除则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为，则记录黑名单。根据本专利技术的另一个实施方案，包括：在判定疑似文件恶意操作行为之前，若被加密文件或压缩文件夹所在的文件夹内存在网页文件或者文本文件，则进一步记录网页文件或文本文件的文件名、后缀名，MD5值入特征库，并判定是否含有URL链接地址，若存在，则一并记录URL地址进入特征库。根据本专利技术的另一个实施方案，包括：在判定为疑似文件恶意操作行为之后，记录程序进程名称、占用的固定端口、进程外部访问域名、IP、端口、接口信息；用于后续数据分析。根据本专利技术的另一个实施方案，包括：在判定疑似文件恶意操作行为后，删除被加密的文件，并将文件保护区的原文件恢复到原路径下，若是直接被删除的文件则直接恢复到原文件路径下。一种防止文件被恶意操作行为损坏的系统，包括：文件权限模块：黑名单、白名单、灰名单，黑名单拥有不能直接操作文件的权限，白名单拥有文件直接操作权限，灰名单需要进行恶意文件操作行为判断流程；文件备份模块：若存在文件删除、修改的进程，则挂起进程并备份源文件至可读保护区，备份完成后放行该进程进行相关操作；文件分析模块：对比分析加密文件前后的熵值、分析文件编码，判定当前文件是否进行了加密操作；分析压缩文件后是否采用了加密且被压缩文件被删除；行为频率模块：用于判定文件加密操作行为、文件压缩行为、文件删除行为在预设时间内对文件的操作频率达到预设阈值。本专利技术还可以是：根据本专利技术的另一个实施方案，还包括：文件信息收集模块：收集被加密、压缩、删除的所有文件的源文件路径、文件名、文件后缀名，并判定恶意操作的文件名、文件后缀名的比例是否超过设定的阈值，同时根据源文件路径判定源文件是否为同一文件夹或是文件路径是否包含相同部分。将收集的源文件路径、文件名、文件后缀名以及文件相同部分文件路径以字符串的形式存入文件信息特征库，用于后续分析；恶意信息收集模块：若被加密文件或压缩文件夹所在的文件夹内存在网页文件或者文本文件，则进一步记录网页文件或文本文件的文件名、后缀名，MD5值入特征库，并判定是否含有URL链接地址，若存在，则一并记录URL地址进入恶意信息特征库；程序数据收集模块：记录恶意程序进程名称、占用的端口、进程访问外部域名、外部IP、外部端口及外部接口信息。与现有技术相比，本专利技术的有益效果之一是：本专利技术的一种防止文件被恶意操作行为损坏的方法与系统，其能够有效识别文件恶意操作行为，同时降低重要文件被恶意删除修改的风险频率。附图说明为了更清楚的说明本申请文件实施例或现有技术中的技术方案，下面将对实施例或现有技术的描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅是对本申请文件中一些实施例的参考，对于本领域技术人员来讲，在不付出创造性劳动的情况下，还可以根据这些附图得到其它的附图。图1为根据本专利技术一个实施例的文件恶意操作行为的检测系统实施框图。具体实施方式下面结合实施例对本专利技术作进一步地详细说明，但本专利技术的实施方式不限于此。一种防止文件被恶意操作行为损坏的方法，包括：若存在删除文件的进程，白名单程序可以直接删除文件，黑名单程序直接阻止文件删除，灰名单程序进程则挂起并备份文件至可读保护区，备份完成后放行该进程。若存在修改文件的进程，白名单程序放行，黑名单程序直接阻止文件修改，灰名单则挂起进程并备份文件至可读保护区，备份完成后放行该进程；通过备份文件与修改文件的熵值对比结果，判定当前进程是否对文件进行了加密操作；若存在加密操作则判定该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为；通过备份文件与修改文件的熵值对比结果，判定当前进程是否对文件进行了压缩操作及源文件删除；若存在压缩操作和源文件删除则判定该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行本文档来自技高网...

【技术保护点】
一种防止文件被恶意操作行为损坏的方法，其特征在于包括：将对文件的操作分为黑名单、白名单和灰名单权限，并判识对文件进行修改、删除或压缩的进程的程序属于黑名单或白名单或灰名单；根据拥有白名单权限程序的指令直接做出修改、删除或压缩文件的操作，以及直接拒绝为黑名单权限程序的修改、删除或压缩文件的进程；对灰名单权限程序进行的修改、删除或压缩文件的进程，则暂停灰名单程序进程并备份文件至文件可读保护区，备份完成后放行该程序进程。

【技术特征摘要】
1.一种防止文件被恶意操作行为损坏的方法，其特征在于包括：将对文件的操作分为黑名单、白名单和灰名单权限，并判识对文件进行修改、删除或压缩的进程的程序属于黑名单或白名单或灰名单；根据拥有白名单权限程序的指令直接做出修改、删除或压缩文件的操作，以及直接拒绝为黑名单权限程序的修改、删除或压缩文件的进程；对灰名单权限程序进行的修改、删除或压缩文件的进程，则暂停灰名单程序进程并备份文件至文件可读保护区，备份完成后放行该程序进程。2.根据权利要求1所述的防止文件被恶意操作行为损坏的方法，其特征在于还包括：根据备份文件与修改文件的熵值判断操作是否为恶意。3.根据权利要求2所述的防止文件被恶意操作行为损坏的方法，其特征在于所述熵值判断包括：收集被修改、压缩或删除的文件的原文件路径、文件名或文件后缀名，并判断被操作的文件名、文件后缀名的比例是否超过设定的阈值；以及根据原文件路径判断原文件是否为同一文件夹或是文件路径是否包含相同部分；或还将收集的源文件路径、文件名、文件后缀名以及文件相同部分文件路径以字符串的形式存入特征库，用于后续数据分析。4.根据权利要求1所述的防止文件被恶意操作行为损坏的方法，其特征在于，包括：通过备份文件与修改文件的熵值对比结果，判断当前进程是否对文件进行了加密操作；若存在加密操作则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为，则记录黑名单。5.根据权利要求1所述的防止文件被恶意操作行为损坏的方法，其特征在于，包括：通过备份文件与修改文件的熵值对比结果，判断当前进程是否对文件进行了压缩操作及源文件删除；若存在压缩操作和源文件删除则判断该进程在预设时间内针对文件的操作频率是否超过设定阈值，若是则判定为疑似文件恶意操作行为，则记录黑名单。6.根据权利要求1所述的文件恶意操作行为的检测方法，其特征在于，包括：在判定疑似文件恶意操作行为之前，若被加密文件或压缩文件夹所在的文件夹内存在网页文件或者文本文件，则进一步记录网页文件或文本文件的文件名、后缀名，MD5值入特征库，并判定是...

【专利技术属性】
技术研发人员：李成东，常清雪，
申请(专利权)人：四川长虹电器股份有限公司，
类型：发明
国别省市：四川,51