This application discloses a processing method for extortion software in the operation of virtual machines on cloud platforms. Among them, the method includes: the first client obtains the start-up process running in the virtual machine and the first process information corresponding to the process; the first client uploads the first process information to the server corresponding to the cloud platform, and receives the matching result returned by the server, in which the matching result is used to indicate whether the first process information matches the preset white list; and if the matching occurs, the matching result is used to indicate whether the first process information matches the preset If the matching fails, the first client sends the first process information to the second client and gets the authorization information returned by the second client. If the authorization information is prohibited from starting, the first client prohibits starting the process. This application solves the technical problem of low processing efficiency caused by the lag of the existing process startup processing method through blacklist.
【技术实现步骤摘要】
在云平台下虚拟机运行中对勒索软件的处理方法
本申请涉及网络安全领域,具体而言,涉及一种在云平台下虚拟机运行中对勒索软件的处理方法。
技术介绍
随着互联网技术的发展,网络已经成为人们生活和工作不可缺少的一部分。互联网用户通过计算机网络可以获取海量信息,并方便地与其他用户进行沟通和交流,实现信息资源的共享。然而,计算机网络技术的快速发展,使得网络环境变得越来越复杂,网络安全问题日益突出,勒索软件是近年数量增加最快的网络威胁之一。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。目前,为了防御勒索软件,可以通过黑名单的方式,将待启动的进程的程序与文件与黑名单中的程序或文件进行比对,如果比对成功,则确定是勒索软件的进程,禁止进程启动。但是,由于黑名单是提前收集到的已知的勒索软件的程序或文件,对于未知的勒索软件存在滞后问题,会出现漏杀的情况,未知的勒索软件一旦运行成功,即刻可对格式文件进行加密,如果受害用户没有提前备份数据,则无法恢复被加密的文件。针对上述现有的进程启动的处理方法是通过黑名单方式进行处理存在滞后,导致处理效率低的问题,目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种在云平台下虚拟机运行中对勒索软件的处理方法,以至少解决现有的进程启动的处理方法是通过黑名单方式进行处理 ...
【技术保护点】
1.一种在云平台下虚拟机运行中对勒索软件的处理方法,其特征在于,包括:第一客户端获取运行在虚拟机中的待启动的进程,以及所述进程对应的第一进程信息;所述第一客户端将所述第一进程信息上传至云平台对应的服务器,并接收所述服务器返回的匹配结果,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配;如果所述匹配结果为匹配失败,则所述第一客户端将所述第一进程信息发送给第二客户端,并获取所述第二客户端返回的授权信息;如果所述授权信息为禁止启动,则所述第一客户端禁止启动所述进程。
【技术特征摘要】
1.一种在云平台下虚拟机运行中对勒索软件的处理方法,其特征在于,包括:第一客户端获取运行在虚拟机中的待启动的进程,以及所述进程对应的第一进程信息;所述第一客户端将所述第一进程信息上传至云平台对应的服务器,并接收所述服务器返回的匹配结果,其中,所述匹配结果用于表征所述第一进程信息与预设白名单是否匹配;如果所述匹配结果为匹配失败,则所述第一客户端将所述第一进程信息发送给第二客户端,并获取所述第二客户端返回的授权信息;如果所述授权信息为禁止启动,则所述第一客户端禁止启动所述进程。2.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息上传至云平台对应的服务器之后,所述方法还包括:所述服务器将所述第一进程信息与第一白名单,或者所述第一进程信息与第二白名单进行匹配,其中,所述第一白名单包括:初始设定的允许启动的一个或多个进程的进程信息,所述第二白名单包括:在所述服务器升级过程中新增的允许启动的一个或多个进程的信息;如果所述第一进程信息与所述第一白名单匹配成功,或者,所述第一进程信息与所述第二白名单匹配成功,则所述服务器确定所述匹配结果为匹配成功;如果所述第一进程信息与所述第一白名单匹配失败,且第一所述进程信息与所述第二白名单匹配失败,则所述服务器确定所述匹配结果为匹配失败。3.根据权利要求2所述的方法,其特征在于,在所述服务器将所述第一进程信息与所述第一白名单,或者所述第一进程信息与第二白名单进行匹配之前,所述方法还包括:所述服务器接收第三客户端上传的第二进程信息;所述服务器对所述第二进程信息进行安全认证,得到安全认证结果;如果所述安全认证结果为通过安全认证,则所述服务器将所述第二进程信息加入所述第一白名单中。4.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息发送给第二客户端之后,所述方法还包括:所述第二客户端接收第一控件被触发后生成的第一控制信号,其中,所述第一控制信号用于允许所述进程启动;所述第二客户端根据所述第一控制信号,确定所述授权信息为允许启动所述进程。5.根据权利要求1所述的方法,其特征在于,在所述第一客户端将所述第一进程信息发送给第二客户端之后,所述方法还包括:所述第二客户端接收第二控件被触发后生成的第二控制信号,其中,所述第二控制信号用于禁止所述进程启动;所述第二客户端根据所述第二控制信号,确定所述授权信息为禁止启动所述进程。6.根据权利要求1至5中任意一项所述的方法,其特征在于,第一客户端获取所述进程对应的第一进程信息,包括:所述第一客户端获取所述进程对应的文件信息和所述文件信息对应的属性信息;所述第一客户端根据所述文件信息计算所述进程对应的文件的HASH值;所述第一客户端根据所述属性信息和所述HASH值,生成所述第一进程信息。7.根据权利要求6所述的方法,其特征在于,在第一客户端获取所述进程对应的第一进程信息之后,所述方法还包括:所述第一客户端将所述HASH值与本地缓存的白名单中的HASH值进行匹配;如果所述HASH值与所述本地缓存的白名单中的HASH值匹配失败,则所述第一客户端将所述第一进程信息上传至服务器;如果所述HASH值与所述本地缓存的白名单中的HASH值匹配成功,则所述第一客户端允许所述进程运行。8.一种进程启动的处理系统,其特征在于,包括:第一客户端,用于获取待启动的进程,以及所述进程对应的第一进程信息;服务器,与所述第一客户端具有通信关系,用于根据预设白名单对所述第一进程信息进行匹配,得到匹配结果;第二...
【专利技术属性】
技术研发人员:董斌雁,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。