【技术实现步骤摘要】
基于随机性阈值的勒索软件判定检测方法
本专利技术涉及的是一种信息安全领域的技术,具体是一种基于随机性阈值的勒索软件判定检测方法。
技术介绍
勒索软件是一种对信息系统中的文件进行加密,随后破坏原始文件的恶意代码。在用户文件被加密后,攻击者会向受害者进行各种形式的敲诈勒索。通常在受害者支付高额赎金后,攻击者才会将解密密钥发送给受害者,使得受害者能够恢复原始文件。勒索软件的传播方式与一般计算机病毒类似,不仅能够通过因特网、企业内网、便携式移动存储介质传播,还能够通过物联网、工控网络、移动通信网络等途径传播。现有检测勒索软件的常用方法及其不足如下:采用杀毒软件传统的特征码检测,对已知勒索软件识别率较高,但难以识别勒索软件变种或未知的新型勒索软件;采用合法软件白名单或勒索软件黑名单限制可只允许运行合法的程序或进程,但当名单内容不完备时,勒索软件可逃过检测;采用蜜罐诱饵技术,通过观测诱饵文件是否被篡改来进行检测,但当诱饵文件类型不在勒索软件加密对象范围内时,无法检测到勒索软件;采用沙箱或虚拟机技术,将对文件的加密、删除操作虚拟化处理,通...
【技术保护点】
1.一种基于随机性阈值的勒索软件判定检测方法,其特征在于,通过在待测系统中监测创建文件的操作行为,并对新创建的文件进行随机性度量,当随机性度量结果超过第一数值阈值时,将新创建文件判定为随机数据类型文件,并对随机数据类型文件的个数进行计数,当随机数据类型文件的数量超过第二数值阈值时,判定待测系统中发生勒索软件攻击行为。/n
【技术特征摘要】
1.一种基于随机性阈值的勒索软件判定检测方法,其特征在于,通过在待测系统中监测创建文件的操作行为,并对新创建的文件进行随机性度量,当随机性度量结果超过第一数值阈值时,将新创建文件判定为随机数据类型文件,并对随机数据类型文件的个数进行计数,当随机数据类型文件的数量超过第二数值阈值时,判定待测系统中发生勒索软件攻击行为。
2.根据权利要求1所述的基于随机性阈值的勒索软件判定检测方法,其特征是,所述的对创建文件行为监测通过文件钩子技术实现。
3.根据权利要求1所述的基于随机性阈值的勒索软件判定检测方法,其特征是,所述的随机性度量,通过单比特频数检测、分组频率检测、游程检测、扑克检测和自相关检测实现。
4.根据权利要求1或3所述的基于随机性阈值的勒索软件判定检测方法,其特征是,所述的随机性度量,对文件的全部或部分内容进行随机性度量。
5.根据权利要求4所述的基于随机性阈值的勒索软件判定检测方法,其特征是,当文件大小不超过12...
【专利技术属性】
技术研发人员:韩玮,李继红,王冬梅,熊雪,胡艺萌,
申请(专利权)人:智巡密码上海检测技术有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。