识别对计算机系统的文件进行编码的加密器的系统和方法技术方案

本申请涉及识别对计算机系统的文件进行编码的加密器的系统和方法。示例性方法包括：识别由可疑进程执行了数据输入的一个或多个文件；针对每个识别出的文件，确定所述识别出的文件的特性；使用经训练的机器学习模型和所述识别出的文件的相应特性，识别文件修改的类别；基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联；以及保护所述计算机系统免受所述加密器的影响。所述计算机系统免受所述加密器的影响。所述计算机系统免受所述加密器的影响。

【技术实现步骤摘要】
识别对计算机系统的文件进行编码的加密器的系统和方法


[0001]本专利技术涉及数据安全领域。具体而言，涉及用于识别对计算机系统的文件进行编码的加密器的系统和方法。

技术介绍

[0002]近年来计算机技术的快速发展以及计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛分布，强烈刺激了这些设备在各种活动领域和针对大量任务的使用(从私人照片的处理和存储到银行转账和电子文档管理)。计算设备和在这些设备中运行的软件数量的增长伴随着有害软件量的快速增长。
[0003]当前存在许多不同类型的有害软件，其中绝大多数旨在为其创建者谋利。一种有害软件会从用户的设备中窃取用户的个人和机密数据(例如登录名和密码、银行账户详细信息、电子文档等)。另一种有害软件从用户的设备形成所谓的僵尸网络，以攻击其他计算机、计算机网络或Web(网络)资源(例如，通过“拒绝服务”攻击或“暴力”攻击)。第三类有害软件通过持续广告、付费订阅、向付费号码发送短信等方式向用户提供付费内容。
[0004]一种有害软件包括以勒索为目的的有害软件程序(称为勒索软件)。当这些勒索程序出现在用户的设备上时，它们会使设备无法运行(例如，通过阻止输入设备、破坏数据、限制对界面元素的访问等)。通常会敦促受害者为恢复对他/她的文件的访问付费，但是，即使这样做了，恶意方也不总是将数据或设备的控制权恢复给其合法所有者。最危险的勒索程序包括对文件进行加密的有害软件(加密器)。他们的有害动作包括破坏对用户有价值的数据(例如数据库、Microsoft Office文档、照片、视频文件等)。数据因加密、重命名或隐藏包含这些数据的文件而损坏。由于数据的机密性和完整性通常都受到高度重视，因此保护数据是一项重要任务。
[0005]对抗上述威胁的一种方法是及时检测用户设备上的有害应用程序，然后将其停用，从而保护数据免遭未经批准的修改，同时还定期创建数据备份副本，以便数据即使在未经批准的修改的情况下也可以恢复。然而，新形式的加密器不断被创建。由于新形式的加密器的出现，必须定期编写新的签名以识别它们。各种大量的计算资源被消耗在更新签名的任务上。然而，在某些情况下，加密器在使用独特的解压缩器进行启动后对自己解密——从而增加了确保计算安全免受此类攻击所需的基于签名的检测的复杂性。
[0006]另一种方法是基于行为检测。与签名检测相比，行为检测提供了更灵活的方法。这主要是因为基于行为的检测是基于对加密器分布的特性特征的监控。这为检测大量文件的出现或修改提供了机会。然而，这些方法也有缺点。
[0007]首先，加密器的区别特征是它们拒绝对硬盘上的许多或甚至所有给定类型的文件(图像、财务文档等)的访问。当检测到这种行为时，一些数据将被加密。为了对抗加密器的操作，可能会使用受影响文件的备份复制，但这需要进一步的资源消耗，因此会减慢合法软件的运行速度。
[0008]其次，有许多程序的行为也表现出与文件系统中的如下动作相关联的特征，这些
特征呈现加密器特性。例如，存档器(archiver)应用程序具有许多呈现加密器特性的行为特性。例如，两种类型的软件都可能会快速修改大量用户文件，并且用户文件执行后产生的文件具有许多相似的特征。使用确定的规则或分析算法很难找到加密器和存档器应用程序之间的任何区别。这可能会导致将存档类型的程序错误地归类为有害的。换句话说，II类错误(假阴性)可能会增加。然而，由有害软件安装的文件与合法用户文件呈现出一定差异，并且已经提出应该根据这些差异搜索加密文件，以检测木马加密器的活动。
[0009]然而，现有的大多数检测加密器的方法都没有利用有害加密软件的关键特征，即在计算机上创建牺牲文件，其中信息未经恶意方解密就无法被用户读取。这对于识别对计算机系统的文件进行加密的有害软件产生了高水平的I类错误(假阳性)和II类错误的技术问题。
[0010]因此，需要一种使用最新的机器学习方法来检测加密器的更优化和更有效的方式。换言之，需要一种识别对计算机系统的文件进行编码的加密器的系统和方法。

技术实现思路

[0011]本专利技术的各方面涉及数据安全，更具体地，涉及识别对计算机系统的文件进行编码的加密器的系统和方法。
[0012]在一个示例性方面，提供了一种用于识别对计算机系统的文件进行编码的加密器的方法，该方法包括：识别由可疑进程执行了数据输入的一个或多个文件；针对每个识别出的文件，确定识别出的文件的特性；使用经训练的机器学习模型和识别出的文件的相应特性，识别文件修改的类别；以及基于识别出的文件的文件修改的类别将可疑进程识别为与所述加密器相关联；以及保护所述计算机系统免受所述加密器的影响。
[0013]在一方面，该方法还包括：通过顺序检查计算机系统的所有进程来检测有害软件，其中所述顺序检查包括将被检查的进程识别为可疑进程。
[0014]在一方面，可疑进程与预定进程的可更新列表相关联。
[0015]在一方面，文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。
[0016]在一方面，计算机系统的保护包括以下中的至少一者：停止可疑进程以及与可疑进程相关联的所有流和其他进程；删除或隔离启动可疑进程的文件；从备份副本恢复由可疑进程执行了数据输入的所述一个或多个文件，其中所述一个或多个文件的备份副本是在发生由可疑进程将数据输入到所述一个或多个文件之前创建和存储的；以及更新防病毒数据库并启动防病毒软件以执行按需扫描。
[0017]在一方面，针对每个识别出的文件，机器学习模型确定文件的修改属于文件修改的类别之一的概率。
[0018]在一方面，该方法还包括：由分析器确定加密器对文件进行修改的概率超过第一阈值的一个或多个文件的数量；以及当对文件进行修改的概率超过第一阈值的一个或多个文件的确定的数量大于第二阈值时，将可疑进程识别为与加密器相关联。
[0019]在一方面，将可疑进程识别为与加密器相关联是使用经训练的第二机器学习模型来执行的，该经训练的第二机器学习模型接收识别出的文件修改的类别作为输入数据。
[0020]在一方面，经训练的第二机器学习模型还接收识别出的可疑进程的特性作为输入
数据。
[0021]在一方面，经训练的第二机器学习模型包括基于以下中的至少一者训练的机器学习模型：神经网络、决策树、随机森林、支持向量机、k
‑
最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。
[0022]在一方面，识别执行了数据输入的一个或多个文件基于对使用流和/或写入流的操作的系统调用的处理。
[0023]在一方面，识别所述一个或多个文件包括识别每个识别出的文件的特性，所述特性包括以下中的至少一者：文件的至少一部分的熵、文件的元数据、文件的所述至少一部分的元数据、关于已将数据输入文件的应用程序或进程的信息。
[0024]在一个方面，用于识别文件修改的类别的经训练的机器学习模型包括基于以下中的至本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于识别对计算机系统的文件进行编码的加密器的方法，所述方法包括：由文件处理器识别由可疑进程执行了数据输入的一个或多个文件；针对每个识别出的文件，由所述文件处理器确定所述识别出的文件的特性；针对每个识别出的文件，由分析器使用经训练的机器学习模型和所述识别出的文件的相应特性，识别文件修改的类别；以及针对每个识别出的文件，由所述分析器基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联；以及保护所述计算机系统免受所述加密器的影响。2.如权利要求1所述的方法，还包括：通过顺序检查所述计算机系统的所有进程来检测有害软件，其中，所述顺序检查包括将被检查的进程识别为所述可疑进程。3.如权利要求1所述的方法，其中，所述可疑进程与预定进程的可更新列表相关联。4.如权利要求1所述的方法，其中，所述文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。5.如权利要求1所述的方法，其中，所述计算机系统的保护包括以下中的至少一者：停止所述可疑进程以及与所述可疑进程相关联的所有流和其他进程；删除或隔离启动所述可疑进程的文件；从备份副本恢复由所述可疑进程执行了数据输入的所述一个或多个文件，其中，所述一个或多个文件的所述备份副本是在发生由所述可疑进程将数据输入到所述一个或多个文件之前创建和存储的；以及更新防病毒数据库并启动防病毒软件以执行按需扫描。6.如权利要求1所述的方法，其中，针对每个识别出的文件，所述机器学习模型确定所述文件的修改属于所述文件修改的类别之一的概率。7.如权利要求6所述的方法，还包括：由所述分析器确定所述加密器对文件进行修改的所述概率超过第一阈值的所述一个或多个文件的数量；以及当对文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定的数量大于第二阈值时，将所述可疑进程识别为与所述加密器相关联。8.如权利要求7所述的方法，其中，将所述可疑进程识别为与所述加密器相关联是使用经训练的第二机器学习模型来执行的，所述经训练的第二机器学习模型接收识别出的所述文件的文件修改的类别作为输入数据。9.如权利要求8所述的方法，其中，所述经训练的第二机器学习模型还接收识别出的所述可疑进程的特性作为输入数据。10.如权利要求8所述的方法，其中，所述经训练的第二机器学习模型包括基于以下中的至少一者训练的机器学习模型：神经网络、决策树、随机森林、支持向量机、k
‑
最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。11.如权利要求1所述的方法，其中，识别执行了数据输入的所述一个或多个文件基于对使用流和/或写入流的操作的系统调用的处理。12.如权利要求1所述的方法，其中，识别所述一个或多个文件包括识别每个识别出的
文件...

【专利技术属性】
技术研发人员：叶夫根尼，
申请(专利权)人：卡巴斯基实验室股份制公司，
类型：发明
国别省市：