【技术实现步骤摘要】
识别对计算机系统的文件进行编码的加密器的系统和方法
[0001]本专利技术涉及数据安全领域。具体而言,涉及用于识别对计算机系统的文件进行编码的加密器的系统和方法。
技术介绍
[0002]近年来计算机技术的快速发展以及计算设备(个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛分布,强烈刺激了这些设备在各种活动领域和针对大量任务的使用(从私人照片的处理和存储到银行转账和电子文档管理)。计算设备和在这些设备中运行的软件数量的增长伴随着有害软件量的快速增长。
[0003]当前存在许多不同类型的有害软件,其中绝大多数旨在为其创建者谋利。一种有害软件会从用户的设备中窃取用户的个人和机密数据(例如登录名和密码、银行账户详细信息、电子文档等)。另一种有害软件从用户的设备形成所谓的僵尸网络,以攻击其他计算机、计算机网络或Web(网络)资源(例如,通过“拒绝服务”攻击或“暴力”攻击)。第三类有害软件通过持续广告、付费订阅、向付费号码发送短信等方式向用户提供付费内容。
[0004]一种有害软件包括以勒索为目的的有害软件程序(称为勒索软件)。当这些勒索程序出现在用户的设备上时,它们会使设备无法运行(例如,通过阻止输入设备、破坏数据、限制对界面元素的访问等)。通常会敦促受害者为恢复对他/她的文件的访问付费,但是,即使这样做了,恶意方也不总是将数据或设备的控制权恢复给其合法所有者。最危险的勒索程序包括对文件进行加密的有害软件(加密器)。他们的有害动作包括破坏对用户有价值的数据(例如数据库、Microsoft Office文档 ...
【技术保护点】
【技术特征摘要】
1.一种用于识别对计算机系统的文件进行编码的加密器的方法,所述方法包括:由文件处理器识别由可疑进程执行了数据输入的一个或多个文件;针对每个识别出的文件,由所述文件处理器确定所述识别出的文件的特性;针对每个识别出的文件,由分析器使用经训练的机器学习模型和所述识别出的文件的相应特性,识别文件修改的类别;以及针对每个识别出的文件,由所述分析器基于识别出的所述文件的文件修改的类别将可疑进程识别为与所述加密器相关联;以及保护所述计算机系统免受所述加密器的影响。2.如权利要求1所述的方法,还包括:通过顺序检查所述计算机系统的所有进程来检测有害软件,其中,所述顺序检查包括将被检查的进程识别为所述可疑进程。3.如权利要求1所述的方法,其中,所述可疑进程与预定进程的可更新列表相关联。4.如权利要求1所述的方法,其中,所述文件修改的类别包括至少一种由加密器做出的文件修改的类别和至少一种其他的由合法软件做出的文件修改的类别。5.如权利要求1所述的方法,其中,所述计算机系统的保护包括以下中的至少一者:停止所述可疑进程以及与所述可疑进程相关联的所有流和其他进程;删除或隔离启动所述可疑进程的文件;从备份副本恢复由所述可疑进程执行了数据输入的所述一个或多个文件,其中,所述一个或多个文件的所述备份副本是在发生由所述可疑进程将数据输入到所述一个或多个文件之前创建和存储的;以及更新防病毒数据库并启动防病毒软件以执行按需扫描。6.如权利要求1所述的方法,其中,针对每个识别出的文件,所述机器学习模型确定所述文件的修改属于所述文件修改的类别之一的概率。7.如权利要求6所述的方法,还包括:由所述分析器确定所述加密器对文件进行修改的所述概率超过第一阈值的所述一个或多个文件的数量;以及当对文件进行修改的所述概率超过所述第一阈值的所述一个或多个文件的确定的数量大于第二阈值时,将所述可疑进程识别为与所述加密器相关联。8.如权利要求7所述的方法,其中,将所述可疑进程识别为与所述加密器相关联是使用经训练的第二机器学习模型来执行的,所述经训练的第二机器学习模型接收识别出的所述文件的文件修改的类别作为输入数据。9.如权利要求8所述的方法,其中,所述经训练的第二机器学习模型还接收识别出的所述可疑进程的特性作为输入数据。10.如权利要求8所述的方法,其中,所述经训练的第二机器学习模型包括基于以下中的至少一者训练的机器学习模型:神经网络、决策树、随机森林、支持向量机、k
‑
最近邻方法、逻辑回归方法、线性回归方法、贝叶斯分类方法、和梯度提升方法。11.如权利要求1所述的方法,其中,识别执行了数据输入的所述一个或多个文件基于对使用流和/或写入流的操作的系统调用的处理。12.如权利要求1所述的方法,其中,识别所述一个或多个文件包括识别每个识别出的
文件...
【专利技术属性】
技术研发人员:叶夫根尼,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。