本发明专利技术涉及计算机安全技术领域,具体涉及一种勒索病毒的防护方法及系统,包括:S1:当一计算机程序访问一文件时,判断计算机程序是否具有访问文件的权限;若是,结束判断并返回S1;若否,转向S2;S2:将计算机程序的进程移动至一沙箱程序内,并记录计算机程序的处理行为;S3:根据处理行为判断计算机程序是否为勒索病毒;若是,对所述文件和/或所述处理行为进行处理,随后结束判断;若否,结束判断。本发明专利技术的有益效果在于:解决了现有技术中对可疑计算机程序需要人工创建沙箱环境对计算机程序进行测试,测试成本较高实时性较差的问题,进而实现了在正常工作环境下对勒索病毒的常态化监控,更好地适应了企业的局域网环境。适应了企业的局域网环境。适应了企业的局域网环境。
【技术实现步骤摘要】
一种勒索病毒的防护方法及系统
[0001]本专利技术涉及计算机安全
,具体涉及一种勒索病毒的防护方法及系统。
技术介绍
[0002]勒索病毒,指形如wannacry这一类的新型电脑病毒,主要以邮件、程序木马、网页木马等形式进行传播。该类电脑病毒在感染计算机系统后,会采用各类加密方式对文件进行加密,进而使得用户无法正常读取、执行计算机文件。沙箱程序,指一种用于构建虚拟计算机系统的计算机程序,其在实际的计算机系统中构建出一个由虚拟化硬件组成的独立作业环境。沙箱程序在软件测试等领域存在有较多的应用,其通过设置相关参数对虚拟化硬件进行调整以模拟出不同的运行环境,或是在该独立作业环境中对于不可信任的计算机程序进行执行、行为监控以避免勒索病毒对实际的计算机系统造成损害。
[0003]现有技术中,对于勒索病毒的识别方法,主要依赖于提取可疑的计算机程序并放入沙箱程序进行执行,在沙箱程序中对可疑的计算机程序的执行步骤进行重放,根据其执行步骤判别是否有文件加密恶意行为发生。但是,在实际实施过程中,专利技术人发现,上述现有技术在检测勒索病毒的过程中需要耗费大量时间、人力、物力和财力,且提取的勒索病毒样本已发生实施性破坏行为,不具有防护的实时性。并且,对于遭到勒索病毒加密的文件的恢复过程也需要占用大量的人力、物力和财力,还容易因为勒索病毒自身程序的BUG造成无法解密,文件无法恢复的问题。
技术实现思路
[0004]针对现有技术中存在的上述问题,亟需专利技术一种具有实时检测和保护的方法,可以有效识别未知的或新型的勒索病毒,并且避免勒索病毒造成的实质性破坏。为此,本专利技术提供一种勒索病毒的防护方法及系统。
[0005]具体技术方案如下:
[0006]一种勒索病毒的防护方法,适用一监控程序,所述监控程序读取计算机系统中的各个进程,则所述防护方法包括:
[0007]步骤S1:当一计算机程序访问一文件时,判断所述计算机程序是否具有访问所述文件的权限;
[0008]若是,结束判断;
[0009]若否,转向步骤S2;
[0010]步骤S2:将所述计算机程序的进程移动至一沙箱程序内,并记录所述计算机程序的处理行为;
[0011]步骤S3:根据所述处理行为判断所述计算机程序是否为勒索病毒;
[0012]若是,对所述文件和/或所述处理行为进行处理,随后结束判断;
[0013]若否,结束判断。
[0014]优选地,所述步骤S1中,采用一预设的程序白名单判断所述计算机程序是否具有
访问所述文件的权限;
[0015]程序白名单中包括:对应于所述文件的文件标识信息及对应于可访问所述文件的计算机程序的程序校验信息;
[0016]其中,所述文件标识信息包括所述文件的后缀名、所述文件的文件名称及所述文件路径、所述文件的文件名称中的字段及文件路径中的一个;
[0017]所述程序校验信息包括所述计算机程序的文件名、所述计算机程序的文件路径、所述计算机程序的数字签名、所述计算机程序的哈希值中的至少一个;
[0018]则所述步骤S1包括:
[0019]步骤S11:获取所述文件的所述文件标识信息,以及所述计算机程序的所述程序校验信息;
[0020]步骤S12:根据所述文件标识信息、所述程序校验信息和所述程序白名单判断所述计算机程序是否具有访问所述文件的权限;
[0021]若是,结束判断;
[0022]若否,转向步骤S2。
[0023]优选地,所述步骤S2包括:
[0024]步骤A21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
[0025]步骤A22:记录所述处理行为以生成监控日志。
[0026]优选地,所述步骤S3包括:
[0027]步骤A31:根据所述监控日志获取所述处理行为;
[0028]步骤A32:生成所述处理行为与一预设的样本行为的相似度;
[0029]步骤A33:根据所述相似度判断所述计算机程序是否为勒索病毒;
[0030]若是,删除所述镜像文件,随后结束判断;
[0031]若否,将所述镜像文件中的变化内容合并至所述文件中,随后结束判断。
[0032]优选地,所述步骤S2包括:
[0033]步骤B21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;
[0034]步骤B22:当所述处理行为导致所述镜像文件的内容发生改变时,将当前时刻的所述镜像文件作为过程文件,所述过程文件用于表示所述处理行为对所述镜像文件进行的改动。
[0035]优选地,所述步骤S3包括:
[0036]步骤B31:读取所述过程文件;
[0037]步骤B32:根据读取结果判断所述过程文件是否被加密;
[0038]若是,认为所述计算机程序是勒索病毒,删除所述镜像文件,随后结束判断;若否,认为所述计算机程序不是勒索病毒,将所述镜像文件中的所述变化内容合并至所述文件中,随后结束判断。
[0039]一种勒索病毒的防护系统,用于实施上述的防护方法,包括:
[0040]监控模块,所述监控模块获取当前运行的计算机程序的进程;
[0041]沙箱模块,所述沙箱模块在所述监控模块的控制下运行所述计算机程序;
[0042]判断模块,所述判断模块连接所述沙箱模块,所述判断模块根据所述计算机程序的处理行为判断所述计算机程序是否为所述勒索病毒。
[0043]优选地,所述监控模块包括:
[0044]进程获取子模块,所述进程获取子模块获取所述进程的内存地址和进程标识;
[0045]行为监测子模块,所述行为监测子模块获取所述计算机程序对文件的访问行为;
[0046]权限判断子模块,所述权限判断子模块判断所述计算机程序是否具有访问所述文件的权限并生成权限判断结果。
[0047]优选地,所述沙箱模块包括:
[0048]文件子模块,所述文件子模块根据所述权限判断结果生成所述文件的镜像文件;
[0049]隔离子模块,所述隔离子模块根据所述权限判断结果、所述内存地址和所述进程标识在一虚拟化环境中运行所述计算机程序;
[0050]所述判断模块包括:
[0051]文件监测子模块,所述文件监测子模块以一预设的时间间隔获取所述镜像文件,并根据多个所述镜像文件的变化内容生成处理日志;
[0052]校验子模块,所述校验子模块获取所述处理日志并根据所述处理日志判断所述计算机程序是否为所述勒索病毒。
[0053]上述技术方案具有如下优点或有益效果:通过设置监控程序实现了在计算机系统中对计算机程序的实时获取并及时移入沙箱,解决了现有技术中对可疑计算机程序需要人工创建沙箱环境对计算机程序进行测试,测试成本较高实时性较差的问题,进而实现了在正常工作环境下对勒索病毒的常态化监控,更好地适应了企业的局域网环境。
附本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种勒索病毒的防护方法,其特征在于,适用一监控程序,所述监控程序读取计算机系统中的各个进程,则所述防护方法包括:步骤S1:当一计算机程序访问一文件时,判断所述计算机程序是否具有访问所述文件的权限;若是,结束判断;若否,转向步骤S2;步骤S2:将所述计算机程序的进程移动至一沙箱程序内,并记录所述计算机程序的处理行为;步骤S3:根据所述处理行为判断所述计算机程序是否为勒索病毒;若是,对所述文件和/或所述处理行为进行处理,随后结束判断;若否,结束判断。2.根据权利要求1所述的防护方法,其特征在于,所述步骤S1中,采用一预设的程序白名单判断所述计算机程序是否具有访问所述文件的权限;程序白名单中包括:对应于所述文件的文件标识信息及对应于可访问所述文件的计算机程序的程序校验信息;其中,所述文件标识信息包括所述文件的后缀名、所述文件的文件名称及所述文件路径、所述文件的文件名称中的字段及文件路径中的一个;所述程序校验信息包括所述计算机程序的文件名、所述计算机程序的文件路径、所述计算机程序的数字签名、所述计算机程序的哈希值中的至少一个;则所述步骤S1包括:步骤S11:获取所述文件的所述文件标识信息,以及所述计算机程序的所述程序校验信息;步骤S12:根据所述文件标识信息、所述程序校验信息和所述程序白名单判断所述计算机程序是否具有访问所述文件的权限;若是,结束判断;若否,转向步骤S2。3.根据权利要求1所述的防护方法,其特征在于,所述步骤S2包括:步骤A21:创建一对应于所述文件的镜像文件,并将所述计算机程序的所述处理行为映射至所述镜像文件;步骤A22:记录所述处理行为以生成监控日志。4.根据权利要求3所述的防护方法,其特征在于,所述步骤S3包括:步骤A31:根据所述监控日志获取所述处理行为;步骤A32:生成所述处理行为与一预设的样本行为的相似度;步骤A33:根据所述相似度判断所述计算机程序是否为勒索病毒;若是,删除所述镜像文件,随后结束判断;若否,将所述镜像文件中的变化内容合并至所述文件中,随后结束判断。5.根据权利要求1所述的防护方法,其特...
【专利技术属性】
技术研发人员:陈昌杰,陈磊,
申请(专利权)人:中国福利会国际和平妇幼保健院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。