一种基于可信进程树的勒索病毒隔离方法技术

本发明专利技术公开一种基于可信进程树的勒索病毒隔离方法，涉及计算机安全技术领域。所述方法包括：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，关联并学习到最上层的勒索病毒进程；遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离。本发明专利技术能够自动杀死勒索病毒相关进程、隔离进程文件及勒索病毒相关文件，保证系统的安全运行环境。境。境。

【技术实现步骤摘要】
一种基于可信进程树的勒索病毒隔离方法


[0001]本专利技术涉及计算机安全
，尤其涉及一种基于可信进程树的勒索病毒隔离方法。

技术介绍

[0002]勒索攻击触目惊心，勒索攻击影响范围之广、勒索赎金之高、勒索组织之猖獗、勒索形势之严峻，已远超人民群众的认知，勒索病毒攻击主要攻击过程包括：
①
删除和停止操作系统卷影备份；
②
杀死主机上待加密文件的相关进程，如果数据库程序；
③
遍历操作系统本地、U盘和共享文件；
④
加密相关文件并发送勒索通知。
[0003]目前主流的勒索病毒防护通过传统杀毒引擎的特征库完成识别并隔离，但是由全球范围内勒索病毒种类繁多、变异较快，基于病毒特征库的传统杀毒软件遭遇新型勒索病毒时将无法防护快速变化的特征检测。目前流行的勒索病毒方法是通过静态诱饵、动态诱饵、勒索行为、隔离勒索病毒进程等方法来识别和防护勒索病毒。但是由于勒索病毒执行过程会通过很多进程来实现文件遍历和勒索病毒加密过程，通过单个进程隔离无法完整阻止的勒索病毒的运行。

技术实现思路

[0004]本专利技术提供了一种基于可信进程树的勒索病毒隔离方法，包括：
[0005]勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；
[0006]勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；
[0007]勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；
[0008]勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间等信息自动关联并学习到最上层的勒索病毒进程；
[0009]遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离，如果进程非系统进程，则杀死相关进程并隔离文件，如果进程为系统类进程，则杀死相关的进程。
[0010]如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，识别可信进程树中的可信进程的方法包括：
①
微软默认进程安装的列表；
②
进程文件的签名信息；
③
进程的病毒检测结果；
④
进程文件创建和落地时间。
[0011]如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，勒索病毒防护软件通过以下方法识别勒索病毒可疑进程：
①
杀死运行的进程；
②
停止系统的服务；
③
删除操作系统卷影；
④
在系统磁盘中反复写入包含了勒索软件常用描述用语的文件；
⑤
进程隐藏自身功能；
⑥
通过调用windows延迟接口，试图使程序延后执行，来达到绕过沙箱的检测。
[0012]如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，勒索病毒防护软件通过以下行为准确识别勒索病毒：
①
静态诱饵被加密；
②
动态诱饵被加密；
③
在文件后缀之后添加已知勒索软件家族的相关后缀名称，该行为同时伴随着文件加密的操作。
[0013]本专利技术还提供一种计算机可读存储介质，所述计算机可读存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行上述任一项所述的一种基于可信进程树的勒索病毒隔离方法。
[0014]本专利技术实现的有益效果如下：本专利技术能够自动杀死勒索病毒相关进程、隔离进程文件及勒索病毒相关文件，保证系统的安全运行环境。
附图说明
[0015]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0016]图1是本专利技术实施例一提供的一种基于可信进程树的勒索病毒隔离方法流程图；
[0017]图2是建立的可信进程树示意图；
[0018]图3是勒索病毒攻击进程树示意图；
[0019]图4是Winnacry病毒攻击进程数隔离方法示意图。
具体实施方式
[0020]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0021]实施例一
[0022]参见图1，本专利技术实施例一提供一种基于可信进程树的勒索病毒隔离方法，包括：
[0023]步骤110、勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；
[0024]图2是建立的可信进程树示意图，系统进程下包含多级进程信息，进程信息还包含对应的执行文件，组成如图2所示的可信进程树。并设置通过以下但不限以下方法识别可信进程树中的可信进程：1、微软默认进程安装的列表；2、进程文件的签名信息；3、进程的病毒检测结果；4、进程文件创建和落地时间。
[0025]步骤120、勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；
[0026]其中，勒索病毒防护软件包括但不限于通过以下方法识别勒索病毒可疑进程：1、杀死运行的进程；2、停止系统的服务；3、删除操作系统卷影；4、在系统磁盘中反复写入包含了勒索软件常用描述用语的文件；5、进程隐藏自身功能；6、通过调用windows延迟接口，试图使程序延后执行，来达到绕过沙箱的检测。
[0027]图3为勒索病毒攻击进程树示意图，图中，在explorer.exe程序下，勒索控制程序
杀死服务和进程程序认为是可疑勒索病毒进行标记，检测到在Cmd.exe进程下的Vasadmin.exe删除操作系统卷影程序，标记为可疑勒索病毒，然后检测到加密程序，确定为勒索病毒。
[0028]步骤130、勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；
[0029]具体地，勒索病毒防护软件包括但不限于通过以下行为可以准确识别勒索病毒：1、静态诱饵被加密；2、动态诱饵被加密；3、在文件后缀之后添加已知勒索软件家族的相关后缀名称，该行为同时伴随着文件加密的操作。
[0030]步骤140、勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间等信息自动关联并学习到最上层的勒索病毒进程；
[0031]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信进程树的勒索病毒隔离方法，其特征在于，包括：勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间信息自动关联并学习到最上层的勒索病毒进程；遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离，如果进程非系统进程，则杀死相关进程并隔离文件，如果进程为系统类进程，则杀死相关的进程。2.如权利要求1所述的一种基于可信进程树的勒索病毒隔离方法，其特征在于，识别可信进程树中的可信进程的方法包括：
①
微软默认进程安装的列表；
②
进程文件的签名信息；
③
进程的病毒检测结果；
④
进程文件创建和落地时间。3.如...

【专利技术属性】
技术研发人员：杨建平，
申请(专利权)人：北京威努特技术有限公司，
类型：发明
国别省市：