【技术实现步骤摘要】
一种基于诱饵文件监控的勒索病毒行为检测方法及系统
[0001]本专利技术涉及信息安全技术隐私保护和数据安全领域,具体涉及一种基于诱饵文件监控的勒索病毒行为检测方法及系统。
技术介绍
[0002]随着计算机网络的不断发展和数据价值的不断提高,出现了许多用于窃取或者损坏数据的攻击方式,甚至以此来勒索受害者。勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
[0003]目前针对勒索病毒的检测主要有两种方式:一种是静态检测,通过分析不同勒索病毒的特征总结勒索病毒和正常软件的操作序列区别进行检测,一旦勒索病毒加壳就无法处理;另外一种是动态检测,对操作系统中的文件读写操作、加密和网络通信进行监控,但是这种监控必须捕捉足够多的信息才能判定这是否是勒索病毒,此时可能已经造成了许多重要文件的损失,不能够及时地阻断勒索病毒。
[0004]诱饵文件是...
【技术保护点】
【技术特征摘要】
1.一种基于文件诱饵监控的勒索病毒行为检测方法,其步骤为:步骤1)管理员制定构造不同类型诱饵文件的基本规则,并按照规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件;步骤2)设置利用诱饵文件检测勒索病毒行为的处理方式,并将生成的诱饵文件部署到系统指定位置上;步骤3)监控所部署的诱饵文件的变化,排除用户误操作的可能,可以准确及时检测出勒索病毒;步骤4)记录监控到的勒索病毒访问系统API的操作到日志中,可以用于评估该勒索病毒的行为,并完善诱饵文件构造、部署和检测的规则。2.如权利要求1所述的方法,其特征在于,步骤1)中,所述诱饵文件,指的是安置在系统中的模拟真实存在文件的文件;所述构造不同类型诱饵文件的基本规则指的是如何从零打造诱饵文件的基本规则,在本系统中主要包括:诱饵文件的文件名应该尽量保证勒索病毒在遍历文件夹时第一个就会遍历到诱饵文件,按照系统API惯例一般是文件名按照Unicode排序的最前面和最后面,每个文件夹部署两个诱饵文件也减少了对原有系统的更改和影响;诱饵文件的类型应该与当前文件夹中多数文件的类型相同,或者构造为常见的类型,比如word文档或源代码文件;诱饵文件应该填充对应文件类型的内容,一般包括该类型文件的文件头和符合该类型文件的文件内容;按照一般文件的创建和使用惯例,生成的诱饵文件的创建时间、访问时间、最后修改时间等信息也应该符合逻辑。3.如权利要求1所述的方法,其特征在于,步骤2)中,所述利用诱饵文件检测勒索病毒行为的处理方式主要包括以下两种:审计模式和实时检测模式;其中审计模式监测并记录勒索病毒的行为,但并不阻断其操作,一般是在实验环境中进行;实时检测模式在实际系统中进行应用,采用检测并阻断的模式,第一时间检测到勒索病毒就及时清理勒索病毒的进程,使其对系统造成最小的伤害;所述的诱饵文件部署位置,一般参考以下几类位置:一种是自己确认的敏感文件的保存位置,比如自己的代码文件和文档等等;第二种是我的文档、下载、图片、音乐、视频、桌面等常用文件夹;第三种是系统...
【专利技术属性】
技术研发人员:邓高见,杨建,马多耀,李晓明,李宜花,
申请(专利权)人:中科天御苏州科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。