复合型勒索病毒的防御方法、装置、设备及存储介质制造方法及图纸

本发明专利技术涉及病毒检测技术领域，特别涉及一种复合型勒索病毒的防御方法、装置、设备及存储介质。方法包括：在目标主机的关键位置生成常用后缀的静态诱饵文件；针对每一个执行进程均执行：利用内核驱动对当前执行进程进行监控，对释放的每一个临时文件进行双引擎病毒查杀；对当前执行进程进行黑白名单证书库匹配和程序信任域判断后，利用内核驱动对目标主机的引导扇区、卷影和注册表关键信息进行监控；当前执行进程修改文件的数量达到设定量值时，增大当前执行进程的危险度；实时判断当前执行进程的危险度是否超过阈值，超过阈值时计算当前执行进程的父进程链中每一个进程的危险度，将超过阈值的进程拦截，以提高对复合型勒索病毒的检测准确率。的检测准确率。的检测准确率。

【技术实现步骤摘要】
复合型勒索病毒的防御方法、装置、设备及存储介质


[0001]本专利技术实施例涉及病毒检测
，特别涉及一种复合型勒索病毒的防御方法、装置、设备及存储介质。

技术介绍

[0002]勒索软件是一种恶意程序，黑客利用各种加密算法加密用户数据、更改系统配置等，使用户资产或资源无法正常使用，并以此为条件要求用户支付费用以获得解密密码或恢复系统正常运行。
[0003]随着勒索病毒的不断更新变异，勒索病毒攻击手段也更加丰富，越来越多的事件表明，勒索攻击正在由被动式攻击转为主动式攻击，病毒行为也不再是对文件直接的遍历和加密这种简单的行为，而是逐渐成为复合病毒，具有多种类型病毒属性，如自我复制、自主传播、链式执行等。
[0004]而传统勒索病毒防御方法的检测防御手段比较单一，随着复合型勒索病毒的产生，传统勒索病毒的防御方法的检测准确率已经达不到要求了。
[0005]因此，亟需一种复合型勒索病毒的防御方法。

技术实现思路

[0006]为了解决传统勒索病毒防御方法对复合型勒索病毒的检测准确率较低的问题，本专利技术实施例提供了一种复合型勒索病毒的防御方法、装置、设备及存储介质。
[0007]第一方面，本专利技术实施例提供了一种复合型勒索病毒的防御方法，方法包括：对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；针对每一个执行进程，均执行：利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过所述阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。
[0008]第二方面，本专利技术实施例还提供了一种复合型勒索病毒的防御装置，装置包括：诱饵单元，用于对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；
查杀单元，用于针对每一个执行进程，均执行：利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；监控单元，用于对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；检测单元，用于当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；分析单元，用于实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过所述阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。
[0009]第三方面，本专利技术实施例还提供了一种计算设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的方法。
[0010]第四方面，本专利技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的方法。
[0011]本专利技术实施例提供了一种复合型勒索病毒的防御方法、装置、设备及存储介质，首先，根据目标主机的常用后缀，在关键位置释放第一诱饵文件诱捕勒索病毒进入陷阱内；新的临时文件在系统内落地时，使用双引擎进行病毒查杀，以防病毒的自我复制；并且，通过黑白名单证书和程序信任域判断每一个执行进程是信任进程还是非信任进程，可以减少病毒误报率；同时，增加了引导扇区监控、卷影监控和注册表关键信息监控，以多方位监控执行进程；还可以监控对文件写入的情况。另外，本方案不是对单一进程进行监控，而是对进程父子链中所有进程进行监控，防止进程利用多个子进程进行分工对系统造成破坏。可见，本方案可以对恶意程序进行全程的、多方位的、进程链式的监控，大大提高了对复合型勒索病毒的防御效果。
附图说明
[0012]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0013]图1是本专利技术一实施例提供的一种复合型勒索病毒的防御方法的流程图；图2是本专利技术一实施例提供的一种计算设备的硬件架构图；图3是本专利技术一实施例提供的一种复合型勒索病毒的防御装置结构图。
具体实施方式
[0014]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是
本专利技术一部分实施例，而不是全部的实施例，基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0015]下面描述以上构思的具体实现方式。
[0016]请参考图1，本专利技术实施例提供了一种复合型勒索病毒的防御方法，该方法包括：步骤100，对目标主机进行文件后缀遍历，确定目标主机的常用后缀，以在目标主机的关键位置生成若干个常用后缀的第一诱饵文件；步骤102，针对每一个执行进程，均执行：利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个临时文件进行双引擎病毒查杀；步骤104，对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；步骤106，当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；步骤108，实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。
[0017]本专利技术实施例中，首先，根据目标主机的常用后缀，在关键位置释放第一诱饵文件诱捕勒索病毒进入陷阱内；新的临时文件在系统内落地时，使用双引擎进行病毒查杀，以防病毒的自我复制；并且，通过黑白名单证书和程序信任域判断每一个执行进程是信本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种复合型勒索病毒的防御方法，其特征在于，包括：对目标主机进行文件后缀遍历，确定所述目标主机的常用后缀，以在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件；针对每一个执行进程，均执行：利用内核驱动对当前执行进程进行监控，将当前执行进程释放的临时文件的信息存储于目标链表中，以对每一个所述临时文件进行双引擎病毒查杀；对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，以利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度；当当前执行进程修改文件的数量达到设定量值时，基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行进程的危险度；实时判断当前执行进程的危险度是否超过阈值，当超过阈值时，计算当前执行进程的父进程链中每一个进程的危险度，以将超过所述阈值的进程拦截，并将被拦截的进程对应的文件和其释放的临时文件放入隔离区。2.根据权利要求1所述的方法，其特征在于，所述对当前执行进程进行黑白名单证书库匹配和程序信任域判断，确定当前执行进程是信任进程还是非信任进程，包括：获取当前执行进程的证书；若获取到证书，则判断所述证书是否在微软的黑白名单证书库中，当在黑名单证书库时，直接拦截当前执行进程；当在白名单证书库时，确定当前执行进程是信任进程；若未获取到证书或所述证书不在所述黑白名单证书库中时，判断当前执行进程是否位于预先添加的程序信任域中，当不在程序信任域时，确定当前执行进程是非信任进程，当在程序信任域时，确定当前执行进程是信任进程。3.根据权利要求1所述的方法，其特征在于，所述利用内核驱动对所述目标主机的引导扇区、卷影和注册表关键信息进行监控，以根据监控结果，实时计算当前执行进程的危险度，包括：利用内核驱动分别对所述目标主机的引导扇区、卷影和注册表关键信息进行监控；针对当前执行进程每一次对所述目标主机的引导扇区、卷影或注册表关键信息进行信息删除或修改，均执行：向用户发出询问通知；若该次用户选择阻止，则直接拦截当前执行进程；若该次用户选择允许，则基于当前执行进程是信任进程还是非信任进程、当前执行进程所针对的信息类型，增加当前执行进程的危险度影响因子的数值，以增加当前执行进程的危险度；其中，所述危险度影响因子至少包括潜在危险值、可能性和后果值。4.根据权利要求1所述的方法，其特征在于，在所述目标主机的关键位置生成若干个常用后缀的第一诱饵文件之后，还包括：当当前执行进程扫描所述目标主机中除所述关键位置之外的目录时，在所扫描的目录动态生成若干个常用后缀的第二诱饵文件。5.根据权利要求4所述的方法，其特征在于，所述基于被修改文件中所述第一诱饵文件的数量以及修改内容，增大当前执行...

【专利技术属性】
技术研发人员：王吉勇，汪义舟，范雷，姜海昆，范宇，
申请(专利权)人：长扬科技北京股份有限公司，
类型：发明
国别省市：