【技术实现步骤摘要】
本专利技术涉及勒索病毒协同防护系统,尤其涉及一种基于云计算平台的勒索病毒协同防护系统。
技术介绍
1、勒索病毒是一种恶意软件,具有传播性和破坏性,攻击者通常利用主机的安全配置缺陷和漏洞,进行入侵并植入勒索病毒,勒索病毒利用多种密码算法加密用户数据,然后恐吓、胁迫、勒索用户高额赎金,通常以垃圾邮件、服务器入侵、网页挂马、捆绑软件等多种形式进行传播,一旦遭受勒索病毒攻击,将会使绝大多数的关键文件被加密,被加密的关键文件几乎无法通过技术手段解密,仅能通过向攻击者缴纳高昂的赎金,换取对应的解密私钥才能将被加密的文件还原目前,针对勒索病毒的防护措施主要有以下几种:
2、1、安装防病毒软件:通过安装防病毒软件,可以对已知的勒索病毒进行识别和清除。
3、2、使用诱饵文件对勒索行为进行动态检测:通过在主机关键位置上放置诱饵文件,实时监控诱饵文件的改动(诱饵文件通常为无效文件,用户正常情况下不会访问这些文件),一旦诱饵文件发生改动,则判断为勒索行为。
4、3、定期备份数据:通过定期备份数据,可以在发生勒索事件后恢复数据,减少损失。
5、然而,这些方法都存在一定的局限性和缺陷:
6、1、防病毒软件:无法识别和拦截未知或变种的勒索病毒,容易被绕过。
7、2、诱饵文件:只有当勒索病毒访问到诱饵文件之后才能识别到勒索行为,当检测到勒索行为时可能已经有部分文件已经被加密,无法及时阻止损失,并且用户可能误操作访问到诱饵文件,存在一定概率的误报,影响用户体验。
8、3、定期数据
技术实现思路
1、本部分的目的在于概述本专利技术的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和专利技术名称中可能会做些简化或省略以避免使本部分说明书摘要和专利技术名称的目的模糊,而这种简化或省略不能用于限制本专利技术的范围。
2、鉴于上述现有一种基于云计算平台的勒索病毒协同防护系统存在的问题,提出了本专利技术。
3、因此,本专利技术目的是提供一种基于云计算平台的勒索病毒协同防护系统,其适用于解决防病毒软件:无法识别和拦截未知或变种的勒索病毒,容易被绕过,诱饵文件:只有当勒索病毒访问到诱饵文件之后才能识别到勒索行为,当检测到勒索行为时可能已经有部分文件已经被加密,无法及时阻止损失,并且用户可能误操作访问到诱饵文件,存在一定概率的误报,影响用户体验,定期数据备份:仅为兜底手段,减小损失,无法将文件恢复到最新状态,不能实时响应勒索事件,同时该方法需要占用大量的存储空间和网络带宽的问题。
4、为解决上述技术问题,本专利技术提供如下技术方案:一种基于云计算平台的勒索病毒协同防护系统,包括:云备份模块、诱饵捕获模块、安全中心模块和协同防护模块,
5、所述云备份模块为云厂商提供的云备份产品,所述云备份模块包括云主机备份、云硬盘备份、文件备份和数据库备份,所述云备份模块可自定义选择备份方式、备份频率和备份范围,所述云备份模块可在其他防护手段失效并发生勒索事件后,快速恢复数据,保证数据的安全性和完整性,进而为用户提供最后一道保障;
6、所述诱饵捕获模块负责在主机上部署一些诱饵文件来对勒索行为进行动态检测,当检测到勒索行为后生成告警信息并上报给安全中心;
7、所述安全中心模块负责收集并转发各主机上报的勒索信息,并对勒索信息进行分析和确认,并下达防护指令;
8、所述协同防护模块负责处理安全中心下发的勒索信息和防护指令。
9、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述云备份模块可以利用云厂商提供的强大的存储空间和计算能力,实现数据的高速传输和加密存储,保证数据的完整性和安全性;云备份模块可以根据用户的需求,灵活地设置备份策略和还原策略,实现数据的定期备份,以及数据的全量或增量备份,满足不同场景和应用的需求。
10、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述云备份模块可以利用云厂商提供的多地域或多可用区的特性,实现数据的跨地域或跨可用区的备份和还原,提高数据的可靠性和可用性,所述诱饵捕获模块根据主机上已有的文件类型和内容以及常见的文件类型,自动随机地生成逼真的诱饵文件或从预设库中选择合适类型的诱饵文件,进而根据用户配置生成诱饵文件。
11、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述用户配置内包含文件类型、文件名、文件内容,所述协同防护模块接收到安全中心下发的可疑程序特征值时后,会立即对当前运行程序的可执行文件进行扫描和并持续监控后续新增的文件。
12、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述勒索软件通常采用unicode编码顺序以正序或逆序的方式遍历文件,例如在正序遍历中,文件名unicode编码排序越靠前的文件,在返回结果中也越靠前,为了确保勒索软件最先访问诱饵文件,诱饵文件名在文件夹中的unicode编码排序需要在最前或最后,使其最先被勒索软件遍历到,在诱饵文件名前添加一个字符的前缀作为首字符,当部署诱饵之前首尾两正常文件名的首字符分别为a字符和b字符,则得到排序高于a字符一位的字符a,以及排序低于b字符一位的字符b,然后将a和b作为前缀添加到诱饵文件名中。
13、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述诱饵捕获模块还会定期更新和替换诱饵文件,以提高其可信度和有效性,所述诱饵文件通常存放位置为系统的根目录、每个盘符的根目录、桌面目录、用户主目录,系统的关键目录,用户自定义需要防护的目录,当判定为勒索行为则隔离相关可执行程序并上报给安全中心。
14、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述协同防护模块接收到安全中心下发的执行动作后,会根据动作类型进行处理,当动作类型是放行,就会恢复隔离的文件并将其加入白名单,当动作类型是拦截,就会删除隔离的文件,并加入病毒库。
15、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述诱饵捕获模块通过监控对诱饵文件的访问事件来对勒索行为进行动态判断,当对同一诱饵文件发生读操作和写操作时,判定为勒索行为,当对同一诱饵文件发生读操作和删除操作时,判定为勒索行为。
16、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:所述协同防护模块接收到安全中心下发的可疑程序特征值之后,会立即对当前运行程序的可执行文件进行扫描和并持续监控后续新增的文件,当发现有程序或文件匹配特征值,就会终止运行的程序并将文件隔离起来。
17、作为本专利技术所述一种基于云计算平台的勒索病毒协同防护系统的一种优选方案,其中:本文档来自技高网...
【技术保护点】
1.一种基于云计算平台的勒索病毒协同防护系统,其特征在于,包括:云备份模块、诱饵捕获模块、安全中心模块和协同防护模块,
2.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述云备份模块可以利用云厂商提供的强大的存储空间和计算能力,实现数据的高速传输和加密存储,保证数据的完整性和安全性;云备份模块可以根据用户的需求,灵活地设置备份策略和还原策略,实现数据的定期备份,以及数据的全量或增量备份,满足不同场景和应用的需求。
3.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述云备份模块可以利用云厂商提供的多地域或多可用区的特性,实现数据的跨地域或跨可用区的备份和还原,提高数据的可靠性和可用性,所述诱饵捕获模块根据主机上已有的文件类型和内容以及常见的文件类型,自动随机地生成逼真的诱饵文件或从预设库中选择合适类型的诱饵文件,进而根据用户配置生成诱饵文件。
4.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述用户配置内包含文件类型、文件名、文件内容,所述协同防护模块接收到
5.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述勒索软件通常采用Unicode编码顺序以正序或逆序的方式遍历文件,例如在正序遍历中,文件名Unicode编码排序越靠前的文件,在返回结果中也越靠前,为了确保勒索软件最先访问诱饵文件,诱饵文件名在文件夹中的Unicode编码排序需要在最前或最后,使其最先被勒索软件遍历到,在诱饵文件名前添加一个字符的前缀作为首字符,当部署诱饵之前首尾两正常文件名的首字符分别为A字符和B字符,则得到排序高于A字符一位的字符A,以及排序低于B字符一位的字符B,然后将A和B作为前缀添加到诱饵文件名中。
6.根据权利要求5所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述诱饵捕获模块还会定期更新和替换诱饵文件,以提高其可信度和有效性,所述诱饵文件通常存放位置为系统的根目录、每个盘符的根目录、桌面目录、用户主目录,系统的关键目录,用户自定义需要防护的目录,当判定为勒索行为则隔离相关可执行程序并上报给安全中心。
7.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述协同防护模块接收到安全中心下发的执行动作后,会根据动作类型进行处理,当动作类型是放行,就会恢复隔离的文件并将其加入白名单,当动作类型是拦截,就会删除隔离的文件,并加入病毒库。
8.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述诱饵捕获模块通过监控对诱饵文件的访问事件来对勒索行为进行动态判断,当对同一诱饵文件发生读操作和写操作时,判定为勒索行为,当对同一诱饵文件发生读操作和删除操作时,判定为勒索行为。
9.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述协同防护模块接收到安全中心下发的可疑程序特征值之后,会立即对当前运行程序的可执行文件进行扫描和并持续监控后续新增的文件,当发现有程序或文件匹配特征值,就会终止运行的程序并将文件隔离起来。
10.根据权利要求1-9任一项所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于,该系统具体操作流程如下:
...【技术特征摘要】
1.一种基于云计算平台的勒索病毒协同防护系统,其特征在于,包括:云备份模块、诱饵捕获模块、安全中心模块和协同防护模块,
2.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述云备份模块可以利用云厂商提供的强大的存储空间和计算能力,实现数据的高速传输和加密存储,保证数据的完整性和安全性;云备份模块可以根据用户的需求,灵活地设置备份策略和还原策略,实现数据的定期备份,以及数据的全量或增量备份,满足不同场景和应用的需求。
3.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述云备份模块可以利用云厂商提供的多地域或多可用区的特性,实现数据的跨地域或跨可用区的备份和还原,提高数据的可靠性和可用性,所述诱饵捕获模块根据主机上已有的文件类型和内容以及常见的文件类型,自动随机地生成逼真的诱饵文件或从预设库中选择合适类型的诱饵文件,进而根据用户配置生成诱饵文件。
4.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述用户配置内包含文件类型、文件名、文件内容,所述协同防护模块接收到安全中心下发的可疑程序特征值时后,会立即对当前运行程序的可执行文件进行扫描和并持续监控后续新增的文件。
5.根据权利要求1所述的一种基于云计算平台的勒索病毒协同防护系统,其特征在于:所述勒索软件通常采用unicode编码顺序以正序或逆序的方式遍历文件,例如在正序遍历中,文件名unicode编码排序越靠前的文件,在返回结果中也越靠前,为了确保勒索软件最先访问诱饵文件,诱饵文件名在文件夹中的unicode编码排序需要在最前或最后,使其最先被勒索软件遍历到,在诱饵文件名前添加...
【专利技术属性】
技术研发人员:李良鑫,辛晨,陈川,凌杰,何巧莹,
申请(专利权)人:天翼云科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。