一种基于诱饵文件监控的勒索病毒行为检测方法及系统技术方案

本发明专利技术公开了一种基于诱饵文件监控的勒索病毒行为检测方法及系统，系统包括：诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块，1）按照一定的规则构造一定数量的诱饵文件；2）将诱饵文件部署到系统指定位置上；3）监控所部署的诱饵文件的变化，以便准确及时检测出勒索病毒；4）在此过程中完整记录日志，总结出勒索病毒的行为；5）根据总结出的行为完善诱饵文件构造、部署和检测的规则。本发明专利技术提出一种有效地检测勒索病毒行为的方法及系统，利用监控自行构造的诱饵文件，可以在最小化系统修改的基础上达成最好的效果。成最好的效果。成最好的效果。

【技术实现步骤摘要】
一种基于诱饵文件监控的勒索病毒行为检测方法及系统


[0001]本专利技术涉及信息安全技术隐私保护和数据安全领域，具体涉及一种基于诱饵文件监控的勒索病毒行为检测方法及系统。

技术介绍

[0002]随着计算机网络的不断发展和数据价值的不断提高，出现了许多用于窃取或者损坏数据的攻击方式，甚至以此来勒索受害者。勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。
[0003]目前针对勒索病毒的检测主要有两种方式：一种是静态检测，通过分析不同勒索病毒的特征总结勒索病毒和正常软件的操作序列区别进行检测，一旦勒索病毒加壳就无法处理；另外一种是动态检测，对操作系统中的文件读写操作、加密和网络通信进行监控，但是这种监控必须捕捉足够多的信息才能判定这是否是勒索病毒，此时可能已经造成了许多重要文件的损失，不能够及时地阻断勒索病毒。
[0004]诱饵文件是一种人为构造的文件，模拟系统中已经存在的文件，通过部署不同类型的诱饵文件到系统关键目录下面，可以第一时间检测出勒索病毒，本专利技术在勒索病毒检测的及时性和准确性方面有诸多创新，可以有效地应对此种类型的攻击。

技术实现思路

[0005]本专利技术公开了一种基于诱饵文件监控的勒索病毒行为检测方法及系统，系统包括：诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块，1）按照一定的规则构造一定数量的诱饵文件；2）将诱饵文件部署到系统指定位置上；3）监控所部署的诱饵文件的变化，以便准确及时检测出勒索病毒；4）在此过程中完整记录日志，总结出勒索病毒的行为；5）根据总结出的行为完善诱饵文件构造、部署和检测的规则。本专利技术提出一种有效地检测勒索病毒行为的方法及系统，利用监控自行构造的诱饵文件，可以在最小化系统修改的基础上达成最好的效果。
[0006]本专利技术的技术方案如下：一种基于文件诱饵监控的勒索病毒行为检测方法，其步骤为：步骤1）管理员制定构造不同类型诱饵文件的基本规则，并按照规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件；步骤2）设置利用诱饵文件检测勒索病毒行为的处理方式，并将生成的诱饵文件部署到系统指定位置上；步骤3）监控所部署的诱饵文件的变化，排除用户误操作的可能，可以准确及时检测出勒索病毒；
步骤4）记录监控到的勒索病毒访问系统API的操作到日志中，可以用于评估该勒索病毒的行为，并完善诱饵文件构造、部署和检测的规则。
[0007]更进一步，所述诱饵文件，指的是安置在系统中的模拟真实存在文件的文件；所述构造不同类型诱饵文件的基本规则指的是如何从零打造诱饵文件的基本规则，在本系统中主要包括：诱饵文件的文件名应该尽量保证勒索病毒在遍历文件夹时第一个就会遍历到诱饵文件，按照系统API惯例一般是文件名按照Unicode排序的最前面和最后面，每个文件夹部署两个诱饵文件也减少了对原有系统的更改和影响；诱饵文件的类型应该与当前文件夹中多数文件的类型相同，或者构造为常见的类型，比如word文档或源代码文件；诱饵文件应该填充对应文件类型的内容，一般包括该类型文件的文件头和符合该类型文件的文件内容；按照一般文件的创建和使用惯例，生成的诱饵文件的创建时间、访问时间、最后修改时间等信息也应该符合逻辑。
[0008]更进一步，所述利用诱饵文件检测勒索病毒行为的处理方式主要包括以下两种：审计模式和实时检测模式；其中审计模式监测并记录勒索病毒的行为，但并不阻断其操作，一般是在实验环境中进行；实时检测模式在实际系统中进行应用，采用检测并阻断的模式，第一时间检测到勒索病毒就及时清理勒索病毒的进程，使其对系统造成最小的伤害；所述的诱饵文件部署位置，一般参考以下几类位置：一种是自己确认的敏感文件的保存位置，比如自己的代码文件和文档等等；第二种是我的文档、下载、图片、音乐、视频、桌面等常用文件夹；第三种是系统和各类应用最近访问的文件所在的位置，这些位置一般是可变的，因此此类诱饵文件对应的部署位置也是动态变化的。
[0009]更进一步，所述的监控所部署的诱饵文件的变化，由于勒索病毒的目的就是加密系统中的文件或者加密后删除系统中的文件，因此这里我们只监控针对所部署的诱饵文件进行的写入事件和删除事件。
[0010]更进一步，所述记录监控到的勒索病毒访问系统API的操作到日志中，指的是记录日志粒度应该至少达到系统API的调用细节，这样就能够对勒索病毒的行为进行一个详细的了解。
[0011]更进一步，所述完善诱饵文件构造、部署和检测的规则指的是利用权利要求7中所述的方法总结出勒索病毒的特征，将之前规则没有覆盖到的特征进行完善的过程。
[0012]本专利技术还公开了一种基于文件诱饵监控的勒索病毒行为检测系统，其特征在于，基于诱饵文件的生成、部署和监控进行勒索病毒行为检测的系统；其中，核心模块包括：诱饵文件构造模块、诱饵文件生成模块、诱饵文件部署模块、诱饵文件监控模块、勒索病毒实时检测模块、日志记录模块和勒索病毒分析模块；其中，所述诱饵文件构造模块，用于制定构造诱饵文件的基本规则，后续诱饵文件生成都是依据这些基本规则；所述诱饵文件生成模块，用于按照事先制定的诱饵文件构造规则和勒索软件分析模块分析出的新规则生成相应的诱饵文件；所述诱饵文件部署模块，用于将诱饵文件生成模块生成的诱饵文件部署到系统中制定的位置中；所述诱饵文件监控模块，用于监控针对诱饵文件部署模块部署的诱饵文件的写入事件和删除事件；
所述勒索病毒实时检测模块，用于根据诱饵文件监控模块的给出信息检测勒索病毒，并结束勒索病毒进程；所述日志记录模块，用于在审计模式下面记录勒索病毒访问各个文件的顺序和访问系统API的详细日志；所述勒索病毒分析模块，用于根据日志记录模块记录的日志信息，完善诱饵文件构造模块的规则、诱饵文件部署模块的部署位置和诱饵文件监控模块的监控方法。
[0013]本专利技术有益性效果在于：（1）提出基于诱饵文件检测勒索病毒的方法，可以第一时间的检测出勒索病毒，使其无法对系统造成真正的威胁；（2）提出使用少数量诱饵文件同时覆盖关键位置的部署模式，使得对系统的开销最小，同时又能覆盖所有的关键位置，最大化的检测勒索病毒，同时部署方式简单快捷，对用户使用几乎没有影响；（3）提出两种运行模式，既可以研究已知勒索病毒的攻击行为，又可以部署到真实的系统上面进行勒索病毒防护，而且前者研究的行为规则可以为后者所用。
附图说明
[0014]附图1是本专利技术一种基于诱饵文件监控的勒索病毒行为检测方法及系统的示意。
[0015]附图2是本专利技术一种基于诱饵文件监控的勒索病毒行为检测方法及系统的流程图。
实施方式
[0016]为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于文件诱饵监控的勒索病毒行为检测方法，其步骤为：步骤1）管理员制定构造不同类型诱饵文件的基本规则，并按照规则生成不同类型、大小、创建时间、修改时间等若干诱饵文件；步骤2）设置利用诱饵文件检测勒索病毒行为的处理方式，并将生成的诱饵文件部署到系统指定位置上；步骤3）监控所部署的诱饵文件的变化，排除用户误操作的可能，可以准确及时检测出勒索病毒；步骤4）记录监控到的勒索病毒访问系统API的操作到日志中，可以用于评估该勒索病毒的行为，并完善诱饵文件构造、部署和检测的规则。2.如权利要求1所述的方法，其特征在于，步骤1）中，所述诱饵文件，指的是安置在系统中的模拟真实存在文件的文件；所述构造不同类型诱饵文件的基本规则指的是如何从零打造诱饵文件的基本规则，在本系统中主要包括：诱饵文件的文件名应该尽量保证勒索病毒在遍历文件夹时第一个就会遍历到诱饵文件，按照系统API惯例一般是文件名按照Unicode排序的最前面和最后面，每个文件夹部署两个诱饵文件也减少了对原有系统的更改和影响；诱饵文件的类型应该与当前文件夹中多数文件的类型相同，或者构造为常见的类型，比如word文档或源代码文件；诱饵文件应该填充对应文件类型的内容，一般包括该类型文件的文件头和符合该类型文件的文件内容；按照一般文件的创建和使用惯例，生成的诱饵文件的创建时间、访问时间、最后修改时间等信息也应该符合逻辑。3.如权利要求1所述的方法，其特征在于，步骤2）中，所述利用诱饵文件检测勒索病毒行为的处理方式主要包括以下两种：审计模式和实时检测模式；其中审计模式监测并记录勒索病毒的行为，但并不阻断其操作，一般是在实验环境中进行；实时检测模式在实际系统中进行应用，采用检测并阻断的模式，第一时间检测到勒索病毒就及时清理勒索病毒的进程，使其对系统造成最小的伤害；所述的诱饵文件部署位置，一般参考以下几类位置：一种是自己确认的敏感文件的保存位置，比如自己的代码文件和文档等等；第二种是我的文档、下载、图片、音乐、视频、桌面等常用文件夹；第三种是系统...

【专利技术属性】
技术研发人员：邓高见，杨建，马多耀，李晓明，李宜花，
申请(专利权)人：中科天御苏州科技有限公司，
类型：发明
国别省市：