System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 勒索软件的检测方法及检测系统技术方案_技高网

勒索软件的检测方法及检测系统技术方案

技术编号:43139110 阅读:2 留言:0更新日期:2024-10-29 17:43
一种勒索软件的检测方法,应用于至少具有由多个语义提取器组成的语义提取模块的检测系统,并且检测方法包括:接收具有第一ID的第一文件;将第一文件汇入语义提取模块,并由语义提取模块输出第一文件的第一语义特征;接收具有第二ID的第二文件;将第二文件汇入语义提取模块,并由语义提取模块输出第二文件的第二语义特征;于判断第一ID与第二ID相符时,计算第一语义特征与第二语义特征的距离;及,于距离超过门槛值时进行告警。

【技术实现步骤摘要】

本专利技术涉及检测方法及检测系统,尤其涉及一种勒索软件的检测方法及检测系统


技术介绍

1、近年来,勒索软件(ransomware)的威胁在各行各业中都在迅速增加,尽管目前市面上已存在许多应对的网络安全工具和服务,但勒索软件的威胁并没有减缓的迹象。其中,中小型企业(sme)由于其扁平的网络结构以及简单的访问控制策略,特别容易成为网络犯罪分子使用勒索软件的主要攻击目标。

2、一般来说,中小企业缺乏资源来实施大型企业使用的复杂且昂贵的网络安全解决方案。并且渴求简单且又能够负担的措施来保护其系统。基于此考量,中小企业常将备份作为最终的解决方案。与其他较为复杂且昂贵的安全措施组合(包括新进防火墙(advancedfirewalls)、下世代防毒软件(next-generation antivirus)、入侵检测系统(intrusiondetection system)和应用程序白名单(application whitelisting)等)相比,备份解决方案相对简单且便宜,属于直接且具高经济效益的资料保护手段。

3、然而,传统的备份解决方案在进行文件备份时,无法确定文件是否已被恶意软件破坏。具体地,传统的备份解决方案无法区分未损坏文件(not-corrupted files,又称为干净文件(clean files))与损坏文件(corrupted files,又称为不干净文件(uncleanfiles)),因此会无意识地备份到损坏文件,进而使得备份快照(backup snapshots)中混杂了干净文件以及损坏文件。当备份快照的数量具有上限时,所述传统的备份解决方案通常会直接删除最旧版本(但可能是干净的)的文件以接收新版本的文件(但可能是不干净的),这样的动作最终将可能导致需要还原文件时却无有效的备份快照可供使用。

4、即便备份解决方案能保留无限数量的备份快照,当被攻击而须进行还原文件时,文件所有者必须以人工方式先从众多备份文件中区别出干净文件和不干净文件,光这一步就会使复原程序(restoration process)成为一个艰巨且耗时的痛苦过程。

5、是以,传统的备份解决方案若没有辅以有效的勒索软件检测方法,将无法有效抵御勒索软件的攻击。


技术实现思路

1、本专利技术的主要目的,在于提供一种勒索软件的检测方法及检测系统,主要可基于文件中的至少一个语义特征是否有被大幅变动来判断文件是否遭受勒索软件的攻击。

2、所述语义特征可以被用来分辨一个文件与其他文件的文件内容的差异。于下列说明中,多个实施例被举出来说明可以被作为所述语义特征来使用的特征。这些实施例仅用于范围说明目的被揭露,但不对本专利技术进行任何限制。

3、为了达成上述目的,本专利技术的勒索软件的检测方法主要包括下列步骤:

4、a)接收具有一第一id的一第一文件;

5、b)将所述第一文件汇入由多个语义提取器组成的一语义提取模块,并由所述语义提取模块输出所述第一文件的一第一语义特征;

6、c)接收具有一第二id的一第二文件;

7、d)将所述第二文件汇入所述语义提取模块,并由所述语义提取模块输出所述第二文件的一第二语义特征;

8、e)判断所述第一id与所述第二id是否相符;

9、f)于所述第一id与所述第二id相符时认定所述第一文件与所述第二文件为相同文件的不同版本,并计算所述第一语义特征与所述第二语义特征的一距离;及

10、g)于所述距离超过一门槛值时进行告警。

11、为了达成上述目的,本专利技术的勒索软件的检测系统包括:

12、一文件汇入模块,被配置来接收具有一第一id的一第一文件以及具有一第二id的一第二文件;

13、一语义提取模块,连接所述文件汇入模块,由多个语义提取器组成,并且被配置来提取所述第一文件的一第一语义特征以及提取所述第二文件的一第二语义特征;

14、一比较模块,连接所述语义提取模块,被配置来判断所述第一id与所述第二id是否相符,并且于所述第一id与所述第二id相符时认定所述第一文件与所述第二文件为相同文件的不同版本,并计算所述第一语义特征与所述第二语义特征的一距离;及

15、一告警模块,连接所述比较模块,被配置来于所述比较模块判断所述距离超过一门槛值时进行告警。

16、本专利技术先对文件的前后版本进行语义特征的检测,判断文件为干净文件(未损坏文件)或已遭受恶意软件(如勒索软件)攻击而成为不干净文件(损坏文件),由此查觉勒索软件是否已入侵。相对于相关技术,本专利技术可以使备份解决方案能标注每一个备份文件的性质(或称状态)为干净或不干净,由此,可以确保备份解决方案永远都会保留有至少一个可以被用来执行所需的复原程序的干净版本的备份文件,由此有效抵御勒索软件的攻击。

本文档来自技高网...

【技术保护点】

1.一种勒索软件的检测方法,包括:

2.根据权利要求1所述的勒索软件的检测方法,其中所述第一ID与所述第二ID为所述第一文件与所述第二文件的档名或元数据,所述步骤e)包括下列一种或多种组合:于所述第一文件与所述第二文件的档名相同时判断所述第一ID与所述第二ID相符、于所述第一文件与所述第二文件的档名的汉明距离(hamming distance)相近时判断所述第一ID与所述第二ID相符、于所述第一文件与所述第二文件的元数据相近时判断所述第一ID与所述第二ID相符,及于所述第一文件与所述第二文件放置在相同目录下并且所述第一文件与所述第二文件具有相似的档名时判断所述第一ID与所述第二ID相符。

3.根据权利要求1所述的勒索软件的检测方法,其中所述步骤f)包含通过距离函数计算所述第一语义特征与所述第二语义特征的所述距离。

4.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同的深度神经网络,所述步骤b)及所述步骤d)通过所述多个深度神经网络从所述第一文件及所述第二文件中进行特征获取并分别输出向量形式的多个特征,以分别作为所述第一语义特征及所述第二语义特征。

5.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同的语言分析工具,所述步骤b)及所述步骤d)通过所述多个语言分析工具将所述第一文件及所述第二文件的内容转换为文字摘要以作为所述第一语义特征及所述第二语义特征。

6.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同类型的文件解析器,并且所述步骤b)包括:

7.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括用以提取文件内文字的多个不同类型的文件解析器,并且所述步骤b)包括:

8.根据权利要求7所述的勒索软件的检测方法,其中所述步骤b3)及所述步骤d3)是基于杂凑函数、密码杂凑函数、查找表、线性反馈移位暂存器及各所述独特文字的各个字元的美国标准信息交换码的模数和(modulo sum of ASCII codes)的其中之一或组合来将各所述独特文字分别转换为对应的映射数值。

9.根据权利要求1所述的勒索软件的检测方法,还包括:

10.一种勒索软件的检测系统,包括:

11.根据权利要求10所述的勒索软件的检测系统,其中所述第一ID与所述第二ID为所述第一文件与所述第二文件的档名或元数据,所述比较模块被配置来于下列任一条件或多条件组合发生时判断所述第一ID与所述第二ID相符:于所述第一文件与所述第二文件的档名相同时、于所述第一文件与所述第二文件的档名的汉明距离相近时、于所述第一文件与所述第二文件的元数据相近时,以及于所述第一文件与所述第二文件放置在相同目录下并且所述第一文件与所述第二文件的档名相近时。

12.根据权利要求10所述的勒索软件的检测系统,其中所述比较模块被配置来通过距离函数计算所述第一语义特征与所述第二语义特征的所述距离。

13.根据权利要求10所述的勒索软件的检测系统,其中所述多个语义提取器包括多个深度神经网络,所述语义提取模块被配置来通过所述多个深度神经网络从所述第一文件及所述第二文件中进行特征获取并分别输出向量形式的多个特征,以分别作为所述第一语义特征及所述第二语义特征。

14.根据权利要求10所述的勒索软件的检测系统,其中所述多个语义提取器包括多个不同的语言分析工具,所述语义提取模块被配置来通过所述多个语言分析工具将所述第一文件及所述第二文件的内容转换为文字摘要以作为所述第一语义特征及所述第二语义特征。

15.根据权利要求10所述的勒索软件的检测系统,其中所述多个语义提取器包括多个不同类型的文件解析器,并且所述语义提取模块被配置来执行下列动作以提取所述第一语义特征及所述第二语义特征:

16.根据权利要求10所述的勒索软件的检测系统,其中所述多个语义提取器包括用以提取文件内文字的多个文件解析器,并且所述语义提取模块被配置来执行下列动作以提取所述第一语义特征及所述第二语义特征:

17.根据权利要求16所述的勒索软件的检测系统,其中所述语义提取模块被配置来基于杂凑函数、密码杂凑函数、查找表、线性反馈移位暂存器及各所述独特文字的各个字元的美国标准信息交换码的模数和的其中之一或组合来将各所述独特文字分别转换为对应的映射数值。

18.根据权利要求10所述的勒索软件的检测系统,还包括运算装置,连接所述检测系统,被配置来执行下列动作:

...

【技术特征摘要】

1.一种勒索软件的检测方法,包括:

2.根据权利要求1所述的勒索软件的检测方法,其中所述第一id与所述第二id为所述第一文件与所述第二文件的档名或元数据,所述步骤e)包括下列一种或多种组合:于所述第一文件与所述第二文件的档名相同时判断所述第一id与所述第二id相符、于所述第一文件与所述第二文件的档名的汉明距离(hamming distance)相近时判断所述第一id与所述第二id相符、于所述第一文件与所述第二文件的元数据相近时判断所述第一id与所述第二id相符,及于所述第一文件与所述第二文件放置在相同目录下并且所述第一文件与所述第二文件具有相似的档名时判断所述第一id与所述第二id相符。

3.根据权利要求1所述的勒索软件的检测方法,其中所述步骤f)包含通过距离函数计算所述第一语义特征与所述第二语义特征的所述距离。

4.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同的深度神经网络,所述步骤b)及所述步骤d)通过所述多个深度神经网络从所述第一文件及所述第二文件中进行特征获取并分别输出向量形式的多个特征,以分别作为所述第一语义特征及所述第二语义特征。

5.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同的语言分析工具,所述步骤b)及所述步骤d)通过所述多个语言分析工具将所述第一文件及所述第二文件的内容转换为文字摘要以作为所述第一语义特征及所述第二语义特征。

6.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括多个不同类型的文件解析器,并且所述步骤b)包括:

7.根据权利要求1所述的勒索软件的检测方法,其中所述多个语义提取器包括用以提取文件内文字的多个不同类型的文件解析器,并且所述步骤b)包括:

8.根据权利要求7所述的勒索软件的检测方法,其中所述步骤b3)及所述步骤d3)是基于杂凑函数、密码杂凑函数、查找表、线性反馈移位暂存器及各所述独特文字的各个字元的美国标准信息交换码的模数和(modulo sum of ascii codes)的其中之一或组合来将各所述独特文字分别转换为对应的映射数值。

9.根据权利要求1所述的勒索软件的检测方法,还包括:

...

【专利技术属性】
技术研发人员:锺胜民
申请(专利权)人:台达电子工业股份有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1