技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及一種勒索軟件檢測的方法。

背景技術(shù)

勒索軟件是黑客用來劫持用戶設(shè)備或資源，并以此為條件向用戶勒索錢財?shù)囊环N惡意軟件。勒索軟件通常會將用戶系統(tǒng)中多種類型的文件進行加密或篡改系統(tǒng)配置，干擾用戶正常使用，用戶只有支付贖金后方可獲得解密文件的密碼或者獲得恢復(fù)系統(tǒng)正常使用的方法。2016年，360公司共截獲電腦端新增勒索軟件樣本16.7萬個，全國至少有497多萬臺用戶電腦遭到了勒索軟件攻擊。

勒索軟件是惡意代碼的一種，目前惡意代碼檢測方法主要分為靜態(tài)檢測和動態(tài)檢測兩類。靜態(tài)分析通過逆向工程抽取程序特征，分析函數(shù)調(diào)用、程序指令等序列。但是惡意代碼會使用代碼混淆、花指令等手段對抗靜態(tài)分析。動態(tài)檢測是通過攔截或監(jiān)控的方式分析程序運行時的行為特征，使用沙箱或虛擬機模擬運行程序，繞過代碼混淆等代碼保護機制，檢測惡意代碼的動態(tài)行為。

動態(tài)檢測中，葛雨瑋等人，從代碼執(zhí)行程序的控制流和數(shù)據(jù)流中抽取動態(tài)特征，然后將惡意代碼特征分為特征代碼、API函數(shù)特征、數(shù)據(jù)特征和行為特征，其中API函數(shù)特征按調(diào)用順序連接形成API序列字符串，同時計數(shù)提取API函數(shù)調(diào)用的不同參數(shù)，結(jié)合BP神經(jīng)網(wǎng)絡(luò)算法，檢測惡意代碼的同源性。在研究API函數(shù)的調(diào)用與惡意代碼的關(guān)系上，韓蘭勝等人從9個動態(tài)鏈接庫中選取126個API構(gòu)造記錄調(diào)用的子集。結(jié)合熵與機器學(xué)習(xí)算法訓(xùn)練檢測模型，他們共檢測了920個惡意軟件樣本以及450個正常軟件樣本。

主流的惡意代碼檢測方法包括基于n-grams算法計算API調(diào)用的相似度進行惡意代碼的檢測。Kyeom Cho等人有不同的嘗試，他們結(jié)合信息生物學(xué)的序列比對法，首先將惡意軟件的API調(diào)用行為構(gòu)造為一組基因序列，再通過比對待測軟件的API調(diào)用序列與已知惡意軟件的調(diào)用序列進行檢測。同樣的問題，惡意樣本對API的調(diào)用存在大量的冗余操作。所以隨著監(jiān)測的樣本動態(tài)行為越多，檢測的結(jié)果受到的干擾越嚴(yán)重。勒索軟件有著自己特有的行為，所以基于行為的頻繁度檢測勒索軟件是一種很好的檢測方法。國外的研究者使用API名稱、API調(diào)用的參數(shù)并選取了24種API計算惡意代碼API調(diào)用的頻繁度，構(gòu)造特征進行惡意軟件的檢測。但由于API庫的龐大，基于24種API調(diào)用的頻繁度無法全面的描述惡意代碼的行為。Korkmaz等人則在基于調(diào)用的頻繁度上做了拓展，他們將API調(diào)用分為不同的調(diào)用類，基于API調(diào)用類別的頻繁度來描述惡意代碼的行為，對勒索軟件的準(zhǔn)確率為88％。

已有專利中，從防止勒索軟件感染電腦的角度上，倪茂志提出一種勒索軟件的防范方法和系統(tǒng)，構(gòu)建至少一個符合勒索軟件加密類型的誘餌文件，并插入到欲保護磁盤原有的文件序列中，再判斷誘餌文件是否發(fā)生變化；在誘餌文件發(fā)生變化的情況下，禁止對欲保護磁盤進行預(yù)設(shè)操作。缺點是如果勒索軟件檢測到有誘餌軟件，則不表現(xiàn)勒索行為，導(dǎo)致無法識別是否為勒索軟件。此外倪茂志提出另外一種勒索軟件的防范方法，構(gòu)建備份數(shù)據(jù)庫，其中，備份數(shù)據(jù)庫包括至少一個還原點以及與每個還原點對應(yīng)的還原數(shù)據(jù)，還原數(shù)據(jù)包括注冊表數(shù)據(jù)和磁盤文件數(shù)據(jù)；接收處理請求，根據(jù)處理請求從備份數(shù)據(jù)庫中選擇一個還原點，并調(diào)用與一個還原點對應(yīng)的磁盤文件數(shù)據(jù)。遍歷磁盤，根據(jù)與一個還原點對應(yīng)的磁盤文件數(shù)據(jù)確定磁盤是否有新增的文件；在磁盤中有新增的文件的情況下，對新增的文件添加啟動時鎖定的屬性，并根據(jù)與一個還原點對應(yīng)的注冊表數(shù)據(jù)對磁盤進行還原。該發(fā)明能夠縮小勒索軟件在所有文件中的判定范圍，并有效的對勒索軟件進行鎖定，防止勒索軟件的進一步侵害，同時能夠?qū)Υ疟P進行還原，使磁盤恢復(fù)正常。

從恢復(fù)數(shù)據(jù)的角度上，安天實驗室的葉佳旭提出一種基于數(shù)據(jù)重定向的勒索軟件防御系統(tǒng)及方法。該發(fā)明提出一種基于數(shù)據(jù)重定向的勒索軟件防御系統(tǒng)，通過在用戶和勒索軟件的服務(wù)器間增加數(shù)據(jù)重定向服務(wù)器，同時接收來自客戶端發(fā)送的請求消息以及目的服務(wù)器的數(shù)字證書，并向客戶端發(fā)送重定向服務(wù)器數(shù)字證書，客戶端用重定向服務(wù)器數(shù)字證書加密后發(fā)送至重定向服務(wù)器，重定向服務(wù)器解密信息后又用目的服務(wù)器的數(shù)字證書重新加密，發(fā)送至目的服務(wù)器，實現(xiàn)對已感染勒索類病毒的系統(tǒng)內(nèi)的文件進行還原。