技術領域

本發明涉及軟件檢測方法技術領域，特別涉及一種基于文件狀態分析的勒索軟件檢測方法。

背景技術

勒索軟件是一類借助社會工程學手段或者網絡蠕蟲感染的方式進行傳播的，在被入侵主機進行文件加密等破壞性行為的新型惡意代碼。勒索軟件會索要高額贖金，受害者支付贖金后，方可恢復其主機內受到影響的重要文件。毋庸置疑，勒索軟件已成為現階段大型企業乃至個人用戶主機安全的最大威脅之一。

當前勒索軟件檢測技術大都遵循傳統的簽名特征碼的方式，安全軟件將未知樣本的特征碼與本地特征庫的特征數據進行匹配，若出現匹配，則阻止軟件的運行。隨著大量勒索軟件變種的出現，特征庫更新的滯后性日益顯著，被動的特征碼檢測方式已逐漸力不從心，對于未知的惡意代碼更是束手無策。

基于上述問題，本發明設計了一種基于文件狀態分析的勒索軟件檢測方法。

發明內容

本發明為了彌補現有技術的缺陷，提供了一種簡單高效的基于文件狀態分析的勒索軟件檢測方法。

本發明是通過如下技術方案實現的：

一種基于文件狀態分析的勒索軟件檢測方法，其特征在于：首先，系統設定文件內容監控模塊、文件目錄監控模塊、文件增刪監控模塊三個監控模塊，分析模塊，響應模塊，以及一個監控時間窗口W；然后，從主機中文件狀態的多方面邏輯出發，在每個長度為W的時間單元內，全面地結合文件內容監控、文件目錄監控、文件增刪監控三個方面對被測程序的文件訪問行為進行持續性地考察；最后，根據文件內容監控模塊、文件目錄監控模塊以及文件增刪監控模塊的監控結果，向系統的分析模塊反饋各自的監控因子，如果各監控因子的數值總和達到甚至超過了預設的告警門限值，則判斷所測程序為勒索軟件，并將該信息推送至系統的響應模塊進行處理。

本發明基于文件狀態分析的勒索軟件檢測方法，包括以下步驟：

(1)所述文件內容監控模塊分別對訪問文件前后文件頭的變化情況，訪問文件前后文件的相似程度，以及訪問文件前后文件香農熵的變化情況進行監控，并維護監控因子F1，每隔長度為W的時間單元后對監控因子F1進行清零操作；

(2)所述文件目錄監控模塊分別對同一目錄下被訪問文件的數量以及不同后綴名類型的文件被修改并保存為同一類型文件的情況進行監控，并維護監控因子F2，每隔長度為W的時間單元后對監控因子F2進行清零操作；

(3)所述文件增刪監控模塊分別對用戶文件的刪除情況和新增說明文檔的行為進行監控，并維護監控因子F3，每隔長度為W的時間單元后對監控因子F3進行清零操作；

(4)在監控時間窗口W內，所述分析模塊接收來自文件內容監控模塊、文檔目錄監控模塊、文檔增刪監控模塊的反饋因子F1、F2、F3，以及相應的文件狀態變化日志信息；分析模塊計算因子和F＝F1+F2+F3，預設定告警門限值T，如果F大于或等于T，分析模塊將日志信息、程序名稱和進程標識符提交至響應模塊；

(5)根據分析模塊提供的程序信息，響應模塊立即掛起對應的程序，并進行告警操作。

所述步驟(1)中，針對僅對文件的關鍵信息部分，即文件頭，進行修改或加密的勒索軟件類型，文件內容監控模塊監控所測程序訪問主機文件前后，文件頭的變化情況，以判斷被測程序是否對用戶數據文件進行了讀訪問或寫操作；如果被測程序對用戶數據文件進行了讀訪問，則記錄此時文件的文件頭信息；如果被測程序進一步對文件進行了寫操作，則將文件訪問前和進行寫操作后的文件頭信息進行比較，如果文件頭信息發生改變，便將監控因子F1的數值增加1；

由于發生數據加密的文件前后內容的相似度將會顯著降低，針對將整體文件進行加密的勒索軟件類型，文件內容監控模塊監控所測程序訪問主機文件前后，文件本身的相似程度，以判斷被測程序是否對系統中的用戶文件進行了讀訪問或寫操作；如果被測程序對系統中的用戶文件進行了讀訪問，則計算并保存此時的文件哈希值H_前；如果被測程序進一步對文件進行了寫操作，則計算此時的文件哈希值H_后，H_前和H_后的計算均使用相似性摘要哈希算法SDH，從而可以根據SDH算法比較H_前和H_后的相似度，得到相似度分數S；預設相似程度下限值A，如果文件的相似性較低，即S低于預設相似程度下限值A，則監控因子F1的數值增加1；