[發明專利]基于文件系統虛擬讀寫的勒索軟件實時檢測方法和防御方法在審
| 申請號: | 202010298624.1 | 申請日: | 2020-04-16 |
| 公開(公告)號: | CN111639336A | 公開(公告)日: | 2020-09-08 |
| 發明(設計)人: | 汪秋云;姜政偉;汪姝瑋;辛麗玲;王曉滿;劉寶旭 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 余長江 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 文件系統 虛擬 讀寫 勒索 軟件 實時 檢測 方法 防御 | ||
1.一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,包括以下步驟:
在主機系統的內核層,利用文件系統過濾驅動對發起文件遍歷請求的進程記錄其進程號;
記錄該進程接下來的所有文件操作,如果具有重復性的寫入文件操作和刪除或重命名文件操作,則將該進程加入灰名單中;
對灰名單中的進程的文件操作請求進行虛擬化,主要是以操作請求中的文件路徑作為索引,文件的其他相關信息作為值存儲到HashMap中,并在內存虛擬磁盤中執行文件操作,該文件操作包括寫入、刪除、重命名;
從灰名單中篩選出文件操作頻率大于預設臨界值的進程,計算該進程在內存虛擬磁盤中寫入的文件的香農熵值,并結合文件二進制格式系數,計算加權均值文件熵值;
根據該進程在內存虛擬磁盤中發生的寫入文件操作的總數與刪除和重命名文件操作的總數,計算行為可疑度;
根據加權均值文件熵值和行為可疑度,計算可疑性度量,如果可疑性度量超過預設閾值,則判定該進程對應的軟件為勒索軟件。
2.如權利要求1的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,判斷是否具有重復性的寫入文件操作和刪除或重命名文件操作的方法為:統計進程在接下來的一段時間內的所有文件操作,統計寫入文件操作和刪除或重命名文件操作的重復發生次數,如果次數大于一設定的閾值,則判定具有重復性的寫入文件操作和刪除或重命名文件操作。
3.如權利要求1的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,對于發起當前文件操作的一進程,獲取文件操作請求的文件路徑,判斷該文件路徑是否在HashMap中。
4.如權利要求3的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,如果文件路徑在HashMap中,讀取以該文件路徑作為索引的位置所存儲的數據,并判斷該數據是否有刪除標記,如果有,則直接返回文件不存在,否則將文件操作請求下發給內存虛擬磁盤驅動,執行文件操作。
5.如權利要求3的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,如果文件路徑不在HashMap中,則判斷該進程是否在灰名單中,如果該進程不在灰名單中,或者該進程在灰名單中且為讀取文件操作請求,則將文件操作請求直接下發給下層的物理磁盤驅動執行相應的文件操作。
6.如權利要求3的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,如果件路徑不在HashMap中,且該進程在灰名單中,則執行下述步驟:
如果是寫入文件或修改文件屬性的操作請求,則先判斷物理磁盤上是否存在該文件,如果存在該文件,則將該文件拷貝入內存虛擬磁盤中,然后向內存虛擬磁盤驅動下發該操作請求,再在HashMap中對應的hash位置存儲該文件名、該操作的類型以及操作者;
如果是創建文件的操作請求,則對該操作請求的文件路徑做切割,依照路徑遞歸地向虛擬磁盤驅動下發該操作請求;
如果是刪除文件操作請求,則先判斷物理磁盤上是否存該文件,如果不存在該文件,則直接返回文件不存在,如果存在該文件,則在HashMap中對應的hash位置存儲該文件名、該文件被刪除的標記以及操作者,返回刪除文件成功。
7.一種基于文件系統虛擬讀寫的勒索軟件實時防御方法,基于上述權利要求1-6任一項所述的一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法,其特征在于,包括以下步驟:
如果進程對應的軟件被判定是勒索軟件,則先掛起該進程的所有文件操作,并暫停該進程所有的線程,并通知用戶;
如果用戶認定其為勒索軟件,則終止該進程,并清空內存虛擬磁盤的操作緩存和HashMap的數據記錄;
如果進程對應的程序被判定不是勒索軟件,或者上述被判定的勒索軟件被用戶認定為正常程序,則將其進程從灰名單中清除,并放行該進程的文件操作,恢復該進程的所有線程,并且將內存虛擬磁盤上緩存的文件操作都寫入真實的物理磁盤,同時清空HashMap。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010298624.1/1.html,轉載請聲明來源鉆瓜專利網。
