本發明提供一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法和防御方法，屬于系統安全技術領域，用于實時檢測勒索軟件并保護主機系統免受勒索軟件的危害，主要通過對系統中可疑程序的讀寫操作進行虛擬化，在虛擬化磁盤中對寫入內容進行考察，進一步地判斷是否是勒索軟件，提升主機系統的實時預警和主動防御能力，能夠在低損耗，零損失的條件下實現對勒索軟件進行高準確率的實時檢測和終止，保護用戶和企業的數據與財產安全。

技術領域

本發明涉及系統安全技術領域及網絡空間安全領域，是針對勒索軟件，特別是文件加密 型勒索軟件的實時監測方法和防御方法，更具體地，是一種基于文件系統虛擬讀寫的勒索軟 件實時檢測方法和防御方法。

背景技術

勒索軟件是一類借助于社會工程學手段或者在野的nday漏洞進行感染和傳播的以勒索 錢財為目的的惡意軟件。2017年的Wannacry勒索軟件利用MS17-010漏洞進行攻擊，全球近 150多個國家和地區，超過了30萬臺電腦受到了感染，直接造成了80多億的經濟損失。在 近兩年來，隨著虛擬貨幣的價格迅速上漲，由于其匿名性和隱蔽性又為惡意代碼的發展提供 了可靠的經濟來源方式，經濟利益的驅使使得惡意代碼產業鏈循序革新和迭代。據McAfee的 2018年度11月份威脅報告顯示，勒索軟件和挖礦程序數量在近兩年內數量迅速增長，特別 是勒索軟件數量呈現爆發式的增長。如今的勒索軟件趨于框架化、服務化、定制化，降低了 犯罪分析的技術門檻，更加重了其威脅程度。可以預見在未來，勒索軟件的攻擊方式、攻擊 目標、傳播方法、種類和數量都會呈現增長的趨勢。

用戶網絡安全意識防護意識的薄弱也是勒索軟件屢屢得逞的重要原因。一方面，用戶缺 少平時備份文件的意識，一旦重要文件被加密，只能通過交付巨額的勒索贖金避免造成更大 的數據損失。另一方面，很多用戶對網絡攻擊的防范意識薄弱，傳統的釣魚攻擊依然奏效、 對出現很久的安全漏洞未進行修復，使得勒索軟件得以廣泛傳播。

根據勒索軟件勒索方式的不同，可以分為鎖定型和加密型。鎖定型勒索軟件一般通過鎖 定系統，讓用戶無法正常進入系統使用進行勒索。加密型勒索軟件即利用復雜且強度高的密 碼算法加密用戶的文件、磁盤驅動等進行勒索。其中鎖定型可以采用恢復系統或清理磁盤等 方法解決，相比之下加密型勒索軟件更難以清楚，所以加密型勒索軟件一般是網絡犯罪集團 的首選，也是現在最為嚴重的威脅。文件加密型勒索軟件進入用戶的系統之后，首先會遍歷 磁盤目錄和文件，選擇符合加密的文件類型進行操作，通過重寫文件內容、替換文件的方式 進行加密，使用戶無法正常使用。

目前對勒索軟件的檢測有靜態檢測和動態檢測，靜態檢測是提取二進制文件的特征碼與 特征庫中的特征碼進行匹配，來判斷是否是已經出現的勒索軟件。雖然靜態檢測速度快、準 確率高，但是樣本庫的維護需要投入大量的人力和物力，并且對新出現的勒索軟件沒有任何 的防范能力。動態檢測一般采用設置陷阱文件或者通過監控系統操作兩種方式實現。其中設 置陷阱文件的方式是在文件系統中插入的陷阱文件會被正常進程遍歷訪問到，由于文件格式 和內容與程序期望格式的存在差距，所以會給正常進程帶來很多不可預知的后果；同時正常 用戶程序也可能會修改陷阱文件造成檢測的誤報。目前提出的基于系統監控的方法，都會在 系統中插入大量的HOOK，嚴重的影響了系統的性能的同時在實時性、準確率上也存在問題， 缺陷十分明顯。

發明內容

為了解決上述問題，本發明提出了一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法 和防御方法，以及一種基于文件系統虛擬讀寫的勒索軟件實時檢測和防御系統，通過對系統 中可疑程序的讀寫操作進行虛擬化，在虛擬化磁盤中對寫入內容進行考察，進一步地判斷是 否是勒索軟件，提升主機系統的實時預警和主動防御能力。

本發明采用的技術方案如下：

一種基于文件系統虛擬讀寫的勒索軟件實時檢測方法，包括以下步驟：

在主機系統的內核層，利用文件系統過濾驅動對發起文件遍歷請求的進程記錄其進程號；