本發(fā)明提供一種基于文件系統(tǒng)虛擬讀寫的勒索軟件實(shí)時檢測方法和防御方法，屬于系統(tǒng)安全技術(shù)領(lǐng)域，用于實(shí)時檢測勒索軟件并保護(hù)主機(jī)系統(tǒng)免受勒索軟件的危害，主要通過對系統(tǒng)中可疑程序的讀寫操作進(jìn)行虛擬化，在虛擬化磁盤中對寫入內(nèi)容進(jìn)行考察，進(jìn)一步地判斷是否是勒索軟件，提升主機(jī)系統(tǒng)的實(shí)時預(yù)警和主動防御能力，能夠在低損耗，零損失的條件下實(shí)現(xiàn)對勒索軟件進(jìn)行高準(zhǔn)確率的實(shí)時檢測和終止，保護(hù)用戶和企業(yè)的數(shù)據(jù)與財產(chǎn)安全。

技術(shù)領(lǐng)域

本發(fā)明涉及系統(tǒng)安全技術(shù)領(lǐng)域及網(wǎng)絡(luò)空間安全領(lǐng)域，是針對勒索軟件，特別是文件加密 型勒索軟件的實(shí)時監(jiān)測方法和防御方法，更具體地，是一種基于文件系統(tǒng)虛擬讀寫的勒索軟 件實(shí)時檢測方法和防御方法。

背景技術(shù)

勒索軟件是一類借助于社會工程學(xué)手段或者在野的nday漏洞進(jìn)行感染和傳播的以勒索 錢財為目的的惡意軟件。2017年的Wannacry勒索軟件利用MS17-010漏洞進(jìn)行攻擊，全球近 150多個國家和地區(qū)，超過了30萬臺電腦受到了感染，直接造成了80多億的經(jīng)濟(jì)損失。在 近兩年來，隨著虛擬貨幣的價格迅速上漲，由于其匿名性和隱蔽性又為惡意代碼的發(fā)展提供 了可靠的經(jīng)濟(jì)來源方式，經(jīng)濟(jì)利益的驅(qū)使使得惡意代碼產(chǎn)業(yè)鏈循序革新和迭代。據(jù)McAfee的 2018年度11月份威脅報告顯示，勒索軟件和挖礦程序數(shù)量在近兩年內(nèi)數(shù)量迅速增長，特別 是勒索軟件數(shù)量呈現(xiàn)爆發(fā)式的增長。如今的勒索軟件趨于框架化、服務(wù)化、定制化，降低了 犯罪分析的技術(shù)門檻，更加重了其威脅程度?？梢灶A(yù)見在未來，勒索軟件的攻擊方式、攻擊 目標(biāo)、傳播方法、種類和數(shù)量都會呈現(xiàn)增長的趨勢。

用戶網(wǎng)絡(luò)安全意識防護(hù)意識的薄弱也是勒索軟件屢屢得逞的重要原因。一方面，用戶缺 少平時備份文件的意識，一旦重要文件被加密，只能通過交付巨額的勒索贖金避免造成更大 的數(shù)據(jù)損失。另一方面，很多用戶對網(wǎng)絡(luò)攻擊的防范意識薄弱，傳統(tǒng)的釣魚攻擊依然奏效、 對出現(xiàn)很久的安全漏洞未進(jìn)行修復(fù)，使得勒索軟件得以廣泛傳播。

根據(jù)勒索軟件勒索方式的不同，可以分為鎖定型和加密型。鎖定型勒索軟件一般通過鎖 定系統(tǒng)，讓用戶無法正常進(jìn)入系統(tǒng)使用進(jìn)行勒索。加密型勒索軟件即利用復(fù)雜且強(qiáng)度高的密 碼算法加密用戶的文件、磁盤驅(qū)動等進(jìn)行勒索。其中鎖定型可以采用恢復(fù)系統(tǒng)或清理磁盤等 方法解決，相比之下加密型勒索軟件更難以清楚，所以加密型勒索軟件一般是網(wǎng)絡(luò)犯罪集團(tuán) 的首選，也是現(xiàn)在最為嚴(yán)重的威脅。文件加密型勒索軟件進(jìn)入用戶的系統(tǒng)之后，首先會遍歷 磁盤目錄和文件，選擇符合加密的文件類型進(jìn)行操作，通過重寫文件內(nèi)容、替換文件的方式 進(jìn)行加密，使用戶無法正常使用。

目前對勒索軟件的檢測有靜態(tài)檢測和動態(tài)檢測，靜態(tài)檢測是提取二進(jìn)制文件的特征碼與 特征庫中的特征碼進(jìn)行匹配，來判斷是否是已經(jīng)出現(xiàn)的勒索軟件。雖然靜態(tài)檢測速度快、準(zhǔn) 確率高，但是樣本庫的維護(hù)需要投入大量的人力和物力，并且對新出現(xiàn)的勒索軟件沒有任何 的防范能力。動態(tài)檢測一般采用設(shè)置陷阱文件或者通過監(jiān)控系統(tǒng)操作兩種方式實(shí)現(xiàn)。其中設(shè) 置陷阱文件的方式是在文件系統(tǒng)中插入的陷阱文件會被正常進(jìn)程遍歷訪問到，由于文件格式 和內(nèi)容與程序期望格式的存在差距，所以會給正常進(jìn)程帶來很多不可預(yù)知的后果；同時正常 用戶程序也可能會修改陷阱文件造成檢測的誤報。目前提出的基于系統(tǒng)監(jiān)控的方法，都會在 系統(tǒng)中插入大量的HOOK，嚴(yán)重的影響了系統(tǒng)的性能的同時在實(shí)時性、準(zhǔn)確率上也存在問題， 缺陷十分明顯。

發(fā)明內(nèi)容

為了解決上述問題，本發(fā)明提出了一種基于文件系統(tǒng)虛擬讀寫的勒索軟件實(shí)時檢測方法 和防御方法，以及一種基于文件系統(tǒng)虛擬讀寫的勒索軟件實(shí)時檢測和防御系統(tǒng)，通過對系統(tǒng) 中可疑程序的讀寫操作進(jìn)行虛擬化，在虛擬化磁盤中對寫入內(nèi)容進(jìn)行考察，進(jìn)一步地判斷是 否是勒索軟件，提升主機(jī)系統(tǒng)的實(shí)時預(yù)警和主動防御能力。

本發(fā)明采用的技術(shù)方案如下：

一種基于文件系統(tǒng)虛擬讀寫的勒索軟件實(shí)時檢測方法，包括以下步驟：

在主機(jī)系統(tǒng)的內(nèi)核層，利用文件系統(tǒng)過濾驅(qū)動對發(fā)起文件遍歷請求的進(jìn)程記錄其進(jìn)程號；