[發(fā)明專利]一種基于IRP分析的加密勒索軟件實時監(jiān)測系統(tǒng)及方法在審
| 申請?zhí)枺?/td> | 202011278527.2 | 申請日: | 2020-11-16 |
| 公開(公告)號: | CN112287346A | 公開(公告)日: | 2021-01-29 |
| 發(fā)明(設計)人: | 潘曉光;王小華;張娜;宋曉晨;韓丹 | 申請(專利權(quán))人: | 山西三友和智慧信息技術股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56;G06K9/62;G06N20/00 |
| 代理公司: | 太原榮信德知識產(chǎn)權(quán)代理事務所(特殊普通合伙) 14119 | 代理人: | 楊凱;連慧敏 |
| 地址: | 030000 山西省*** | 國省代碼: | 山西;14 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 irp 分析 加密 勒索 軟件 實時 監(jiān)測 系統(tǒng) 方法 | ||
1.一種基于IRP分析的加密勒索軟件實時監(jiān)測方法,其特征在于:包括下列步驟:
S1、誘餌監(jiān)控;部署誘餌文件,當加密勒索軟件進程試圖寫入誘餌文件時,立即將該進程標識為惡意并終止進程;
S2、通過文件監(jiān)控和進程監(jiān)控協(xié)同運作,判定行為是否為惡意加密;
S3、加密函數(shù)鉤子;在系統(tǒng)內(nèi)置的加密函數(shù)處放置鉤子,捕獲在加密時所使用的秘鑰,當惡意加密發(fā)生時,可以根據(jù)此模塊內(nèi)置的數(shù)據(jù)庫,找到加密時所用的對稱密鑰,來解密已被加密的文件。
2.根據(jù)權(quán)利要求1所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測方法,其特征在于:所述S1中的誘餌監(jiān)控自動在磁盤各個位置部署誘餌文件,當有IRP請求對應的是對誘餌文件進行的修改,誘餌監(jiān)控可以立即判定該IRP請求的進程是惡意加密軟件,并對該請求進行攔截和終止。
3.根據(jù)權(quán)利要求1所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測方法,其特征在于:所述S2中文件監(jiān)控和進程監(jiān)控協(xié)同運作的方法為:
所述文件監(jiān)控為:文件更改監(jiān)控在文件發(fā)生修改時,通過文件修改前后的相似性度量和熵度量之間的差別,判斷文件是否被加密;文件分類監(jiān)控通過學習并分析用戶文件行為,對數(shù)據(jù)文件進行分類,標記出有較高可能性被用戶主動加密的文件;
所述進程監(jiān)控為:根據(jù)進程的IRP請求特征,使用機器學習分類器對進程進行分類,并識別惡意加密進程。
4.根據(jù)權(quán)利要求3所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測方法,其特征在于:所述S2中當IRP請求沒有操作誘餌文件時所述文件監(jiān)控和所述進程監(jiān)控將協(xié)同運作,所述文件監(jiān)控判斷此IRP請求是否是對文件進行加密修改并對用戶文件進行分類,所述進程監(jiān)控根據(jù)IRP特征對進程進行分類,當文件監(jiān)控判定此次IRP操作是一次加密操作,且進程監(jiān)控根據(jù)IRP特征判定進程為惡意時,可以充分認定該行為為惡意加密。
5.根據(jù)權(quán)利要求1所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測方法,其特征在于:所述S3中的加密函數(shù)鉤子當加密行為發(fā)生時調(diào)用系統(tǒng)內(nèi)置加密函數(shù),并記錄此次加密使用密鑰,根據(jù)密鑰對被惡意加密文件還原。
6.一種基于IRP分析的加密勒索軟件實時監(jiān)測系統(tǒng),其特征在于:包括誘餌監(jiān)控模塊(1)、文件監(jiān)控模塊(2)、進程監(jiān)控模塊(3)、加密函數(shù)鉤子模塊(4),所述誘餌監(jiān)控模塊(1)通過并列關系連接有文件監(jiān)控模塊(2)、進程監(jiān)控模塊(3),所述誘餌監(jiān)控模塊(1)、文件監(jiān)控模塊(2)、進程監(jiān)控模塊(3)均通過通信連接有加密函數(shù)鉤子模塊(4)。
7.根據(jù)權(quán)利要求6所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測系統(tǒng),其特征在于:還包括IRP記錄器(5)、IRP解析器(6),所述IRP記錄器(5)連接有IRP解析器(6),所述IRP解析器(6)分別與誘餌監(jiān)控模塊(1)、文件監(jiān)控模塊(2)、進程監(jiān)控模塊(3)連接。
8.根據(jù)權(quán)利要求6所述的一種基于IRP分析的加密勒索軟件實時監(jiān)測系統(tǒng),其特征在于:所述加密函數(shù)鉤子模塊(4)內(nèi)設置有數(shù)據(jù)庫(7),所述數(shù)據(jù)庫(7)內(nèi)包含有對稱密鑰。
該專利技術資料僅供研究查看技術是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于山西三友和智慧信息技術股份有限公司,未經(jīng)山西三友和智慧信息技術股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011278527.2/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 上一篇:一種低閃點液體氮氣保護系統(tǒng)
- 下一篇:一種摩托車燃油泵總成
