本發(fā)明屬于加密勒索軟件監(jiān)測(cè)技術(shù)領(lǐng)域，具體涉及一種基于IRP分析的加密勒索軟件實(shí)時(shí)監(jiān)測(cè)系統(tǒng)及方法，包括下列步驟：誘餌監(jiān)控；部署誘餌文件，當(dāng)加密勒索軟件進(jìn)程試圖寫入誘餌文件時(shí)，立即將該進(jìn)程標(biāo)識(shí)為惡意并終止進(jìn)程；通過(guò)文件監(jiān)控和進(jìn)程監(jiān)控協(xié)同運(yùn)作，判定行為是否為惡意加密；加密函數(shù)鉤子；在系統(tǒng)內(nèi)置的加密函數(shù)處放置鉤子，捕獲在加密時(shí)所使用的秘鑰，當(dāng)惡意加密發(fā)生時(shí)，可以根據(jù)此模塊內(nèi)置的數(shù)據(jù)庫(kù)，找到加密時(shí)所用的對(duì)稱密鑰，來(lái)解密已被加密的文件。本發(fā)明結(jié)合進(jìn)程的IRP特征和文件監(jiān)控，做到實(shí)時(shí)識(shí)別運(yùn)行中的勒索軟件，可以通過(guò)其行為進(jìn)行快速識(shí)別，做到了更及時(shí)的監(jiān)測(cè)。本發(fā)明用于加密勒索軟件的實(shí)時(shí)監(jiān)測(cè)。

技術(shù)領(lǐng)域

本發(fā)明屬于加密勒索軟件監(jiān)測(cè)技術(shù)領(lǐng)域，具體涉及一種基于IRP分析的加密勒索軟件實(shí)時(shí)監(jiān)測(cè)系統(tǒng)及方法。

背景技術(shù)

網(wǎng)絡(luò)中存在著大量的加密勒索軟件，這種惡意軟件可能入侵企業(yè)或個(gè)人的電腦，對(duì)電腦中重要的數(shù)據(jù)文件進(jìn)行加密并勒索高昂的贖金，在沒有防護(hù)軟件的情況下，數(shù)據(jù)文件一旦被加密將無(wú)法被還原，受到此攻擊的個(gè)人或企業(yè)都將面臨嚴(yán)重的經(jīng)濟(jì)或數(shù)據(jù)損失。

現(xiàn)有技術(shù)存在的問(wèn)題或缺陷：現(xiàn)有勒索軟件監(jiān)測(cè)機(jī)制提供實(shí)時(shí)預(yù)警效果有限，可能會(huì)導(dǎo)致大量文件的不可逆加密，且當(dāng)用戶主動(dòng)對(duì)文件進(jìn)行加密時(shí)，監(jiān)測(cè)系統(tǒng)難以區(qū)分良性加密和惡意的加密，存在一定的誤報(bào)問(wèn)題。

發(fā)明內(nèi)容

針對(duì)上述現(xiàn)有的監(jiān)測(cè)系統(tǒng)難以區(qū)分良性加密和惡意的加密，存在一定的誤報(bào)問(wèn)題的技術(shù)問(wèn)題，本發(fā)明提供了一種識(shí)別速度快、準(zhǔn)確率高、誤報(bào)率低的基于IRP分析的加密勒索軟件實(shí)時(shí)監(jiān)測(cè)系統(tǒng)及方法。

為了解決上述技術(shù)問(wèn)題，本發(fā)明采用的技術(shù)方案為：

一種基于IRP分析的加密勒索軟件實(shí)時(shí)監(jiān)測(cè)方法，包括下列步驟：

S1、誘餌監(jiān)控；部署誘餌文件，當(dāng)加密勒索軟件進(jìn)程試圖寫入誘餌文件時(shí)，立即將該進(jìn)程標(biāo)識(shí)為惡意并終止進(jìn)程；

S2、通過(guò)文件監(jiān)控和進(jìn)程監(jiān)控協(xié)同運(yùn)作，判定行為是否為惡意加密；

S3、加密函數(shù)鉤子；在系統(tǒng)內(nèi)置的加密函數(shù)處放置鉤子，捕獲在加密時(shí)所使用的秘鑰，當(dāng)惡意加密發(fā)生時(shí)，可以根據(jù)此模塊內(nèi)置的數(shù)據(jù)庫(kù)，找到加密時(shí)所用的對(duì)稱密鑰，來(lái)解密已被加密的文件。

所述S1中的誘餌監(jiān)控自動(dòng)在磁盤各個(gè)位置部署誘餌文件，當(dāng)有IRP請(qǐng)求對(duì)應(yīng)的是對(duì)誘餌文件進(jìn)行的修改，誘餌監(jiān)控可以立即判定該IRP請(qǐng)求的進(jìn)程是惡意加密軟件，并對(duì)該請(qǐng)求進(jìn)行攔截和終止。

所述S2中文件監(jiān)控和進(jìn)程監(jiān)控協(xié)同運(yùn)作的方法為：

所述文件監(jiān)控為：文件更改監(jiān)控在文件發(fā)生修改時(shí)，通過(guò)文件修改前后的相似性度量和熵度量之間的差別，判斷文件是否被加密；文件分類監(jiān)控通過(guò)學(xué)習(xí)并分析用戶文件行為，對(duì)數(shù)據(jù)文件進(jìn)行分類，標(biāo)記出有較高可能性被用戶主動(dòng)加密的文件；

所述進(jìn)程監(jiān)控為：根據(jù)進(jìn)程的IRP請(qǐng)求特征，使用機(jī)器學(xué)習(xí)分類器對(duì)進(jìn)程進(jìn)行分類，并識(shí)別惡意加密進(jìn)程。

所述S2中當(dāng)IRP請(qǐng)求沒有操作誘餌文件時(shí)所述文件監(jiān)控和所述進(jìn)程監(jiān)控將協(xié)同運(yùn)作，所述文件監(jiān)控判斷此IRP請(qǐng)求是否是對(duì)文件進(jìn)行加密修改并對(duì)用戶文件進(jìn)行分類，所述進(jìn)程監(jiān)控根據(jù)IRP特征對(duì)進(jìn)程進(jìn)行分類，當(dāng)文件監(jiān)控判定此次IRP操作是一次加密操作，且進(jìn)程監(jiān)控根據(jù)IRP特征判定進(jìn)程為惡意時(shí)，可以充分認(rèn)定該行為為惡意加密。

所述S3中的加密函數(shù)鉤子當(dāng)加密行為發(fā)生時(shí)調(diào)用系統(tǒng)內(nèi)置加密函數(shù)，并記錄此次加密使用密鑰，根據(jù)密鑰對(duì)被惡意加密文件還原。

一種基于IRP分析的加密勒索軟件實(shí)時(shí)監(jiān)測(cè)系統(tǒng)，包括誘餌監(jiān)控模塊、文件監(jiān)控模塊、進(jìn)程監(jiān)控模塊、加密函數(shù)鉤子模塊，所述誘餌監(jiān)控模塊通過(guò)并列關(guān)系連接有文件監(jiān)控模塊、進(jìn)程監(jiān)控模塊，所述誘餌監(jiān)控模塊、文件監(jiān)控模塊、進(jìn)程監(jiān)控模塊均通過(guò)通信連接有加密函數(shù)鉤子模塊。