[發明專利]基于誘餌文件的勒索軟件早期檢測方法及系統在審
| 申請號: | 202110812059.0 | 申請日: | 2021-07-19 |
| 公開(公告)號: | CN113626811A | 公開(公告)日: | 2021-11-09 |
| 發明(設計)人: | 傅建明;劉暢;羅陳可 | 申請(專利權)人: | 武漢大學 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 武漢科皓知識產權代理事務所(特殊普通合伙) 42222 | 代理人: | 羅飛 |
| 地址: | 430072 湖*** | 國省代碼: | 湖北;42 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 基于 誘餌 文件 勒索 軟件 早期 檢測 方法 系統 | ||
1.基于誘餌文件的勒索軟件早期檢測方法,其特征在于,包括:
設計并生成誘餌文件;
通過監控Windows注冊表事件獲取軟件級MRU文件夾的變化情況,其中,MRU文件夾為最近使用文件夾;
使用文件過濾驅動技術從操作系統內核層監控文件事件;
將生成的誘餌文件部署在常用文件夾,并根據軟件級MRU文件夾的變化情況在MRU文件夾動態部署誘餌文件;
根據監控的文件事件,檢測針對誘餌文件的訪問行為,當檢測到進程針對誘餌文件的訪問行為為寫入和刪除操作時,則判定為勒索軟件攻擊。
2.如權利要求1所述的方法,其特征在于,所述方法還包括:
分析系統中進程針對非誘餌文件的可疑文件行為,對針對非誘餌文件的可疑文件行為設定進程的惡意性評分規則;
根據監控的文件事件和設定的惡意性評分規則,對進程進行評分;
將評分超出閾值的進程判定為勒索軟件攻擊。
3.如權利要求2所述的方法,其特征在于,進程針對非誘餌文件的可疑文件行為包括寫入高熵值內容、覆蓋原文件、刪除文件、目錄遍歷以及寫入不同文件。
4.如權利要求1所述的方法,其特征在于,設計并生成誘餌文件,包括:
使用生成對抗網絡和強化學習技術自動生成真實可信的誘餌文件文件名,并從文件數量配置、文件類型配置、文件內容填充以及文件元數據配置設計誘餌文件。
5.如權利要求1所述的方法,其特征在于,根據軟件級MRU文件夾的變化情況在MRU文件夾動態部署誘餌文件,包括:
將當前MRU文件所在的文件夾作為初始位置進行誘餌部署;
在檢測過程中實時檢測為新增MRU文件和移除MRU文件兩種操作,對于新增的MRU文件,判斷該文件夾內是否已經部署有誘餌文件,如果沒有,則在該文件夾內部署誘餌;對于移除的MRU文件,判斷它所在的文件夾內是否仍有MRU文件,如果沒有,則將該文件夾內的誘餌移除。
6.基于誘餌文件的勒索軟件早期檢測系統,其特征在于,包括:
誘餌文件生成模塊,用于設計并生成誘餌文件;
注冊表事件監控模塊,用于通過監控Windows注冊表事件獲取軟件級MRU文件夾的變化情況,其中,MRU文件夾為最近使用文件夾;
文件事件監控模塊,用于使用文件過濾驅動技術從操作系統內核層監控文件事件;
誘餌部署模塊,用于將生成的誘餌文件部署在常用文件夾,并根據軟件級MRU文件夾的變化情況在MRU文件夾動態部署誘餌文件;
勒索軟件判定模塊,用于根據監控的文件事件,檢測針對誘餌文件的訪問行為,當檢測到進程針對誘餌文件的訪問行為為寫入和刪除操作時,則判定為勒索軟件攻擊。
7.如權利要求6所述的系統,其特征在于,所述系統還包括文件行為檢測模塊,用于:
分析系統中進程針對非誘餌文件的可疑文件行為,對針對非誘餌文件的可疑文件行為設定進程的惡意性評分規則;
根據監控的文件事件和設定的惡意性評分規則,對進程進行評分;
將評分超出閾值的進程判定為勒索軟件攻擊。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于武漢大學,未經武漢大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110812059.0/1.html,轉載請聲明來源鉆瓜專利網。
