本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種勒索者病毒的檢測方法及系統(tǒng)。

背景技術(shù)：

勒索軟件是近兩年比較流行的病毒，尤其是在2016年我國勒索軟件成爆發(fā)式增長。勒索軟件一旦感染系統(tǒng)會加密電腦磁盤的文檔文件、圖片文件、文本文件等，加密成功后會通過網(wǎng)頁文件、TXT文件、屏幕保護圖片等方式來通知用戶在一定時間內(nèi)支付贖金后才會給予解密的方式。勒索軟件作者會使用非常復(fù)雜的隨機非對稱加密手段加密用戶數(shù)據(jù)，只有惡意代碼作者能對其解密。在某種程度上就算用戶支付贖金給惡意代碼作者，也可能無法解密數(shù)據(jù)，這對于擁有重要資源的企業(yè)和部門是一個災(zāi)難性的事件，比如：醫(yī)療部門、銀行、政府部門一旦遭受勒索軟件攻擊，就會使各業(yè)務(wù)系統(tǒng)癱瘓，損失不可估計。

目前主流殺毒軟件都有文件防護功能，可以保證文件不被惡意篡改，但是這種做法可能同時影響正常軟件對于文件的操作，即使通過白名單機制可以保證放行一部分軟件的正常訪問，但是不能保證所有安全程序?qū)ξ募牟僮?。同時，白名單技術(shù)也不能保證文件不被惡意程序篡改，因此對于勒索者并不適用，因為目前很多勒索者病毒是通過注入白名單進程來釋放攻擊的，如explorer或svchost進程。

技術(shù)實現(xiàn)要素：

針對上述技術(shù)問題，本發(fā)明所述的技術(shù)方案通過感知文件的變化范圍和頻率來判定是否存在疑似勒索者病毒，進而提升對勒索者病毒的檢出率，并同時降低誤報。

本發(fā)明采用如下方法來實現(xiàn)，包括：

若存在修改文件的進程，則掛起進程并備份文件至可讀區(qū)域，備份完成后放行該進程；

對比修改后的文件與備份的文件的熵值，判定當(dāng)前進程是否對文件進行了加密操作；

若存在加密操作則判斷該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。

進一步地，在判定為疑似勒索者病毒之前，還包括：收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。

更進一步地，在判定為疑似勒索者病毒之后，還包括：

若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述方法中，在判定為疑似勒索者病毒之后，還包括：刪除被加密的文件并將備份的文件恢復(fù)到原來位置。

上述方法中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。

本發(fā)明可以采用如下系統(tǒng)來實現(xiàn)，包括：

文檔備份模塊，用于若存在修改文件的進程，則掛起進程并備份文件至可讀區(qū)域，備份完成后放行該進程；

加密判定模塊，用于對比修改后的文件與備份的文件的熵值，判定當(dāng)前進程是否對文件進行了加密操作；

初次判定模塊，用于若存在加密操作則判斷該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。

進一步地，在所述初次判定模塊執(zhí)行之后還包括二次判定模塊，用于收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。

更進一步地，還包括：惡意域名記錄模塊，用于若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述系統(tǒng)中，還包括：文檔恢復(fù)模塊，用于刪除被加密的文件并將備份的文件恢復(fù)到原來位置。

上述系統(tǒng)中，所述文件包括但不限于：文檔文件、文本文件或者圖片文件。

綜上，本發(fā)明給出一種勒索者病毒的檢測方法及系統(tǒng)，本發(fā)明若發(fā)現(xiàn)存在修改文件的進程，則首先判斷是否是針對文件的加密操作；若是則繼續(xù)判斷該進程在預(yù)設(shè)時間內(nèi)針對文件的操作總數(shù)是否超過設(shè)定閾值，若是，則認(rèn)為存在可疑進程大批量的加密文件，因此初步判定為疑似勒索者病毒。

有益效果為：本發(fā)明所述技術(shù)方案通過監(jiān)控文件被操作的范圍及頻率，進而準(zhǔn)確判定是否是勒索者病毒。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種勒索者病毒的檢測方法實施例流程圖；

圖2為加密前的文件的字符情況；

圖3為加密后的文件的字符情況；

圖4為本發(fā)明提供的一種勒索者病毒的檢測系統(tǒng)實施例結(jié)構(gòu)圖。

具體實施方式

本發(fā)明給出了一種勒索者病毒的檢測方法及系統(tǒng)實施例，為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進一步詳細(xì)的說明：

本發(fā)明首先提供了一種勒索者病毒的檢測方法實施例，如圖1所示，包括：

S101：若存在修改文件的進程，則掛起進程并備份文件至可讀區(qū)域，備份完成后放行該進程。目的是為后續(xù)文件的恢復(fù)操作做準(zhǔn)備。

S102：對比修改后的文件與備份的文件的熵值，判定當(dāng)前進程是否對文件進行了加密操作；

其中，經(jīng)過觀察加密數(shù)據(jù)中常見字符在加密前后的規(guī)律變化，發(fā)現(xiàn)熵值在加密前后將發(fā)生很大的變化，例如：未加密的文件中存在較多為0的字符串，如圖2所示；但是加密之后的文件中則基本不存在為0的字符串，如圖3所示；由此可知，通過將修改后的文件的熵值與備份的修改前的文件的熵值進行對比，若差距較大，則判定當(dāng)前進程對文件進行了加密操作。

更優(yōu)選地，由于壓縮文件或者電影文件的字符密度很高，可能會出現(xiàn)高熵值的情況，并且如果文件整體參與熵值計算將拖慢檢測速度，建議選擇文件的頭部預(yù)設(shè)數(shù)量的字節(jié)進行熵值的計算和對比，進而在保證準(zhǔn)確率的前提下，進一步提升檢測效率。

S103：若存在加密操作則判斷該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則繼續(xù)執(zhí)行S104，否則停止監(jiān)控；

其中，當(dāng)判定存在進程對文件進行修改操作后，隨時備份其操作的文件，并繼續(xù)放行該進程，當(dāng)操作停止后判定該進程對所有文件進行了多少次操作行為，包括：文件讀操作、文件寫操作或者文件刪除操作等；當(dāng)發(fā)現(xiàn)該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)超過設(shè)定閾值（例如：該進程在一定時間內(nèi)同時讀了100次文件，寫了100次文件，刪了100個文件），則判定該進程對文件進行了高頻率的修改操作，進而發(fā)出警報，或者進一步判定。

S104：收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)執(zhí)行S105，否則停止監(jiān)控；

其中，勒索者病毒通常會批量修改文件，將其修改為系統(tǒng)無法識別的擴展名，因此，若被加密的文件中存在一定比例的相同的擴展名，則一定程度上說明這些文件是被勒索者惡意操作過的。

S105：判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

上述S101、S102、S103即可對勒索者進行初次判定，但是為了降低誤報，可以繼續(xù)執(zhí)行S104。勒索者病毒在感染用戶文件后，會修改文件名并且修改擴展名，而正常軟件并不會出現(xiàn)該情況。因此通過監(jiān)控文件的文件名和擴展名的形態(tài)變化來判定是否是勒索者所為。

其中，之所以計算具備相同擴展名的文件與當(dāng)前文件夾中所有文件的占比值，并判斷其是否超過預(yù)設(shè)值，是因為勒索者會批量修改擴展名，但是也會在文件夾內(nèi)添加其他擴展名的文件，例如：html文件或者txt文件。勒索者病毒作者會在文件夾內(nèi)放置html、txt或者其他非加密形式的文件的目的是通知用戶文檔被加密，需要支付贖金來恢復(fù)文件，因此文件夾內(nèi)通常會存在與其他文件擴展名不同的能夠被打開的文件。

S106：將相同擴展名、文件名中的相同字符串部分存入特征庫；目的用于后續(xù)進一步分析判定，并方便后續(xù)對該勒索者的檢測。

更優(yōu)選地，若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

將上述相同擴展名、文件名中的相同字符串和收集到的URL鏈接存入特征庫，一旦其他人中了此類勒索者病毒，則可以通過入庫的特征碼即可檢出，將損失降至最低，為產(chǎn)品庫提供支撐。

S107：刪除被加密的文件并將備份的文件恢復(fù)到原來位置。該步驟的目的是降低用戶損失。

本發(fā)明其次提供了一種勒索者病毒的檢測系統(tǒng)實施例，如圖4所示，包括：

文檔備份模塊401，用于若存在修改文件的進程，則掛起進程并備份文件至可讀區(qū)域，備份完成后放行該進程；其中，將文件換個區(qū)域備份的目的是方便后續(xù)讀取，同時防止被勒索者繼續(xù)加密。

加密判定模塊402，用于對比修改后的文件與備份的文件的熵值，判定當(dāng)前進程是否對文件進行了加密操作；其中，若判定存在加密操作，則發(fā)出加密警告，或者請求用戶協(xié)助判定是否需要攔截該進程，否則停止監(jiān)控。

初次判定模塊403，用于若存在加密操作則判斷該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)是否超過設(shè)定閾值，若是則判定為疑似勒索者病毒。其中，若該進程在預(yù)設(shè)時間內(nèi)針對文件的操作次數(shù)沒有超過設(shè)定閾值，則停止監(jiān)控。

優(yōu)選地，在所述初次判定模塊403執(zhí)行之后還包括二次判定模塊，用于收集被加密的所有文件，并判斷具備相同擴展名的文件所占比例是否超過預(yù)設(shè)值，若是則繼續(xù)判斷具備相同擴展名的文件的文件名是否長度一致并存在部分相同字符串，若是則判定為疑似勒索者病毒；

將相同擴展名、文件名中的相同字符串部分存入特征庫，用于后續(xù)分析。

更優(yōu)選地，還包括：惡意域名記錄模塊，用于若被加密的文件所在文件夾內(nèi)存在html文件或者txt文件，則進一步判斷所述html文件或者txt文件內(nèi)是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫；

若被加密的文件所在文件夾內(nèi)不存在html文件或者txt文件，則遍歷非加密文件中是否存在URL鏈接，若存在則提取所述URL鏈接并存入特征庫。

上述系統(tǒng)實施例中，還包括：文檔恢復(fù)模塊，用于刪除被加密的文件并將備份的文件恢復(fù)到原來位置。

本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同或相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于系統(tǒng)實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。

如上所述，本發(fā)明提供了多個實施例，通過監(jiān)控系統(tǒng)進程，當(dāng)發(fā)現(xiàn)存在進程修改文件，則需要先掛起進程并備份文件，備份完成后則放行該進程，并判斷進程是否進行的是加密操作，若是則進一步統(tǒng)計進程針對文件的操作頻率，若頻率較高則告警，認(rèn)為是疑似勒索者病毒，并進一步輔助文件的擴展名變化形態(tài)來最終判定是否是勒索者病毒。上述實施例較比現(xiàn)有技術(shù)能夠更加準(zhǔn)確的識別勒索者病毒，并且不會影響正常軟件的操作行為，同時通過提取URL鏈接、擴展名等入庫，用于后續(xù)的勒索者病毒檢測。

以上實施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。