一种防勒索软件攻击的方法和系统与流程

本发明属于信息安全
技术领域：
，具体涉及一种防勒索软件攻击的方法和系统。
背景技术：
：勒索软件是近两年比较流行的病毒，尤其是在2016年，我国勒索软件呈爆发式增长，全国至少有497万台电脑遭到了勒索软件的攻击。勒索软件一旦感染系统会加密电脑磁盘的文档文件、图片文件、文本文件等，从而干扰用户正常使用；加密成功后会通过网页文件、txt文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金，然后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据，只有恶意代码的作者能对其解密。因此，即使用户支付了赎金给恶意代码的作者，也可能无法解密数据，这对于拥有重要资源的企业和部门是一个灾难性的事件，比如：医疗部门、银行、政府部门一旦遭受勒索软件攻击，就会使各业务系统瘫痪，损失不可估量。技术实现要素：有鉴于此，本发明的目的在于克服现有技术的不足，提供一种防勒索软件攻击的方法和系统。为实现以上目的，本发明采用如下技术方案：一种防勒索软件攻击的方法，包括以下步骤：监控并记录进程对文件进行操作的历史记录，建立进程信誉库；当进程请求对文件进行操作时，将该请求行为与进程信誉库中的信息进行比对，判断该进程是否为恶意进程；如果是恶意进程，则阻止该请求；否则放行该请求。对于新的没有历史记录的进程，采用手动设置的方式建立初始的进程信誉库。所述进程信誉库中记录有进程对文件进行操作的时间、文件的类型、操作的类型和操作的结果。所述将该请求行为与进程信誉库中的信息进行比对，具体采用以下步骤：在进程信誉库中进行考察，该进程在一段时间内是否存在相同操作的历史记录；计算该进程在一段时间内进行操作的次数，并判断次数是否符合设定的阈值；如果存在，且次数在阈值所规定的范围之内，判断该进程不是恶意进程；否则判断该进程是恶意进程。所述考察的过程具体包括以下步骤：δt时间内，是否访问过同类型文件；δt时间内，是否打开过文档；δt时间内，是否变更过文件的后缀名；δt时间内，是否读取过文件；δt时间内，是否写过文件；δt时间内，是否删除过文件；其中，δt定义为历史时间点t1到当前时间点t0之间的一段时间差，δt＝|t1-t0|，δt为预设的参数。一种防勒索软件攻击的系统，该系统包括审计模块、信誉分析模块、监控模块和进程信誉库；所述监控模块将监控到的进程对文件的操作上报给审计模块；所述监控模块从所述进程信誉库中获取关于进程的历史信誉信息，并阻止或放行该进程的操作请求；所述信誉分析模块从所述审计模块获取信息，并进一步提取进程的信誉信息，然后将最新的进程信誉信息更新到所述进程信誉库。所述监控模块上报的内容至少包括操作类型和操作结果。所述监控模块阻止或放行的判断标准是：如果该进程在一段时间内进行过相同的操作，则放行本次操作；否则阻止本次操作。该系统还包括用户界面，用于对进程的信誉进行标注。对于新的没有历史信誉信息的进程，通过所述用户界面添加信誉信息。本发明采用以上技术方案，在进程对文件进行操作之前，首先考察该进程是否有过相同操作的历史记录，从而判断该进程是否为恶意进程；如果此前已经进行过相同的操作，则证明该进程对文件的操作是安全的，否则就阻止进程进行操作，以保证绝对安全。因而本方法能够在恶意进程做出操作之前及时阻止该操作的发生，进而防止勒索软件产生破坏。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1是本发明一种防勒索软件攻击的方法流程图；图2是本发明一种防勒索软件攻击的方法具体判断流程图；图3是本发明一种防勒索软件攻击的系统结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚，下面将对本发明的技术方案进行详细的描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施方式，都属于本发明所保护的范围。如图1所示，本发明提供了一种防勒索软件攻击的方法，包括以下步骤：监控并记录进程对文件进行操作的历史记录，建立进程信誉库；当进程请求对文件进行操作时，将该请求行为与进程信誉库中的信息进行比对，判断该进程是否为恶意进程；如果是恶意进程，则阻止该请求；否则放行该请求。对于新的没有历史记录的进程，采用手动设置的方式建立初始的进程信誉库。所述进程信誉库中记录有进程对文件进行操作的时间、文件的类型、操作的类型和操作的结果。所述将该请求行为与进程信誉库中的信息进行比对，具体采用以下步骤：在进程信誉库中进行考察，该进程在一段时间内是否存在相同操作的历史记录；计算该进程在一段时间内进行操作的次数，并判断次数是否符合设定的阈值；如果存在，且次数在阈值所规定的范围之内，判断该进程不是恶意进程；否则判断该进程是恶意进程。如图2所示，所述考察的过程具体包括以下步骤：δt时间内，是否访问过同类型文件；δt时间内，是否打开过文档；δt时间内，是否变更过文件的后缀名；δt时间内，是否读取过文件；δt时间内，是否写过文件；δt时间内，是否删除过文件；其中，δt定义为历史时间点t1到当前时间点t0之间的一段时间差，δt＝|t1-t0|，δt为预设的参数。如图3所示，本发明还提供了一种防勒索软件攻击的系统，该系统包括审计模块、信誉分析模块、监控模块和进程信誉库；所述监控模块将监控到的进程对文件的操作上报给审计模块；所述监控模块从所述进程信誉库中获取关于进程的历史信誉信息，并阻止或放行该进程的操作请求；所述信誉分析模块从所述审计模块获取信息，并进一步提取进程的信誉信息，然后将最新的进程信誉信息更新到所述进程信誉库。所述监控模块上报的内容至少包括操作类型和操作结果。所述监控模块阻止或放行的判断标准是：如果该进程在一段时间内进行过相同的操作，则放行本次操作；否则阻止本次操作。该系统还包括用户界面，用于对进程的信誉进行标注。对于新的没有历史信誉信息的进程，通过所述用户界面添加信誉信息。为进一步详述本专利，结合具体的实施方式进行拓展说明。由于勒索软件的攻击是通过恶意进程加密目标文件来实现。那么，如果能够在进程访问文件之前判断出该进程是否恶意，则可以阻止文件被加密，进而防止勒索软件产生破坏。进程是否恶意可以通过建立进程信誉库来判断，进程的信誉信息主要从如下六个方面来考虑：(1)δt期间内，是否读取过文件；(2)δt期间内，是否写过文件；(3)δt期间内，是否删除过文件；(4)δt时间内，是否变更过文件的后缀名；(5)δt期间内，访问过的文档类型；(6)δt期间内，是否打开过文件；δt定义为历史时间点t1到当前时间点t0之间的一段时间差，δt＝|t1-t0|，δt≥τ，其中τ可以是30天，也可以设为其它天数。进一步地，本发明的工作流程中，在判断进程信誉的最开始，还需要增加两个环节，一个是判断该进程是否属于进程白名单，另一个是判断该进程是否经过证书签名，白名单内的进程和经过证书签名的进程，一律放行。进程白名单如下：进程名md5word.exe516657a55c7ad0ea8ab31402d25e8263cacl.exebfdf4405f1b7188873cad0a18e7db6d3qq.exe0c56c63bce5037bf905f33515538724b如果不是白名单内的进程，也没有经过证书签名，才启动判断程序，由进程信誉库的信息来进行判断是否为恶意进程。如图3所示，本发明的防勒索软件攻击的系统，该系统包括审计模块、信誉分析模块、监控模块和进程信誉库，图中的数字所标注的是各模块之间的数据接口。接口1主要是将文件i/o模块监控到的文件操作上报给文件i/o审计模块，上报的内容至少包括对文件的读取、写入和删除操作和操作结果。接口2用于获取某进程的信誉信息。文件i/o监控模块监控到有进程读取/写入/删除文件，向进程信誉库请求关于该进程的历史信誉信息。如果该进程在δt时间内读取/写入/删除过文件，则放行该进程的读取/写入/删除操作；如果该进程在δt时间内没有读取/写入/删除过文件，则阻止该进程的读取/写入/删除操作。接口3主要是信誉分析模块从文件i/o审计模块获取文件i/o操作的审计信息。其中，审计信息就是一些io操作的历史记录，例如某时刻，某进程对某文件的移动、删除、增加、打开、读取和写入的操作。信誉分析模块的功能主要是根据文件i/o操作的审计信息提取进程的信誉信息。首先需要有一个文件后缀名的名单，例如下表：后缀名doctxtpngjpgpptxls……pdfhtmlpy重命名101110……001写入111110……000删除000011……111该表是某一个进程的行为记录，表的第一行是文件后缀名，表的第二行表示该进程是否曾经将将文件的后缀名改成其他内容，例如上表里，doc列里的记录是1，则表示该进程曾经将doc的后缀名改成了其他内容。表的第三行表示该进程是否曾经写入过该类型文件，表的第四行表示该进程是否曾经删除过该类型文件。其中“1”代表是，“0”代表否。由此，某进程重命名过的文档类型可以用一个定长的bit串来表示，bit串的长度根据后缀名名单的长度来定，可以是32位，64位，128位或更长。下面为了方便，选用16位来示例。进程信誉库中所记录的信息，进程信誉表如下：δt内的平均次数计算公式：t0表示开始监控进程的时间点，tnow表示当前时间点，count则表示t0到tnow之间发生的数量。例如，某进程的重写历史re＝“1100110000000000”，其中四个bit位是1，说明该进程曾经对四种后缀名的文件做过变更操作；写入历史wr＝“1100000000000000”，说明该进程曾经对两种后缀名的文件做过写入操作；删除历史de＝“1000000000000000”，说明该进程曾经对一种后缀名的文件做过删除操作。将re、wr和de做或操作，得到r＝“1100110000000000”。最后从四个方面综合判断，分别是：r中为1的个数rc，本例中，rc＝4；δt内重命名平均个数rec；δt内写入平均个数wrc；δt内删除平均个数dec；其中，rec、wrc和dec均使用公式(1)进行计算；如果3≤rc≤5，则系统告警，如果rc>5，则系统阻断；如果rc<3，则rec、wrc和dec任一项大于设置的阈值，则进行阻断；只有当rc<3，且rec、wrc和dec均不大于设置的阈值，才放行该进程。接口4的作用是信誉分析模块将最新的进程信誉信息更新到进程信誉库。接口5的作用是通过用户界面对进程信誉进行标注，对于新的进程，一般没有历史信誉信息，需要通过接口5进行人为添加信誉信息。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本
技术领域：
的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。当前第1页12