阻止网络钓鱼或勒索软件攻击的方法和系统与流程

本发明涉及阻止网络钓鱼(fishing)或勒索软件(ransomware)攻击的方法和系统。

背景技术：

随着黑客散播的网络钓鱼或勒索软件的多样化，更多的用户的数据正在受到威胁。通常，网络钓鱼是指因泄露保存于用户终端机的数据的攻击而获取用户终端中的帐户信息或电子证书、主要数据等的攻击。另外，勒索软件是一种攻击技术，在加密保存或连接于网络存储器的用户终端的数据以便用户无法访问之后要求钱财的攻击方法。最近，从泄露用户需信息，导致无法使用户使用直至直接伪造终端机的硬盘分区直接导致无法使用pc终端机，其方法与形式正在多样化。

应对这种网络钓鱼的现有方法使用了对pc内储存空间加密并确认访问该特定存储空间的程序是否是提前指定的程序的技术，但是仍在发生即使该储存空间被加密也可以获取和解密构成加密存储空间的文件的情况。

另外，对于应对勒索软件攻击的现有方法有将pc内资料周期性地备份在安全的存储区域，即使pc受到勒索软件的攻击也可使用备份的资料的方法。但是，即使是使用该方法，也存在无法避免最近工作的文件丢失的问题。另一种现有方法是通过预先注册访问文件服务器的程序仅允许pc中的授权程序访问资料，进而可以通过防止未预先注册的程序访问数据来防止程序访问资料。然而，这种方法存在需预先注册授权的程序的不便，并且当需要随时安装程序时并不能每次都要麻烦地注册程序，因而也存在局限性。

而且，在最近正在发生一种示例是勒索软件本身并不只加密储存在pc内的数据，而是加密整个pc，或者将安装在pc的硬件全部加密，要求赎金，仍出现只防止数据加密是不够的状况。

此外，还发生不仅加密pc，而且也加密linux或unix服务器上的全部数据，因此处于需要一种从根本上应对的方案的状况。因此，需要一种新技术，为预防网络钓鱼，不使在pc或服务器生成的加密储存空间被盗，同时即使勒索软件在pc或者服务器区分驱动也能够组织其攻击。

技术实现要素：

(要解决的问题)

本发明提供如下的阻止网络钓鱼或勒索软件攻击的方法和系统：从pc或服务器提供可连接网络文件服务器的驱动器和客户端程序，在只有预先指定的程序允许该存储空间中的文件的情况下，文件服务器允许访问，而在除此之外的情况下，可以通过阻止访问来有效阻止网络钓鱼；以及虽然通常的pc或服务服务器中的程序可以生成不存在于网络驱动器中的文件，但是除了预先指定的程序的文件编辑请求以外，使所有程序都无法加密、变更或删除存储于网络文件服务器中的数据，而是网络文件服务器仅以只读模式向pc或服务服务器提供文件从而可以有效防止勒索软件。更具体地说，在pc或服务服务器安装自定义文件系统驱动程序，以便正在存储于网络文件服务器中的文件和文件夹可用作驱动器或分区被安装使用，

提供如下的方法以及系统：除非通过预先指定的程序访问存在于网络文件服务器中的特定文件或文件夹，则网络文件服务器无法访问文件；以及除非通过预先指定的网络文件服务器用户客户端程序设置为编辑模式以便能够编辑特定文件或文件夹，安装在pc或服务服务器上的驱动器中发出文件打开请求，则网络文件服务器只以只读模式在pc打开文件。

(解决问题的手段)

根据本发明一方面，提供一种阻止网络钓鱼或勒索软件攻击的系统，作为阻止网络钓鱼或勒索软件攻击的系统包括：网络文件服务器；以及nfs客户端(networkfileserverclient，网络文件服务器客户端)，设置在用户终端机或者服务服务器，并且与位于远程的所述网络文件服务器通信连接；其中所述网络文件服务器，具有关于所述网络文件服务器中的保管文件从所述nfs客户端的请求访问或者打开的情况下，对于请求访问或者打开的用户信息以及程序信息中的至少一种判定是否合格，若根据判定结果形成不合格时，则阻止访问关于所述请求访问的文件或者只以只读模式向所述nfs客户端提供所述请求打开的文件，其中所述网络文件服务器以网络驱动器形式安装在所述用户终端机或者服务器。

根据本发明另一方面，提供一种阻止网络钓鱼或勒索软件攻击的系统，作为阻止勒索软件攻击的系统包括：网络文件服务器；以及nfs客户端(networkfileserverclient，网络文件服务器客户端)，设置在用户终端机或者服务服务器，并且与位于远程的所述网络文件服务器通信连接；其中所述网络文件服务，具有关于所述网络文件服务器中的保管文件从所述网络文件服务器客户端的文件变更请求的情况下，对进行变更请求的用户信息以及程序信息中的至少一种判定是否合格，根据判定结果形成不合格的情况下，则不允许所述文件变更请求。

根据本发明另一方面，提供一种阻止网络钓鱼或勒索软件攻击的系统，作为阻止勒索软件攻击的系统包括：网络文件服务器；以及nfs客户端(networkfileserverclient，网络文件服务器客户端)，设置在用户终端机或者服务器，并且与位于远程的所述网络文件服务器通信连接；其中所述nfs客户端关于所述网络文件服务器中的保管文件夹或者文件，提供选择信息以使用户选择转换以及结束编辑模式，其中，所述网络文件服务器以网络驱动器形式安装在所述用户终端或者所述服务器；所述网络文件服务器在具有从所述nfs客户端打开或者变更文件的请求情况、所述打开或者变更请求并不是根据选择切换到所述编辑模式的状态下的请求情况下，只以只读模式向所述nfs客户端提供所述请求打开的文件或者不允许对所述文件变更请求。

根据本发明的实施例，阻止勒索软件攻击的系统可如下运行：

在一实施例中，对于windows资源管理器的文件访问请求，网络文件服务器能够以读取/编辑(read/write)使用文件。相反，对于除了windows资源管理器以外的文件请求，能够以只读(readonly)提供文件。

在另一实施例中，对于预先指定的程序的文件访问请求，网络文件服务器以读取/编辑(read/wirte)提供文件，在此之外的情况，能够以只读(readonly)提供文件。

在其他一实施例中，网络文件服务器只对预先指定的程序的文件访问请求能够以读取(read)提供文件，而对于除此之外的情况可拒绝访问(accessdeny)。

根据本发明的实施例，阻止网络钓鱼攻击的系统可如下运行：

在一实施例中，在安装网络文件系统客户端程序时预先选择待允许访问的程序，提取所选程序的二进制文件的哈希值来传达于服务器，以后可准备在服务器验证请求文件的程序是哪一种程序。

在此，若在网络文件系统中发生文件请求，则确认网络文件系统自定义驱动器请求的程序，并且可生成该程序的哈希值传达于服务器。另外，网络文件服务器确认是否是预先注册的程序，若是预先注册的程序，则提供文件，除此之外可不提供文件。

(发明的效果)

根据本发明的实施例，具有如下的效果：用户操作pc终端机使用各种程序时，即使是因为黑客的骗术运行恶意代码并在pc内运行勒索软件，也可保护与pc终端机连接的网络驱动器内的用户数据。据此，无需为了应对勒索软件而实时执行备份作业，而且能够克服为了只使授权的程序访问而另外注册程序的复杂性。

附图说明

图1是包括安装有以只读模式运行的网络文件服务器以及客户端程序的pc的整个系统框图。

图2是根据本发明的实施例以只读打开文件时在标题栏显示只读的画面示例。

图3是在dos命令窗口而不是windows资源管理器窗口中以命令语改变网络文件系统驱动器中的文件名的情况进行拒绝的画面示例。

图4是在windows资源管理器中网络文件服务器的储存空间安装在驱动器之后，用户利用在windows资源管理器附加安装的网络文件服务器客户端程序，将网络文件服务器中的储存空间的文件转换为“编辑模式”的情况的画面示例。

图5是使用特定用户id以编辑模式打开的文件显示于windows口资源管理器时使锁形状的图表一同显示于文件图表上的画面示例。

图6是在使用特定用户id在网络文件服务器中解锁锁定文件时实施能够发送编辑模式结束命令的网络文件服务器客户端程序的画面示例。

具体实施方法

本发明可施加各种变化，可具有各种实施例，其中将特定的实施例示例于附图并进行详细说明。但是这并不是要将本发明限定于特定实施形态，而是应该理解为包括包含于本发明的思想以及技术范围的所有变化、同等物乃至代替物。

在说明本发明时，若判断对于相关公知技术的具体说明使本发明的要点不清楚的情况下，则省略该详细说明。另外，在本说明书的说明过程中使用的数字(例如，第一、第二等)仅是用于从一构成要素区分其他构成要素的识别记号。

另外，在说明书全文中，通过与其他构成要素“结合”或者“连接”等表述一构成要素时，所述一构成要素也可与所述其他构成要素直接结合或者直接连接，但是只要不存在特别反对的记载，应理解为中间介入其他结合或者连接部件/工具进行结合或者连接。

另外，在说明书全文中，在某一部分“包括”某一构成要素时，除非有特别反对的记载，这意味着并不是将其他构成要素除外，而是还可包括其他构成要素。另外，在说明书记载的“部”、“模块”等的用语意味着处理至少一种功能或者动作的单位，这意味着可由一个以上的硬件或者软件、硬件以及软件的组合实现。

图1是包括安装有以只读模式运行的网络文件服务器以及客户端程序的pc的整个系统框图。以下，对于本发明的实施例的阻止勒索软件攻击的方法以及系统以图1的系统框图为中心一同参照图2至图6说明本发明。在本说明书中以诸如pc的用户终端机会话连接于网络文件服务器的情况为中心进行说明，而对于服务器会话连接于网络文件服务器的情况也可通过以下的说明相同或类似地实现，并且这是显而易见的。

参照图1，在用户的pc(personalcomputer，个人电脑)安装网络文件服务器客户端。用户的pc通过网络文件服务器客户端与远程的网络文件服务器(networkfileserver；以下，称为nfs)通信连接。

在本发明的实施例中，为了确认是否是正常用户，驱动网络文件服务器客户端程序(图1的nfsuserclientprogram(用户客户端程序))

正常完成用户认证，如此通过安装在pc的自定义文件系统驱动程序(customfilesystemdriver)网络文件服务器(nfs)的储存空间可安装到pc的驱动器。即，此时安装在pc的驱动器是虚拟驱动器(virtualdrive)。

然后，若用户尝试使用windows资源管理器或其他常用应用程序打开存储于映射在网络文件服务器的驱动器中的文件，则自定义文件系统驱动器确认尝试的打开文件请求是哪一种程序的请求，在文件打开请求添加用户信息以及程序名中的至少一种发送于网络文件服务器。在本说明书中，为了方便以及集中说明，假设使用用户id作为所述用户信息来进行说明。但是，只要是能够识别用户的信息除了用户id以外当然也可使用各种用户信息。

但是，根据实现方式在pc驱动网络文件服务器客户端时，若在网络文件服务器认证用户id与密码，则对于该访问会话使用该id无需传达id值，并且这是显而易见的。

通常，文件服务器是认证请求文件的终端机的用户账户，在相互间的会话连接完成之后不检查请求数据的程序。即，通过现有技术，网络文件服务器客户端驱动器只是向文件服务器请求文件，并未向服务器提供什么程序请求什么文件的信息。

但是，为了在文件服务器中心阻止勒索软件，应传达当前请求文件的主体的哪一种终端、用户，不仅如此也一同传达是哪一种程序，才能够从文件服务器观点进行判断，因此有必要限于预先指定的程序的情况下提供文件。

因此，在本发明中自定义文件系统驱动器向网络文件服务器一同请求要访问文件的程序的识别值，在接收的程序识别值与预先指定的程序识别值不同的情况下，驱动网络文件服务器守护程序只以只读提供数据。

根据结构，网络文件服务器守护程序在不仅预先指定请求文件的程序，还预先指定用户id，在不是预先指定的id的情况下，网络文件服务器守护程序可提供于自定义文件系统驱动器，以使对该文件打开请求的阅览处于只读模式。据此，预先指定的程序不是os(operatingsystem，操作系统)的基本资源管理器的情况下，运行网络文件服务器守护程序，以在pc能够以只读模式访问由网络文件服务器提供的文件。

另外，改变结构，驱动在驱动网络文件服务器客户端驱动器时，从服务器预先接收可能向服务器请求的程序目录，之后如果请求文件的程序不是预先指定的程序，则客户端程序模块也可在内核级别使用“无权限访问”的消息回复请求该文件的程序。

图2是根据本发明的实施例以只读打开文件时在标题栏显示只读的画面示例。

另外，在通过本发明的实施例，特定用户程序以读取/编辑模式打开驱动器内文件来运行的情况下，自定义文件系统驱动器确认当前请求是通过哪一种程序的请求，在用读取/编辑模式请求打开文件的同时添加用户id以及程序名称中的至少一种可发送于网络文件服务器。

在这一情况下，根据本发明的实施例的网络文件服务器守护程序可以向自定义文件系统驱动器发送针对以读取/编辑模式访问文件请求的拒绝信息。据此，自定义文件系统驱动器重新接收该信息可发送于程序。

另外，作为其他一运行方法，在通用程序尝试以读取/编辑模式打开文件服务器中的文件的情况下，自定义文件系统驱动器确认当前请求是通过哪一种程序的请求，并且以读取/编辑模式请求打开文件的同时添加程序名称可发送于网络文件服务器。在这种情况下，在针对该文件打开请求并不是预先指定的程序的情况下，网络文件服务器守护程序能够以只读文件打开模式将该文件提供于自定义文件系统驱动器。据此，若不是预先指定的程序，则在pc只以只读提供由网络文件服务器提供的文件。

如上所述运行的程序大致作为诸如word或powerpoint的常用程序，office程序本身尝试在文件系统中打开文件时，它会尝试以读取/写模式打开它，但是当文件是由文件系统以只读文件属性提供，则自动以只读模式阅览文件。

另外，通过本发明的实施例，当用户使用windows资源管理器或常用应用程序在与网络文件服务器映射的驱动器上最初生成文件时，网络文件服务器客户端中的自定义文件系统驱动器添加程序和编辑文件信息将文件生成请求传达于网络文件服务器。

在这一情况下，网络文件服务器守护程序可在网络文件服务器中的文件系统允许的范围内生成该文件。在此，举例说明在服务器中文件系统允许范围，可以是相同的文件名不存在于服务器的文件系统情况、在服务器的文件系统剩余更多存储容量的情况或者尝试创建的文件名规则未超出服务器的文件系统限制的情况等。

在网络文件服务器生成文件的情况下，网络文件服务器守护程序将该用户id对该文件具有编辑权限更新在编辑权限db(database，数据库)(参见图1中的db)，并向自定义文件系统驱动器传达该文件以用读取/编辑模式阅览该文件。

在这一情况下，自定义文件系统驱动器将对文件以读取/编辑模式打开文件传达至程序，并在结束程序之前可修改该文件。

然后，在结束程序时，由自定义文件系统驱动器检测到文件关闭的情况下，自定义文件系统驱动器将文件关闭活动传达于网络文件服务器守护程序，接收该活动的网络文件服务器守护程序可在具有对该文件的编辑权限信息的编辑权限db消除该用户id。

在此，每个操作系统文件系统可生成各种文件以及存在各种关闭函数。例如，windows操作系统在生成文件时也可生成openfile()、createfile()，在关闭文件时能够以close(),closefile()进行关闭，因此相比于忠实于每一个命令，本说明书是以整个操作过程为中心描述本说明书。

另外，在此网络文件服务器客户端可以是在windows资源管理器扩张由上下文菜单实现的程序，并且可用另外的程序驱动，不限制其实现方式。

另外，通过本发明的实施例，用户利用windows资源管理器或者常用应用程序在与网络文件服务器映射的驱动器变更文件的情况下，自定义文件系统驱动器对于位于网络文件服务器中的文件检测文件变更命令，在该文件信息添加文件变更命令信息、当前命令是通过哪一种程序生成的程序信息以及用户id中的至少一种，可发送至网络文件服务器。

在此，文件变更请求意味着诸如加密文件、删除文件、变更文件名、移动文件、变更文件时间、变更文件文本内容、变更文件二进制值等的相关请求。

网络文件服务器守护程序在该用户会话通过编辑权限db可确认是否在该操作对象文件具有编辑权限的id。根据确认结果，只在网络文件服务器守护程序从对该操作对象文件赋予编辑权限的用户id请求变更文件的情况允许文件变更命令。

但是，根据情况，通过本发明的另一实施例，即使对该用户id未赋予编辑权限的情况，在请求该操作请求的程序是windows资源管理器的情况下，也可允许文件删除命令。在此，对于生成文件删除命令的是windows资源管理器的情况下，视为是用户的直接操作，并且可以正常处理文件删除命令也无妨。作为与此相关的实施例，图3是在dos命令窗口而不是windows资源管理器窗口中以命令语删除网络文件系统驱动器中的文件名的情况进行拒绝的画面示例。即，图3是示出了通过其他应用程序而不是windows资源管理器未赋予编辑权限的id的用户尝试删除文件的情况下不允许删除文件的情况。

使用与上述类似的方式，根据实现方法，在由预先指定的程序执行读取命令的情况下，允许对该文件的阅览，但是对于除此之外的程序执行读取命令也可被网络文件服务器侧(更详细地说，网络文件服务器守护程序)拒绝(禁止读取)。

实际上，若将电子证书保存于通常的网络文件服务器并安装在操作系统，则在操作系统上运行的所有程序都可以访问(读取)，但是若预先设定只使电子证书客户端程序能够访问，则只通过电子证书客户端程序请求打开文件来提供文件，并阻止除此之外的所有程度的文件阅览请求。另外，根据结构，若进行只限电子证书生成程序访问该网络驱动器来生成文件，则只有预先指定的电子证书生成程序使用该文件，并且这也是显而易见的。

网络文件服务器守护程序在执行文件变更命令之后可向自定义文件系统驱动器传达结果。此时，最终对操作请求的结果通过自定义文件系统驱动器向该操作请求程序传达，从而向用户显示结果。

以上，对于预先指定的程序举例说明了windows资源管理器，对于如此例外处理的程序的重量或者/以及程序名根据操作系统可有所不同。举一示例，在mswindows中用户可直接操作文件的程序名是windows资源管理器，但是在applemacos中用finder运行，在linux的windowsx中文件浏览器亦是如此。

另外，对于在网络文件服务器完成处理之后的处理过程，可根据操作系统运行方式有所不同。在网络文件服务器完成最终动作之后也可告知自定义文件系统驱动器，但是自定义文件系统驱动器可确认在网络文件服务器是如何进行作业请求。

另外，以上根据该程序或者用户id对该工作文件是否赋予编辑权限决定是否允许处理文件变更的情况为主进行了说明，除此之外也可有各种变形。例如，也可以省略关于是否对用户赋予编辑权限的对照过程。

例如，如图4所示，即使用户通过故意操作以常用程序而不是预先指定的程序阅览文件，也以“切换为编辑模式”打开文件可进行编辑的情况下，即使不是预先指定的程序文件服务器也能够针对该文件以读取/编辑属性提供文件。根据情况，因为如果用户的故意操作被认可为可明确区分不是勒索软件攻击的情况则也可以实现允许的文件变更请求。在此，图4是在windows资源管理器中网络文件服务器的储存空间安装在驱动器之后，用户利用在windows资源管理器附加安装的网络文件服务器客户端程序，将网络文件服务器中的储存空间的文件转换为“编辑模式”的情况的画面示例。

对此的具体实现方法如下：若网络文件服务器客户端用正常认证的用户id对特定路径的文件选择转换为编辑模式，则可确认网络文件服务器上的编辑模式处理部(参见，图1的user(用户)编辑模式处理部)可确认特定路径的文件是否已通过其他用户id设置为编辑。此时，在未注册其他用户id的情况下，编辑模式处理部通过编辑权限db对该用户id赋予编辑该文件权限，限于该用户id变更设定从而能够读取/编辑，并且可向网络文件服务器客户端告知变更完成，对于转换为读取/编辑的文件即使该用户用未预先指定的程序访问，对于文件网络文件服务器也能够以读取/编辑模式提供文件。

另外，根据实现方式网络文件服务器内的文件每次转换为编辑模式时，可在网络文件服务器强制保留修订版，并且这是显而易见的。与此不同，如图6所示，用户直接选择“生成修订版”，进而也可保留修订版文件，并且这当然是显而易见的。

如上所述，在用编辑模式打开文件的情况下，如图5所示也可一同显示能够从视觉上区分用编辑模式运行该文件的图标。在此，图5是使用特定用户id以编辑模式打开的文件显示于windows资源管理器时，使得锁形状的图表一同显示于文件图表上的画面示例。

如上所述编辑模式是通过用户操作也可处理为结束编辑模式。与此相关的示例已在图6示出，在此，图6是在使用特定用户id在网络文件服务器中解锁锁定文件时实施能够发送编辑模式结束命令的网络文件服务器客户端程序的画面示例。此时，在选择结束编辑模式的情况下，网络文件服务器的编辑模式处理部在编辑权限db可删除对该路径的文件的该用户id，以使该用户无法再用编辑模式打开该文件。

另外，对于上述的转换至编辑模式或者/以及结束编辑模式的处理也能够以单位文件为单位进行，但是根据情况在文件驱动上所需范围内或者已设定范围内可同时运行多个文件。作为一个示例，就像cad或软件开发工具的情况，在需要同时访问具有子文件夹的参考文件的情况，通过对某一文件的转换/结束编辑模式操作也可将与此相关的该子文件夹或者子文件夹内的参考文件一同以编辑模式进行转换/结束处理。

此外，即使当网络文件服务器客户端试图通过驱动安装在与文件扩展名连接的pc中的程序来尝试打开在所述路径的文件时，每个实现方法也可能根据操作系统而不同。例如，对于在mswindows驱动的情况，若由shell命令(shellcommand)支持的shellexecute通过“打开文件路径以及文件名”尝试阅览该文件，则操作系统看到文件的扩展名运行默认连接程序，同时将文件路径传递给默认连接程序来浏览文档。

另外，以上主要说明了每次请求阅览、生成或变更文件时自定义文件系统驱动器向网络文件服务器守护程序发送请求文件的程序的固有值(哈希)与用户id的情况，但是根据情况可进行其他变形。即，根据实现方式，最初用户认证完成之后如果是网络文件服务器记录对该访问会话的用户id的情况，则在之后的阅览、生成、变更文件等的请求过程中自定义文件系统驱动器未附加用户id也可传达于网络文件服务器守护程序。

另外，本发明不仅是用户pcos，基于linux或unix系统的服务服务器安装网络文件服务器的特定存储空间使用数据的情况也可同样地适用，并在这是显而易见的。

更详细地说，在linux或unix服务服务器中尝试通过由该系统上的存储分区构成网络文件服务器的存储空间要访问数据的情况下，即使服务服务器向存储在网络文件服务器中的文件发送文件阅览或修改请求，除非是文件服务器通过预先指定的流程生成文件访问请求的情况，也可阻止文件访问，若是预先指定的流程的情况，也能够只以只读提供文件，并且这是显而易见的。

上述本发明实施例的组织勒索软件攻击的方法可作为电脑可读取代码，在能够由电脑读取的记录介质实现。作为电脑可读取的记录介质包括可通过电脑系统解读的数据的所有种类的记录介质。例如，可以是rom(readonlymemory,只读存储器)、ram(randomaccessmemory,随机存取存储器)、磁带、磁盘、闪存、光数据存储设备等。另外，计算机可读记录介质可以在连接到计算机网络的计算机系统中分布，并且作为能够以分布方式读取的代码保存并执行。

以上，参照本发明的实施例进行了说明，但是在不超出在权利要求的范围记载的本发明的思想以及区域的范围内能够进行各种修改以及变更，并且只要是在该领域具有通常知识的技术人员能够容易理解。