一种勒索病毒监控方法及装置与流程

本发明涉及计算机安全技术领域，尤其涉及一种勒索病毒监控方法及装置。

背景技术：

勒索病毒一般采用零日漏洞进行传播，区别于其它恶意行为类病毒，勒索病毒往往通过正常的加密手段对数据进行加密，其行为特征与人工操作有较大的相似度，且对勒索病毒进行变种也较为简单，基于固定特征行为进行分析的杀毒软件一般难以对其行为与其它正常操作有效区分，导致无法进行预判，查杀的准确率、效率较低。

技术实现要素：

本发明实施例提供了一种勒索病毒监控方法及装置，可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。

根据本发明的一个方面，提供一种勒索病毒监控方法，包括：

监测到存在对蜜罐系统进行操作的可疑操作后，获取与所述可疑操作对应的可疑序列；

初始化沙箱系统，将所述可疑序列输入所述沙箱系统进行重放，若重放的结果和所述可疑序列满足预置恶意条件，则确定所述可疑序列为恶意序列；

获取与对用户系统进行操作的正常操作对应的正常序列后，将所述正常操作、所述可疑操作和所述恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；

再次向所述第一分类模型输入所述恶意序列，对所述第一分类模型进行勒索病毒类型的分类，得到第二分类模型；

将所述用户系统上的操作序列输入所述第二分类模型，若是勒索病毒所产生的序列，则进行预警。

优选地，所述若重放的结果和所述可疑序列满足预置恶意条件具体为：

若被重放的文件状态为预置恶意状态，且所述可疑序列包含加密api的调用的子序列。

优选地，所述预置恶意状态为已删除或无法打开或打开异常。

优选地，所述对所述第一分类模型进行勒索病毒类型的分类具体为：

基于序列相似度对所述第一分类模型进行勒索病毒类型的分类。

优选地，所述基于序列相似度对所述第一分类模型进行勒索病毒类型的分类具体为：

通过词嵌套方式计算所述恶意序列之间的序列相似度，根据所述序列相似度对所述第一分类模型进行勒索病毒类型的分类。

优选地，所述将所述用户系统上的操作序列输入所述第二分类模型，若是勒索病毒所产生的序列，则进行预警之后还包括：

将所述勒索病毒产生的序列输入所述第二分类模型中进行模型更新。

优选地，所述将所述用户系统上的操作序列输入所述第二分类模型，若是勒索病毒所产生的序列，则进行预警之后还包括：

生成所述勒索病毒的监控报告。

根据本发明的另一方面，提供一种勒索病毒监控装置，包括：

获取模块，用于监测到存在对蜜罐系统进行操作的可疑操作后，获取与所述可疑操作对应的可疑序列；

重放模块，用于初始化沙箱系统，将所述可疑序列输入所述沙箱系统进行重放，若重放的结果和所述可疑序列满足预置恶意条件，则确定所述可疑序列为恶意序列；

训练模块，用于获取与对用户系统进行操作的正常操作对应的正常序列后，将所述正常操作、所述可疑操作和所述恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；

分类模块，用于再次向所述第一分类模型输入所述恶意序列，对所述第一分类模型进行勒索病毒类型的分类，得到第二分类模型；

监控模块，用于将所述用户系统上的操作序列输入所述第二分类模型，若是勒索病毒所产生的序列，则进行预警。

根据本发明的另一方面，提供一种勒索病毒监控装置，包括处理器和存储器，所述存储器上存储有计算机程序指令，当所述程序指令被处理器执行时实现如以上所述的勒索病毒监控方法。

根据本发明的另一方面，提供一种计算机可读存储介质，所述介质上存储有计算机程序指令，当所述程序指令被处理器执行时实现如以上所述的勒索病毒监控方法。

从以上技术方案可以看出，本发明实施例具有以下优点：

本发明提供了一种勒索病毒监控方法及装置，该方法包括：监测到存在对蜜罐系统进行操作的可疑操作后，获取与可疑操作对应的可疑序列；初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若重放的结果和可疑序列满足预置恶意条件，则确定可疑序列为恶意序列；获取与对用户系统进行操作的正常操作对应的正常序列后，将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；再次向第一分类模型输入恶意序列，对第一分类模型进行勒索病毒类型的分类，得到第二分类模型；将用户系统上的操作序列输入第二分类模型，若是勒索病毒所产生的序列，则进行预警。本发明通过蜜罐系统收集可疑序列，并通过沙箱系统进行回放后确定恶意序列，然后将正常序列、可疑序列和恶意序列输入监督式机器学习引擎进行训练，得到可以分辨正常操作、病毒恶意操作的第一分类模型，然后再对第一分类模型进行基于病毒类型的分裂，得到第二分类模型，因此本发明可以不需要知道勒索病毒的先验特征，就可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本发明提供的一种勒索病毒监控方法的一个实施例的流程示意图；

图2为本发明提供的一种勒索病毒监控方法的另一个实施例的流程示意图；

图3为本发明提供的一种勒索病毒监控装置的一个实施例的结构示意图。

具体实施方式

本发明实施例提供了一种勒索病毒监控方法及装置，可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1，本发明提供的一种勒索病毒监控方法的一个实施例，包括：

101、监测到存在对蜜罐系统进行操作的可疑操作后，获取与可疑操作对应的可疑序列；

102、初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若重放的结果和可疑序列满足预置恶意条件，则确定可疑序列为恶意序列；

103、获取与对用户系统进行操作的正常操作对应的正常序列后，将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；

104、再次向第一分类模型输入恶意序列，对第一分类模型进行勒索病毒类型的分类，得到第二分类模型；

105、将用户系统上的操作序列输入第二分类模型，若是勒索病毒所产生的序列，则进行预警。

需要说明的是，蜜罐系统用于在网络中获取利用未知漏洞的攻击行为，所述蜜罐部署于用于期望监控勒索病毒的网络中，可以以蜜罐设备网络或者单台蜜罐设备的形式呈现。蜜罐其上运行常规的操作系统，包括linux或者windows等；运行典型的系统软件和应用软件，包括数据库系统、控制类系统、办公系统、文件编辑系统等。所述蜜罐中运行的操作系统被预先植入软件探针，所述探针用于收集系统中产生的事件，至少包括网络操作事件、文件操作事件、进程操作事件、关键api调用事件。

沙箱系统用于记录并分析勒索病毒在单台设备中的操作行为，所述设备安装了常规的操作系统，包括linux或者windows操作系统，运行典型的系统软件和应用软件，包括数据库系统、控制类系统、办公系统、文件编辑系统等。所述沙箱可以有效执行下发的计算机指令，捕获和记录中系统状态(内存及文件系统快照)，所述沙箱可以设定初始状态，可以设定存储运行中的任意时间状态，并可以在执行若干还原到所设定的状态。

机器学习引擎用于对输入的事件序列和对应标签进行监督训练，形成勒索病毒与正常行为的分类模型。机器学习引擎对事件序列按照其相似度进行非监督训练，形成不同勒索病毒之间的分类模型。对于一个指定软件的事件序列，机器学习引擎用于对其进行推理，用于判断其是否勒索软件。

本发明通过蜜罐系统收集可疑序列，并通过沙箱系统进行回放后确定恶意序列，然后将正常序列、可疑序列和恶意序列输入监督式机器学习引擎进行训练，得到可以分辨正常操作、病毒恶意操作的第一分类模型，然后再对第一分类模型进行基于病毒类型的分裂，得到第二分类模型，因此本发明可以不需要知道勒索病毒的先验特征，就可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。

以上为一种勒索病毒监控方法的一个实施例，为进行更具体的说明，下面提供一种勒索病毒监控方法的另一个实施例，请参阅图2，本发明提供的一种勒索病毒监控方法的另一个实施例，包括：

201、监测到存在对蜜罐系统进行操作的可疑操作后，获取与可疑操作对应的可疑序列；

在本实施例中，被检测的目标网络中部署有蜜罐系统、沙箱系统和用户系统，且设定蜜罐系统无用户操作。可以通过蜜罐系统收集其上运行的各进程的事件序列，并监测是否有对用户文件、数据库文件、配置文件等关键数据的操作，若有，称之为可疑操作，并获取到包含该可疑操作的可疑序列。

202、初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若被重放的文件状态为预置恶意状态，且可疑序列包含加密api的调用的子序列，则确定可疑序列为恶意序列；

在本实施例中，由于可疑操作中不一定是由勒索病毒进行的，因此，本发明通过初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若被重放的文件状态为已删除或无法打开或打开异常，且可疑序列包含加密api的调用的子序列，则确定可疑序列为恶意序列，即由勒索病毒所引起的恶意序列。

203、获取与对用户系统进行操作的正常操作对应的正常序列后，将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；

确定恶意序列后，需要通过在用户系统收集其上运行的各进程的正常事件序列，即正常序列。然后将将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练，得到第一分类模型。可以理解的是，第一分类模型可以用于针对勒索病毒恶意程序的操作、正常操作、可疑操作(非勒索病毒进行的)进行分类。

204、再次向第一分类模型输入恶意序列，通过词嵌套方式计算恶意序列之间的序列相似度，根据序列相似度对第一分类模型进行勒索病毒类型的分类，得到第二分类模型；

得到第一分类模型后，可以再次向第一分类模型输入恶意序列，由于恶意序列通常包含多个序列，可以是不同类型的勒索病毒产生的，故本发明通过词嵌套方式计算恶意序列之间的序列相似度，根据序列相似度对相似序列进行归类，即完成对第一分类模型进行勒索病毒类型的分类，得到第二分类模型。

205、将用户系统上的操作序列输入第二分类模型，若是勒索病毒所产生的序列，则进行预警。

得到第二分类模型后，既可以用于对用户系统上的操作序列进行监控，若是勒索病毒所产生的序列，则可以找到对应的进程并进行预警

更进一步地，步骤205之后还包括：

206、将勒索病毒产生的序列输入第二分类模型中进行模型更新。

由于步骤205中的勒索病毒可能是新类型的勒索病毒，因此可以将其对应的序列输入第二分裂模型进行增量训练，以更新模型。

更进一步地，步骤205之后还包括：

207、生成勒索病毒的监控报告。

确定是勒索病毒产生的操作后，可以生成勒索病毒的监控报告供用户查阅。

本发明通过蜜罐系统收集可疑序列，并通过沙箱系统进行回放后确定恶意序列，然后将正常序列、可疑序列和恶意序列输入监督式机器学习引擎进行训练，得到可以分辨正常操作、病毒恶意操作的第一分类模型，然后再对第一分类模型进行基于病毒类型的分裂，得到第二分类模型，因此本发明可以不需要知道勒索病毒的先验特征，就可有效针对于已有的勒索病毒、其变种或者新型勒索病毒进行监控。

以上是对本发明提供的一种勒索病毒监控方法进行的详细说明，以下将对本发明提供的一种勒索病毒监控装置的结构和连接关系进行说明，请参阅图3，本发明提供的一种勒索病毒监控装置的一个实施例，包括：

获取模块301，用于监测到存在对蜜罐系统进行操作的可疑操作后，获取与可疑操作对应的可疑序列；

重放模块302，用于初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若重放的结果和可疑序列满足预置恶意条件，则确定可疑序列为恶意序列；

训练模块303，用于获取与对用户系统进行操作的正常操作对应的正常序列后，将正常操作、可疑操作和恶意操作输入预置机器学习引擎进行训练，得到第一分类模型；

分类模块304，用于再次向第一分类模型输入恶意序列，对第一分类模型进行勒索病毒类型的分类，得到第二分类模型；

监控模块305，用于将用户系统上的操作序列输入第二分类模型，若是勒索病毒所产生的序列，则进行预警。

更进一步地，重放模块302还用于初始化沙箱系统，将可疑序列输入沙箱系统进行重放，若被重放的文件状态为预置恶意状态，且可疑序列包含加密api的调用的子序列，则确定可疑序列为恶意序列。

更进一步地，预置恶意状态为已删除或无法打开或打开异常。

更进一步地，分类模块304，用于再次向第一分类模型输入恶意序列，通过词嵌套方式计算恶意序列之间的序列相似度，根据序列相似度对第一分类模型进行勒索病毒类型的分类，得到第二分类模型。

更进一步地，本发明提供的一种勒索病毒监控装置还包括：

更新模块，用于将勒索病毒产生的序列输入第二分类模型中进行模型更新。

更进一步地，本发明提供的一种勒索病毒监控装置还包括：

生成模块，用于生成勒索病毒的监控报告。

本发明提供的一种勒索病毒监控装置的另一个实施例，包括处理器和存储器，存储器上存储有计算机程序指令，当程序指令被处理器执行时实现如以上所述的勒索病毒监控方法。

本发明还涉及一种计算机可读存储介质，介质上存储有计算机程序指令，当程序指令被处理器执行时实现如以上所述的勒索病毒监控方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。