一种基于进程蜜点的勒索软件防御方法、系统及存储介质

本发明涉及勒索软件防御，尤其是一种基于进程蜜点的勒索软件防御方法、系统及存储介质。

背景技术：

1、勒索软件是一种恶意软件，其主要目的是通过加密文件或者限制系统访问对系统使用者进行勒索。勒索软件通常通过电子邮件、恶意软件下载、漏洞利用等方式传播，传播手段防不胜防，对系统使用者存在巨大的威胁。

2、现有的勒索软件检测手段是基于勒索软件的典型行为模式进行检测。一方面现有的勒索软件检测需要消耗较高的计算资源和存储资源，对于计算能力较低的设备来说，可能会导致系统运行缓慢；另一方面现有的勒索软件检测需要基于特征库，制定检测规则，通过匹配规则来识别勒索软件，一旦勒索软件的特征和行为模式不在规则库中，就无法进行有效的检测，因此难以应对未知威胁。此外基于行为的检测模式由于某些合法软件也可能会表现出类似的行为，导致现有的勒索软件检测存在误报率较高的缺陷。

技术实现思路

1、有鉴于此，本发明实施例提供一种基于进程蜜点的勒索软件防御方法、系统及存储介质。

2、本发明的第一方面提供了一种基于进程蜜点的勒索软件防御方法，应用于进程蜜点生成器，包括以下步骤：

3、生成进程蜜点，将生成的所述进程蜜点的进程标识符作为第一进程标识符发送至监控器；

4、实时监控所述进程蜜点的进程状态；

5、当所述进程蜜点被异常中止时，将被异常中止的进程蜜点的进程标识符作为第二进程标识符发送至监控器，获取中止所述进程蜜点的勒索软件信息；

6、向用户告警所述勒索软件信息。

7、进一步地，所述生成进程蜜点，具体包括以下步骤：

8、创建空白可执行文件；

9、确定目标伪装文件，所述目标伪装文件指所述空白可执行文件的伪装目标；

10、将所述空白可执行文件的文件名修改为与目标伪装文件一致的文件名；

11、执行所述空白可执行文件，将所述空白可执行文件的运行实例作为进程蜜点。

12、进一步地，所述进程蜜点属于所述进程蜜点生成器的进程树且是所述进程蜜点生成器运行实例的子进程。

13、进一步地，所述勒索软件信息通过所述监控器发回；所述获取中止所述进程蜜点的勒索软件信息，具体通过共享内存接收所述监控器发回的勒索软件信息。

14、本发明第二方面公开一种基于进程蜜点的勒索软件防御方法，应用于监控器，包括以下步骤：

15、在系统用户层中监视进程创建事件，记录新创建的进程并建立进程创建事件集；

16、自进程蜜点生成器接收进程蜜点的第一进程标识符，在系统驱动层中监视访问所述进程蜜点的进程作为目标进程，记录所述目标进程并建立进程访问事件集；

17、自进程蜜点生成器接收被异常中止进程蜜点的第二进程标识符，根据所述第二进程标识符确定勒索软件信息；

18、将所述勒索软件信息传输至进程蜜点生成器。

19、进一步地，所述在系统驱动层中监视访问所述进程蜜点的进程，具体包括以下步骤：

20、根据所述第一进程标识符确定需要监视的进程蜜点；

21、在驱动层捕获获取所述进程蜜点的进程句柄的进程操作；

22、将发出所述获取进程操作的进程作为目标进程。

23、进一步地，所述进程创建事件集中记录新创建进程的进程标识符和进程对应的文件路径；所述进程访问事件集中记录目标进程的进程标识符。

24、进一步地，所述根据所述第二进程标识符确定勒索软件信息，具体包括以下步骤：

25、以所述第二进程标识符为条件在所述进程访问事件集中筛选访问所述被异常中止进程蜜点的目标进程，确定目标进程标识符；

26、以所述目标进程标识符为条件在所述进程创建事件集中检索；

27、如能够在所述进程创建事件集中检索到所述目标进程标识符，则获取所述目标进程标识符对应的文件路径；以所述目标进程标识符和对应的文件路径作为勒索软件信息返回至所述进程蜜点生成器；

28、如不能在所述进程创建事件集中检索到所述目标进程标识符，则向所述进程蜜点生成器返回空的勒索软件信息。

29、本发明第三方面公开一种基于进程蜜点的勒索软件防御系统，包括进程蜜点生成器以及监控器；

30、所述进程蜜点生成器执行上述应用于进程蜜点生成器的一种基于进程蜜点的勒索软件防御方法；

31、所述监控器执行如上述应用于监控器的一种基于进程蜜点的勒索软件防御方法；

32、本发明第四方面公开一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现一种基于进程蜜点的勒索软件防御方法。

33、本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前面的方法。

34、本发明的实施例具有如下方面有益效果：本发明利用勒索软件对系统文件的加密过程需要终止文件锁定进程的特点，通过进程蜜点生成器创建进程蜜点，并将进程蜜点伪装为文件锁定进程，使得勒索软件在扫描进程时会不可避免的触碰到进程蜜点；同时通过监控器捕捉终止进程蜜点的目标进程，根据目标进程确定勒索软件并向用户告警。本发明克服了现有勒索软件检测手段计算消耗大、检测范围小、误报率高的缺陷。本发明所提出的勒索软件防护方法具有资源开销小，检测效率高的特点，且不易被勒索软件识别，具有较好的应用前景。

35、本发明的附加方面和优点将在下面的描述部分中给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

技术特征：

1.一种基于进程蜜点的勒索软件防御方法，应用于进程蜜点生成器，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述生成进程蜜点，具体包括以下步骤：

3.根据权利要求2所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述进程蜜点属于所述进程蜜点生成器的进程树且是所述进程蜜点生成器运行实例的子进程。

4.根据权利要求1所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述勒索软件信息通过所述监控器发回；所述获取中止所述进程蜜点的勒索软件信息，具体通过共享内存接收所述监控器发回的勒索软件信息。

5.一种基于进程蜜点的勒索软件防御方法，应用于监控器，其特征在于，包括以下步骤：

6.根据权利要求5所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述在系统驱动层中监视访问所述进程蜜点的进程，具体包括以下步骤：

7.根据权利要求5所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述进程创建事件集中记录新创建进程的进程标识符和进程对应的文件路径；所述进程访问事件集中记录目标进程的进程标识符。

8.根据权利要求7所述的一种基于进程蜜点的勒索软件防御方法，其特征在于，所述根据所述第二进程标识符确定勒索软件信息，具体包括以下步骤：

9.一种基于进程蜜点的勒索软件防御系统，其特征在于，包括进程蜜点生成器以及监控器；

10.一种计算机可读存储介质，其特征在于，所述存储介质存储有程序，所述程序被处理器执行实现如权利要求1-8中任一项所述的方法。

技术总结
本发明公开了一种基于进程蜜点的勒索软件防御方法、系统及存储介质。本发明利用勒索软件对系统文件的加密过程需要终止文件锁定进程的特点，通过进程蜜点生成器创建进程蜜点，并将进程蜜点伪装为文件锁定进程，使得勒索软件在扫描进程时会不可避免的触碰到进程蜜点；同时通过监控器捕捉终止进程蜜点的目标进程，根据目标进程确定勒索软件并向用户告警。本发明克服了现有勒索软件检测手段计算消耗大、检测范围小、误报率高的缺陷。本发明所提出的勒索软件防护方法具有资源开销小，检测效率高的特点，且不易被勒索软件识别，具有较好的应用前景。

技术研发人员：孙彦斌,黎锦城,方滨兴,田志宏,韩冰,梁露露,李默涵,姜誉,鲁辉,苏申,谭庆丰,仇晶,徐光侠,刘园
受保护的技术使用者：广州大学
技术研发日：
技术公布日：2024/1/16