勒索软件防御方法、系统、电子装置和存储介质与流程

1.本技术涉及信息安全领域，特别是涉及勒索软件防御方法、系统、电子装置和存储介质。


背景技术：

2.目前勒索软件已发展成为完整的黑色产业链，对企业的数据及财产安全构成重大威胁，勒索软件通常使用木马病毒的形式传播，将自身为掩盖为看似无害的文件。相关技术提出了以下两种对抗勒索软件的方案。
3.方案1：基于污点文件(诱饵文件)的方式，通过在目标系统中部署污点文件(诱饵文件)，并监控污点文件(诱饵文件)的改变，当检测到改变时则认为是勒索软件运行，此时告警或结束发起的进程。
4.缺点：基于污点文件(诱饵文件)的方式需要有几个前提，首先，假设了勒索软件遍历文件时优先遍历到污点文件(诱饵文件)，否则将导致改写污点文件(诱饵文件)之前已经有用户文件被勒索软件加密，其次，此方式还假设勒索软件是按照顺序进行加密，如果遍历文件后打乱顺序，一样会导致用户文件被勒索软件加密。并且此方案将在用户的文件目录下生成多余的文件，可能对用户造成误解。
5.方案2：基于黑名单的检测方式，此方法本质上需要依赖于杀毒软件或杀毒引擎，采用主动防御的思路，在进程启动时(勒索软件也要创建进程)进行实时检测，如果是恶意程序则不允许启动。
6.缺点：基于黑名单的检测方式的缺陷在于有较大的滞后性，进行过免杀、加壳处理的勒索软件极有可能不被杀毒软件发觉，一旦勒索软件正常运行，全盘加密将在很短的时间内执行完毕，将对用户的数据及财产造成重大危害。
7.针对相关技术中勒索软件防御的普适性差且有滞后性的问题，目前还没有提出有效的解决方案。


技术实现要素：

8.在本实施例中提供了一种勒索软件防御方法、系统、电子装置和存储介质，以解决相关技术中勒索软件防御的普适性差且有滞后性的问题。
9.第一个方面，在本实施例中提供了一种勒索软件防御方法，所述方法包括：
10.获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；
11.对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别，其中，所述类别包括勒索软件访问类型和非勒索软件访问类型；
12.根据各所述访问关系所属的类别确定对应于各所述主体的访问控制策略，并下发所述访问控制策略至相应节点，其中，所述访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程。
13.在其中一些实施例中，在对所述至少一对访问关系进行分析，确定各所述访问关
系所属的类别之前，所述方法还包括：
14.滤除系统进程对系统文件进行访问之后生成的访问关系。
15.在其中一些实施例中，在对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别之前，所述方法还包括：
16.滤除桌面进程对用户文件进行访问之后生成的访问关系。
17.在其中一些实施例中，对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别包括：
18.确定多对访问关系中具有相同主体的访问关系，合并具有相同主体的访问关系，得到访问关系集合；
19.对所述访问关系集合进行分析，根据所述访问关系集合中的主体确定所述访问关系集合中各所述访问关系所属的类别。
20.在其中一些实施例中，所述客体包括文件和/或目录，根据各所述访问关系所属的类别确定对应于各所述主体的访问控制策略，并下发所述访问控制策略至相应节点包括：
21.确定被列为保护对象的目标文件和/或目标目录；
22.根据所述目标文件和/或所述目标目录配置允许访问的目标进程，得到所述访问控制策略。
23.在其中一些实施例中，所述访问控制策略为强制访问控制策略。
24.在其中一些实施例中，获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系包括：
25.监控各所述节点中操作系统的文件访问事件，得到所述文件访问事件中的上下文信息、操作方式和操作对象；
26.根据所述文件访问事件中的上下文信息、操作方式和操作对象，确定主体和客体的访问关系。
27.第二个方面，在本实施例中提供了一种勒索软件防御系统，所述勒索软件防御系统包括云端管控中心和多个节点，所述云端管控中心与所述多个节点通信连接；所述云端管控中心用于执行上述第一个方面所述的勒索软件防御方法。
28.第三个方面，在本实施例中提供了一种电子装置，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的勒索软件防御方法。
29.第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的勒索软件防御方法。
30.与相关技术相比，在本实施例中提供的勒索软件防御方法、系统、电子装置和存储介质，通过获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；对至少一对访问关系进行分析，确定各访问关系所属的类别，其中，类别包括勒索软件访问类型和非勒索软件访问类型；根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点，其中，访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程，解决了相关技术中勒索软件防御的普适性差且有滞后性的问题，提升了勒索软件防御的普适性、改善了勒索软件防御的滞后性。
31.本技术的一个或多个实施例的细节在以下附图和描述中提出，以使本技术的其他
特征、目的和优点更加简明易懂。
附图说明
32.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
33.图1是本实施例的勒索软件防御方法的终端的硬件结构框图；
34.图2是本实施例的勒索软件防御方法的流程图；
35.图3是本实施例的勒索软件防御系统的运行流程图。
具体实施方式
36.为更清楚地理解本技术的目的、技术方案和优点，下面结合附图和实施例，对本技术进行了描述和说明。
37.除另作定义外，本技术所涉及的技术术语或者科学术语应具有本技术所属技术领域具备一般技能的人所理解的一般含义。在本技术中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本技术中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本技术中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本技术中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本技术中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。
38.在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的勒索软件防御方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。
39.存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的勒索软件防御方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
40.传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信
供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(network interface controller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(radio frequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。
41.在本实施例中提供了一种勒索软件防御方法，图2是本实施例的勒索软件防御方法的流程图，如图2所示，该流程包括如下步骤：
42.步骤s201，获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系。
43.云端管控中心获取各节点上传的数据，根据这些数据生成主客体之间的访问关系。其中，主体是指资源的操作者，在本实施例中可以是软件的程序本身。客体是指被操作的资源，在本实施例中可以是被某些程序访问操作的文件、目录。在一些实施例中，在获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系时，通过监控各节点中操作系统的文件访问事件，得到文件访问事件中的上下文信息、操作方式和操作对象；根据文件访问事件中的上下文信息、操作方式和操作对象，确定主体和客体的访问关系。
44.例如，节点通过windows系统提供的minifilter文件过滤驱动，对操作系统所有的文件访问进行监控，可获取上下文信息、操作方式和操作对象，将此类数据统计后按周期上传至云端管控中心，由云端管控中心进行分析。
45.步骤s202，对至少一对访问关系进行分析，确定各访问关系所属的类别，其中，类别包括勒索软件访问类型和非勒索软件访问类型。
46.云端管控中心对各节点生成的访问关系进行分布式地汇总分析，以确定访问关系的类别，访问关系的类别包括勒索软件访问类型和非勒索软件访问类型。其中，勒索软件访问类型代表以勒索软件的进程作为主体，访问节点的客体之后所形成的访问关系，非勒索软件访问类型代表以非勒索软件的进程作为主体，访问节点的客体之后所形成的访问关系。
47.步骤s203，根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点，其中，访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程。
48.云端管控中心在综合分析多个节点上传的访问关系之后，根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点。节点在收到访问控制策略之后，将根据访问控制策略控制相应主体对客体的访问，即阻断勒索软件进程，以及放行非勒索软件进程。
49.具体实施时，节点的内核模块接收到文件访问控制策略后，当有针对文件的写入、覆盖、重命名、删除操作时将执行策略匹配，对合法进程放行，而对非法进行阻断对文件的操作。
50.在上述步骤s201至s203中，云端管控中心持续收集节点的主客体访问关系，进行分布式分析，最终形成合规的访问控制策略。节点通过云端管控中心分析下发的访问控制策略，拒绝非合规访问，以防御勒索病毒。本实施例的勒索软件防御方法，规避了相关技术中设置污点文件存在的弊端，具有普遍应用性。而且，访问控制策略是由云端管控中心持续收集节点的主客体访问关系，进行分布式分析后生成的，具有实时性，规避了相关技术基于
黑名单的检测方式的缺陷，不存在滞后性。
51.通过上述步骤，本实施例规避了目前常见的勒索软件防护方式中的不足，并且有良好的用户体验，配置策略后全程不需要用户参与，达到了防御已知及未知勒索软件的效果。解决了相关技术中勒索软件防御的普适性差且有滞后性的问题，提升了勒索软件防御的普适性、改善了勒索软件防御的滞后性。
52.在一些实施例中，在对至少一对访问关系进行分析，确定各访问关系所属的类别之前，还将滤除一些不属于分析对象的访问关系。包括但不限于：
53.滤除系统进程对系统文件进行访问之后生成的访问关系，即过滤掉操作系统自身的操作。
54.滤除桌面进程对用户文件进行访问之后生成的访问关系，例如刷新时的遍历和读取操作。
55.在其中一些实施例中，在对至少一对访问关系进行分析，确定各访问关系所属的类别时，确定多对访问关系中具有相同主体的访问关系，合并具有相同主体的访问关系，得到访问关系集合；对访问关系集合进行分析，根据访问关系集合中的主体确定访问关系集合中各访问关系所属的类别。
56.如此设置，针对每个节点提交的数据，按照主客体角度进行合并，再进行二次处理。比如用户a提交的数据是wps或office软件创建excel文件的信息，用户b提交的数据是wps或office软件创建word文件的信息，这种有相同主体的则可以进行智能合并，使访问控制策略具有普适性。
57.在一些实施例中，客体包括文件和/或目录，在根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点的过程中，云端管控中心确定被列为保护对象的目标文件和/或目标目录；根据目标文件和/或目标目录配置允许访问的目标进程，得到访问控制策略。
58.具体实施时，云端管控中心通过策略配置页面设置文件访问控制策略，例如设置*doc、*.xls扩展名文件或某一个关键的目录作为被保护的对象，再配置可以写入的合法进程，例如word、wps进程。
59.在一些实施例中，访问控制策略为强制访问控制策略。强制访问控制策略可以依赖于强制访问控制技术，在节点的系统内核里插入一个驱动模块，采用操作系统提供的标准文件过滤接口开发，达到对目标文件的强制权限控制。
60.在本实施例中提供了一种勒索软件防御系统，勒索软件防御系统包括云端管控中心和多个节点，云端管控中心与多个节点通信连接；云端管控中心用于执行上述任一实施例的勒索软件防御方法。
61.图3是本实施例的勒索软件防御系统的运行流程图，如图3所示，该流程包括如下步骤：
62.步骤s31，节点持续监控主客体访问关系，并上传至云端管控中心；
63.步骤s32，云端管控中心进行分布式分析，生成访问控制策略；
64.步骤s33，节点根据访问控制策略配置强制访问控制策略；
65.步骤s34，节点收到进程对文件发起的访问请求；
66.步骤s35，判断是否是合法进程；若是，则执行步骤s36；若否，则执行步骤s37；
67.步骤s36，允许访问；
68.步骤s37，禁止访问。
69.在本实施例中还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
70.可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。
71.可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：
72.s1，获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系。
73.s2，对至少一对访问关系进行分析，确定各访问关系所属的类别，其中，类别包括勒索软件访问类型和非勒索软件访问类型。
74.s3，根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点，其中，访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程。
75.需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。
76.此外，结合上述实施例中提供的勒索软件防御方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种勒索软件防御方法。
77.应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本技术提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本技术保护范围。
78.显然，附图只是本技术的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本技术适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本技术披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本技术公开的内容不足。
[0079]“实施例”一词在本技术中指的是结合实施例描述的具体特征、结构或特性可以包括在本技术的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本技术中描述的实施例在没有冲突的情况下，可以与其它实施例结合。
[0080]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术的保护范围应以所附权利要求为准。