一种针对勒索病毒的诱捕和防御方法及系统与流程

1.本发明涉及计算机安全技术领域，特别是涉及针对勒索病毒的诱捕和防御方法及系统。


背景技术：

2.随着企业数字化转型推进，数据资产的重要性不断提升，勒索病毒的危害也越来越受到关注。目前针对勒索病毒的主流防御方法，一种是将勒索病毒特征码加入病毒特征库中，遍历可执行文件搜索病毒特征码，但这种方法有滞后性，只能防范已知勒索病毒；另一种是利用文件过滤驱动的方式，在监测到文件被访问时，对访问进程进行深入分析，判断是否为勒索病毒，在实际系统中因为有大量的文件需要处理，每次文件访问都要进行基于行为的深度分析，这种方法会严重影响办公效率。
3.目前反勒索病毒方法存在的缺陷：病毒特征码匹配方式无法应对新的勒索病毒，深度行为分析方法在实际系统中会严重影响办公效率。
4.公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解，而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。


技术实现要素：

5.本发明是为了解决现有反勒索病毒技术中存在的缺点，而提出的在蜜罐中进行诱捕和深度分析，在实际系统中高效检测的一种勒索病毒防御方法。
6.为达到以上目的，本发明采用步骤如下：
7.步骤s01.在蜜罐系统中放置诱饵文件；
8.步骤s02.利用文件过滤驱动监测诱饵文件的访问动作；
9.步骤s03.当监测到对诱饵文件的访问动作时，进行进程鉴别、报警及深度分析；
10.步骤s04.更新实际系统中的进程鉴别特征库；
11.步骤s05.在实际系统中利用文件过滤驱动监测文件的写操作；
12.步骤s06.当捕获到有进程对文件进行写操作时，对进程进行鉴别；
13.步骤s07.当目标进程被判定为勒索病毒时拦截进程的写操作。
14.作为本发明的优选方案，在实际系统之外，部署多个诱捕勒索病毒的蜜罐系统，在每个蜜罐系统中至少放置一个吸引攻击者关注的诱饵文件。
15.作为本发明的优选方案，在每个蜜罐系统中，利用minifilter过滤驱动框架监测对诱饵文件的访问动作，包括打开、读操作、写操作等操作。
16.作为本发明的优选方案，当监测到对诱饵文件的访问动作时，进行进程鉴别、报警及深度分析；
17.系统维护有一个进程鉴别特征库，包括进程白名单特征(系统进程和其他合法进程的特征)、黑名单特征(已知的勒索病毒的特征)；
18.当捕获到有目标进程对任意文件进行访问动作时，利用进程鉴别特征库对该目标
进程进行鉴别；如果是已知勒索病毒，则报警；如果该进程特征不在进程鉴别特征库中，判定为未知勒索病毒，则报警。
19.对判定为未知勒索病毒的进程，技术人员在接收到报警信息后利用分析工具和技术手段进行深度分析，以确定是否为勒索病毒及其危害性。
20.作为本发明的优选方案，根据步骤s04中对判定为未知勒索病毒的深度分析结果，若判定为未知勒索病毒，则将该进程特征更新到进程鉴别特征库中，用于后续在实际系统中对勒索病毒的快速判定；若为误报，及时删除该项鉴别特征记录。
21.作为本发明的优选方案，在实际系统中，利用minifilter过滤驱动框架监测对文件的访问动作，只关注写操作动作。
22.作为本发明的优选方案，捕获到有目标进程对文件进行写操作时，利用进程鉴别特征库对该目标进程进行鉴别。
23.作为本发明的优选方案，如果进行特征在进程鉴别特征库的黑名单列表中，则判定为已知勒索病毒，阻止写操作，并报警，提示技术人员介入检查。
24.作为本发明的优选方案，针对勒索病毒的诱捕和防御的系统，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根上述任意一项所述的针对勒索病毒的诱捕和防御的方法。
25.本发明提供的一种针对勒索病毒的诱捕和防御方法，与现有技术相比，具有以下有益效果：
26.(1)利用蜜罐系统实现对勒索病毒的诱捕，配合深度分析，可以及时发现未知的勒索病毒，弥补了现有的根据病毒特征码只能查杀已知勒索病毒的不足。
27.(2)在实际系统中，使用黑名单检测方式对勒索病毒进行扫描检测；在对文件访问进行监测时，只监测写操作、并进行黑名单鉴别，大大减轻了勒索病毒检测的工作量，弥补了实际系统中根据行为检测影响办公效率的不足。
附图说明
28.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
29.图1为本发明中针对勒索病毒诱捕和防御方法流程图；
30.图2为本发明中文件过滤管理器和minifilter过滤驱动流程图；
31.图3为本发明中蜜罐系统中文件过滤监测工作流程图；
32.图4为本发明中实际系统中文件过滤监测工作流程图。
具体实施方式
33.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施
例的组件可以以各种不同的配置来布置和设计。
34.因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
36.在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
37.此外，术语“水平”、“竖直”等术语并不表示要求部件绝对水平或悬垂，而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平，并不是表示该结构一定要完全水平，而是可以稍微倾斜。
38.在本发明的描述中，还需要说明的是，除非另有明确的规定和限定，术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。
39.下面根据附图举例对本发明做进一步解释：
40.如图1所示，所述方法执行全流程具体步骤如下：
41.步骤s01.在蜜罐系统中放置诱饵文件；
42.步骤s02.利用文件过滤驱动监测诱饵文件的访问动作；
43.步骤s03.当监测到对诱饵文件的访问动作时，进行进程鉴别、报警及深度分析；
44.步骤s04.更新实际系统中的进程鉴别特征库；
45.步骤s05.在实际系统中利用文件过滤驱动监测文件的写操作；
46.步骤s06.当捕获到有进程对文件进行写操作时，对进程进行鉴别；
47.步骤s07.当目标进程被判定为勒索病毒时拦截进程的写操作。
48.在蜜罐系统中放置诱饵文件。在实际系统之外，部署多个诱捕勒索病毒的蜜罐系统，在蜜罐系统之中放置一些精心准备的吸引攻击者关注的诱饵文件。
49.利用文件过滤驱动监测诱饵文件的访问动作。在每个蜜罐系统中，部署 minifilter过滤驱动框架，该过滤驱动框架是由微软提供的一种系统标准过滤框架，文件过滤管理器和minifilter过滤驱动流程如图2所示。 minifilter过滤驱动位于i/o管理器和文件系统之间，minifilter驱动利用过滤管理器采用的回调机制，回调机制明确了所需过滤的irp。minifilter 驱动的altitude顺序，决定了驱动实例的加载位置，决定了过滤器管理器调用驱动处理i/o操作的顺序。回调函数是一个数组，定义指定请求的相应操作。所需过滤的i/o操作类型，都需要指定一个预操作回调函数和一个后操作回调函数。预操作回
调函数在请求执行之前被调用，后操作回调函数在请求执行之后被调用。预操作回调函数，是进行进程鉴别的最佳时机，可以在非法请求执行之前，拒绝该请求，实现对文件的安全保护。利用minifilter过滤驱动框架可以监测到系统所有的文件访问动作，文件i/o的相关函数例如createfile、readfile、writefile等分别会引发操作系统产生irp_mj_create、 irp_mj_read、irp_mj_write等不同的irp请求。
50.当监测到对诱饵文件的访问动作时，进行进程鉴别、报警及深度分析。
51.(1)系统维护有一个进程鉴别特征库，包括进程白名单特征(系统进程和其他合法进程的特征)、黑名单特征(已知的勒索病毒的特征)；
52.(2)当捕获到有目标进程对任意文件进行访问动作时，利用进程鉴别特征库对该目标进程进行鉴别。蜜罐系统中对文件过滤监测的工作流程如图3所示，由于蜜罐中放置的是诱饵文件，合法用户一般不会操作这些文件，当有进程访问诱饵文件、特别是有写操作时，判定为勒索病毒。如果目标进程特征在白名单中，为合法操作；如果在黑名单中，为已知勒索病毒，则报警；如果该进程特征不在进程鉴别特征库中，判定为未知勒索病毒，报警通知技术人员进一步分析处理。
53.(3)对判定为未知勒索病毒的进程，技术人员在接收到报警信息后利用专用的病毒分析工具和技术手段进行深度分析，如启用沙盒，观察分析未知病毒的所有行为，以确定是否为勒索病毒、其族谱特征及其危害性。
54.更新实际系统中的进程鉴别特征库；(1)如果步骤4中利用专用的病毒分析工具和技术手段进行深度分析之后，判定为未知勒索病毒，则将该进程特征更新到进程鉴别特征库中，用于后续在实际系统中对勒索病毒的快速判定；
55.(2)根据步骤4中对判定为未知勒索病毒的深度分析结果，对进程鉴别特征库进行调整，确定为新型勒索病毒的要进一步处理，确定为误报的在进程鉴别特征库中及时删除该项特征记录。
56.在实际系统中利用文件过滤驱动监测文件的写操作。在实际系统中，利用minifilter过滤驱动框架监测对文件的访问动作，如图4所示，在监测对文件的访问动作时，只拦截irp_mj_create请求，关注写操作动作。
57.当捕获到有进程对文件进行写操作时对进程进行鉴别。捕获到有目标进程对文件进行写操作时，利用进程鉴别特征库对该目标进程进行鉴别；此时拦截到irp_mj_create的i/o请求操作，调用spyprecreatecallback(该irp的预操作回调函数)，进入预操作回调函数之后，判断进程是否为黑名单中的进程。
58.当目标进程被判定为勒索病毒时拦截进程的写操作。如果目标进程与鉴别特征库中的特征相匹配，即该进程特征在进程鉴别特征库的黑名单列表中，则判定为已知勒索病毒，阻止写操作，并报警，提示技术人员介入检查。
59.针对勒索病毒的诱捕和防御的系统，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根上述任意一项所述的针对勒索病毒的诱捕和防御的方法。
60.该实施例中，利用蜜罐系统实现对勒索病毒的诱捕，配合深度分析，可以及时发现未知的勒索病毒。在实际系统中对文件访问进行监测时，只监测写操作、并进行黑名单鉴别，减轻了基于行为判断勒索病毒的检测工作量，提升了检测效率。
61.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。