本發(fā)明涉及計(jì)算機(jī)，尤其是涉及一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的方法和系統(tǒng)。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)已成為企業(yè)和個(gè)人最寶貴的資產(chǎn)之一，其在各行各業(yè)的數(shù)字化轉(zhuǎn)型中扮演著核心角色。從云計(jì)算到物聯(lián)網(wǎng)，從大數(shù)據(jù)分析到人工智能應(yīng)用，數(shù)據(jù)量的急劇增加和價(jià)值的不斷放大，為企業(yè)帶來了前所未有的機(jī)遇。然而，這種趨勢也伴隨著數(shù)據(jù)安全風(fēng)險(xiǎn)的顯著增加，尤其是勒索軟件攻擊等新型網(wǎng)絡(luò)威脅，已成為企業(yè)數(shù)據(jù)安全面臨的重大挑戰(zhàn)。

2、勒索軟件作為一種惡意軟件，通過潛入系統(tǒng)加密關(guān)鍵數(shù)據(jù)文件，并要求受害者支付贖金以換取解密密鑰。這類攻擊不僅針對(duì)個(gè)人電腦，還日益向企業(yè)服務(wù)器和公共基礎(chǔ)設(shè)施蔓延，給受害者帶來巨大的經(jīng)濟(jì)損失和信譽(yù)損害。勒索軟件攻擊的機(jī)制通常包括傳播、執(zhí)行、加密、勒索信息展示及解密等步驟，且其變種和定制化程度不斷提高，使得傳統(tǒng)防御策略如防火墻、殺毒軟件等難以有效應(yīng)對(duì)。

3、傳統(tǒng)防御策略，如防火墻和殺毒軟件，主要依賴于已知的病毒定義和行為模式進(jìn)行防護(hù)。然而，面對(duì)持續(xù)進(jìn)化的勒索軟件，這些措施存在反應(yīng)速度慢、誤報(bào)率高、適應(yīng)性差等問題，惡意進(jìn)程常通過模仿正常軟件行為或利用零日漏洞進(jìn)行攻擊，從而逃避檢測。因此，傳統(tǒng)的基于簽名識(shí)別和靜態(tài)規(guī)則的方法已難以滿足現(xiàn)代網(wǎng)絡(luò)安全的需求。

4、市場上已出現(xiàn)多種數(shù)據(jù)安全解決方案，如symantec?endpoint?protection(賽門鐵克端點(diǎn)防護(hù))、kaspersky?anti-ransomware?tool(卡巴斯基反勒索軟件工具)和microsoft?defender?for?endpoint(微軟終端防護(hù))等。這些解決方案結(jié)合了簽名識(shí)別、行為監(jiān)測和機(jī)器學(xué)習(xí)技術(shù)，旨在提高防護(hù)效果。然而，它們?nèi)悦媾R諸多挑戰(zhàn)，如對(duì)新型或自定義的勒索軟件識(shí)別率低、在面對(duì)全新或高度定制化的勒索軟件攻擊時(shí)，可能因響應(yīng)時(shí)間不足而無法提供有效防護(hù)、過于嚴(yán)格的行為分析標(biāo)準(zhǔn)和對(duì)云服務(wù)的依賴可能導(dǎo)致高誤報(bào)率，影響用戶體驗(yàn)，以及在處理大數(shù)據(jù)量時(shí)，系統(tǒng)性能可能受到影響，尤其是在企業(yè)環(huán)境中。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的目的在于提供一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的方法和系統(tǒng)，以解決了現(xiàn)有技術(shù)中存在的數(shù)據(jù)安全解決方案中的識(shí)別效率低、響應(yīng)時(shí)間不足以及高誤報(bào)率等的技術(shù)問題。

2、第一方面，本發(fā)明實(shí)施例提供了一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的方法，包括：

3、在關(guān)鍵目錄下創(chuàng)建誘餌文件，誘餌文件包括實(shí)體誘餌文件和虛擬誘餌文件，實(shí)體誘餌文件用于吸引勒索軟件的注意力，虛擬誘餌文件用于捕捉對(duì)敏感目錄的初步探查行為；

4、實(shí)時(shí)獲取對(duì)誘餌文件的訪問行為，并對(duì)訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果；

5、基于監(jiān)控?cái)?shù)據(jù)和訪問行為分析結(jié)果，生成安全決策指令。

6、在可選的實(shí)施例中，實(shí)時(shí)獲取對(duì)誘餌文件的訪問行為，并對(duì)訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果，包括：

7、實(shí)時(shí)獲取對(duì)誘餌文件的所有訪問行為；

8、基于分析策略，對(duì)所有訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果；

9、根據(jù)第一預(yù)設(shè)規(guī)則，確定訪問行為分析結(jié)果是否為惡意行為，若是，則確定訪問行為分析結(jié)果為異常行為。

10、在可選的實(shí)施例中，第一預(yù)設(shè)規(guī)則包括與已知勒索軟件行為的相似度、檢測異常訪問頻率和訪問時(shí)間。

11、在可選的實(shí)施例中，基于監(jiān)控?cái)?shù)據(jù)和行為分析結(jié)果，生成安全決策指令，之前，還包括：

12、獲取所有關(guān)鍵文件的加密行為；

13、根據(jù)第二預(yù)設(shè)規(guī)則，判斷加密行為是否為異常行為，若是，則確定加密行為異常行為。

14、在可選的實(shí)施例中，獲取所有關(guān)鍵的文件的加密行為，包括：

15、獲取加密函數(shù)信息和關(guān)鍵文件的信息；

16、基于加密函數(shù)信息和關(guān)鍵文件的信息，確定加密行為，其中，加密函數(shù)信息包括加密函數(shù)調(diào)用時(shí)間和次數(shù)，關(guān)鍵文件的信息包括加密文件的前后變化狀態(tài)和加密文件的類型。

17、在可選的實(shí)施例中，基于監(jiān)控?cái)?shù)據(jù)和行為分析結(jié)果，生成安全決策指令，包括：

18、基于加密行為和訪問行為分析結(jié)果，生成安全決策指令。

19、在可選的實(shí)施例中，安全決策指令包括進(jìn)程隔離、權(quán)限調(diào)整和進(jìn)程終止。

20、第二方面，本發(fā)明實(shí)施例提供了一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的系統(tǒng)，包括：

21、誘餌文件生成模塊，用于在關(guān)鍵目錄下創(chuàng)建誘餌文件，誘餌文件包括實(shí)體誘餌文件和虛擬誘餌文件，實(shí)體誘餌文件用于吸引勒索軟件的注意力，虛擬誘餌文件用于捕捉對(duì)敏感目錄的初步探查行為；

22、行為監(jiān)控模塊，用于實(shí)時(shí)獲取對(duì)誘餌文件的訪問行為，并對(duì)訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果；

23、響應(yīng)控制模塊，用于基于監(jiān)控?cái)?shù)據(jù)和訪問行為分析結(jié)果，生成安全決策指令。

24、第三方面，本發(fā)明實(shí)施例還提供了一種電子設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在存儲(chǔ)器中并且可以在處理器上運(yùn)行的計(jì)算機(jī)程序，處理器執(zhí)行計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如上述第一方面中任一項(xiàng)方法的步驟。

25、第四方面，本發(fā)明實(shí)施例還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述第一方面中任一項(xiàng)方法的步驟。

26、本發(fā)明提供的一種基于進(jìn)行行為識(shí)別數(shù)據(jù)勒索的方法和系統(tǒng)，通過在關(guān)鍵目錄下創(chuàng)建誘餌文件，誘餌文件包括實(shí)體誘餌文件和虛擬誘餌文件，實(shí)體誘餌文件用于吸引勒索軟件的注意力，虛擬誘餌文件用于捕捉對(duì)敏感目錄的初步探查行為；實(shí)時(shí)獲取對(duì)誘餌文件的訪問行為，并對(duì)訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果；基于監(jiān)控?cái)?shù)據(jù)和訪問行為分析結(jié)果，生成安全決策指令，從而有效區(qū)分正常行為和惡意行為，降低誤報(bào)率，以及能夠適應(yīng)新出現(xiàn)的勒索軟件策略，可提供全面和前瞻性的保護(hù)措施，確保數(shù)據(jù)安全免受侵害。

技術(shù)特征：

1.一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述實(shí)時(shí)獲取對(duì)所述誘餌文件的訪問行為，并對(duì)所述訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果，包括：

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述第一預(yù)設(shè)規(guī)則包括與已知勒索軟件行為的相似度、檢測異常訪問頻率和訪問時(shí)間。

4.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述基于監(jiān)控?cái)?shù)據(jù)和所述行為分析結(jié)果，生成安全決策指令，之前，還包括：

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述獲取所有關(guān)鍵的文件的加密行為，包括：

6.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述基于監(jiān)控?cái)?shù)據(jù)和所述行為分析結(jié)果，生成安全決策指令，包括：

7.根據(jù)權(quán)利要求1或6所述的方法，其特征在于，所述安全決策指令包括進(jìn)程隔離、權(quán)限調(diào)整和進(jìn)程終止。

8.一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的系統(tǒng)，其特征在于，包括：

9.一種電子設(shè)備，包括存儲(chǔ)器、處理器以及存儲(chǔ)在所述存儲(chǔ)器中并且可以在所述處理器上運(yùn)行的計(jì)算機(jī)程序，其特征在于，所述處理器執(zhí)行所述計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述方法的步驟。

10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有計(jì)算機(jī)程序，其特征在于，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述方法的步驟。

技術(shù)總結(jié)
本發(fā)明提供了一種基于進(jìn)程行為識(shí)別數(shù)據(jù)勒索的方法和系統(tǒng)，涉及計(jì)算機(jī)的技術(shù)領(lǐng)域，該方法包括：在關(guān)鍵目錄下創(chuàng)建誘餌文件，誘餌文件包括實(shí)體誘餌文件和虛擬誘餌文件，實(shí)體誘餌文件用于吸引勒索軟件的注意力，虛擬誘餌文件用于捕捉對(duì)敏感目錄的初步探查行為；實(shí)時(shí)獲取對(duì)誘餌文件的訪問行為，并對(duì)訪問行為進(jìn)行處理分析，得到訪問行為分析結(jié)果；基于監(jiān)控?cái)?shù)據(jù)和訪問行為分析結(jié)果，生成安全決策指令，從而有效區(qū)分正常行為和惡意行為，降低誤報(bào)率，以及能夠適應(yīng)新出現(xiàn)的勒索軟件策略，可提供全面和前瞻性的保護(hù)措施，確保數(shù)據(jù)安全免受侵害。

技術(shù)研發(fā)人員：閆翔宇,張震宇,李思緒
受保護(hù)的技術(shù)使用者：杭州領(lǐng)信數(shù)科信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/2