(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113886822A(43)申请公布日2022.01.04(21)申请号202111086345.X(22)申请日2021.09.16(71)申请人杭州安恒信息技术股份有限公司地址310051浙江省杭州市滨江区西兴街道联慧街188号(72)发明人胡涛涛范渊黄进(74)专利代理机构杭州华进联浙知识产权代理有限公司33250代理人贺才杰(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书6页附图3页(54)发明名称勒索软件防御方法、系统、电子装置和存储介质(57)摘要本申请涉及一种勒索软件防御方法、系统、电子装置和存储介质，通过获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；对至少一对访问关系进行分析，确定各访问关系所属的类别，其中，类别包括勒索软件访问类型和非勒索软件访问类型；根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点，其中，访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程，解决了相关技术中勒索软件防御的普适性差且有滞后性的问题，提升了勒索软件防御的普适性、改善了勒索软件防御的滞后性。CN113886822ACN113886822A权利要求书1/2页1.一种勒索软件防御方法，其特征在于，所述方法包括：获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别，其中，所述类别包括勒索软件访问类型和非勒索软件访问类型；根据各所述访问关系所属的类别确定对应于各所述主体的访问控制策略，并下发所述访问控制策略至相应节点，其中，所述访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程。2.根据权利要求1所述的勒索软件防御方法，其特征在于，在对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别之前，所述方法还包括：滤除系统进程对系统文件进行访问之后生成的访问关系。3.根据权利要求1所述的勒索软件防御方法，其特征在于，在对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别之前，所述方法还包括：滤除桌面进程对用户文件进行访问之后生成的访问关系。4.根据权利要求1至3中任一项所述的勒索软件防御方法，其特征在于，对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别包括：确定多对访问关系中具有相同主体的访问关系，合并具有相同主体的访问关系，得到访问关系集合；对所述访问关系集合进行分析，根据所述访问关系集合中的主体确定所述访问关系集合中各所述访问关系所属的类别。5.根据权利要求1所述的勒索软件防御方法，其特征在于，所述客体包括文件和/或目录，根据各所述访问关系所属的类别确定对应于各所述主体的访问控制策略，并下发所述访问控制策略至相应节点包括：确定被列为保护对象的目标文件和/或目标目录；根据所述目标文件和/或所述目标目录配置允许访问的目标进程，得到所述访问控制策略。6.根据权利要求5所述的勒索软件防御方法，其特征在于，所述访问控制策略为强制访问控制策略。7.根据权利要求1所述的勒索软件防御方法，其特征在于，获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系包括：监控各所述节点中操作系统的文件访问事件，得到所述文件访问事件中的上下文信息、操作方式和操作对象；根据所述文件访问事件中的上下文信息、操作方式和操作对象，确定主体和客体的访问关系。8.一种勒索软件防御系统，其特征在于，所述勒索软件防御系统包括云端管控中心和多个节点，所述云端管控中心与所述多个节点通信连接；所述云端管控中心用于执行权利要求1至7中任一项所述的勒索软件防御方法。9.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至7中任一项所述的勒索软件防御方法。2CN113886822A权利要求书2/2页10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的勒索软件防御方法的步骤。3CN113886822A说明书1/6页勒索软件防御方法、系统、电子装置和存储介质技术领域[0001]本申请涉及信息安全领域，特别是涉及勒索软件防御方法、系统、电子装置和存储介质。背景技术[0002]目前勒索软件已发展成为完整的黑色产业链，对企业的数据及财产安全构成重大威胁，勒索软件通常使用木马病毒的形式传播，将自身为掩盖为看似无害的文件。相关技术提出了以下两种对抗勒索软件的方案。[0003]方案1：基于污点文件(诱饵文件)的方式，通过在目标系统中部署污点文件(诱饵文件)，并监控污点文