(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111639336A(43)申请公布日2020.09.08(21)申请号202010298624.1(22)申请日2020.04.16(71)申请人中国科学院信息工程研究所地址100093北京市海淀区闵庄路甲89号(72)发明人汪秋云姜政伟汪姝玮辛丽玲王晓满刘宝旭(74)专利代理机构北京君尚知识产权代理有限公司11200代理人余长江(51)Int.Cl.G06F21/56(2013.01)权利要求书3页说明书7页附图4页(54)发明名称基于文件系统虚拟读写的勒索软件实时检测方法和防御方法(57)摘要本发明提供一种基于文件系统虚拟读写的勒索软件实时检测方法和防御方法，属于系统安全技术领域，用于实时检测勒索软件并保护主机系统免受勒索软件的危害，主要通过对系统中可疑程序的读写操作进行虚拟化，在虚拟化磁盘中对写入内容进行考察，进一步地判断是否是勒索软件，提升主机系统的实时预警和主动防御能力，能够在低损耗，零损失的条件下实现对勒索软件进行高准确率的实时检测和终止，保护用户和企业的数据与财产安全。CN111639336ACN111639336A权利要求书1/3页1.一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：在主机系统的内核层，利用文件系统过滤驱动对发起文件遍历请求的进程记录其进程号；记录该进程接下来的所有文件操作，如果具有重复性的写入文件操作和删除或重命名文件操作，则将该进程加入灰名单中；对灰名单中的进程的文件操作请求进行虚拟化，主要是以操作请求中的文件路径作为索引，文件的其他相关信息作为值存储到HashMap中，并在内存虚拟磁盘中执行文件操作，该文件操作包括写入、删除、重命名；从灰名单中筛选出文件操作频率大于预设临界值的进程，计算该进程在内存虚拟磁盘中写入的文件的香农熵值，并结合文件二进制格式系数，计算加权均值文件熵值；根据该进程在内存虚拟磁盘中发生的写入文件操作的总数与删除和重命名文件操作的总数，计算行为可疑度；根据加权均值文件熵值和行为可疑度，计算可疑性度量，如果可疑性度量超过预设阈值，则判定该进程对应的软件为勒索软件。2.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，判断是否具有重复性的写入文件操作和删除或重命名文件操作的方法为：统计进程在接下来的一段时间内的所有文件操作，统计写入文件操作和删除或重命名文件操作的重复发生次数，如果次数大于一设定的阈值，则判定具有重复性的写入文件操作和删除或重命名文件操作。3.如权利要求1的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，对于发起当前文件操作的一进程，获取文件操作请求的文件路径，判断该文件路径是否在HashMap中。4.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径在HashMap中，读取以该文件路径作为索引的位置所存储的数据，并判断该数据是否有删除标记，如果有，则直接返回文件不存在，否则将文件操作请求下发给内存虚拟磁盘驱动，执行文件操作。5.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果文件路径不在HashMap中，则判断该进程是否在灰名单中，如果该进程不在灰名单中，或者该进程在灰名单中且为读取文件操作请求，则将文件操作请求直接下发给下层的物理磁盘驱动执行相应的文件操作。6.如权利要求3的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，如果件路径不在HashMap中，且该进程在灰名单中，则执行下述步骤：如果是写入文件或修改文件属性的操作请求，则先判断物理磁盘上是否存在该文件，如果存在该文件，则将该文件拷贝入内存虚拟磁盘中，然后向内存虚拟磁盘驱动下发该操作请求，再在HashMap中对应的hash位置存储该文件名、该操作的类型以及操作者；如果是创建文件的操作请求，则对该操作请求的文件路径做切割，依照路径递归地向虚拟磁盘驱动下发该操作请求；如果是删除文件操作请求，则先判断物理磁盘上是否存该文件，如果不存在该文件，则直接返回文件不存在，如果存在该文件，则在HashMap中对应的hash位置存储该文件名、该2CN111639336A权利要求书2/3页文件被删除的标记以及操作者，返回删除文件成功。7.一种基于文件系统虚拟读写的勒索软件实时防御方法，基于上述权利要求1-6任一项所述的一种基于文件系统虚拟读写的勒索软件实时检测方法，其特征在于，包括以下步骤：如果进程对应的软件被判定是勒索软件，则先挂起该进程的所有文件操作，并暂停该进程所有的线程，并通知用户；如果用户认定其为勒索软件，则终止该进程，并清空内存虚拟磁盘的操作缓存和HashMap的数据记录；如果进程对应的程