2. 专利查询
  3. 目标程序生成方法、勒索程序检测方法、装置、设备与流程

目标程序生成方法、勒索程序检测方法、装置、设备与流程

专利查询2023-7-27  105


1.本技术涉及网络安全技术领域,特别是涉及一种目标程序生成方法、勒索程序检测方法、装置、设备。


背景技术:

2.勒索软件(ransomware)是一种流行的木马,通常通过加密用户文件的方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。赎金形式主要以比特币或其它加密货币为主。
3.传统技术中,一般是通过以下方式来解决勒索软件的攻击的:
4.通过传统反病毒(文件识别)模式来阻止可识别的勒索软件文件的形成和运行。在计算机实施保护,通过文件扫描来识别勒索软件的程序,并阻止识别到的勒索软件的运行。这种方案的缺点:滞后、缓慢,缺乏针对性。全球每天都出现相当数量的勒索软件,安全公司通常无法第一时间做到全部识别,导致无法在企业遭受勒索软件攻击之前进行阻断。另外,勒索软件通常具有“一过性”:在完成数据加密、横向传播后就销毁自身。这对依赖“样本捕获再响应”的传统反病毒模式来说,响应速度会大大降低甚至无法完成响应工作。
5.通过监视程序行为的方式来判断可能的勒索软件。在计算机上部署程序行为监视装置,通过预先设定好的行为准则,来识别可能的勒索行为,并认定程序为勒索软件。该方案的缺点:存在严重的误判结果;当出现无法识别的勒索行为时,需要通过程序升级、模型升级的方式,对装置进行更新,响应周期较长。
6.通过“诱饵”文件诱捕篡改者以发现可能的勒索软件。在计算机上部署程序行为监视装置以及“诱饵”文件,并将篡改“诱饵”文件的程序认定为勒索软件。该方案的缺点为:“诱饵”文件无法全磁盘部署,全磁盘部署对用户体验造成很大的影响,非全盘部署情况下,目前勒索软件已经表现出规避被诱捕的能力。当出现无法诱捕地情况时,需要通过升级的方式更新诱捕机制,响应周期较长。
7.然而,目前的方案多注重于基于现有的数据和经验来识别勒索软件。对于无法识别的勒索软件,都需要由安全公司来做响应的调查和响应,最终无论是更新程序还是数据,都需要一个较长的响应时间。这个时间就是勒索软件在企业的有效活动时间,该时间越长,造成的破坏就越大。


技术实现要素:

8.基于此,有必要针对上述技术问题,提供一种能够及时生成目标程序以检测勒索程序的目标程序生成方法、勒索程序检测方法、装置、设备。
9.第一方面,本技术提供一种目标程序生成方法,所述目标程序生成方法包括:
10.获取输入的关于勒索程序的目标信息;
11.按照程序类型将所述目标信息进行分类;
12.根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒
索程序。
13.在其中一个实施例中,所述获取输入的关于勒索程序的目标信息,包括:
14.接收勒索程序处理指令,所述处理指令包括录入指令、编辑指令和禁用指令中的至少一个;
15.根据所述处理指令显示勒索程序信息描述界面;
16.通过所述勒索程序信息描述界面接收输入的关于勒索程序的目标信息,所述目标信息包括基本信息和行为特征;所述基本信息包括所述勒索软件的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;所述行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
17.在其中一个实施例中,所述根据所述目标信息生成对应所述程序类型的目标程序,包括:
18.获取所述目标信息对应的程序模板;
19.将所述目标信息和所述程序模板结合得到目标程序。
20.在其中一个实施例中,所述将所述目标信息和所述程序模板结合得到目标程序,包括以下至少一个:
21.调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;
22.将活动时会创建的活动程序与所述程序模板得到检测所述活动程序的目标程序;
23.将加密目标文件的扩展名列表与所述程序模板得到检测所述扩展名列表的目标程序;
24.将加密后文件的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;
25.将加密后文件的内容特征与所述程序模板得到检测所述内容特征的目标程序;
26.将创建的勒索信的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;
27.将连接的网络域名和ip地址与所述程序模板得到检测所述网络域名和ip地址的目标程序;
28.将创建的注册表项目名称与所述程序模板得到检测所述注册表项目名称的目标程序;
29.将创建的操作系统对象名称与所述程序模板得到检测所述操作系统对象名称的目标程序;
30.将相关邮箱和数字货币钱包地址与所述程序模板得到检测所述相关邮箱和所述数字货币钱包地址的目标程序;
31.根据程序或代码的工作模式选择对应的勒索软件处理程序作为目标程序;
32.根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据所
述主机防火墙规则或网络监控规则生成目标程序。
33.第二方面,本技术还提供一种勒索程序检测方法,所述勒索程序检测方法包括:
34.获取待检测程序;
35.根据上述任意一个实施例中的目标程序生成方法生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序。
36.在其中一个实施例中,所述目标程序包括检测活动程序的目标程序;所述根据上述的目标程序生成方法生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序,包括:
37.对所述待检测程序进行标准化处理以删除所述待检测程序中的命令行的目标字符;
38.通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断所述待检测程序是否为勒索程序。
39.在其中一个实施例中,所述获取待检测程序之前,包括:
40.将根据上述的目标程序生成方法生成的目标程序,部署在目标位置,所述目标位置包括网络安全设备以及网络管道。
41.第三方面,本技术还提供一种目标程序生成装置,所述目标程序生成装置包括:
42.目标信息获取模块,用于获取输入的关于勒索程序的目标信息;
43.分类模块,用于按照程序类型将所述目标信息进行分类;
44.生成模块,用于根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒索程序。
45.第四方面,本技术还提供一种勒索程序检测装置,所述勒索程序检测装置包括:
46.待检测程序获取模块,用于获取待检测程序;
47.判断模块,用于根据上述任意一个实施例中的目标程序生成装置生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序。
48.第五方面,本技术还提供一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现上述任意一个实施例中所述的方法的步骤。
49.第六方面,本技术还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任意一个实施例中所述的方法的步骤。
50.第七方面,本技术还提供一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述任意一个实施例中所述的方法的步骤。
51.上述目标程序生成方法、勒索程序检测方法、装置、设备,可以由企业用户输入关于勒索程序的目标信息,这样即可以按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序,这样不需要由安全公司来做响应的调查和响应等等,减少响应时间,大大缩短了用于勒索程序的检测的目标程序的生成时间,以达到及时生成目标程序以检测勒索程序的目的。
附图说明
52.图1为一个实施例中目标程序生成方法的应用环境图;
53.图2为一个实施例中目标程序生成方法的流程示意图;
54.图3为一个实施例中的勒索程序档案管理系统中的勒索程序档案的界面图;
55.图4为一个实施例中勒索程序检测方法的流程示意图;
56.图5为一个实施例中目标程序生成装置的结构框图;
57.图6为一个实施例中勒索程序检测装置的结构框图;
58.图7为一个实施例中计算机设备的内部结构图。
具体实施方式
59.为了使本技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本技术进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本技术,并不用于限定本技术。
60.本技术实施例提供的目标程序生成方法、勒索程序检测方法,可以应用于如图1所示的应用环境中。其中,终端102通过网络与服务器104进行通信。数据存储系统可以存储服务器104需要处理的数据。数据存储系统可以集成在服务器104上,也可以放在云上或其他网络服务器上。
61.其中终端102可以登录服务器104,以对勒索程序进行管理,例如录入、编辑和禁用对应的勒索程序。其中终端102可以是在各个企业的用于对勒索程序进行管理的管理终端。该终端102获取输入的关于勒索程序的目标信息;按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。进而终端102将生成的目标程序部署在对应的安全设备,以对勒索程序进行检测。这样可以由企业用户输入关于勒索程序的目标信息,这样即可以按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序,这样不需要由安全公司来做响应的调查和响应等等,减少响应时间,大大缩短了用于勒索程序的检测的目标程序的生成时间,以达到及时生成目标程序以检测勒索程序的目的。
62.其中,终端102可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑、物联网设备和便携式可穿戴设备,物联网设备可为智能音箱、智能电视、智能空调、智能车载设备等。便携式可穿戴设备可为智能手表、智能手环、头戴设备等。服务器104可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
63.其中为了使得本领域技术人员充分理解本技术的场景,以企业用户为例进行说明,其中企业用户的终端可以登录服务器以获取到勒索程序的目标信息登录界面,从而企业用户可以根据该界面中的信息条目进行勒索程序的目标信息的录入,这样终端可以根据录入的目标信息生成对应的目标程序,进而将该目标程序部署于对应的安全设备中,以保证安全设备不被勒索程序破坏。这样在企业内遇到无法识别的勒索程序时,使用本技术可以更快地做出应急响应和风险处置工作,减少勒索程序在企业内的有效活动时间,遏制勒索程序在企业内蔓延,减少勒索程序带来的损失。
64.在一个实施例中,如图2所示,提供了一种目标程序生成方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
65.s202:获取输入的关于勒索程序的目标信息。
66.具体地,目标信息包括基本信息和行为特征;基本信息可以包括勒索程序的名称、
目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征可以包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
67.其中目标信息可以是勒索程序档案中的,其中预先定义了一种数据规范,用来全方位描述某种勒索程序的基本信息、既定行为以及可指示该勒索程序活动的各项元素。勒索程序档案可转换成工业界标准的威胁情报,用来在不同的系统之间做交换,提高企业对勒索程序感知、防护的整体水平。
68.其中,终端可以显示空白的勒索程序档案,以便于用户根据勒索程序档案中的条目填写上述目标信息。具体地,在实际应用中,终端登录可现场管理的勒索程序定义平台,从而显示脱离安全公司的、可在用户侧(企业内)直接管理的勒索程序定义数据界面。该平台可以导入或定义勒索程序定义,为用户提供敏捷的现场安全运维方式,快速应对勒索程序事件。
69.s204:按照程序类型将目标信息进行分类。
70.具体地,程序类型包括部署于计算机上的高精度勒索程序识别和处置装置、部署于网络管道上的勒索程序网络活动检测和阻断装置等等,在此不做具体限制。
71.其中,终端根据程序类型将目标信息进行分类,从而生成对应程序类型的目标程序。可选地,以上述目标信息为例,用于生成部署于计算机上的高精度勒索程序识别和处置装置的目标程序可以包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。用于生成部署于网络管道上的勒索程序网络活动检测和阻断装置的目标程序可以包括连接的网络域名和ip地址、相关邮箱等网络元素中的至少一个。
72.s206:根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。
73.具体地,目标程序用于检测勒索程序。其中,终端可以获取到对应的目标信息的代码模板,这样将代码模板和目标信息进行即可以得到目标程序。优选地,代码模板可以是通用模板,目标信息则是独有特征,这样将通用模板和独有特征结合,即可以得到目标程序。
74.其中,优选地,目标程序可以包括部署于计算机上的勒索程序识别和处置装置、部署于网络管道中的流量检测装置。
75.其中,部署于计算机上的勒索程序识别和处置装置是一个由勒索程序档案驱动程序行为监控和活动代码处置的装置。该装置实时从勒索程序档案管理系统同步企业内定义的勒索程序档案,将勒索程序档案中的部分数据转换成用来识别勒索程序的程序行为判断逻辑。
76.部署于网络管道中的网络流量检测装置则是针对需要通过互联网访问控制服务器,来获取加密计算机文件时使用的非对称秘钥的勒索程序,因此通过阻断勒索程序对其控制服务器的网络访问,可一定程度上阻断勒索程序的活动。该装置在网络防火墙或者其
他网络流量设备上实现。它实时同步企业内定义的勒索程序档案,并将勒索程序档案中涉及的网络域名、ip地址、电子邮箱等网络相关元素转换成该勒索程序的识别模式,在勒索程序活动并产生相关的网络流量时进行阻断。
77.在其他的实施例中,勒索软件档案管理系统可将勒索软件档案转换成威胁情报(stix)进行发布,任何支持stix的安全设备,都能以最快的方式从勒索软件档案管理系统获取到企业安全运维人员定义的最新勒索软件的ioc,包括了:网络域名、ip地址、电子邮箱地址,完成相关网络流量的识别和阻断。这样的网络安全设备通常可以包含:防火墙设备、入侵检测设备、基于威胁情报的威胁感知设备。
78.上述目标程序生成方法,可以由企业用户输入关于勒索程序的目标信息,这样即可以按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序,这样不需要由安全公司来做响应的调查和响应等等,减少响应时间,大大缩短了用于勒索程序的检测的目标程序的生成时间,以达到及时生成目标程序以检测勒索程序的目的。
79.在其中一个实施例中,获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据处理指令显示勒索程序信息描述界面;通过勒索程序信息描述界面接收输入的关于勒索程序的目标信息,目标信息包括基本信息和行为特征;基本信息包括勒索程序的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
80.在实际应用中,对于勒索程序的目标信息的录入可以通过勒索程序档案管理系统来进行的,该勒索程序档案管理系统是部署于企业内部的数据库应用,它负责对勒索程序档案进行录入、编辑、禁用。它是企业安全运维人员现场定义勒索程序的入口,即企业安全运维人员可以通过终端登录勒索程序档案管理系统,其中企业安全运维人员不仅可以通过勒索程序档案管理系统直接导入安全厂商或安全论坛中已经定义好的勒索程序档案,也可以根据企业内实际情况,通过勒索程序档案管理系统新建和编辑勒索程序档案。同时,它还是企业内勒索程序威胁情报中心,通过文档化的接口第三方安全设备提供勒索程序相关的威胁情报,帮助企业内部不同类型的安全设备进行联动,完成协同防御。
81.其中,对于通过勒索程序档案管理系统直接导入安全厂商或安全论坛中已经定义好的勒索程序档案,可以直接获取到勒索程序档案,并存储至该管理系统,且运维人员可以根据企业的实际需求对已有的勒索程序档案进行编辑。
82.而对于企业内部新增的勒索程序,运维人员可以根据该新增的勒索程序的特征在勒索程序档案管理系统中新建对应的档案,并输入关于该勒索程序的目标信息,从而可以根据勒索程序的目标信息来生成用于检测勒索程序的目标程序。
83.其中,可选地,参见图3,图3为一个实施例中的勒索程序档案管理系统中的勒索程序档案的界面图,在该界面图中可以分为基本信息和行为特征,其中用户可以基本信息和
行为特征中的具体条目来输入对应的目标信息。在其他实施例中,勒索程序档案中的具体条目可以根据用户需要来进行设置,在此不做具体限定。其中可选地,在企业用户在输入特征时,若发现新的特征,还可以进行条目的新建,从而告知用户出现新的特征,进而使得后台用户可以根据新的特征来进行研发得到新的模板,以便于后续生成新的目标程序。
84.在其中一个实施例中,根据目标信息生成对应程序类型的目标程序,包括:获取目标信息对应的程序模板;将目标信息和程序模板结合得到目标程序。
85.在其中一个实施例中,将目标信息和程序模板结合得到目标程序,包括以下至少一个:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与程序模板得到检测活动程序的目标程序;将加密目标文件的扩展名列表与程序模板得到检测扩展名列表的目标程序;将加密后文件的文件名特征与程序模板得到检测文件名特征的目标程序;将加密后文件的内容特征与程序模板得到检测内容特征的目标程序;将创建的勒索信的文件名特征与程序模板得到检测文件名特征的目标程序;将连接的网络域名和ip地址与程序模板得到检测网络域名和ip地址的目标程序;将创建的注册表项目名称与程序模板得到检测注册表项目名称的目标程序;将创建的操作系统对象名称与程序模板得到检测操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与程序模板得到检测相关邮箱和数字货币钱包地址的目标程序;根据程序或代码的工作模式选择对应的勒索程序处理程序作为目标程序;根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据主机防火墙规则或网络监控规则生成目标程序。
86.具体地,程序模板可以是指对应的目标信息的通用代码模板,其中该通用代码模板可以是预先设置的。下文分别针对根据上述目标信息生成目标程序的过程:
87.其中,是否关闭系统自带的备份功能是转换成windows系统进程启动监视规则,在活动程序调用windows系统自带命令去关闭备份服务的命令行进行识别,以此来认定当前活动程序可能是档案中描述的勒索软件。当该项目存在时,为后续认定该活动进程是勒索软件时的必要条件。
88.活动时会创建的其他程序则可以转换成windows系统进程启动监视规则。对启动的进程的命令行进行正规化之后,进行正则表达式匹配。恶意软件(含勒索软件)会利用系统支持的技巧对命令行进行混淆,以此躲避现有的安全软件检查。本发明设计了一种命令行正规化方式,可以对windows和linux系统的命令行内容进行清洗,去除命令行中干扰安全软件检测的无效字符,提高识别概率和性能。正规化方法:删除命令行中的特殊字符,包括:^(脱字符)、`(反单引号)、"(双引号)、'(单引号);将多个空字符合并成一个空格。
89.加密后文件的文件名特征则转换成操作系统文件创建、改名的监视规则。在活动程序创建、改名磁盘文件时进行目标文件名的匹配,以此来认定当前活动程序是档案中描述的勒索软件。
90.加密后文件的内容特征则转换成操作系统文件修改的监视规则。在活动程序修改磁盘文件后,对被修改的磁盘文件的内容进行匹配,以此来认定当前活动程序是档案中描述的勒索软件。
91.创建的勒索信的文件名和内容特征则转换成操作系统文件创建、修改的监视规则。在活动程序创建或修改磁盘文件后,对被修改的磁盘文件的内容进行匹配,以此来认定
当前活动程序是档案中描述的勒索软件。
92.连接的网络域名和ip地址则转换成网络监视规则。在活动程序连接指定域名对应的ip地址或指定ip地址时进行匹配,以此来认定当前活动程序是档案中描述的勒索软件。
93.创建的注册表项目名称则转换成注册表监视规则。将创建指定注册表键、写入指定注册表值的程序,若匹配成功则认定为勒索软件。
94.创建的操作系统对象名称则转换成注册表监视规则。将创建指定注册表键、写入指定注册表值的程序,若匹配成功则认定为勒索软件。
95.邮箱和钱包地址通常出现在勒索信中,它们指定的邮箱和钱包地址,会转换成内容特征,和“创建的勒索信的文件名和内容特征”结合在一起,对可能的勒索信进行识别。
96.程序或代码的工作模式则转换成发现勒索软件之后的处置方式。本发明目前设定了三种工作模式:未知工作模式、独立工作模式、寄生工作模式。独立工作模式,表示该勒索软件以独立进程的方式活动,在认定活动进程为勒索软件后,采用直接终止进程的方式来遏制勒索软件的继续活动,并做进一步的处置工作。寄生工作模式,表示该勒索软件会通过计数手段,寄生到系统或其他应用的进程中,在认定活动进程为勒索软件后,无法直接终止进程(会影响正常应用),而是采用暂停当前活动线程的方式来遏制勒索软件的继续活动。未知工作模式,表示无法确定勒索软件的工作模式或超出可以自动化处置的范畴,在发现勒索软件活动后,不实施任何处置操作。
97.横向传播涉及的端口则转换成主机防火墙规则或网络监控规则。当计算机上被发现有本档案描述的勒索软件活动时,动态添加主机防火墙规则或网络监控规则,将本档案中设定的ip端口的流量进行封堵,切断该勒索软件横向传播的途径,遏制该勒索软件在企业内部网络内扩散。
98.在一个实施例中,如图4所示,提供了一种勒索程序检测方法,以该方法应用于图1中的终端为例进行说明,包括以下步骤:
99.s402:获取待检测程序。
100.具体地,待检测程序是在安全设备中执行的程序,终端可以拦截待检测程序以对待检测程序进行检测。优选地,终端可以拦截待检测程序在执行过程中的执行结果和/或执行对象来判断待检测程序是否为勒索程序。
101.s404:根据上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序。
102.具体地,终端执行目标程序从而实现对待检测程序的检测,从而判断待检测程序是否为勒索程序。
103.上述勒索程序检测方法,可以是利用上述目标程序来进行检测,上述目标程序可以由企业用户输入关于勒索程序的目标信息,这样即可以按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序,这样不需要由安全公司来做相应的调查和响应等等,减少响应时间,大大缩短了用于勒索程序的检测的目标程序的生成时间,以达到及时生成目标程序以检测和遏制勒索程序的目的。
104.在其中一个实施例中,目标程序包括检测活动程序的目标程序;根据上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序,包括:对待检测程序进行标准化处理以删除待检测程序中的命令行
的目标字符;通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断待检测程序是否为勒索程序。
105.具体地,本实施例中首先对启动的待检测程序的命令行进行标准化。标准化的方法包括:删除命令行中的特殊字符,包括:^(脱字符)、`(反单引号)、"(双引号)以及'(单引号);将多个空字符合并成一个空格。然后对处理后的命令行进行正则表达式匹配。
106.在其中一个实施例中,获取待检测程序之前,包括:将根据上述任意一个实施例中的目标程序生成方法生成的目标程序,部署在目标位置,目标位置包括网络安全设备以及网络管道。
107.具体地,程序类型包括部署于计算机上的高精度勒索程序识别和处置装置、部署于网络管道上的勒索程序网络活动检测和阻断装置等等,在此不做具体限制。不同的程序类型可以部署在不同的目标位置,以在不同的位置对勒索程序进行识别。
108.其中,部署于计算机上的勒索程序识别和处置装置是一个由勒索程序档案驱动程序行为监控和活动代码处置的装置。该装置实时从勒索程序档案管理系统同步企业内定义的勒索程序档案,将勒索程序档案中的部分数据转换成用来识别勒索程序的程序行为判断逻辑。
109.部署于网络管道中的网络流量检测装置则是针对需要通过互联网访问控制服务器,来获取加密计算机文件时使用的非对称秘钥的勒索程序,因此通过阻断勒索程序对其控制服务器的网络访问,可一定程度上阻断勒索程序的活动。该装置在网络防火墙或者其他网络流量设备上实现。它实时同步企业内定义的勒索程序档案,并将勒索程序档案中涉及的网络域名、ip地址、电子邮箱等网络相关元素转换成该勒索程序的识别模式,在勒索程序活动并产生相关的网络流量时进行阻断。
110.应该理解的是,虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
111.基于同样的发明构思,本技术实施例还提供了一种用于实现上述所涉及的目标程序生成方法、勒索程序检测方法的目标程序生成装置、勒索程序检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个目标程序生成装置、勒索程序检测装置实施例中的具体限定可以参见上文中对于目标程序生成方法、勒索程序检测方法的限定,在此不再赘述。
112.在一个实施例中,如图5所示,提供了一种目标程序生成装置,包括:目标信息获取模块501、分类模块502和生成模块503,其中:
113.目标信息获取模块501,用于获取输入的关于勒索程序的目标信息;
114.分类模块502,用于按照程序类型将目标信息进行分类;
115.生成模块503,用于根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。
116.在其中一个实施例中,上述目标信息获取模块501包括:
117.指令接收单元,用于接收勒索程序处理指令,处理指令包括录入指令、编辑指令和禁用指令中的至少一个;
118.界面显示单元,用于根据处理指令显示勒索程序信息描述界面;
119.目标信息接收单元,用于通过勒索程序信息描述界面接收输入的关于勒索程序的目标信息,目标信息包括基本信息和行为特征;基本信息包括勒索程序的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
120.在其中一个实施例中,上述生成模块503包括:
121.模板获取单元,用于获取目标信息对应的程序模板;
122.生成单元,用于将目标信息和程序模板结合得到目标程序。
123.在其中一个实施例中,上述生成单元用于执行以下至少一个步骤:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与程序模板得到检测活动程序的目标程序;将加密目标文件的扩展名列表与程序模板得到检测扩展名列表的目标程序;将加密后文件的文件名特征与程序模板得到检测文件名特征的目标程序;将加密后文件的内容特征与程序模板得到检测内容特征的目标程序;将创建的勒索信的文件名特征与程序模板得到检测文件名特征的目标程序;将连接的网络域名和ip地址与程序模板得到检测网络域名和ip地址的目标程序;将创建的注册表项目名称与程序模板得到检测注册表项目名称的目标程序;将创建的操作系统对象名称与程序模板得到检测操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与程序模板得到检测相关邮箱和数字货币钱包地址的目标程序;根据程序或代码的工作模式选择对应的勒索程序处理程序作为目标程序;根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据主机防火墙规则或网络监控规则生成目标程序。
124.在一个实施例中,如图6所示,提供了一种勒索程序检测装置,包括:待检测程序获取模块601和判断模块602,其中:
125.待检测程序获取模块601,用于获取待检测程序;
126.判断模块602,用于根据上述任意一个实施例中的目标程序生成装置生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序。
127.在其中一个实施例中,目标程序包括检测活动程序的目标程序;上述判断模块602包括:
128.标准化处理单元,用于对待检测程序进行标准化处理以删除待检测程序中的命令行的目标字符;
129.匹配单元,用于通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断待检测程序是否为勒索程序。
130.在其中一个实施例中,上述勒索程序检测装置还包括:
131.部署模块,用于将根据上述任意一个实施例中的目标程序生成方法生成的目标程序,部署在目标位置,目标位置包括网络安全设备以及网络管道。
132.上述目标程序生成装置、勒索程序检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
133.在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图7所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过wifi、移动蜂窝网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种目标程序生成方法、勒索程序检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
134.本领域技术人员可以理解,图7中示出的结构,仅仅是与本技术方案相关的部分结构的框图,并不构成对本技术方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
135.在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取输入的关于勒索程序的目标信息;按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。
136.在一个实施例中,处理器执行计算机程序时所实现的获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据处理指令显示勒索程序信息描述界面;通过勒索程序信息描述界面接收输入的关于勒索程序的目标信息,目标信息包括基本信息和行为特征;基本信息包括勒索程序的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
137.在一个实施例中,处理器执行计算机程序时所实现的根据目标信息生成对应程序类型的目标程序,包括:获取目标信息对应的程序模板;将目标信息和程序模板结合得到目标程序。
138.在一个实施例中,处理器执行计算机程序时所实现的将目标信息和程序模板结合得到目标程序,包括以下至少一个:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与程序模板得到检测活动程
序的目标程序;将加密目标文件的扩展名列表与程序模板得到检测扩展名列表的目标程序;将加密后文件的文件名特征与程序模板得到检测文件名特征的目标程序;将加密后文件的内容特征与程序模板得到检测内容特征的目标程序;将创建的勒索信的文件名特征与程序模板得到检测文件名特征的目标程序;将连接的网络域名和ip地址与程序模板得到检测网络域名和ip地址的目标程序;将创建的注册表项目名称与程序模板得到检测注册表项目名称的目标程序;将创建的操作系统对象名称与程序模板得到检测操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与程序模板得到检测相关邮箱和数字货币钱包地址的目标程序;根据程序或代码的工作模式选择对应的勒索程序处理程序作为目标程序;根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据主机防火墙规则或网络监控规则生成目标程序。
139.在一个实施例中,提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现以下步骤:获取待检测程序;根据上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序。
140.在一个实施例中,处理器执行计算机程序时所涉及的目标程序包括检测活动程序的目标程序;处理器执行计算机程序时所涉及的上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序,包括:对待检测程序进行标准化处理以删除待检测程序中的命令行的目标字符;通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断待检测程序是否为勒索程序。
141.在一个实施例中,处理器执行计算机程序时所实现的获取待检测程序之前,包括:将根据上述任意一个实施例中的目标程序生成方法生成的目标程序,部署在目标位置,目标位置包括网络安全设备以及网络管道。
142.在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取输入的关于勒索程序的目标信息;按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。
143.在一个实施例中,计算机程序被处理器执行时所实现的获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据处理指令显示勒索程序信息描述界面;通过勒索程序信息描述界面接收输入的关于勒索程序的目标信息,目标信息包括基本信息和行为特征;基本信息包括勒索程序的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
144.在一个实施例中,计算机程序被处理器执行时所实现的根据目标信息生成对应程序类型的目标程序,包括:获取目标信息对应的程序模板;将目标信息和程序模板结合得到目标程序。
145.在一个实施例中,计算机程序被处理器执行时所实现的将目标信息和程序模板结合得到目标程序,包括以下至少一个:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与程序模板得到检测活动程序的目标程序;将加密目标文件的扩展名列表与程序模板得到检测扩展名列表的目标程序;将加密后文件的文件名特征与程序模板得到检测文件名特征的目标程序;将加密后文件的内容特征与程序模板得到检测内容特征的目标程序;将创建的勒索信的文件名特征与程序模板得到检测文件名特征的目标程序;将连接的网络域名和ip地址与程序模板得到检测网络域名和ip地址的目标程序;将创建的注册表项目名称与程序模板得到检测注册表项目名称的目标程序;将创建的操作系统对象名称与程序模板得到检测操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与程序模板得到检测相关邮箱和数字货币钱包地址的目标程序;根据程序或代码的工作模式选择对应的勒索程序处理程序作为目标程序;根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据主机防火墙规则或网络监控规则生成目标程序。
146.在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:获取待检测程序;根据上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序。
147.在一个实施例中,计算机程序被处理器执行时所涉及的目标程序包括检测活动程序的目标程序;计算机程序被处理器执行时所涉及的上述任意一个实施例中的目标程序生成方法生成的目标程序,对待检测程序进行检测,以判断待检测程序是否为勒索程序,包括:对待检测程序进行标准化处理以删除待检测程序中的命令行的目标字符;通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断待检测程序是否为勒索程序。
148.在一个实施例中,计算机程序被处理器执行时所实现的获取待检测程序之前,包括:将根据上述任意一个实施例中的目标程序生成方法生成的目标程序,部署在目标位置,目标位置包括网络安全设备以及网络管道。
149.在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:获取输入的关于勒索程序的目标信息;按照程序类型将目标信息进行分类;根据目标信息生成对应程序类型的目标程序,目标程序用于检测勒索程序。
150.在一个实施例中,计算机程序被处理器执行时所实现的获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据处理指令显示勒索程序信息描述界面;通过勒索程序信息描述界面接收输入的关于勒索程序的目标信息,目标信息包括基本信息和行为特征;基本信息包括勒索程序的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。
access memory,dram)等。本技术所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本技术所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
157.以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
158.以上所述实施例仅表达了本技术的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本技术专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本技术构思的前提下,还可以做出若干变形和改进,这些都属于本技术的保护范围。因此,本技术的保护范围应以所附权利要求为准。

技术特征:
1.一种目标程序生成方法,其特征在于,所述目标程序生成方法包括:获取输入的关于勒索程序的目标信息;按照程序类型将所述目标信息进行分类;根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒索程序。2.根据权利要求1所述的目标程序生成方法,其特征在于,所述获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,所述处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据所述处理指令显示勒索程序信息描述界面;通过所述勒索程序信息描述界面接收输入的关于勒索程序的目标信息,所述目标信息包括基本信息和行为特征;所述基本信息包括所述勒索软件的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;所述行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和ip地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。3.根据权利要求2所述的目标程序生成方法,其特征在于,所述根据所述目标信息生成对应所述程序类型的目标程序,包括:获取所述目标信息对应的程序模板;将所述目标信息和所述程序模板结合得到目标程序。4.根据权利要求3所述的目标程序生成方法,其特征在于,所述将所述目标信息和所述程序模板结合得到目标程序,包括以下至少一个:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与所述程序模板得到检测所述活动程序的目标程序;将加密目标文件的扩展名列表与所述程序模板得到检测所述扩展名列表的目标程序;将加密后文件的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;将加密后文件的内容特征与所述程序模板得到检测所述内容特征的目标程序;将创建的勒索信的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;将连接的网络域名和ip地址与所述程序模板得到检测所述网络域名和ip地址的目标程序;将创建的注册表项目名称与所述程序模板得到检测所述注册表项目名称的目标程序;将创建的操作系统对象名称与所述程序模板得到检测所述操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与所述程序模板得到检测所述相关邮箱和所述数字货币钱包地址的目标程序;根据程序或代码的工作模式选择对应的勒索软件处理程序作为目标程序;
根据横向传播涉及的端口选择对应的主机防火墙规则或网络监控规则,并根据所述主机防火墙规则或网络监控规则生成目标程序。5.一种勒索程序检测方法,其特征在于,所述勒索程序检测方法包括:获取待检测程序;根据权利要求1至4任意一项所述的目标程序生成方法生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序。6.根据权利要求5所述的勒索程序检测方法,其特征在于,所述目标程序包括检测活动程序的目标程序;所述根据权利要求1至4任意一项所述的目标程序生成方法生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序,包括:对所述待检测程序进行标准化处理以删除所述待检测程序中的命令行的目标字符;通过正则表达式匹配的方法将删除了目标字符的待检测程序进行检测,以判断所述待检测程序是否为勒索程序。7.根据权利要求5所述的勒索程序检测方法,其特征在于,所述获取待检测程序之前,包括:将根据权利要求1至4任意一项所述的目标程序生成方法生成的目标程序,部署在目标位置,所述目标位置包括网络安全设备以及网络管道。8.一种目标程序生成装置,其特征在于,所述目标程序生成装置包括:目标信息获取模块,用于获取输入的关于勒索程序的目标信息;分类模块,用于按照程序类型将所述目标信息进行分类;生成模块,用于根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒索程序。9.一种勒索程序检测装置,其特征在于,所述勒索程序检测装置包括:待检测程序获取模块,用于获取待检测程序;判断模块,用于根据权利要求8所述的目标程序生成装置生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序。10.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至4或5至7中任一项所述的方法的步骤。11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至4或5至7中任一项所述的方法的步骤。12.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至4或5至7中任一项所述的方法的步骤。

技术总结
本申请涉及一种目标程序生成方法、勒索程序检测方法、装置、设备。目标程序生成方法包括:获取输入的关于勒索程序的目标信息;按照程序类型将所述目标信息进行分类;根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒索程序。勒索程序检测方法包括:获取待检测程序;根据上述目标程序生成方法生成的目标程序,对所述待检测程序进行检测,以判断所述待检测程序是否为勒索程序。采用本方法能够及时生成目标程序以检测勒索程序。序。序。


技术研发人员:张晓 金学奇 张亮 周劼英 詹雄 蒋衢 叶超 屈刚 蒋正威 张静 金皓纯 孔飘红 黄银强 谌亚平
受保护的技术使用者:国家电网有限公司华东分部
技术研发日:2021.12.07
技术公布日:2022/3/8

专利

最新回复(0)