[发明专利]勒索软件防御方法、系统、电子装置和存储介质

说明书

本申请涉及一种勒索软件防御方法、系统、电子装置和存储介质，通过获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；对至少一对访问关系进行分析，确定各访问关系所属的类别，其中，类别包括勒索软件访问类型和非勒索软件访问类型；根据各访问关系所属的类别确定对应于各主体的访问控制策略，并下发访问控制策略至相应节点，其中，访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程，解决了相关技术中勒索软件防御的普适性差且有滞后性的问题，提升了勒索软件防御的普适性、改善了勒索软件防御的滞后性。

技术领域

本申请涉及信息安全领域，特别是涉及勒索软件防御方法、系统、电子装置和存储介质。

背景技术

目前勒索软件已发展成为完整的黑色产业链，对企业的数据及财产安全构成重大威胁，勒索软件通常使用木马病毒的形式传播，将自身为掩盖为看似无害的文件。相关技术提出了以下两种对抗勒索软件的方案。

方案1：基于污点文件(诱饵文件)的方式，通过在目标系统中部署污点文件(诱饵文件)，并监控污点文件(诱饵文件)的改变，当检测到改变时则认为是勒索软件运行，此时告警或结束发起的进程。

缺点：基于污点文件(诱饵文件)的方式需要有几个前提，首先，假设了勒索软件遍历文件时优先遍历到污点文件(诱饵文件)，否则将导致改写污点文件(诱饵文件)之前已经有用户文件被勒索软件加密，其次，此方式还假设勒索软件是按照顺序进行加密，如果遍历文件后打乱顺序，一样会导致用户文件被勒索软件加密。并且此方案将在用户的文件目录下生成多余的文件，可能对用户造成误解。

方案2：基于黑名单的检测方式，此方法本质上需要依赖于杀毒软件或杀毒引擎，采用主动防御的思路，在进程启动时(勒索软件也要创建进程)进行实时检测，如果是恶意程序则不允许启动。

缺点：基于黑名单的检测方式的缺陷在于有较大的滞后性，进行过免杀、加壳处理的勒索软件极有可能不被杀毒软件发觉，一旦勒索软件正常运行，全盘加密将在很短的时间内执行完毕，将对用户的数据及财产造成重大危害。

针对相关技术中勒索软件防御的普适性差且有滞后性的问题，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种勒索软件防御方法、系统、电子装置和存储介质，以解决相关技术中勒索软件防御的普适性差且有滞后性的问题。

第一个方面，在本实施例中提供了一种勒索软件防御方法，所述方法包括：

获取至少一个节点中主体对客体进行访问之后生成的至少一对访问关系；

对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别，其中，所述类别包括勒索软件访问类型和非勒索软件访问类型；

根据各所述访问关系所属的类别确定对应于各所述主体的访问控制策略，并下发所述访问控制策略至相应节点，其中，所述访问控制策略用于指示相应节点阻断勒索软件进程，以及放行非勒索软件进程。

在其中一些实施例中，在对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别之前，所述方法还包括：

滤除系统进程对系统文件进行访问之后生成的访问关系。

在其中一些实施例中，在对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别之前，所述方法还包括：

滤除桌面进程对用户文件进行访问之后生成的访问关系。

在其中一些实施例中，对所述至少一对访问关系进行分析，确定各所述访问关系所属的类别包括：

确定多对访问关系中具有相同主体的访问关系，合并具有相同主体的访问关系，得到访问关系集合；