公开(公告)号：CN118520469A

公开(公告)日：2024-08-20

申请号：CN202410700691.X

申请日：2024-05-31

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  张欢 ,  秦政开 ,  赵力欣 ,  蔡利君 ,  孟丹

IPC: G06F21/57

Abstract: 本发明提出一种推荐指导的勒索软件主动诱捕方法及系统，属于勒索软件诱捕领域，包括：S1：根据勒索软件与其偏好文件之间的交互记录，以及偏好文件的属性集合，利用GNN学习勒索软件对偏好文件属性的偏好，选择诱饵文件；S2：利用GNN学习勒索软件对偏好文件的路径属性的偏好，获取勒索软件中流行路径属性，选择与流行路径属性一致的关键路径部署诱饵文件；S3：利用诱饵文件监视器持续监控部署于文件系统中的诱饵文件的变化，并采取相应行动。本发明方法通过学习勒索软件的文件加密偏好和路径访问偏好来指导设计诱饵文件的生成和部署方案。

公开(公告)号：CN117909973A

公开(公告)日：2024-04-19

申请号：CN202410024154.8

申请日：2024-01-08

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  张欢 ,  赵力欣 ,  蔡利君 ,  孟丹

IPC: G06F21/56 ,  G06F21/55

Abstract: 本发明涉及一种基于内核级行为分析的勒索软件提前检测方法及系统，其方法包括：S1：分别从良性软件和勒索软件样本内核级日志中提取执行命令，构建良性和恶意命令集合；S2：从勒索软件样本的内核级日志中提取与文件操作相关的事件，通过序列提取、嵌入、聚类和模式生成，将一个文件所有相关事件进行关联，得到勒索软件攻击阶段的行为模式；S3：实时监控内核级事件流，提取其中包含进程执行命令的属性，判断是否属于恶意命令集合，如果是，则终止该事件的执行进程；如果否，则执行步骤S2，判断是否存在勒索软件攻击阶段的行为模式，如果是，则终止该事件的执行进程。本发明提供的方法可在攻击前或攻击早期阶段检测到是否存在勒索软件。