公开(公告)号：CN118153045A

公开(公告)日：2024-06-07

申请号：CN202410038095.X

申请日：2024-01-10

Applicant: 贵州大学

Inventor： 郭春 ,  赵永林 ,  申国伟 ,  崔允贺 ,  陈意 ,  周雪梅

IPC: G06F21/56 ,  G06N3/0464 ,  G06N3/08

Abstract: 本申请公开了一种基于ETW的勒索软件早期检测与阻断方法，属于入侵检测领域，包括：S100实时监控系统中是否有新启动进程，若是，执行步骤S200；S200捕获新启动进程的PID以及新启动进程运行初期所运行的ETW事件序列；S300构建学习模型并进行训练，通过训练后的学习模型对ETW事件序列进行判别；S400若判别的结果为ETW事件序列对应的新启动进程为勒索软件，则执行步骤S500，否则，返回步骤S100；S500根据PID立即阻断新启动进程，并返回步骤S100。本申请提供的方法，可应用于入侵检测与信息安全领域，能够在勒索软件完成对感染主机系统中全部文件加密前，及时且准确地将其检测出并实施阻断。