[发明专利]一种基于IRP分析的加密勒索软件实时监测系统及方法

权利要求书

1.一种基于IRP分析的加密勒索软件实时监测方法，其特征在于：包括下列步骤：

S1、诱饵监控；部署诱饵文件，当加密勒索软件进程试图写入诱饵文件时，立即将该进程标识为恶意并终止进程；

S2、通过文件监控和进程监控协同运作，判定行为是否为恶意加密；

S3、加密函数钩子；在系统内置的加密函数处放置钩子，捕获在加密时所使用的秘钥，当恶意加密发生时，可以根据此模块内置的数据库，找到加密时所用的对称密钥，来解密已被加密的文件。

2.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法，其特征在于：所述S1中的诱饵监控自动在磁盘各个位置部署诱饵文件，当有IRP请求对应的是对诱饵文件进行的修改，诱饵监控可以立即判定该IRP请求的进程是恶意加密软件，并对该请求进行拦截和终止。

3.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法，其特征在于：所述S2中文件监控和进程监控协同运作的方法为：

所述文件监控为：文件更改监控在文件发生修改时，通过文件修改前后的相似性度量和熵度量之间的差别，判断文件是否被加密；文件分类监控通过学习并分析用户文件行为，对数据文件进行分类，标记出有较高可能性被用户主动加密的文件；

所述进程监控为：根据进程的IRP请求特征，使用机器学习分类器对进程进行分类，并识别恶意加密进程。

4.根据权利要求3所述的一种基于IRP分析的加密勒索软件实时监测方法，其特征在于：所述S2中当IRP请求没有操作诱饵文件时所述文件监控和所述进程监控将协同运作，所述文件监控判断此IRP请求是否是对文件进行加密修改并对用户文件进行分类，所述进程监控根据IRP特征对进程进行分类，当文件监控判定此次IRP操作是一次加密操作，且进程监控根据IRP特征判定进程为恶意时，可以充分认定该行为为恶意加密。

5.根据权利要求1所述的一种基于IRP分析的加密勒索软件实时监测方法，其特征在于：所述S3中的加密函数钩子当加密行为发生时调用系统内置加密函数，并记录此次加密使用密钥，根据密钥对被恶意加密文件还原。

6.一种基于IRP分析的加密勒索软件实时监测系统，其特征在于：包括诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)、加密函数钩子模块(4)，所述诱饵监控模块(1)通过并列关系连接有文件监控模块(2)、进程监控模块(3)，所述诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)均通过通信连接有加密函数钩子模块(4)。

7.根据权利要求6所述的一种基于IRP分析的加密勒索软件实时监测系统，其特征在于：还包括IRP记录器(5)、IRP解析器(6)，所述IRP记录器(5)连接有IRP解析器(6)，所述IRP解析器(6)分别与诱饵监控模块(1)、文件监控模块(2)、进程监控模块(3)连接。

8.根据权利要求6所述的一种基于IRP分析的加密勒索软件实时监测系统，其特征在于：所述加密函数钩子模块(4)内设置有数据库(7)，所述数据库(7)内包含有对称密钥。