[go: up one dir, main page]

TW201945969A - 檔案處理方法和系統、資料處理方法 - Google Patents

檔案處理方法和系統、資料處理方法 Download PDF

Info

Publication number
TW201945969A
TW201945969A TW108107620A TW108107620A TW201945969A TW 201945969 A TW201945969 A TW 201945969A TW 108107620 A TW108107620 A TW 108107620A TW 108107620 A TW108107620 A TW 108107620A TW 201945969 A TW201945969 A TW 201945969A
Authority
TW
Taiwan
Prior art keywords
file
encryption
determined
trusted
trusted chip
Prior art date
Application number
TW108107620A
Other languages
English (en)
Inventor
付穎芳
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201945969A publication Critical patent/TW201945969A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本發明揭露一種檔案處理方法和系統、資料處理方法。其中,該檔案處理方法包括:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。本發明解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。

Description

檔案處理方法和系統、資料處理方法
本發明係關於電腦安全領域,具體而言,相關於一種檔案處理方法和系統、資料處理方法。
勒索軟體是一種流行的木馬程式,能透過加密使用者的檔案來綁架使用者檔案的方式,使使用者資料資產或計算資源無法正常使用,並以此為條件向使用者勒索錢財。一旦使用者受到勒索軟體的感染,通常會讓電腦螢幕彈出提示消息,稱使用者檔案被加密,要求支付贖金,此時使用者的關鍵資料可能已經被加密,而密碼只有遠端的勒索者手中有。
為了防範資料被非法加密甚至勒索錢財,現有技術中提供了多種解決方案:實時備份技術,當勒索軟體綁架使用者資料時,使用者可以恢復到最近一次備份,從而降低損失,但是這種方案以犧牲大量的儲存空間為代價;檔案存取控制技術,每一種文件對應用一種或幾種文件編輯器,限制只有這些編輯器的處理才能對文件進行修改編輯,但是,這種方案需要維護和管理白名單,成本比較高;密鑰恢復技術,勒索軟體實現者在實現過程中可能會存在漏洞和疏忽,沒有清除內部記憶體中檔案加密密鑰,可以利用這個來找到內部記憶體中殘留的密鑰,進而恢復使用者被綁架的資料,但是,這種方案嚴重依賴勒索軟體本身實現的漏洞;二進制檢測技術,透過將各類檔案(包括可疑文件、未知應用程式)自動提交到雲端平台,透過特徵檢測、虛擬化執行等方式集中鑒定,及時發現可疑文件(可能是具有漏洞利用的攻擊文件)和惡意程式,但是,這種技術無法應對新的變種。
針對現有技術中檔案處理方法處理準確度低且成本高的問題,目前尚未提出有效的解決方案。
本發明實施例提供了一種檔案處理方法和系統、資料處理方法,以至少解決現有技術中檔案處理方法處理準確度低且成本高的技術問題。
根據本發明實施例的一個態樣,提供了一種檔案處理方法,包括:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
根據本發明實施例的另一態樣,還提供了一種檔案處理系統,包括:檔案可信操作監視組件,用於監控對檔案進行操作的操作請求,如果監控到操作請求,獲取操作的操作特徵;可信晶片,用於加密檔案;檔案可信操作監視組件,與可信晶片具有通信關係,還用於分析操作特徵,確定觸發可信晶片加密檔案。
根據本發明實施例的另一態樣,還提供了一種儲存媒體,儲存媒體包括儲存的程式,其中,在程式運行時控制儲存媒體所在設備執行如下步驟:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定可信晶片加密檔案。
根據本發明實施例的另一態樣,還提供了一種處理器,處理器用於運行程式,其中,程式運行時執行如下步驟:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
根據本發明實施例的另一態樣,還提供了一種檔案處理系統,包括:處理器;以及記憶體,與處理器連接,用於為處理器提供處理以下處理步驟的指令:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
根據本發明實施例的另一態樣,還提供了一種資料處理方法,包括:獲取對資料進行操作的操作請求,其中,操作請求包括運算碼;根據運算碼,確定觸發可信晶片加密資料,其中,運算碼對應於操作特徵。
在本發明實施例中,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。
為了使本技術領域的人員更好地理解本發明方案,下面將結合本發明實施例中的圖式,對本發明實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發明一部分的實施例,而不是全部的實施例。基於本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例,都應當屬本發明保護的範圍。
需要說明的是,本發明的說明書和申請專利範圍及上述圖式中的術語“第一”、“第二”等是用於區別類似的對象,而不必用於描述特定的順序或先後次序。應該理解這樣使用的資料在適當情況下可以互換,以便這裡描述的本發明的實施例能夠以除了在這裡圖示或描述的那些以外的順序實施。此外,術語“包括”和“具有”以及他們的任何變形,意圖在於覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限於清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或對於這些過程、方法、產品或設備固有的其它步驟或單元。
首先,在對本發明實施例進行描述的過程中出現的部分名詞或術語適用於如下解釋:
可信晶片:可信晶片(Trusted Computing)是在計算和通信系統中廣泛使用基於硬體安全模組支持下的可信晶片平台,以提高系統整體的安全性。
可信平台模組(TPM):Trusted Platform Module,可以是為資料提供完整性和真實性保障的安全晶片,一般透過實體方式被強綁定到計算平台。
勒索軟體:是一種流行的木馬程式,能透過加密使用者的檔案來綁架使用者檔案的方式,使用資料資產或計算資源無法正常使用,並以此為條件向使用者勒索錢財;主流的勒索軟體通常有兩種操作檔案的方式,一種是直接加密覆寫原檔案,這種情況下沒有勒索者的密鑰,幾乎是無法恢復的;另一種則是先加密產生副本檔案,然後刪除原檔案,這種情況下有可能恢復。
資訊熵:Shannon借鑒了熱力學的概念,把資訊中排除了冗餘後的平均資訊量可以稱為“資訊熵”,並給出了計算資訊熵的數學表示式。

實施例 1
由於相關技術中,為了防範檔案被勒索軟體非法加密甚至勒索錢財所採用的多種檔案處理方法,需要以犧牲大量的儲存空間為代價,成本比較高,嚴重依賴勒索軟體本身實現的漏洞,而且無法應對新的變種,導致檔案處理方法處理準確度低且成本高。
為了解決上述技術問題,本發明提出了一種檔案處理系統,圖1是根據本發明實施例1的一種檔案處理系統的示意圖,如圖1所示,該系統可以包括:檔案可信操作監視組件12和可信晶片14。
其中,檔案可信操作監視組件12用於監控對檔案進行操作的操作請求,如果監控到操作請求,獲取操作的操作特徵;可信晶片14用於加密檔案;檔案可信操作監視組件,與可信晶片具有通信關係,還用於分析操作特徵,確定觸發可信晶片加密檔案。
具體地,如圖2所示,擁有TPCM(是可信平台控制模組,Trusted Platform Control Module的簡稱)或TPM可信晶片主機的作業系統可以包括:系統服務、作業系統核心介面層、檔案系統驅動、卷驅動、磁碟驅動、匯流排驅動和可信晶片(TPCM/TPM),作業系統透過作業系統核心介面層與使用者應用程式進行資料互動,在作業系統核心層增加檔案可信操作監控組件,該組件用來截獲所有程式對檔案的操作行為,上述的主機可以是智慧型手機(包括Android手機和IOS手機)、平板電腦、IPAD、掌上電腦等移動設備,也可以是PC電腦、筆記型電腦等電腦設備,本發明對此不做具體限定;上述的檔案可以是主機中不能被其他使用者隨意修改、刪除的敏感檔案,也可以是使用者不希望他人隨意修改、刪除的敏感檔案,例如,對於商業使用者,敏感檔案可以是合同檔案、客戶資訊檔案等檔案,如果上述檔案被勒索軟體綁架,會給使用者帶來巨大損失;上述的操作可以包括:寫入操作、讀取操作,具體可以包括加密操作、覆寫操作或刪除操作等操作,本發明對此不做具體限定,操作的具體類型可以根據實際處理需要進行限定,不同的操作具有不同的操作特徵,操作特徵可以表徵具體是哪種類型的操作,以及是否調用可信晶片進行操作等。
需要說明的是,由於主機中存放的檔案數量較多,為了提升檔案處理效率,可以僅對敏感檔案進行監控,而不再對所有檔案進行監控。
在一種可選的方案中,在電腦安全防護應用場景中,可以預先在擁有TPCM或TPM可信晶片主機的作業系統核心層增加檔案可信操作監控組件,透過檔案可信操作監控組件截獲對檔案的操作請求,特別是對敏感檔案的操作,也即,每當檔案可信操作監控組件監控到對敏感檔案進行操作的操作請求時,對該操作請求進行攔截,避免作業系統對此次操作請求進行回應。在檔案可信操作監控組件對操作進行攔截之後,可以獲取該操作的操作特徵,並對操作特徵進行分析,判斷該操作是否觸發可信晶片加密檔案,如果確定未觸發,則可以確定此次操作為非法操作,為了對敏感檔案進行防護,可以禁止對檔案執行此次操作,從而作業系統不對此次操作進行回應;如果確定觸發,則可以確定此次操作為合法使用者進行的合法操作,可以允許對檔案執行此次操作,從而檔案可信操作監控組件釋放攔截到的操作請求,作業系統可以對此次操作進行回應,完成相應的操作。
圖3是根據本發明實施例的一種可選的檔案處理方法的流程圖,下面結合圖3對本發明一種較佳的實施例進行詳細說明,如圖3所示,該方法可以包括如下步驟:
步驟S31,截獲檔案操作請求。
可選地,當使用者對敏感檔案進行操作,發起操作請求時,檔案可信操作監控組件截獲操作請求。
步驟S32,分析操作特徵。
可選地,檔案可信操作監控組件分析操作請求的操作特徵。
步驟S33,判斷是否為寫入操作。
可選地,檔案可信操作監控組件透過分析操作特徵,判斷使用者需要對檔案進行的操作是否為寫入操作,如果不是,也即,使用者需要對檔案進行讀取操作,則進入步驟S34;如果是,則進入步驟S35。
步驟S34,允許讀取操作。
可選地,在確定使用者需要對檔案進行讀取操作之後,可以確定此次操作不是勒索軟體執行的操作,因此可以允許使用者對檔案進行讀取操作,檔案可信操作監控組件將該操作請求傳回作業系統核心層進行回應。
步驟S35,判斷是否為加密操作。
可選地,在確定使用者需要對檔案進行寫入操作之後,為了避免勒索軟體對檔案進行操作,可以進一步判斷使用者需要對檔案進行的操作是否為加密操作,具體可以透過判斷預覆寫原始檔案的檔案的資訊熵是否達到加密臨界值,或者透過統計學、機器學習、模式識別的方法來識別覆寫原始檔案的內容是否符合加密特徵,來判斷是否為加密操作。如果確定不是加密操作,則進入步驟S36,如果確定是加密操作,則進入步驟S37。
步驟S36,允許覆寫/刪除原檔案。
可選地,在確定使用者需要對檔案進行的操作不是加密操作之後,可以確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應。
步驟S37,判斷是否觸發可信晶片加密操作。
可選地,在確定使用者需要對檔案進行加密操作之後,為了避免勒索軟體對檔案進行操作,可以進一步判斷使用者是否透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作,如果否,則進入步驟S38;如果是,則進入步驟S39。
步驟S38,阻止覆寫/刪除原檔案。
可選地,在確定使用者未透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作之後,可以確定此次操作可能是勒索軟體執行的操作,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
步驟S39,判斷是否是合法使用者。
可選地,在確定使用者需要對檔案進行寫入操作之後,為了避免非法使用者對檔案進行操作,可以進一步判斷該使用者是否為合法使用者,如果是,則進入步驟S310;如果不是,則返回步驟S38,可以確定此次操作是非法使用者進行的操作,為了保護使用者的敏感檔案,可以阻止非法使用者對檔案進行覆寫操作或刪除操作,也即阻止非法使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
需要說明的是,合法使用者需要完成如下初始化:
首先,合法使用者(簡稱為C)和檔案可信操作監控組件(簡稱為S)從業務伺服器集群的平台憑證頒發中心(簡稱為PCA)分別獲得各自的平台憑證Cert_AIKC和Cert_AIKS,其中,各自的平台公鑰為AIKpk_C和AIKpk_S,各自的平台私鑰為AIKpriv_C和AIKpriv_S,各自的平台私鑰儲存在各自的TPCM/TPM晶片裡。PCA也有自己的平台憑證Cert_AIKPCA,及平台身份公私鑰AIKpk_PCA和AIKpriv_PCA。C和S均可以從PCA處獲得欲通信對象的平台身份公鑰及平台憑證。
其次,C向S完成初始化註冊,從而成為合法使用者,擁有相應的特權通行碼,並提交了欲保護檔案清單,其中,C僅截獲對欲保護檔案清單中檔案進行操作的操作請求。C可以從TPCM/TPM晶片獲取加密檔案的檔案加密密鑰,並儲存在可信晶片中。
還需要說明的是,為了方便使用者查看加密後的檔案,C可以從TPCM/TPM晶片獲取解密檔案的檔案解密密鑰,並儲存在可信晶片中。
步驟S310,輸入正確密碼通行碼。
可選地,在確定需要對檔案進行操作的使用者為合法使用者之後,為了確保合法使用者對檔案進行合法操作,檔案可信操作監控組件可以讓使用者輸入密碼通行碼,也即輸入合法使用者註冊後擁有的特權通行碼。
步驟S311,判斷密碼通行碼是否正確。
可選地,檔案可信操作監控組件判斷使用者輸入的密碼通行碼是否正確,也即判斷使用者輸入的密碼通行碼與合法使用者註冊後擁有的特權通行碼是否相同,如果相同,則確定密碼通行碼正確,可以進入步驟S36,確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應;如果不相同,則確定密碼通行碼錯誤,可以進入步驟S38,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
本發明上述實施例1所提供的方案,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例1的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。
本發明上述實施例中,檔案可信操作監視組件還用於判斷是否觸發可信晶片對檔案進行加密操作,可信晶片用於利用內部儲存的密鑰加密或解密檔案,其中,如果觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,並執行允許合法使用者對檔案執行合法操作的步驟,如果未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,並執行禁止對檔案執行合法操作的步驟。
具體地,上述的可信晶片可以是如圖2所示的可信晶片,可信晶片內部儲存有對檔案進行加密操作或者解密操作的獨立密鑰,透過調用可信晶片可以觸發可信晶片獨立加密檔案,對檔案進行加密操作、覆寫操作或刪除操作;上述的合法使用者可以是檔案的所有者,或者擁有操作特權的使用者,只有合法使用者能夠透過觸發可信晶片對敏感檔案進行加密操作、覆寫操作或刪除操作等操作。
需要說明的是,由於勒索軟體的本質是非法使用者利用勒索軟對使用者的檔案進行加密後,利用加密後的檔案覆寫原始檔案,或者將原始檔案刪除,因此,對於敏感檔案,只有合法使用者可以透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作、覆寫操作或刪除操作,也即,執行合法操作。
在一種可選的方案中,如圖3中步驟S37至步驟S39所示,基於勒索軟體的本質,為了避免勒索軟體對檔案進行操作,可以分析操作的操作特徵,透過判斷是否觸發可信晶片對檔案進行加密操作,來判斷是否觸發可信晶片加密檔案。如果確定觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,從而可以允許合法使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應。如果確定未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,可以確定此次操作可能是勒索軟體執行的操作,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
需要說明的是,在觸發可信晶片加密檔案之後,調用可信晶片中儲存的檔案加密密鑰對檔案進行加密,為了打開加密後的檔案,可以觸發可信晶片,調用可信晶片中與檔案加密密鑰對應的檔案解密密鑰對檔案進行解密。
本發明上述實施例中,檔案可信操作監視組件還用於在判斷是否觸發可信晶片加密檔案之前,判斷操作的操作特徵是否為加密行為,如果確定操作特徵屬加密行為,判斷是否觸發可信晶片加密檔案。
在一種可選的方案中,如圖3中步驟S35和步驟S37所示,基於勒索軟體的本質,為了避免勒索軟體對檔案進行操作,可以先判斷使用者需要對檔案進行的操作是否為加密操作,在確定使用者需要對檔案進行加密操作之後,可以進一步判斷使用者是否透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作,從而判斷此次操作是否為勒索軟體進行的操作。
本發明上述實施例中,檔案可信操作監視組件還用於獲取目標檔案的資訊熵,判斷資訊熵是否達到加密臨界值,如果確定資訊熵達到加密臨界值,則確定操作特徵屬加密行為,如果確定資訊熵未達到加密臨界值,則確定操作特徵不屬加密行為,其中,目標檔案為對檔案進行覆寫的檔案。
具體地,上述的目標檔案可以是欲覆寫原始檔案的檔案;上述的加密臨界值可以是加密檔案的資訊熵的標準值。
在一種可選的方案中,為了判斷使用者是否需要對檔案進行加密操作,可以計算欲覆寫原始檔案的檔案的資訊熵是否達到加密檔案的資訊熵的標準值,如果達到,則確定覆寫原始檔案的檔案為加密檔案,也即,可以確定使用者需要對檔案進行加密操作,否則可以確定使用者不需要對檔案進行加密操作。
本發明上述實施例中,檔案可信操作監視組件還用於獲取目標內容,判斷目標內容是否符合加密特徵,如果確定目標內容符合加密特徵,則確定操作特徵屬加密行為,如果確定目標內容不符合加密特徵,則確定操作特徵不屬加密行為,其中,目標內容為對檔案進行覆寫的內容。
具體地,上述的加密特徵可以是加密檔案的內容的特徵。
在一種可選的方案中,為了判斷使用者是否需要對檔案進行加密操作,可以透過統計學、機器學習、模式識別的方法來識別欲覆寫原始檔案的內容是否符合加密特徵,如果符合,則確定覆寫原始檔案的檔案為加密檔案,也即,可以確定使用者需要對檔案進行加密操作,否則可以確定使用者不需要對檔案進行加密操作。
本發明上述實施例中,檔案可信操作監視組件還用於在確定操作特徵不屬加密行為的情況下,執行允許對檔案執行合法操作的步驟。
在一種可選的方案中,如圖3中步驟S36所示,在確定使用者不需要對檔案進行加密操作之後,可以確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應。
本發明上述實施例中,處理裝置還用於判斷操作是否為寫入操作,如果確定操作是寫入操作,則判斷操作的操作特徵是否為加密行為,如果確定操作是讀取操作,則執行允許對檔案執行讀取操作的步驟。
在一種可選的方案中,如圖3中的步驟S33至步驟S35所示,基於勒索軟體的本質,檔案可信操作監控組件可以透過分析操作特徵,判斷使用者是否需要對檔案進行寫入操作,如果是,為了避免勒索軟體對檔案進行操作,需要進一步判斷寫入操作是否為加密操作;如果不是,也即,使用者需要對檔案進行讀取操作,則可以確定此次操作不是勒索軟體執行的操作,因此可以允許使用者對檔案進行讀取操作,檔案可信操作監控組件將該操作請求傳回作業系統核心層進行回應。
本發明上述實施例中,檔案可信操作監視組件還用於獲取合法使用者輸入的密碼通行碼,判斷密碼通行碼是否正確,如果確定密碼通行碼正確,則執行允許合法使用者對檔案執行合法操作的步驟,如果確定密碼通行碼錯誤,則執行禁止對檔案執行合法操作的步驟。
在一種可選的方案中,如圖3中步驟S310和步驟S311所示,為了確保合法使用者對檔案進行合法操作,檔案可信操作監控組件可以讓合法使用者輸入密碼通行碼,並判斷使用者輸入的密碼通行碼與特權通行碼是否相同,如果相同,則確定密碼通行碼正確,可以確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應;如果不相同,則確定密碼通行碼錯誤,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
本發明上述實施例中,處理裝置還用於獲取合法使用者的註冊請求,產生合法使用者的特權通行碼,並接收合法使用者發送的檔案列表,其中,操作請求為對檔案列表中的檔案進行操作的請求。
具體地,上述的檔案列表可以是欲保護檔案清單,由合法使用者提供。
在一種可選的方案中,合法使用者需要向檔案可信操作監控組件完成初始化註冊,從而成為合法使用者,擁有相應的特權通行碼,並提交了欲保護檔案清單,其中,檔案可信操作監控組件僅截獲對欲保護檔案清單中檔案進行操作的操作請求。
需要說明的是,檔案可信操作監控組件可以從TPCM/TPM晶片獲取加密檔案的檔案加密密鑰,並儲存在可信晶片中。
本發明上述實施例中,檔案可信操作監控組件還用於從平台憑證頒發中心獲取平台憑證,並將平台憑證儲存在可信晶片中,其中,平台憑證包括:合法使用者的平台憑證和檔案可信操作監視組件的平台憑證。
具體地,上述的平台憑證頒發中心可以是業務伺服器集群的平台憑證頒發中心,儲存有合法使用者和檔案可信操作監控組件的平台憑證。
在一種可選的方案中,合法使用者(簡稱為C)和檔案可信操作監控組件(簡稱為S)從業務伺服器集群的平台憑證頒發中心(簡稱為PCA)分別獲得各自的平台憑證Cert_AIKC和Cert_AIKS,其中,各自的平台公鑰為AIKpk_C和AIKpk_S,各自的平台私鑰為AIKpriv_C和AIKpriv_S,各自的平台私鑰儲存在各自的TPCM/TPM晶片裡。PCA也有自己的平台憑證Cert_AIKPCA,及平台身份公私鑰AIKpk_PCA和AIKpriv_PCA。而且,C和S均可以從PCA處獲得欲通信對象的平台身份公鑰及平台憑證。

實施例 2
根據本發明實施例,還提供了一種檔案處理方法的實施例,需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
本發明實施例一所提供的方法實施例可以在移動終端、電腦終端或者類似的運算裝置中執行。圖4示出了一種用於實現檔案處理方法的電腦終端(或移動設備)的硬體結構方塊圖。如圖4所示,電腦終端40(或移動設備40)可以包括一個或多個(圖中採用402a、402b,……,402n來示出)處理器402(處理器402可以包括但不限於微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用於儲存資料的記憶體404、以及用於通信功能的傳輸裝置406。除此以外,還可以包括:顯示器、輸入/輸出介面(I/O介面)、通用序列匯流排(USB)埠(可以作為I/O介面的埠中的一個埠被包括)、網路介面、電源及/或相機。本領域普通技術人員可以理解,圖4所示的結構僅為示意,其並不對上述電子裝置的結構造成限定。例如,電腦終端40還可包括比圖4中所示更多或者更少的組件,或者具有與圖4所示不同的配置。
應當注意到的是上述一個或多個處理器402及/或其他資料處理電路在本文中通常可以被稱為“資料處理電路”。該資料處理電路可以全部或部分的體現為軟體、硬體、韌體或其他任意組合。此外,資料處理電路可為單個獨立的判斷模組,或全部或部分的結合到電腦終端40(或移動設備)中的其他元件中的任意一個內。如本發明實施例中所涉及到的,該資料處理電路作為一種處理器控制(例如與介面連接的可變電阻終端路徑的選擇)。
記憶體404可用於儲存應用軟體的軟體程式以及模組,如本發明實施例中的檔案處理方法對應的程式指令/資料儲存裝置,處理器402透過運行儲存在記憶體404內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的檔案處理方法。記憶體404可包括高速隨機記憶體,還可包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體404可進一步包括相對於處理器402遠端設置的記憶體,這些遠端記憶體可以透過網路連接至電腦終端40。上述網路的實例包括但不限於網際網路、企業內部網、區域網路、移動通信網及其組合。
傳輸裝置406用於經由一個網路接收或者發送資料。上述的網路具體實例可包括電腦終端40的通信供應商提供的無線網路。在一個實例中,傳輸裝置406包括一個網路適配器(Network Interface Controller,NIC),其可透過基地台與其他網路設備相連從而可與網際網路進行通訊。在一個實例中,傳輸裝置106可以為射頻(Radio Frequency,RF)模組,其用於透過無線方式與網際網路進行通訊。
顯示器可以例如觸控螢幕式的液晶顯示器(LCD),該液晶顯示器可使得使用者能夠與電腦終端40(或移動設備)的使用者介面進行互動。
此處需要說明的是,在一些可選實施例中,上述圖4所示的電腦設備(或移動設備)可以包括硬體元件(包括電路)、軟體元件(包括儲存在電腦可讀媒體上的電腦碼)、或硬體元件和軟體元件兩者的結合。應當指出的是,圖1僅為特定具體實例的一個實例,並且旨在示出可存在於上述電腦設備(或移動設備)中的組件的類型。
在上述運行環境下,本發明提供了如圖5所示的檔案處理方法。圖5是根據本發明實施例2的一種檔案處理方法的流程圖。如圖5所示,該方法可以包括如下步驟:
步驟S52,監控對檔案進行操作的操作請求。
具體地,可以在擁有TPCM或TPM可信晶片的主機的作業系統核心層增加檔案可信操作監控組件,該組件用來截獲所有程式對檔案的操作行為,上述的主機可以是智慧型手機(包括Android手機和IOS手機)、平板電腦、IPAD、掌上電腦等移動設備,也可以是PC電腦、筆記型電腦等電腦設備,本發明對此不做具體限定;上述的檔案可以是主機中不能被其他使用者隨意修改、刪除的敏感檔案,也可以是使用者不希望他人隨意修改、刪除的敏感檔案,例如,對於商業使用者,敏感檔案可以是合同檔案、客戶資訊檔案等檔案,如果上述檔案被勒索軟體綁架,會給使用者帶來巨大損失;上述的操作可以包括:寫入操作、讀取操作,具體可以包括加密操作、覆寫操作或刪除操作等操作,本發明對此不做具體限定,操作的具體類型可以根據實際處理需要進行限定。
步驟S54,如果監控到操作請求,獲取操作的操作特徵。
具體地,不同的操作具有不同的操作特徵,操作特徵可以表徵具體是哪種類型的操作,以及是否調用可信晶片進行操作等。
步驟S56,分析操作特徵,確定觸發可信晶片加密檔案。
需要說明的是,由於主機中存放的檔案數量較多,為了提升檔案處理效率,可以僅對敏感檔案進行監控,而不再對所有檔案進行監控。
在一種可選的方案中,在電腦安全防護應用場景中,可以預先在擁有TPCM或TPM可信晶片主機的作業系統核心層增加檔案可信操作監控組件,透過檔案可信操作監控組件截獲對檔案的操作請求,特別是對敏感檔案的操作,也即,每當檔案可信操作監控組件監控到對敏感檔案進行操作的操作請求時,對該操作請求進行攔截,避免作業系統對此次操作請求進行回應。在檔案可信操作監控組件對操作進行攔截之後,可以獲取該操作的操作特徵,並對操作特徵進行分析,判斷該操作是否觸發可信晶片加密檔案,如果確定未觸發,則可以確定此次操作為非法操作,為了對敏感檔案進行防護,可以禁止對檔案執行此次操作,從而作業系統不對此次操作進行回應;如果確定觸發,則可以確定此次操作為合法使用者進行的合法操作,可以允許對檔案執行此次操作,從而檔案可信操作監控組件釋放攔截到的操作請求,作業系統可以對此次操作進行回應,完成相應的操作。
本發明上述實施例2所提供的方案,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例2的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。
本發明上述實施例中,步驟S56,分析操作特徵,確定觸發可信晶片加密檔案,可以包括如下步驟:
步驟S562,判斷是否觸發可信晶片對檔案進行加密操作,可信晶片用於利用內部儲存的密鑰加密或解密檔案。
其中,如果觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,並執行允許合法使用者對檔案執行合法操作的步驟;如果未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,並執行禁止對檔案執行合法操作的步驟。
具體地,上述的可信晶片可以是如圖2所示的可信晶片,可信晶片內部儲存有對檔案進行加密操作或者解密操作的獨立密鑰,透過調用可信晶片可以觸發可信晶片加密檔案,對檔案進行加密操作、覆寫操作或刪除操作;上述的合法使用者可以是檔案的所有者,或者擁有操作特權的使用者,只有合法使用者能夠透過觸發可信晶片對敏感檔案進行加密操作、覆寫操作或刪除操作等操作。
需要說明的是,由於勒索軟體的本質是非法使用者利用勒索軟對使用者的檔案進行加密後,利用加密後的檔案覆寫原始檔案,或者將原始檔案刪除,因此,對於敏感檔案,只有合法使用者可以透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作、覆寫操作或刪除操作,也即,執行合法操作。
在一種可選的方案中,如圖3中步驟S37至步驟S39所示,基於勒索軟體的本質,為了避免勒索軟體對檔案進行操作,可以分析操作的操作特徵,透過判斷是否觸發可信晶片對檔案進行加密操作,來判斷是否觸發可信晶片加密檔案。如果確定觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,從而可以允許合法使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應。如果確定未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,可以確定此次操作可能是勒索軟體執行的操作,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
需要說明的是,在觸發可信晶片加密檔案之後,調用可信晶片中儲存的檔案加密密鑰對檔案進行加密,為了打開加密後的檔案,可以觸發可信晶片,調用可信晶片中與檔案加密密鑰對應的檔案解密密鑰對檔案進行解密。
本發明上述實施例中,在步驟S56,判斷是否觸發可信晶片加密檔案之前,該方法還可以包括如下步驟:
步驟S510,判斷操作的操作特徵是否為加密行為。
步驟S512,如果確定操作特徵屬加密行為,判斷是否觸發可信晶片加密檔案。
在一種可選的方案中,如圖3中步驟S35和步驟S37所示,基於勒索軟體的本質為了避免勒索軟體對檔案進行操作,可以先判斷使用者需要對檔案進行的操作是否為加密操作,在確定使用者需要對檔案進行加密操作之後,可以進一步判斷使用者是否透過調用可信晶片獲取檔案加密密鑰對檔案進行加密操作,從而判斷此次操作是否為勒索軟體進行的操作。
本發明上述實施例中,步驟S510,判斷操作的操作特徵是否為加密行為,可以包括如下步驟:
步驟S5101,獲取目標檔案的資訊熵,其中,目標檔案為對檔案進行覆寫的檔案。
具體地,上述的目標檔案可以是欲覆寫原始檔案的檔案。
步驟S5102,判斷資訊熵是否達到加密臨界值。
具體地,上述的加密臨界值可以是加密檔案的資訊熵的標準值。
步驟S5103,如果確定資訊熵達到加密臨界值,則確定操作特徵屬加密行為。
步驟S5104,如果確定資訊熵未達到加密臨界值,則確定操作特徵不屬加密行為。
在一種可選的方案中,為了判斷使用者是否需要對檔案進行加密操作,可以計算欲覆寫原始檔案的檔案的資訊熵是否達到加密檔案的資訊熵的標準值,如果達到,則確定覆寫原始檔案的檔案為加密檔案,也即,可以確定使用者需要對檔案進行加密操作,否則可以確定使用者不需要對檔案進行加密操作。
本發明上述實施例中,步驟S510,判斷操作的操作特徵是否為加密行為,可以包括如下步驟:
步驟S5106,獲取目標內容,其中,目標內容為對檔案進行覆寫的內容。
步驟S5107,判斷目標內容是否符合加密特徵。
具體地,上述的加密特徵可以是加密檔案的內容的特徵。
步驟S5108,如果確定目標內容符合加密特徵,則確定操作特徵屬加密行為。
步驟S5109,如果確定目標內容不符合加密特徵,則確定操作特徵不屬加密行為。
在一種可選的方案中,為了判斷使用者是否需要對檔案進行加密操作,可以透過統計學、機器學習、模式識別的方法來識別欲覆寫原始檔案的內容是否符合加密特徵,如果符合,則確定覆寫原始檔案的檔案為加密檔案,也即,可以確定使用者需要對檔案進行加密操作,否則可以確定使用者不需要對檔案進行加密操作。
本發明上述實施例中,在確定操作特徵不屬加密行為的情況下,執行允許對檔案執行合法操作的步驟。
在一種可選的方案中,如圖3中步驟S36所示,在確定使用者不需要對檔案進行加密操作之後,可以確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應。
本發明上述實施例中,在步驟S510,判斷操作的操作特徵是否為加密行為之前,該方法還可以包括如下步驟:
步驟S514,判斷操作是否為寫入操作。
步驟S516,如果確定操作是寫入操作,則判斷操作的操作特徵是否為加密行為。
步驟S518,如果確定操作是讀取操作,則執行允許對檔案執行讀取操作的步驟。
在一種可選的方案中,如圖3中的步驟S33至步驟S35所示,基於勒索軟體的本質,檔案可信操作監控組件可以透過分析操作特徵,判斷使用者是否需要對檔案進行寫入操作,如果是,為了避免勒索軟體對檔案進行操作,需要進一步判斷寫入操作是否為加密操作;如果不是,也即,使用者需要對檔案進行讀取操作,則可以確定此次操作不是勒索軟體執行的操作,因此可以允許使用者對檔案進行讀取操作,檔案可信操作監控組件將該操作請求傳回作業系統核心層進行回應。
本發明上述實施例中,在步驟S58,允許合法使用者對檔案執行合法操作之前,該方法還可以包括如下步驟:
步驟S520,獲取合法使用者輸入的密碼通行碼。
步驟S522,判斷密碼通行碼是否正確。
步驟S524,如果確定密碼通行碼正確,則執行允許合法使用者對檔案執行合法操作的步驟。
步驟S526,如果確定密碼通行碼錯誤,則執行禁止對檔案執行合法操作的步驟。
在一種可選的方案中,如圖3中步驟S310和步驟S311所示,為了確保合法使用者對檔案進行合法操作,檔案可信操作監控組件可以讓合法使用者輸入密碼通行碼,並判斷使用者輸入的密碼通行碼與特權通行碼是否相同,如果相同,則確定密碼通行碼正確,可以確定此次操作不是勒索軟體執行的操作,可以允許使用者對檔案進行覆寫操作或刪除操作,也即允許使用者覆寫/刪除原檔案,檔案可信操作監控組件可以將該操作請求傳回作業系統核心層進行回應;如果不相同,則確定密碼通行碼錯誤,為了保護使用者的敏感檔案,可以阻止使用者對檔案進行覆寫操作或刪除操作,也即阻止使用者覆寫/刪除原檔案,檔案可信操作監控組件可以忽略該操作請求,或者可以直接丟棄該操作請求,從而作業系統核心層無法對該操作請求進行回應。
本發明上述實施例中,在步驟S520,獲取合法使用者輸入的密碼通行碼之前,該方法還可以包括如下步驟:
步驟S528,獲取合法使用者的註冊請求。
步驟S530,產生合法使用者的特權通行碼。
步驟S532,接收合法使用者發送的檔案列表,其中,操作請求為對檔案列表中的檔案進行操作的請求。
具體地,上述的檔案列表可以是欲保護檔案清單,由合法使用者提供。
在一種可選的方案中,合法使用者需要向檔案可信操作監控組件完成初始化註冊,從而成為合法使用者,擁有相應的特權通行碼,並提交了欲保護檔案清單,其中,檔案可信操作監控組件僅截獲對欲保護檔案清單中檔案進行操作的操作請求。
需要說明的是,檔案可信操作監控組件可以從TPCM/TPM晶片獲取加密檔案的檔案加密密鑰,並儲存在可信晶片中。
本發明上述實施例中,在步驟S528,獲取合法使用者的註冊請求之前,該方法還可以包括如下步驟:
步驟S534,從平台憑證頒發中心獲取平台憑證,其中,平台憑證包括:合法使用者的平台憑證和檔案可信操作監視組件的平台憑證。
具體地,上述的平台憑證頒發中心可以是業務伺服器集群的平台憑證頒發中心,儲存有合法使用者和檔案可信操作監控組件的平台憑證。
步驟S536,將平台憑證儲存在可信晶片中。
在一種可選的方案中,合法使用者(簡稱為C)和檔案可信操作監控組件(簡稱為S)從業務伺服器集群的平台憑證頒發中心(簡稱為PCA)分別獲得各自的平台憑證Cert_AIKC和Cert_AIKS,其中,各自的平台公鑰為AIKpk_C和AIKpk_S,各自的平台私鑰為AIKpriv_C和AIKpriv_S,各自的平台私鑰儲存在各自的TPCM/TPM晶片裡。PCA也有自己的平台憑證Cert_AIKPCA,及平台身份公私鑰AIKpk_PCA和AIKpriv_PCA。而且,C和S均可以從PCA處獲得欲通信對象的平台身份公鑰及平台憑證。
需要說明的是,對於前述的各方法實施例,為了簡單描述,故將其都表述為一系列的動作組合,但是本領域技術人員應該知悉,本發明並不受所描述的動作順序的限制,因為依據本發明,某些步驟可以採用其他順序或者同時進行。其次,本領域技術人員也應該知悉,說明書中所描述的實施例均屬較佳實施例,所涉及的動作和模組並不一定是本發明所必須的。
透過以上的實施方式的描述,本領域的技術人員可以清楚地瞭解到根據上述實施例的方法可借助軟體加必需的通用硬體平台的方式來實現,當然也可以透過硬體,但很多情況下前者是更佳的實施方式。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體(如ROM/RAM、磁碟、光碟)中,包括若干指令用以使得一台終端設備(可以是手機,電腦,伺服器,或者網路設備等)執行本發明各個實施例所述的方法。

實施例 3
根據本發明實施例,還提供了一種用於實施上述檔案處理方法的檔案處理裝置,如圖6所示,該裝置600包括:監控模組602、獲取模組604和確定模組606。
其中,監控模組602用於監控對檔案進行操作的操作請求;獲取模組604用於如果監控到操作請求,獲取操作的操作特徵;確定模組606用於分析操作特徵,確定觸發可信晶片加密檔案。
具體地,可以在擁有TPCM或TPM可信晶片的主機的作業系統核心層增加檔案可信操作監控組件,該組件用來截獲所有程式對檔案的操作行為,上述的主機可以是智慧型手機(包括Android手機和IOS手機)、平板電腦、IPAD、掌上電腦等移動設備,也可以是PC電腦、筆記型電腦等電腦設備,本發明對此不做具體限定;上述的檔案可以是主機中不能被其他使用者隨意修改、刪除的敏感檔案,也可以是使用者不希望他人隨意修改、刪除的敏感檔案,例如,對於商業使用者,敏感檔案可以是合同檔案、客戶資訊檔案等檔案,如果上述檔案被勒索軟體綁架,會給使用者帶來巨大損失;上述的操作可以包括:寫入操作、讀取操作,具體可以包括加密操作、覆寫操作或刪除操作等操作,本發明對此不做具體限定,操作的具體類型可以根據實際處理需要進行限定,不同的操作具有不同的操作特徵,操作特徵可以表徵具體是哪種類型的操作,以及是否調用可信晶片進行操作等。
此處需要說明的是,上述監控模組602、獲取模組604和確定模組606對應於實施例2中的步驟S52至步驟S56,三個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例2所揭露的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的電腦終端10中。
本發明上述實施例3所提供的方案,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例3的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。
本發明上述實施例中,判斷模組還用於判斷是否觸發可信晶片對檔案進行加密操作,可信晶片用於利用內部儲存的密鑰加密或解密檔案;執行模組還用於如果觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,並執行允許合法使用者對檔案執行合法操作的步驟,如果未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,並執行禁止對檔案執行合法操作的步驟。
本發明上述實施例中,判斷模組還用於判斷操作的操作特徵是否為加密行為,如果確定操作特徵屬加密行為,判斷是否觸發可信晶片加密檔案。
本發明上述實施例中,判斷模組包括:獲取單元、判斷單元和確定單元。
其中,獲取單元用於獲取目標檔案的資訊熵,其中,目標檔案為對檔案進行覆寫的檔案;判斷單元用於判斷資訊熵是否達到加密臨界值;確定單元用於如果確定資訊熵達到加密臨界值,則確定操作特徵屬加密行為,如果確定資訊熵未達到加密臨界值,則確定操作特徵不屬加密行為。
本發明上述實施例中,判斷模組包括:獲取單元、判斷單元和確定單元。
其中,獲取單元用於獲取目標內容,其中,目標內容為對檔案進行覆寫的內容;判斷單元用於判斷目標內容是否符合加密特徵;確定單元用於如果確定目標內容符合加密特徵,則確定操作特徵屬加密行為,如果確定目標內容不符合加密特徵,則確定操作特徵不屬加密行為。
本發明上述實施例中,執行模組還用於在確定操作特徵不屬加密行為的情況下,執行允許對檔案執行合法操作的步驟。
本發明上述實施例中,判斷模組還用於判斷操作是否為寫入操作,如果確定操作是寫入操作,則判斷是否觸發可信晶片加密檔案;執行模組還用於如果確定操作是讀取操作,則執行允許對檔案執行讀取操作的步驟。
本發明上述實施例中,獲取模組還用於獲取合法使用者輸入的密碼通行碼;判斷模組用於判斷密碼通行碼是否正確;執行模組還用於如果確定密碼通行碼正確,則執行允許合法使用者對檔案執行合法操作的步驟,如果確定密碼通行碼錯誤,則執行禁止對檔案執行合法操作的步驟。
本發明上述實施例中,該裝置還包括:產生模組和接收模組。
其中,獲取模組還用於獲取合法使用者的註冊請求;產生模組用於產生合法使用者的特權通行碼;接收模組,用於接收合法使用者發送的檔案列表,其中,操作請求為對檔案列表中的檔案進行操作的請求。
本發明上述實施例中,該裝置還包括:儲存模組。
其中,獲取模組還用於從平台憑證頒發中心獲取平台憑證,其中,平台憑證包括:合法使用者的平台憑證和檔案可信操作監視組件的平台憑證;儲存模組還用於將平台憑證儲存在可信晶片中。

實施例 4
根據本發明實施例,還提供了一種資料處理方法的實施例,需要說明的是,在圖式的流程圖示出的步驟可以在諸如一組電腦可執行指令的電腦系統中執行,並且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同於此處的順序執行所示出或描述的步驟。
圖7是根據本發明實施例4的一種資料處理方法的流程圖。如圖7所示,該方法可以包括如下步驟:
步驟S72,獲取對資料進行操作的操作請求,其中,操作請求包括運算碼。
具體地,可以在擁有TPCM或TPM可信晶片的主機的作業系統核心層增加檔案可信操作監控組件,該組件用來截獲所有程式對檔案的操作行為,上述的主機可以是智慧型手機(包括Android手機和IOS手機)、平板電腦、IPAD、掌上電腦等移動設備,也可以是PC電腦、筆記型電腦等電腦設備,本發明對此不做具體限定;上述的資料可以是儲存在主機中不能被其他使用者隨意修改、刪除的敏感檔案中的資料,也可以是使用者不希望他人隨意修改、刪除的敏感檔案中的資料,例如,對於商業使用者,敏感檔案可以是合同檔案、客戶資訊檔案等檔案中的資料,如果檔案被勒索軟體綁架導致無法讀取資料,或者資料被篡改導致資料錯誤,都會給使用者帶來巨大損失;上述的操作可以包括:寫入操作、讀取操作,具體可以包括加密操作、覆寫操作或刪除操作等操作,本發明對此不做具體限定,操作的具體類型可以根據實際處理需要進行限定;作業系統中每個類型的操作都對應有一個運算碼,作業系統在接收到操作請求之後,可以根據操作請求中包含的運算碼確定使用者需要對資料具體進行哪種類型的操作。
步驟S74,根據運算碼,確定觸發可信晶片加密資料,其中,運算碼對應於操作特徵。
具體地,不同的操作具有不同的操作特徵,操作特徵可以表徵具體是哪種類型的操作,以及是否調用可信晶片進行操作等,根據操作請求中的運算碼,可以確定相應的操作特徵,進一步可以確定需要進行哪種類型的操作。
需要說明的是,上述的資料可以是存放在檔案中的資料,對資料進行操作可以是對檔案進行操作,在本發明實施例中以對檔案進行操作為例進行說明。由於主機中存放的檔案數量較多,為了提升檔案處理效率,可以僅對敏感檔案進行監控,而不再對所有檔案進行監控。
在一種可選的方案中,在電腦安全防護應用場景中,可以預先在擁有TPCM或TPM可信晶片主機的作業系統核心層增加檔案可信操作監控組件,透過檔案可信操作監控組件截獲對檔案的操作請求,特別是對敏感檔案的操作,也即,每當檔案可信操作監控組件監控到對敏感檔案進行操作的操作請求時,對該操作請求進行攔截,避免作業系統對此次操作請求進行回應。在檔案可信操作監控組件對操作進行攔截之後,可以獲取該操作的操作特徵,並對操作特徵進行分析,判斷該操作是否觸發可信晶片加密檔案,如果確定未觸發,則可以確定此次操作為非法操作,為了對敏感檔案進行防護,可以禁止對檔案執行此次操作,從而作業系統不對此次操作進行回應;如果確定觸發,則可以確定此次操作為合法使用者進行的合法操作,可以允許對檔案執行此次操作,從而檔案可信操作監控組件釋放攔截到的操作請求,作業系統可以對此次操作進行回應,完成相應的操作。
本發明上述實施例4所提供的方案,可以實時獲取對資料進行操作的操作請求,在獲取到操作請求之後,可以提取操作請求中的運算碼,並根據運算碼,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對資料進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密資料,才允許對資料執行覆寫操作或刪除操作,與現有技術相比,無需對資料進行備份,從而無需配套犧牲大量的儲存空間對備份資料進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作資料的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例4的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。

實施例 5
根據本發明實施例,還提供了一種用於實施上述資料處理方法的檔案處理裝置,如圖8所示,該裝置800包括:獲取模組802和確定模組804。
其中,獲取模組802用於獲取對資料進行操作的操作請求,其中,操作請求包括運算碼;確定模組804用於根據運算碼,確定觸發可信晶片加密資料,其中,運算碼對應於操作特徵。
具體地,可以在擁有TPCM或TPM可信晶片的主機的作業系統核心層增加檔案可信操作監控組件,該組件用來截獲所有程式對檔案的操作行為,上述的主機可以是智慧型手機(包括Android手機和IOS手機)、平板電腦、IPAD、掌上電腦等移動設備,也可以是PC電腦、筆記型電腦等電腦設備,本發明對此不做具體限定;上述的資料可以是儲存在主機中不能被其他使用者隨意修改、刪除的敏感檔案中的資料,也可以是使用者不希望他人隨意修改、刪除的敏感檔案中的資料,例如,對於商業使用者,敏感檔案可以是合同檔案、客戶資訊檔案等檔案中的資料,如果檔案被勒索軟體綁架導致無法讀取資料,或者資料被篡改導致資料錯誤,都會給使用者帶來巨大損失;上述的操作可以包括:寫入操作、讀取操作,具體可以包括加密操作、覆寫操作或刪除操作等操作,本發明對此不做具體限定,操作的具體類型可以根據實際處理需要進行限定;作業系統中每個類型的操作都對應有一個運算碼,作業系統在接收到操作請求之後,可以根據操作請求中包含的運算碼確定使用者需要對資料具體進行哪種類型的操作;不同的操作具有不同的操作特徵,操作特徵可以表徵具體是哪種類型的操作,以及是否調用可信晶片進行操作等,根據操作請求中的運算碼,可以確定相應的操作特徵,進一步可以確定需要進行哪種類型的操作。
此處需要說明的是,上述獲取模組802和確定模組804對應於實施例4中的步驟S72至步驟S74,兩個模組與對應的步驟所實現的實例和應用場景相同,但不限於上述實施例4所揭露的內容。需要說明的是,上述模組作為裝置的一部分可以運行在實施例2提供的電腦終端10中。
本發明上述實施例5所提供的方案,可以實時獲取對資料進行操作的操作請求,在獲取到操作請求之後,可以提取操作請求中的運算碼,並根據運算碼,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對資料進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密資料,才允許對資料執行覆寫操作或刪除操作,與現有技術相比,無需對資料進行備份,從而無需配套犧牲大量的儲存空間對備份資料進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作資料的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例5的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。

實施例 6
根據本發明實施例,還提供了一種檔案處理系統,包括:
處理器。以及
記憶體,與處理器連接,用於為處理器提供處理以下處理步驟的指令:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
本發明上述實施例6所提供的方案,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,確定觸發可信晶片加密檔案,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的上述實施例6的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。

實施例 7
本發明的實施例可以提供一種電腦終端,該電腦終端可以是電腦終端群中的任意一個電腦終端設備。可選地,在本實施例中,上述電腦終端也可以替換為移動終端等終端設備。
可選地,在本實施例中,上述電腦終端可以位於電腦網路的多個網路設備中的至少一個網路設備。
在本實施例中,上述電腦終端可以執行檔案處理方法中以下步驟的程式碼:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
可選地,圖9是根據本發明實施例的一種電腦終端的結構方塊圖。如圖9所示,該電腦終端A可以包括:一個或多個(圖中僅示出一個)處理器902以及記憶體904。
其中,記憶體可用於儲存軟體程式以及模組,如本發明實施例中的檔案處理方法和裝置對應的程式指令/模組,處理器透過運行儲存在記憶體內的軟體程式以及模組,從而執行各種功能應用以及資料處理,即實現上述的檔案處理方法。記憶體可包括高速隨機記憶體,還可以包括非揮發性記憶體,如一個或者多個磁性儲存裝置、快閃記憶體、或者其他非揮發性固態記憶體。在一些實例中,記憶體可進一步包括相對於處理器遠端設置的記憶體,這些遠端記憶體可以透過網路連接至終端A。上述網路的實例包括但不限於網際網路、企業內部網、區域網、移動通信網及其組合。
處理器可以透過傳輸裝置調用記憶體儲存的資訊及應用程式,以執行下述步驟:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
可選的,上述處理器還可以執行如下步驟的程式碼:判斷是否觸發可信晶片對檔案進行加密操作,可信晶片用於利用內部儲存的密鑰加密或解密檔案;其中,如果觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,並執行允許合法使用者對檔案執行合法操作的步驟;如果未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,並執行禁止對檔案執行合法操作的步驟。
可選的,上述處理器還可以執行如下步驟的程式碼:在判斷是否觸發可信晶片加密檔案之前,判斷操作的操作特徵是否為加密行為;如果確定操作特徵屬加密行為,判斷是否觸發可信晶片加密檔案。
可選的,上述處理器還可以執行如下步驟的程式碼:獲取目標檔案的資訊熵,其中,目標檔案為對檔案進行覆寫的檔案;判斷資訊熵是否達到加密臨界值;如果確定資訊熵達到加密臨界值,則確定操作特徵屬加密行為;如果確定資訊熵未達到加密臨界值,則確定操作特徵不屬加密行為。
可選的,上述處理器還可以執行如下步驟的程式碼:獲取目標內容,其中,目標內容為對檔案進行覆寫的內容;判斷目標內容是否符合加密特徵;如果確定目標內容符合加密特徵,則確定操作特徵屬加密行為;如果確定目標內容不符合加密特徵,則確定操作特徵不屬加密行為。
可選的,上述處理器還可以執行如下步驟的程式碼:在確定操作特徵不屬加密行為的情況下,執行允許對檔案執行合法操作的步驟。
可選的,上述處理器還可以執行如下步驟的程式碼:在判斷操作的操作特徵是否為加密行為之前,判斷操作是否為寫入操作;如果確定操作是寫入操作,則判斷操作的操作特徵是否為加密行為;如果確定操作是讀取操作,則執行允許對檔案執行讀取操作的步驟。
可選的,上述處理器還可以執行如下步驟的程式碼:在允許合法使用者對檔案執行合法操作之前,獲取合法使用者輸入的密碼通行碼;判斷密碼通行碼是否正確;如果密碼通行碼正確,則執行允許合法使用者對檔案執行合法操作的步驟;如果確定密碼通行碼錯誤,則執行禁止對檔案執行合法操作的步驟。
可選的,上述處理器還可以執行如下步驟的程式碼:在獲取合法使用者輸入的密碼通行碼之前,獲取合法使用者的註冊請求;產生合法使用者的特權通行碼;接收合法使用者發送的檔案列表,其中,操作請求為對檔案列表中的檔案進行操作的請求。
可選的,上述處理器還可以執行如下步驟的程式碼:在獲取合法使用者的註冊請求之前,從平台憑證頒發中心獲取平台憑證,其中,平台憑證包括:合法使用者的平台憑證和檔案可信操作監視組件的平台憑證;將平台憑證儲存在可信晶片中。
採用本發明實施例,可以實時監控對檔案進行操作的操作請求,當監控到操作請求時,可以獲取該操作的操作特徵,並對操作特徵進行分析,進一步判斷是否觸發可信晶片加密檔案,如果確定觸發可信晶片加密檔案,則允許合法使用者對檔案執行合法操作,從而實現識別和阻止勒索軟體對檔案進行操作的目的。
容易注意到的是,由於只有合法使用者透過可信晶片加密檔案,才允許對檔案執行覆寫操作或刪除操作,與現有技術相比,無需對檔案進行備份,從而無需配套犧牲大量的儲存空間對備份檔案進行儲存;不需要維護一個大而全的編輯器白名單,只需要針對主機中可操作檔案的少量合法使用者進行管理;能夠應付勒索軟體的新變種,達到節省儲存空間,節約管理成本,提高處理準確度,提升使用者體驗感的技術效果。
由此,本發明提供的方案解決了現有技術中檔案處理方法處理準確度低且成本高的技術問題。
本領域普通技術人員可以理解,圖9所示的結構僅為示意,電腦終端也可以是智慧型手機(如Android手機、iOS手機等)、平板電腦、掌上型電腦以及移動網際網路設備(Mobile Internet Devices,MID)、PAD等終端設備。圖9其並不對上述電子裝置的結構造成限定。例如,電腦終端A還可包括比圖9中所示更多或者更少的組件(如網路介面、顯示裝置等),或者具有與圖9所示不同的配置。
本領域普通技術人員可以理解上述實施例的各種方法中的全部或部分步驟是可以透過程式來指令終端設備相關的硬體來完成,該程式可以儲存於一電腦可讀儲存媒體中,儲存媒體可以包括:快閃驅動器、唯讀記憶體(Read-Only Memory,ROM)、隨機存取器(Random Access Memory,RAM)、磁碟或光碟等。

實施例 8
本發明的實施例還提供了一種儲存媒體。可選地,在本實施例中,上述儲存媒體可以用於保存上述實施例一所提供的檔案處理方法所執行的程式碼。
可選地,在本實施例中,上述儲存媒體可以位於電腦網路中電腦終端群中的任意一個電腦終端中,或者位於移動終端群中的任意一個移動終端中。
可選地,在本實施例中,儲存媒體被設置為儲存用於執行以下步驟的程式碼:監控對檔案進行操作的操作請求;如果監控到操作請求,獲取操作的操作特徵;分析操作特徵,確定觸發可信晶片加密檔案。
可選地,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:判斷是否觸發可信晶片對檔案進行加密操作,可信晶片用於利用內部儲存的密鑰加密或解密檔案;其中,如果觸發可信晶片對檔案進行加密操作,則確定觸發可信晶片加密檔案,並執行允許合法使用者對檔案執行合法操作的步驟;如果未觸發可信晶片對檔案進行加密操作,則確定未觸發可信晶片加密檔案,並執行禁止對檔案執行合法操作的步驟。
可選地,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在判斷是否觸發可信晶片加密檔案之前,判斷操作的操作特徵是否為加密行為;如果確定操作特徵屬加密行為,判斷是否觸發可信晶片加密檔案。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:獲取目標檔案的資訊熵,其中,目標檔案為對檔案進行覆寫的檔案;判斷資訊熵是否達到加密臨界值;如果確定資訊熵達到加密臨界值,則確定操作特徵屬加密行為;如果確定資訊熵未達到加密臨界值,則確定操作特徵不屬加密行為。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:獲取目標內容,其中,目標內容為對檔案進行覆寫的內容;判斷目標內容是否符合加密特徵;如果確定目標內容符合加密特徵,則確定操作特徵屬加密行為;如果確定目標內容不符合加密特徵,則確定操作特徵不屬加密行為。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在確定操作特徵不屬加密行為的情況下,執行允許對檔案執行合法操作的步驟。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在判斷操作的操作特徵是否為加密行為之前,判斷操作是否為寫入操作;如果確定操作是寫入操作,則判斷操作的操作特徵是否為加密行為;如果確定操作是讀取操作,則執行允許對檔案執行讀取操作的步驟。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在允許合法使用者對檔案執行合法操作之前,獲取合法使用者輸入的密碼通行碼;判斷密碼通行碼是否正確;如果密碼通行碼正確,則執行允許合法使用者對檔案執行合法操作的步驟;如果確定密碼通行碼錯誤,則執行禁止對檔案執行合法操作的步驟。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在獲取合法使用者輸入的密碼通行碼之前,獲取合法使用者的註冊請求;產生合法使用者的特權通行碼;接收合法使用者發送的檔案列表,其中,操作請求為對檔案列表中的檔案進行操作的請求。
可選的,上述儲存媒體還被設置為儲存用於執行以下步驟的程式碼:在獲取合法使用者的註冊請求之前,從平台憑證頒發中心獲取平台憑證,其中,平台憑證包括:合法使用者的平台憑證和檔案可信操作監視組件的平台憑證;將平台憑證儲存在可信晶片中。
上述本發明實施例序號僅僅為了描述,不代表實施例的優劣。
在本發明的上述實施例中,對各個實施例的描述都各有側重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關描述。
在本發明所提供的幾個實施例中,應該理解到,所揭露的技術內容,可透過其它的方式實現。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,僅僅為一種邏輯功能劃分,實際實現時可以有另外的劃分方式,例如多個單元或組件可以結合或者可以整合到另一個系統,或一些特徵可以忽略,或不執行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是透過一些介面,單元或模組的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離組件說明的單元可以是或者也可以不是實體上分開的,作為單元顯示的組件可以是或者也可以不是實體單元,即可以位於一個地方,或者也可以分佈到多個網路單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。
另外,在本發明各個實施例中的各功能單元可以整合在一個處理單元中,也可以是各個單元單獨實體存在,也可以兩個或兩個以上單元整合在一個單元中。上述整合的單元既可以採用硬體的形式實現,也可以採用軟體功能單元的形式實現。
所述整合的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時,可以儲存在一個電腦可讀取儲存媒體中。基於這樣的理解,本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來,該電腦軟體產品儲存在一個儲存媒體中,包括若干指令用以使得一台電腦設備(可為個人電腦、伺服器或者網路設備等)執行本發明各個實施例所述方法的全部或部分步驟。而前述的儲存媒體包括:USB快閃驅動器、唯讀記憶體(ROM,Read-Only Memory)、隨機存取記憶體(RAM,Random Access Memory)、移動硬碟、磁碟或者光碟等各種可以儲存程式碼的媒體。
以上所述僅是本發明的較佳實施方式,應當指出,對於本技術領域的普通技術人員來說,在不脫離本發明原理的前提下,還可以做出若干改進和潤飾,這些改進和潤飾也應視為本發明的保護範圍。
12‧‧‧檔案可信操作監視組件
14‧‧‧可信晶片
S31‧‧‧步驟
S32‧‧‧步驟
S33‧‧‧步驟
S34‧‧‧步驟
S35‧‧‧步驟
S36‧‧‧步驟
S37‧‧‧步驟
S38‧‧‧步驟
S39‧‧‧步驟
S310‧‧‧步驟
S311‧‧‧步驟
40‧‧‧電腦終端
402a-n‧‧‧處理器
404‧‧‧記憶體
406‧‧‧傳輸裝置
S52‧‧‧步驟
S54‧‧‧步驟
S56‧‧‧步驟
600‧‧‧檔案處理裝置
602‧‧‧監控模組
604‧‧‧獲取模組
606‧‧‧確定模組
S72‧‧‧步驟
S74‧‧‧步驟
800‧‧‧檔案處理裝置
802‧‧‧獲取模組
804‧‧‧確定模組
A‧‧‧電腦終端
902‧‧‧處理器
904‧‧‧記憶體
此處所說明的圖式用來提供對本發明的進一步理解,構成本發明的一部分,本發明的示意性實施例及其說明用於解釋本發明,並不構成對本發明的不當限定。在圖式中:
圖1是根據本發明實施例1的一種檔案處理系統的示意圖;
圖2是根據本發明實施例的一種可選的檔案處理系統的架構示意圖;
圖3是根據本發明實施例的一種可選的檔案處理方法的流程圖;
圖4是根據本發明實施例的一種用於實現檔案處理方法的電腦終端(或移動設備)的硬體結構方塊圖;
圖5是根據本發明實施例2的一種檔案處理方法的流程圖;
圖6是根據本發明實施例3的一種檔案處理裝置的示意圖;
圖7是根據本發明實施例4的一種資料處理方法的流程圖;
圖8是根據本發明實施例5的一種資料處理裝置的示意圖;以及
圖9是根據本發明實施例的一種電腦終端的結構方塊圖。

Claims (15)

  1. 一種檔案處理方法,其特徵在於,包括: 監控對檔案進行操作的操作請求; 如果監控到所述操作請求,獲取所述操作的操作特徵;以及 分析所述操作特徵,確定觸發可信晶片加密所述檔案。
  2. 根據請求項1所述的方法,其中,分析所述操作特徵,確定觸發可信晶片加密所述檔案,包括: 判斷是否觸發所述可信晶片對所述檔案進行加密操作,所述可信晶片用於利用內部儲存的密鑰加密或解密所述檔案; 其中,如果觸發所述可信晶片對所述檔案進行所述加密操作,則確定觸發所述可信晶片加密所述檔案,並執行允許合法使用者對所述檔案執行合法操作的步驟;以及 如果未觸發所述可信晶片對所述檔案進行所述加密操作,則確定未觸發所述可信晶片加密所述檔案,並執行禁止對所述檔案執行所述合法操作的步驟。
  3. 根據請求項2所述的方法,其中,在判斷是否觸發可信晶片加密所述檔案之前,所述方法還包括: 判斷所述操作的操作特徵是否為加密行為;以及 如果確定所述操作特徵屬所述加密行為,判斷是否觸發可信晶片加密所述檔案。
  4. 根據請求項3所述的方法,其中,判斷所述操作的操作特徵是否為加密行為,包括: 獲取目標檔案的資訊熵,其中,所述目標檔案為對所述檔案進行覆寫的檔案; 判斷所述資訊熵是否達到加密臨界值; 如果確定所述資訊熵達到所述加密臨界值,則確定所述操作特徵屬加密行為;以及 如果確定所述資訊熵未達到所述加密臨界值,則確定所述操作特徵不屬加密行為。
  5. 根據請求項3所述的方法,其中,判斷所述操作的操作特徵是否為加密行為,包括: 獲取目標內容,其中,所述目標內容為對所述檔案進行覆寫的內容; 判斷所述目標內容是否符合加密特徵; 如果確定所述目標內容符合所述加密特徵,則確定所述操作特徵屬加密行為;以及 如果確定所述目標內容不符合所述加密特徵,則確定所述操作特徵不屬加密行為。
  6. 根據請求項3所述的方法,其中,在確定所述操作特徵不屬所述加密行為的情況下,執行允許對所述檔案執行合法操作的步驟。
  7. 根據請求項3所述的方法,其中,在判斷所述操作的操作特徵是否為加密行為之前,所述方法還包括: 判斷所述操作是否為寫入操作; 如果確定所述操作是寫入操作,則判斷所述操作的操作特徵是否為加密行為;以及 如果確定所述操作是讀取操作,則執行允許對所述檔案執行所述讀取操作的步驟。
  8. 根據請求項2所述的方法,其中,在允許合法使用者對所述檔案執行合法操作之前,所述方法還包括: 獲取所述合法使用者輸入的密碼通行碼; 判斷所述密碼通行碼是否正確; 如果確定所述密碼通行碼正確,則執行允許合法使用者對所述檔案執行合法操作的步驟;以及 如果確定所述密碼通行碼錯誤,則執行禁止對所述檔案執行所述合法操作的步驟。
  9. 根據請求項8所述的方法,其中,在獲取所述合法使用者輸入的密碼通行碼之前,所述方法還包括: 獲取所述合法使用者的註冊請求; 產生所述合法使用者的特權通行碼;以及 接收所述合法使用者發送的檔案列表,其中,所述操作請求為對所述檔案列表中的檔案進行操作的請求。
  10. 根據請求項9所述的方法,其中,在獲取所述合法使用者的註冊請求之前,所述方法還包括: 從平台憑證頒發中心獲取平台憑證,其中,所述平台憑證包括:所述合法使用者的平台憑證和檔案可信操作監視組件的平台憑證;以及 將所述平台憑證儲存在所述可信晶片中。
  11. 一種檔案處理系統,其特徵在於,包括: 檔案可信操作監視組件,用於監控對檔案進行操作的操作請求,如果監控到所述操作請求,獲取所述操作的操作特徵; 可信晶片,用於加密所述檔案;以及 所述檔案可信操作監視組件,與所述可信晶片具有通信關係,還用於分析所述操作特徵,確定觸發所述可信晶片加密所述檔案。
  12. 一種儲存媒體,其特徵在於,所述儲存媒體包括儲存的程式,其中,在所述程式運行時控制所述儲存媒體所在設備執行如下步驟:監控對檔案進行操作的操作請求;如果監控到所述操作請求,獲取所述操作的操作特徵;分析所述操作特徵,確定觸發可信晶片加密所述檔案。
  13. 一種處理器,其特徵在於,所述處理器用於運行程式,其中,所述程式運行時執行如下步驟:監控對檔案進行操作的操作請求;如果監控到所述操作請求,獲取所述操作的操作特徵;分析所述操作特徵,確定觸發可信晶片加密所述檔案。
  14. 一種檔案處理系統,其特徵在於,包括: 處理器;以及 記憶體,與所述處理器連接,用於為所述處理器提供處理以下處理步驟的指令:監控對檔案進行操作的操作請求;如果監控到所述操作請求,獲取所述操作的操作特徵;分析所述操作特徵,確定觸發可信晶片加密所述檔案。
  15. 一種資料處理方法,其特徵在於,包括: 獲取對資料進行操作的操作請求,其中,所述操作請求包括運算碼;以及 根據所述運算碼,確定觸發可信晶片加密所述資料,其中,所述運算碼對應於操作特徵。
TW108107620A 2018-04-28 2019-03-07 檔案處理方法和系統、資料處理方法 TW201945969A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201810399221.9A CN110414258B (zh) 2018-04-28 2018-04-28 文件处理方法和系统、数据处理方法
CN201810399221.9 2018-04-28

Publications (1)

Publication Number Publication Date
TW201945969A true TW201945969A (zh) 2019-12-01

Family

ID=68292551

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108107620A TW201945969A (zh) 2018-04-28 2019-03-07 檔案處理方法和系統、資料處理方法

Country Status (4)

Country Link
US (1) US20190332765A1 (zh)
CN (1) CN110414258B (zh)
TW (1) TW201945969A (zh)
WO (1) WO2019209630A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI769038B (zh) * 2021-08-04 2022-06-21 林長毅 防資料綁架的方法及相關電腦程式
TWI789944B (zh) * 2021-10-08 2023-01-11 精品科技股份有限公司 基於不同掃描方案之應用程式控管方法

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US12235974B2 (en) * 2021-03-30 2025-02-25 EMC IP Holding Company LLC Adaptive metadata encryption for a data protection software
US11757933B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11695799B1 (en) * 2021-06-24 2023-07-04 Airgap Networks Inc. System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US12057969B1 (en) 2021-06-24 2024-08-06 Airgap Networks, Inc. System and method for load balancing endpoint traffic to multiple security appliances acting as default gateways with point-to-point links between endpoints
US12074906B1 (en) 2021-06-24 2024-08-27 Airgap Networks Inc. System and method for ransomware early detection using a security appliance as default gateway with point-to-point links between endpoints
US11736520B1 (en) 2021-06-24 2023-08-22 Airgap Networks Inc. Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US11711396B1 (en) 2021-06-24 2023-07-25 Airgap Networks Inc. Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US12058171B1 (en) 2021-06-24 2024-08-06 Airgap Networks, Inc. System and method to create disposable jump boxes to securely access private applications
US11757934B1 (en) 2021-06-24 2023-09-12 Airgap Networks Inc. Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links
US12483589B1 (en) 2021-06-24 2025-11-25 Zscaler, Inc. System and method for utilizing DHCP relay to accomplish quarantining client endpoints in a ransomware protected network
US11722519B1 (en) 2021-06-24 2023-08-08 Airgap Networks Inc. System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware
US11916957B1 (en) 2021-06-24 2024-02-27 Airgap Networks Inc. System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network
CN117313134A (zh) * 2023-11-29 2023-12-29 联通(广东)产业互联网有限公司 文件加密方法、装置、电子设备及存储介质

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9208335B2 (en) * 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
US10122747B2 (en) * 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
US20180007069A1 (en) * 2016-07-01 2018-01-04 Mcafee, Inc. Ransomware Protection For Cloud File Storage
CN106484570B (zh) * 2016-10-28 2019-02-26 福建平实科技有限公司 一种针对防御勒索软件文件数据的备份保护方法和系统
CN106845222A (zh) * 2016-12-02 2017-06-13 哈尔滨安天科技股份有限公司 一种勒索者病毒的检测方法及系统
CN107871089B (zh) * 2017-12-04 2020-11-24 杭州安恒信息技术股份有限公司 文件防护方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI769038B (zh) * 2021-08-04 2022-06-21 林長毅 防資料綁架的方法及相關電腦程式
TWI789944B (zh) * 2021-10-08 2023-01-11 精品科技股份有限公司 基於不同掃描方案之應用程式控管方法

Also Published As

Publication number Publication date
US20190332765A1 (en) 2019-10-31
WO2019209630A1 (en) 2019-10-31
CN110414258A (zh) 2019-11-05
CN110414258B (zh) 2023-05-30

Similar Documents

Publication Publication Date Title
TW201945969A (zh) 檔案處理方法和系統、資料處理方法
US10691824B2 (en) Behavioral-based control of access to encrypted content by a process
JP6484255B2 (ja) 信頼実行環境を含むホストのアテステーション
US9984248B2 (en) Behavioral-based control of access to encrypted content by a process
US9560026B1 (en) Secure computer operations
CN118611948A (zh) 一种多云数据的处理控制方法及系统
CN107679393B (zh) 基于可信执行环境的Android完整性验证方法和装置
CN106796636A (zh) 计算平台安全方法和装置
TW201939337A (zh) 行為識別、數據處理方法及裝置
US11695650B2 (en) Secure count in cloud computing networks
WO2020186457A1 (zh) 网络摄像机的认证方法和装置
JP2023078262A (ja) 改良されたデータ制御及びアクセスの方法及びシステム
US10192056B1 (en) Systems and methods for authenticating whole disk encryption systems
WO2021051591A1 (zh) 安全键盘实现方法、装置、计算机设备及存储介质
WO2023155696A1 (zh) 数据库的操作方法、系统、存储介质以及计算机终端
US20190347384A1 (en) Systems and methods for securing and controlling access to electronic data, electronic systems, and digital accounts
EP4075313B1 (en) Systems and methods for purging data from memory
US10116438B1 (en) Managing use of security keys
US11379568B2 (en) Method and system for preventing unauthorized computer processing
CN109219814B (zh) 用于取证访问控制的系统和方法
KR102221726B1 (ko) Edr 단말 장치 및 방법
KR20240146844A (ko) 스마트 계약 기반 신뢰실행환경을 이용한 개인정보 처리 방법 및 시스템
CN113282901A (zh) 文件保护方法、装置、系统、介质及电子设备
HK40016270A (zh) 文件处理方法和系统、数据处理方法
CN114785845B (zh) 会话的建立方法、装置、存储介质及电子装置