(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210336442.8 (22)申请日 2022.03.31 (71)申请人 和安科技创新有限公司 地址 518000 广东省深圳市前海深港合作 区前湾一路1号A栋201室 (72)发明人 靳方　王孜好　肖守和　 (74)专利代理 机构 南京中高专利代理有限公司 32333 专利代理师 曾路路 (51)Int.Cl. G06F 21/55(2013.01) G06F 21/62(2013.01) (54)发明名称 一种基于Fanotify机制的勒索软件检测方 法 (57)摘要 本发明公开了一种基于Fanotify机制的勒 索软件检测方法， 包括以下步骤： 步骤一： 进行系 统初始化， Fanotify初始化时先调用fanotify_ init创建一个 Fanotify实例， 并创建一个线程用 于读取Fanotify事件； 步骤 二： 当有进 程创建、 删 除文件时就会触发Fanotify事件， Fanotify线程 收到事件， 进行解析， 解析出内容包括进程文件 名、 进程PID、 文件大小、 进 程PID回溯链； 步骤 三： 依据进程PID回溯链查询进 程树； 步骤四： 从进 程 树叶节点开始， 依次向上回溯路径， 逐节点更新 统计信息， 修改节点最后更新时间为当前时间。 本发明采用Fanotify文件监控机制， 基于勒索软 件的行为特征来进行判断识别， 不采用特征码， 可有效的识别未知的勒索软件。 权利要求书1页 说明书4页 附图3页 CN 114707145 A 2022.07.05 CN 114707145 A 1.一种基于Fan otify机制的勒索软件检测方法， 其特 征在于， 包括以下步骤： 步骤一： 进行系统初始化， F anotify初始化时先调用fanotify_init创建一个F anotify 实例， 并创建一个线程用于读取 Fanotify事件； 步骤二： 当有进程创建、 删除文件时就会触发Fanotify事件， Fanotify线程收到事件， 进行解析， 解析 出内容包括进程文件名、 进程PID、 文件大小、 进程PID回溯链； 步骤三： 依据进程PID回溯链查询进程 树； 步骤四： 从进程树叶节点开始， 依次向上回溯路径， 逐节点更新统计信息， 修改节点最 后更新时间为当前时间； 步骤五： 定时器每个统计周期遍历进程树， 对每一个节点计算最新数据与上一个周期 数据之间的增量， 对增量数据按照算法进行分析判断， 确认是否疑似勒索软件产生告警； 步骤六： 在处理完告警判断后， 复制每个节点的最新统计数据到上一个统计周期统计 数据， 同时检查一定时间内未更新的节点， 查询其PID对应的进程是否还存在， 不存在则删 除节点。 2.根据权利 要求1所述的一种基于Fanotify机制的勒索 软件检测方法， 其特征在于： 所 述步骤二的进程PID回溯链指的是从当前进程 开始逐步获取 父进程直到根进程。 3.根据权利 要求1所述的一种基于Fanotify机制的勒索 软件检测方法， 其特征在于： 所 述PID回溯链 查询进程树的具体的查询过程为： 根据进程PID回溯链从后向前， 依次取出PID 查询进程 树， 如果查不到， 则依照进程父子关系 创建新节点。 4.根据权利 要求1所述的一种基于Fanotify机制的勒索 软件检测方法， 其特征在于： 所 述步骤五中的算法为多种， 最简单的即为统计周期内删除、 添加文件的数量超过M个， 且删 除、 添加文件的差值 不超过N， 则触发告警。 5.根据权利 要求1所述的一种基于Fanotify机制的勒索 软件检测方法， 其特征在于： 所 述步骤五的具体过程如下： 定时器遍历进程树， 对每一个节点计算最新数据与上一个周期 数据之间的增量， 判断增量是否超过增量阈值， 超过增量阈值即触发警报， 触发警报后， 复 制最新数据到上一个统计周期， 再对PID节 点进行老化处理， 删除已经失效的PID节 点， 当增 量未超过增量阈值时， 不触发警报， 即直接复制最新数据到上一个统计周期， 再对PID节点 进行老化处 理， 删除已经失效的PID节点。权　利　要　求　书 1/1 页 2 CN 114707145 A 2一种基于Fa notify机制的勒索软件检测方 法 技术领域 [0001]本发明涉及软件检测领域， 具体涉及一种基于Fanotify机制的勒索软件检测方 法。 背景技术 [0002]勒索软件迅速发展成为当今网络安全中的首要威胁， 它极具破坏性、 会造成沉重 代价、 严重影响企业 安危。 [0003]勒索软件的基本行为是对主机中的文件进行加密并删除原始文件， 本提案基于此 种特征结合Linux上的文件监控机制Fanotify， 提出一种具体的实现方案来进行勒索软件 的识别， 此种方案无需特 征码即可识别出 未知的勒索软件； [0004]目前主机安全软件对勒索软件的主要检测方法是通过特征码来判断， 需要事先发 现勒索软件的样本并分析出其特征码， 对于最新出现的或者自我变种的勒索软件则无法有 效检测。 [0005]现有的勒索软件检测方法， 在使用时存在着检测效果， 较差识别率较低的问题， 给 勒索软件检测方法 的使用带来了一定的影响， 因此， 提出一种基于Fanotify机制的勒索软 件检测方法。 发明内容 [0006]本发明所要解决的技术问题在于： 如何解决现有的勒索软件检测方法， 在使用时 存在着检测效果， 较差识别率较低的问题， 给勒索软件检测方法的使用带来了一定的影响 的问题， 提供了一种基于Fan otify机制的勒索软件检测方法。 [0007]本发明是通过以下技 术方案解决上述 技术问题的， 本发明包括以下步骤： [0008]步骤一： 进行系统初始化， Fanotify初始化时先调用fanotify_init创建一个 Fanotify实例， 并创建一个线程用于读取 Fanotify事件； [0009]步骤二： 当有进程创建、 删除文件时就会触 发Fanotify事件， Fanotify线程收到事 件， 进行解析， 解析 出内容包括进程文件名、 进程PID、 文件大小、 进程PID回溯链； [0010]步骤三： 依据进程PID回溯链查询进程 树； [0011]步骤四： 从进程树叶节点开始， 依次向上回溯路径， 逐节点更新统计信息， 修改节 点最后更新时间为当前时间； [0012]步骤五： 定时器每个统计周期遍历进程树， 对每一个节点计算最新数据与上一个 周期数据之间的增量， 对增 量数据按照算法进行分析判断， 确认是否疑似勒索软件产生告 警； [0013]步骤六： 在处理完告警判断后， 复制每个节点的最新统计数据到上一个统计周期 统计数据， 同时检查一定时间内未更新的节点， 查询其PID对应的进程是否还存在， 不存在 则删除节点。 [0014]进一步在于， 所述步骤二的进程PID回溯链指的是从当前进程开始逐步获取父进说　明　书 1/4 页 3 CN 114707145 A 3