【技术实现步骤摘要】
一种检测勒索病毒的方法、装置、系统和介质
本专利技术涉及安全管理
,特别是涉及一种检测勒索病毒的方法、装置、系统和计算机可读存储介质。
技术介绍
SMB(ServerMessageBlock)是微软(Miscrosoft)和英特尔(Intel)在1987年制定的通讯协议。通过该协议,客户端应用程序可以在各种网络环境下,远程访问服务端的文件,例如读、写文件等操作。勒索病毒是一种新型的电脑病毒,主要通过邮件、程序木马、网页挂马和系统漏洞的方式进行内外网传播。这种病毒利用各种加密算法,对本地主机甚至包括远程服务端上的文件进行加密,被加密文件一般无法自行解密,必须通过上交赎金换取密钥才有可能解密文件。目前勒索病毒检测技术,主要依赖于已知类型的勒索病毒的特征提取,对已知类型的勒索病毒进行检测,无法检测未知类型勒索病毒的威胁,容易存在漏报,导致勒索病毒的检测结果不准确。可见,如何提升勒索病毒检测的准确性,是本领域技术人员需要解决的问题。
技术实现思路
本专利技术实施例的目的是提供一种检测勒索病毒的方法、装置、系统和计算机可读存储介质,可以提升勒索病毒检测的准确性。为解决上述技术问题,本专利技术实施例提供一种检测勒索病毒的方法,包括:获取用于记录文件操作行为的流量日志;按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值;其中,所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;若所述流量日志的评分值不满足预设...
【技术保护点】
1.一种检测勒索病毒的方法,其特征在于,包括:/n获取用于记录文件操作行为的流量日志;/n按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值;其中,所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;/n若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。/n
【技术特征摘要】
1.一种检测勒索病毒的方法,其特征在于,包括:
获取用于记录文件操作行为的流量日志;
按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值;其中,所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;
若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。
2.根据权利要求1所述的方法,其特征在于,所述按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值包括:
依据所述流量日志中记录的文件操作行为,将所述流量日志中符合加密模式的文件数据作为第一数据集,不符合所述加密模式的文件数据作为第二数据集;其中,所述加密模式按照勒索病毒加密文件的操作行为预先设置;
按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数;
根据预先建立的解密提示信息特征库,对所述第二数据集中包含的各文件数据进行匹配处理,以得到所述流量日志对应的匹配分数;
将所述文件分数和所述匹配分数进行加权求和,以得到所述流量日志对应的评分值。
3.根据权利要求2所述的方法,其特征在于,所述根据预先建立的解密提示信息特征库,对所述第二数据集中包含的各文件数据进行匹配处理,以得到所述流量日志对应的匹配分数包括:
依据所述第二数据集中各文件数据携带的数据信息,筛选出所述第二数据集中包含有解密文件标识的至少一个文件数据;
统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目;
根据所述文件数目以及预先设定的分数值,得到所述流量日志对应的匹配分数。
4.根据权利要求3所述的方法,其特征在于,在所述统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后还包括:
当所述文件数目超过预设的上限值时,则判定与所述解密提示信息特征库相匹配的文件属于勒索病毒加密文件。
5.根据权利要求2所述的方法,其特征在于,所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数包括:
根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值;
依据所述第一数据集的文件数据在预设时间段内的访问流量,对所述流量日志设置第二分数值;
根据所述第一数据集所对应的连接时间以及在所述连接时间内文件访问次数,计算出所述流量日志的访问频率;
查询预先建立的频率与分数值的对应关系,确定出所述流量日志的第三分数值;
根据所述流量日志的第一...
【专利技术属性】
技术研发人员:黄得雄,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。