勒索病毒防御方法、装置及电子设备制造方法及图纸

本申请提供一种勒索病毒防御方法、装置及电子设备，该方法包括：接收所述多个主机中的任一主机上报的勒索病毒告警信息；基于所述勒索病毒告警信息，确定病毒脚本的下载路径；对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。该方法可以优化病毒防御效果。

【技术实现步骤摘要】
勒索病毒防御方法、装置及电子设备
本申请涉及网络安全领域，尤其涉及一种勒索病毒防御方法、装置及电子设备。
技术介绍
勒索病毒，也可以称为勒索软件（Ransomware），是一类以加密数据、锁定设备为攻击方式、勒索赎金为主要目的的恶意软件。随着APT（AdvancedPersistentThreat，高级可持续威胁攻击，也可以称为定向威胁攻击）攻击的不断进化，勒索病毒成为威胁企业内部网络的新的网络犯罪手段。目前，针对勒索病毒的主要防御方式为检测和防护：通过基于恶意样本的分析，特征提取，以及通信特征数据的抓取的方式进行检测，并通过恶意程序行为的管控的方式进行防护。然而实践发现，传统针对勒索病毒的防御方式仅能在确定主机被勒索病毒感染后针对被感染的主机进行防护，病毒防御效果较差。
技术实现思路
有鉴于此，本申请提供一种勒索病毒防御方法、装置及电子设备。具体地，本申请是通过如下技术方案实现的：根据本申请实施例的第一方面，提供一种勒索病毒防御方法，应用于病毒防御平台，该方法包括：接收主机上报的勒索病毒告警信息；基于所述勒索病毒告警信息，确定病毒脚本的下载路径；对基于所述下载路径发起的脚本下载请求进行拦截。根据本申请实施例的第二方面，提供一种勒索病毒防御方法，应用于主机，该方法包括：进行勒索病毒检测；当检测到勒索病毒时，向病毒防御平台上报勒索告警信息，以使所述病毒防御平台基于所述勒索病毒告警信息，确定病毒脚本的下载路径，并对基于所述下载路径发起的脚本下载请求进行拦截。根据本申请实施例的第三方面，提供一种勒索病毒防御装置，应用于病毒防御平台，所述装置包括：接收单元，用于接收主机上报的勒索病毒告警信息；确定单元，用于基于所述勒索病毒告警信息，确定病毒脚本的下载路径；防御单元，用于对基于所述下载路径发起的脚本下载请求进行拦截。根据本申请实施例的第四方面，提供一种勒索病毒防御装置，应用于主机，所述装置包括：检测单元，用于进行勒索病毒检测；防御单元，用于当检测到勒索病毒时，向病毒防御平台上报勒索告警信息，以使所述病毒防御平台基于所述勒索病毒告警信息，确定病毒脚本的下载路径，并对基于所述下载路径发起的脚本下载请求进行拦截。根据本申请实施例的第五方面，提供一种电子设备，该电子设备包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；所述处理器用于执行机器可执行指令，以实现第一方面或第二方面所述的方法。本申请实施例的勒索病毒防御方法，通过在病毒防御系统中部署用于对抗勒索病毒的软件，病毒防御系统中的多个主机中的任一主机利用本机部署的防护节点软件检测勒索病毒，并在检测到勒索病毒时，向病毒防御系统中的病毒防御平台的中心平台软件上报勒索告警信息；病毒防御平台接收到主机上报的勒索病毒告警信息时，基于勒索病毒告警信息，确定病毒脚本的下载路径，并对病毒防御系统中的多个主机中的任一主机基于下载路径发起的脚本下载请求进行拦截，从单机病毒防御扩展到整个系统的病毒防御，能够有效降低系统内主机被勒索病毒感染的概率，优化病毒防御效果。附图说明图1为本申请一示例性实施例示出的一种勒索病毒防御系统的架构示意图；图2为本申请一示例性实施例示出的一种勒索病毒防御方法的流程示意图；图3为本申请又一示例性实施例示出的另一种勒索病毒防御方法的流程示意图；图4为本申请一示例性实施例示出的一种勒索病毒防御装置的结构示意图；图5为本申请又一示例性实施例示出的另一种勒索病毒防御装置的结构示意图；图6为本申请一示例性实施例示出的一种电子设备的硬件结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。为了使本领域技术人员更好地理解本申请实施例提供的技术方案，下面先对本申请实施例适用的病毒防御系统的架构进行说明。请参见图1，为本申请实施例提供的一种病毒防御系统的架构示意图，如图1所示，该病毒防御系统可以包括病毒防御平台（也可以称为病毒防护中心平台）与多个主机，该病毒防御系统中部署有用于对抗勒索病毒的软件，包括部署于病毒防御平台的中心平台软件，以及部署于主机（也可以称为防护节点）的防护节点软件。在该病毒防御系统中，各主机可以利用防护节点软件独立进行勒索病毒检测，并当检测到勒索病毒时，向病毒防御平台的中心平台软件进行勒索病毒告警信息上报。病毒防御平台可以基于主机上报的勒索病毒告警信息，确定病毒脚本下载路径，并对基于该下载路径发起的脚本下载请求进行拦截，从而在任一主机检测到勒索病毒的情况下，阻止还未下载病毒脚本的其它主机下载病毒脚本，从单机病毒防御扩展到整个系统的病毒防御，能够有效降低系统内主机被勒索病毒感染的概率，优化了病毒防御效果。为了使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。请参见图2，为本申请实施例提供的一种勒索病毒防御方法的流程示意图，其中，该勒索病毒防御方法可以应用于病毒防御平台，如图1所示病毒防御系统中的病毒防御平台，如图2所示，该勒索病毒防御方法可以包括以下步骤：步骤S200、接收病毒防御系统中的多个主机中的任一主机上报的勒索病毒告警信息，该勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向中心平台软件上报的。本申请实施例中，步骤S200中的主机可以为病毒防御系统中的任一主机，如图1所示病毒防御系统中的任一主机。本申请实施例中，主机向病毒防御平台上报勒索病毒告警信息的实现可以参见图3所示方法流程中的相关描述，本申请实施例在此不做赘述。步骤S210、基于勒索病毒告警信息，确定病毒脚本的下载路径。本申请实施例中，病毒防御平台接收到勒索病毒告警信息时，可以基于接收到的勒索病毒告警信息，确定病毒脚本的下载地址。例如，主机在检测到勒索病毒时，可以确定病毒脚本的下载地址，并将该病毒脚本的下载地址携带在勒索病毒告警信息中上报给病毒防御平台。病毒防御平台接收到勒索病毒告警信息时，可以获取该勒索病毒告警信息中携带的病毒脚本的下载地址。步骤S220、对病毒防御系统中的多个主机中的任一主机基于该下载路径发起的脚本下载请求进行拦截。本申请实施例中，病毒防御平台确定了病毒脚本的下载本文档来自技高网...

【技术保护点】
1.一种勒索病毒防御方法，其特征在于，应用于病毒防御系统中的病毒防御平台，所述病毒防御系统中还包括多个主机，所述病毒防御系统中部署有用于对抗勒索病毒的软件，所述软件包括部署于所述病毒防御平台的中心平台软件，以及部署于主机的防护节点软件，所述方法包括：/n接收所述多个主机中的任一主机上报的勒索病毒告警信息；所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的；/n基于所述勒索病毒告警信息，确定病毒脚本的下载路径；/n对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。/n

【技术特征摘要】
1.一种勒索病毒防御方法，其特征在于，应用于病毒防御系统中的病毒防御平台，所述病毒防御系统中还包括多个主机，所述病毒防御系统中部署有用于对抗勒索病毒的软件，所述软件包括部署于所述病毒防御平台的中心平台软件，以及部署于主机的防护节点软件，所述方法包括：
接收所述多个主机中的任一主机上报的勒索病毒告警信息；所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的；
基于所述勒索病毒告警信息，确定病毒脚本的下载路径；
对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。


2.根据权利要求1所述的方法，其特征在于，所述对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截，包括：
将所述下载请求重定向至指定地址，所述指定地址用于下载指定无害脚本，所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本。


3.根据权利要求1所述的方法，其特征在于，所述接收所述多个主机中的任一主机上报的勒索病毒告警信息之后，还包括：
基于所述勒索病毒告警信息，确定病毒脚本关联的可疑文件的指纹信息；
基于所述指纹信息，阻断与所述指纹信息匹配的文件的传输，或/和，阻止与所述指纹信息匹配的进程的启动。


4.一种勒索病毒防御方法，其特征在于，应用于病毒防御系统中的多个主机中的任一主机，所述病毒防御系统中还包括病毒防御平台，所述病毒防御系统中部署有用于对抗勒索病毒的软件，所述软件包括部署于所述病毒防御平台的中心平台软件，以及部署于主机的防护节点软件，所述方法包括：
利用本机部署的防护节点软件检测勒索病毒；
当检测到勒索病毒时，向所述病毒防御平台的中心平台软件上报勒索告警信息，以使所述病毒防御平台基于所述勒索病毒告警信息，确定病毒脚本的下载路径，并对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。


5.根据权利要求4所述的方法，其特征在于，所述利用本机部署的防护节点软件检测勒索病毒，包括：
对预设样本文件进行检测；
基于所述预设样本文件的变化情况，确定是否存在勒索病毒。


6.根据权利要求5所述的方法，其特征在于，所述基于所述预设样本文件的变化情况，确定是否存在勒索病毒，包括：
对于任一样本文件，当需要进行样本文件变化校验时，对该样本文件进行分块哈希计算，得到第一哈希值；
确定第一哈希值和第二哈希值的相似度；其中，所述第二哈希值为对该样本文件的原始文件按照相同的分块哈希算法...

【专利技术属性】
技术研发人员：王璐，王滨，王星，王睿尧，徐文渊，冀晓宇，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：浙江;33