【技术实现步骤摘要】
勒索程序识别方法、装置、计算机设备及存储介质
[0001]本申请涉及网络安全
,尤其涉及一种勒索程序识别方法、装置、计算机设备及存储介质。
技术介绍
[0002]随着勒索程序技术不断升级,勒索事件日益增多造成大量用户的文档被加密破坏,传统的勒索程序防御机制越来越容易被绕过,根据以往勒索者分析可知,勒索者病毒都采用后台方式进行磁盘检索,发现指定后缀文件后,会对该类型文件进行加密,之后在将加密内容重写到磁盘中。
[0003]传统防勒索机制很难识别出勒索程序,比如勒索者先将文档读取到内存中在将文档删除,在将内存中内容加密后写到新创建的文档中,类似这种加密方式和删除文件的行为,传统防勒索很难判别其行为是用户操作还是恶意勒索程序。
技术实现思路
[0004]本申请实施例提供一种勒索程序识别方法、装置、计算机设备及存储介质,用于准确的识别出勒索程序。
[0005]本专利技术实施例提供一种勒索程序识别方法,所述方法包括:
[0006]获取用户当前操作的第一进程标识及当前操作的第一文件标识;获取...
【技术保护点】
【技术特征摘要】
1.一种勒索程序识别方法,其特征在于,所述方法包括:获取用户当前操作的第一进程标识及当前操作的第一文件标识;获取进行后台修改文档的第二进程标识和被后台修改的第二文件标识;将所述第一进程标识与所述第二进程标识进行匹配,所述第一文件标识与所述第二文件标识进行匹配;若匹配均不成功,则确定所述第二进程标识对应的程序为勒索程序。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:创建第一线程和第二线程,所述第一线程与所述第二线程并行工作;所述获取用户当前操作的第一进程标识及当前操作的第一文件标识,包括:通过所述第一线程获取用户当前操作的第一进程标识及当前操作的第一文件标识;所述获取修改文档的第二进程标识和被修改的第二文件标识,包括:通过所述第二线程获取进行后台修改文档的第二进程标识和被后台修改的第二文件标识。3.根据权利要求1所述的方法,其特征在于,所述方法还包括:若所述第一进程标识与所述第二进程标识匹配成功,所述第一文件标识与所述第二文件标识匹配不成功,则通过查询预置病毒库中是否存储有所述第二进程标识对应的程序,所述预置病毒库中存储有不同进程标识分别对应的程序;若所述预置病毒库中存储有所述第二进程标识对应的程序,则确定所述第二进程标识对应的程序为勒索程序。4.根据权利要求2
‑
3任一项所述的方法,其特征在于,所述将所述第一进程标识与所述第二进程标识进行匹配,所述第一文件标识与所述第二文件标识进行匹配,包括:通过创建所述第一线程和所述第二线程之间的通信,将所述第一进程标识与所述第二进程标识进行匹配,所述第一文件标识与所述第二文件标识进行匹配。5.根据权利要求2所述的方法,其特征在于,所述获取用户当前操作的第一进程标识及当前操作的第一文件标识;获取进行后台修改文档的第二进程标识和被后...
【专利技术属性】
技术研发人员:刘鹏,徐翰隆,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。