【技术实现步骤摘要】
目标程序生成方法、勒索程序检测方法、装置、设备
[0001]本申请涉及网络安全
,特别是涉及一种目标程序生成方法、勒索程序检测方法、装置、设备。
技术介绍
[0002]勒索软件(Ransomware)是一种流行的木马,通常通过加密用户文件的方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。赎金形式主要以比特币或其它加密货币为主。
[0003]传统技术中,一般是通过以下方式来解决勒索软件的攻击的:
[0004]通过传统反病毒(文件识别)模式来阻止可识别的勒索软件文件的形成和运行。在计算机实施保护,通过文件扫描来识别勒索软件的程序,并阻止识别到的勒索软件的运行。这种方案的缺点:滞后、缓慢,缺乏针对性。全球每天都出现相当数量的勒索软件,安全公司通常无法第一时间做到全部识别,导致无法在企业遭受勒索软件攻击之前进行阻断。另外,勒索软件通常具有“一过性”:在完成数据加密、横向传播后就销毁自身。这对依赖“样本捕获再响应”的传统反病毒模式来说,响应速度会大大降低甚至无法完成响应工作。
[0...
【技术保护点】
【技术特征摘要】
1.一种目标程序生成方法,其特征在于,所述目标程序生成方法包括:获取输入的关于勒索程序的目标信息;按照程序类型将所述目标信息进行分类;根据所述目标信息生成对应所述程序类型的目标程序,所述目标程序用于检测勒索程序。2.根据权利要求1所述的目标程序生成方法,其特征在于,所述获取输入的关于勒索程序的目标信息,包括:接收勒索程序处理指令,所述处理指令包括录入指令、编辑指令和禁用指令中的至少一个;根据所述处理指令显示勒索程序信息描述界面;通过所述勒索程序信息描述界面接收输入的关于勒索程序的目标信息,所述目标信息包括基本信息和行为特征;所述基本信息包括所述勒索软件的名称、目标操作系统、危害程度、使用的加密算法、是否可以解密、关联的解密工具下载地址以及公开发布的相关报告网址中的至少一个;所述行为特征包括是否关闭系统自带的备份功能、活动时会创建的活动程序、加密目标文件的扩展名列表、加密后文件的文件名特征、加密后文件的内容特征、创建的勒索信的文件名特征、连接的网络域名和IP地址、创建的注册表项目名称、创建的操作系统对象名称、相关邮箱、数字货币钱包地址、程序或代码的工作模式以及横向传播涉及的端口中的至少一个。3.根据权利要求2所述的目标程序生成方法,其特征在于,所述根据所述目标信息生成对应所述程序类型的目标程序,包括:获取所述目标信息对应的程序模板;将所述目标信息和所述程序模板结合得到目标程序。4.根据权利要求3所述的目标程序生成方法,其特征在于,所述将所述目标信息和所述程序模板结合得到目标程序,包括以下至少一个:调用是否关闭系统自带的备份功能的程序模板得到针对勒索程序进行监测的目标程序;将活动时会创建的活动程序与所述程序模板得到检测所述活动程序的目标程序;将加密目标文件的扩展名列表与所述程序模板得到检测所述扩展名列表的目标程序;将加密后文件的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;将加密后文件的内容特征与所述程序模板得到检测所述内容特征的目标程序;将创建的勒索信的文件名特征与所述程序模板得到检测所述文件名特征的目标程序;将连接的网络域名和IP地址与所述程序模板得到检测所述网络域名和IP地址的目标程序;将创建的注册表项目名称与所述程序模板得到检测所述注册表项目名称的目标程序;将创建的操作系统对象名称与所述程序模板得到检测所述操作系统对象名称的目标程序;将相关邮箱和数字货币钱包地址与所...
【专利技术属性】
技术研发人员:张晓,金学奇,张亮,周劼英,詹雄,蒋衢,叶超,屈刚,蒋正威,张静,金皓纯,孔飘红,黄银强,谌亚平,
申请(专利权)人:国家电网有限公司华东分部,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。