本发明专利技术属于计算机技术领域,公开了一种勒索病毒识别方法、装置、设备及存储介质。本发明专利技术通过获取软件进程的文件操作信息;根据文件操作信息对软件进程的历史文件操作记录进行更新,获得更新后的文件操作记录;在更新后的文件操作记录满足预设安全性判定条件时,获取软件进程对应的安全性标签;根据安全性标签判断软件进程是否为勒索病毒进程。由于可根据软件进程的文件操作信息对历史文件操作记录进行更新,获得更新后的文件操作记录,在更新后的文件操作记录满足预设安全性判定条件,即软件进程的文件操作异常时,结合预先为软件进程设置的安全性标签判断该软件进程是否为勒索病毒进程,从而能够快速准确地识别勒索病毒。从而能够快速准确地识别勒索病毒。从而能够快速准确地识别勒索病毒。
【技术实现步骤摘要】
勒索病毒识别方法、装置、设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种勒索病毒识别方法、装置、设备及存储介质。
技术介绍
[0002]近年,病毒出现了新型勒索病毒家族,不同于以往直接加密文件,新型勒索病毒会先将重要数据打包上传进行备份,然后再对文件加密,即使用户破解了病毒对文件的加密,新型病毒的使用者也可以采用公开重要数据的内容来勒索用户。现有的技术方案都是在对文件进行加密时进行行为判断,从而识别病毒,但是对于新型病毒而言,加密之前数据已经被传输到病毒服务器,对于数据敏感的企业,数据泄露相比数据被加密产生的后果更为严重,若不及时发现,企业的损失会非常严重。
[0003]上述内容仅用于辅助理解本专利技术的技术方案,并不代表承认上述内容是现有技术。
技术实现思路
[0004]本专利技术的主要目的在于提供一种勒索病毒识别方法、装置、设备及存储介质,旨在解决现有技术无法及时识别新型勒索病毒的技术问题。
[0005]为实现上述目的,本专利技术提供了一种勒索病毒识别方法,所述方法包括以下步骤:
[0006]获取软件进程的文件操作信息;
[0007]根据所述文件操作信息对所述软件进程的历史文件操作记录进行更新,获得更新后的文件操作记录;
[0008]在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签;
[0009]根据所述安全性标签判断所述软件进程是否为勒索病毒进程。
[0010]可选的,所述在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签的步骤之前,还包括:
[0011]对所述更新后的文件操作记录进行解析,获得当前读取文件总数及当前网络流量总值;
[0012]若所述当前读取文件总数大于或等于预设文件阈值,或所述当前网络流量总值大于或等于预设流量阈值,则判定所述更新后的文件操作记录满足预设安全性判定条件。
[0013]可选的,所述在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签的步骤,包括:
[0014]在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的软件标识信息;
[0015]根据所述软件标识信息在预设安全信息表中查找所述软件进程对应的安全性标签。
[0016]可选的,所述根据所述软件标识信息在预设安全信息表中查找所述软件进程对应的安全性标签的步骤之后,还包括:
[0017]若未查找到所述软件进程对应的安全性标签,则获取所述软件进程对应的软件文件;
[0018]根据所述软件文件确定文件版本信息及文件摘要信息;
[0019]通过预设安全性判定接口根据所述文件版本信息及所述文件摘要信息进行安全性检测,获得安全性标签。
[0020]可选的,所述根据所述安全性标签判断所述软件进程是否为勒索病毒进程的步骤,包括:
[0021]根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果;
[0022]若所述安全性判定结果为安全性未知,则判定所述软件进程为勒索病毒进程。
[0023]可选的,所述根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果的步骤之后,还包括:
[0024]若所述安全性判定结果为安全性已知,则获取所述软件进程对应的软件类型;
[0025]在所述软件类型为工具型时,获取所述软件进程的调用进程;
[0026]查找所述调用进程对应的安全性标签,获得调用者标签;
[0027]根据所述调用者标签判定所述调用进程是否为勒索病毒进程。
[0028]可选的,所述根据所述调用者标签判定所述调用进程是否为勒索病毒进程的步骤之后,还包括:
[0029]若所述调用进程为勒索病毒进程,则获取所述调用进程对应的调用进程标识及所述软件进程对应的进程标识;
[0030]根据所述调用进程标识及所述进程标识终止所述调用进程及所述软件进程的运行。
[0031]可选的,所述根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果的步骤之前,还包括:
[0032]获取所述安全性标签对应的标签生成时刻;
[0033]根据所述标签生成时刻判定所述安全性标签是否有效;
[0034]在所述安全性标签有效时,执行所述根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果的步骤。
[0035]可选的,所述根据所述标签生成时刻判定所述安全性标签是否有效的步骤之后,还包括:
[0036]在所述安全性标签失效时,将预设安全信息表中所述软件进程对应的安全性标签清除,并获取所述软件进程对应的软件文件;
[0037]根据所述软件文件确定文件版本信息及文件摘要信息;
[0038]通过预设安全性判定接口根据所述文件版本信息及所述文件摘要信息进行安全性检测,获得安全性标签,并执行所述根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果的步骤。
[0039]可选的,所述根据所述文件操作信息对所述软件进程的历史文件操作记录进行更
新,获得更新后的文件操作记录的步骤,包括:
[0040]对所述文件操作信息进行解析,获得文件读取数量及网络流量大小;
[0041]查找所述软件进程对应的历史文件操作记录,并对所述历史文件操作记录进行解析,获得历史读取文件总数及历史网络流量总值;
[0042]根据所述文件读取数量对所述历史读取文件总数进行更新,并根据所述网络流量大小对所述历史网络流量总值进行更新,获得更新后的文件操作记录。
[0043]可选的,所述根据所述安全性标签判断所述软件进程是否为勒索病毒进程的步骤之后,还包括:
[0044]在判定所述软件进程为勒索病毒进程时,获取所述软件进程对应的进程标识信息;
[0045]根据所述进程标识信息终止所述软件进程的运行。
[0046]此外,为实现上述目的,本专利技术还提出一种勒索病毒识别装置,所述勒索病毒识别装置包括以下模块:
[0047]信息获取模块,用于获取软件进程的文件操作信息;
[0048]记录更新模块,用于根据所述文件操作信息对所述软件进程的历史文件操作记录进行更新,获得更新后的文件操作记录;
[0049]标签获取模块,用于在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签;
[0050]结果判定模块,用于根据所述安全性标签判断所述软件进程是否为勒索病毒进程。
[0051]可选的,所述标签获取模块,还用于对所述更新后的文件操作记录进行解析,获得当前读取文件总数及当前网络流量总值;若所述当前读取文件总数大于或等于预设文件阈值,或所述当前网络流量总值大于或等于预设流量阈值,则判定所述更新后的文件操作记录满足预设安全性判本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种勒索病毒识别方法,其特征在于,所述勒索病毒识别方法包括以下步骤:获取软件进程的文件操作信息;根据所述文件操作信息对所述软件进程的历史文件操作记录进行更新,获得更新后的文件操作记录;在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签;根据所述安全性标签判断所述软件进程是否为勒索病毒进程。2.如权利要求1所述的勒索病毒识别方法,其特征在于,所述在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签的步骤之前,还包括:对所述更新后的文件操作记录进行解析,获得当前读取文件总数及当前网络流量总值;若所述当前读取文件总数大于或等于预设文件阈值,或所述当前网络流量总值大于或等于预设流量阈值,则判定所述更新后的文件操作记录满足预设安全性判定条件。3.如权利要求1所述的勒索病毒识别方法,其特征在于,所述在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的安全性标签的步骤,包括:在所述更新后的文件操作记录满足预设安全性判定条件时,获取所述软件进程对应的软件标识信息;根据所述软件标识信息在预设安全信息表中查找所述软件进程对应的安全性标签。4.如权利要求3所述的勒索病毒识别方法,其特征在于,所述根据所述软件标识信息在预设安全信息表中查找所述软件进程对应的安全性标签的步骤之后,还包括:若未查找到所述软件进程对应的安全性标签,则获取所述软件进程对应的软件文件;根据所述软件文件确定文件版本信息及文件摘要信息;通过预设安全性判定接口根据所述文件版本信息及所述文件摘要信息进行安全性检测,获得安全性标签。5.如权利要求1所述的勒索病毒识别方法,其特征在于,所述根据所述安全性标签判断所述软件进程是否为勒索病毒进程的步骤,包括:根据所述安全性标签在预设标签结果映射表中查找所述软件进程对应的安全性判定结果;若所述安全性判定结果为安...
【专利技术属性】
技术研发人员:邹贵强,袁成良,王日杭,
申请(专利权)人:三六零数字安全科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。