本发明专利技术公开一种基于信息熵特征波形的勒索病毒检测方法及装置,涉及工控安全技术领域。所述方法包括:在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本;计算样本中每个文件的信息熵,形成一个文件信息熵矩阵E;把E映射到直角坐标系,并在x轴n/2处进行分割;从左边区域中选择一个离散点;从x轴n/2处向右查找与该离散点纵坐标y相同的离散点,或查找满足一个纵坐标大于y、另一个小于y的两个离散点,若能够找到,则判定文件没有被勒索病毒加密,若仍无法找到,则判定文件被勒索病毒加密。本发明专利技术基于信息熵对文件是否被加密作出判定,并排除了特殊类型文件的影响,简单有效,并不受其他因素的干扰。并不受其他因素的干扰。并不受其他因素的干扰。
【技术实现步骤摘要】
一种基于信息熵特征波形的勒索病毒检测方法及装置
[0001]本专利技术涉及工控安全
,尤其涉及一种基于信息熵特征波形的勒索病毒检测方法及装置。
技术介绍
[0002]勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
[0003]随着近年来,勒索病毒的肆虐,很多工控设备及重要机构的电脑被感染,导致大量的经济损失。因此本专利技术提出了一种基于信息熵特征波形的勒索病毒检测方法,可以快速检测电脑是否被勒索病毒侵害。
技术实现思路
[0004]本专利技术提供了一种基于信息熵特征波形的勒索病毒检测方法,包括:
[0005]在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n;
[0006]计算n个文件样本中每个文件的信息熵,形成一个文件信息熵矩阵E;
[0007]把文件信息熵矩阵E映射到直角坐标系,并在x轴n/2处进行分割,形成两个和x轴围成的区域;
[0008]从左边区域中选择一个离散点;
[0009]从x轴n/2处向右查找与该离散点纵坐标y相同的离散点,若能够找到,则判定文件没有被勒索病毒加密,若无法找到,则继续从x轴n/2处向右查找满足一个纵坐标大于离散点纵坐标y、另一个纵坐标小于离散点纵坐标y的两个离散点,若能够找到,则判定文件没有被勒索病毒加密,若仍无法找到,则判定文件被勒索病毒加密。
[0010]如上所述的一种基于信息熵特征波形的勒索病毒检测方法,其中,预设文本类型的大信息熵文件样本包含压缩文件、视频文件、图片文件和其他信息熵本身就很大的文件。
[0011]如上所述的一种基于信息熵特征波形的勒索病毒检测方法,其中,将文件信息熵矩阵E映射到直角坐标系中,直角坐标系的x轴代表信息熵的大小,y轴代表此信息熵对应的文件个数。
[0012]如上所述的一种基于信息熵特征波形的勒索病毒检测方法,其中,从左边区域中选择的一个离散点具体为:选择离最高点与最低点均值最近的离散点。
[0013]本专利技术还提供一种基于信息熵特征波形的勒索病毒检测装置,包括:取样模块、信息熵计算模块、勒索病毒检测模块;
[0014]取样模块用于在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n;
[0015]信息熵计算模块用于计算n个文件样本中每个文件的信息熵,形成一个文件信息熵矩阵E;
[0016]勒索病毒检测模块用于把文件信息熵矩阵E映射到直角坐标系,并在x轴n/2处进行分割,形成两个和x轴围成的区域;从左边区域中选择一个离散点;从x轴n/2处向右查找与该离散点纵坐标y相同的离散点,若能够找到,则判定文件没有被勒索病毒加密,若无法找到,则继续从x轴n/2处向右查找满足一个纵坐标大于离散点纵坐标y、另一个纵坐标小于离散点纵坐标y的两个离散点,若能够找到,则判定文件没有被勒索病毒加密,若仍无法找到,则判定文件被勒索病毒加密。
[0017]本专利技术还提供一种计算机可读存储介质,所述计算机可读存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被处理器执行如上述任一项所述的一种基于信息熵特征波形的勒索病毒检测方法。
[0018]本专利技术实现的有益效果如下:本专利技术基于信息熵对文件是否被加密作出判定,并排除了特殊类型文件的影响,简单有效,并不受其他因素的干扰。
附图说明
[0019]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0020]图1是本专利技术实施例提供的一种基于信息熵特征波形的勒索病毒检测方法流程图;
[0021]图2是直角坐标系示意图;
[0022]图3是一种基于信息熵特征曲线的勒索病毒检测装置示意图。
具体实施方式
[0023]下面结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0024]实施例一
[0025]正常情况下,电脑中除了一些特殊文件的信息熵很大,比如压缩文件、视频文件、图片文件等信息熵比较大之外,其他文本文件、可执行文件等信息熵的值的分布会按着类正态分布的方式分布。而被勒索病毒加密后,加密后的文件会出现文件的信息随机度增加,信息熵增大的特性,因此根据此特性,可以通过对一定量的样本进行统计,形成一个特征曲线,通过曲线的特性来做判定,由此能够快速检测电脑是否被勒索病毒侵害。
[0026]参见图1,本专利技术实施例一提供一种基于信息熵特征波形的勒索病毒检测方法,包括:
[0027]步骤110、在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n;
[0028]可选地,预设文本类型的大信息熵文件样本包含压缩文件、视频文件、图片文件和其他信息熵本身就很大的文件。
[0029]步骤120、计算n个文件样本中每个文件的信息熵,形成一个文件信息熵矩阵E;
[0030]步骤130、把文件信息熵矩阵E中的每个信息熵映射到直角坐标系,在x轴n/2处进行分割,分为左右两个区域;
[0031]本申请实施例中,如图2所示,图2示例性地给出两种文本信息熵矩阵映射直角坐标系的示例。将文件信息熵矩阵E映射到直角坐标系中,直角坐标系的x轴代表信息熵的大小,y轴代表此信息熵对应的文件个数,在x轴n/2处进行纵向分割。
[0032]步骤140、从左边区域中选择一个离散点;
[0033]具体地,从左边区域选择的离散点不能为坐标轴中的最大值和最小值,优选可以选择离最高点与最低点均值最近的离散点。
[0034]步骤150、从x轴n/2处向右查找与该离散点纵坐标y相同的离散点,若能够找到,则判定文件没有被勒索病毒加密,若无法找到,则继续执行步骤160;
[0035]步骤160、从x轴n/2处向右查找满足一个纵坐标大于离散点纵坐标y、另一个纵坐标小于离散点纵坐标y的两个离散点,若能够找到,则判定文件没有被勒索病毒加密,若仍无法找到,则判定文件被勒索病毒加密;
[0036]例如图2中左图,从左边区域选择离散点K,从x轴n/2处向右能够查找到离散点K
’
与离散点K的纵坐标y相同,那么判定左图的文件未被勒索病毒加密。图2中右图,从左边区域选择离散点K,从x轴n/2处向右查找不到与离散点K的纵坐标y相同的离散点,则判定右图的文件被勒索病毒加密。
[0037]由于被勒索病毒加密后,各离散点在坐标系中组成的函数曲线会发生变本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于信息熵特征波形的勒索病毒检测方法,其特征在于,包括:在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n;计算n个文件样本中每个文件的信息熵,形成一个文件信息熵矩阵E;把文件信息熵矩阵E映射到直角坐标系,并在x轴n/2处进行分割,形成两个和x轴围成的区域;从左边区域中选择一个离散点;从x轴n/2处向右查找与该离散点纵坐标y相同的离散点,若能够找到,则判定文件没有被勒索病毒加密,若无法找到,则继续从x轴n/2处向右查找满足一个纵坐标大于离散点纵坐标y、另一个纵坐标小于离散点纵坐标y的两个离散点,若能够找到,则判定文件没有被勒索病毒加密,若仍无法找到,则判定文件被勒索病毒加密。2.如权利要求1所述的一种基于信息熵特征波形的勒索病毒检测方法,其特征在于,预设文本类型的大信息熵文件样本包含压缩文件、视频文件、图片文件和其他信息熵本身就很大的文件。3.如权利要求1所述的一种基于信息熵特征波形的勒索病毒检测方法,其特征在于,将文件信息熵矩阵E映射到直角坐标系中,直角坐标系的x轴代表信息熵的大小,y轴代表此信息熵对应的文件个数。4.如权利要求1所述的一种基于信息熵特征波形的勒索病毒检测方法,其...
【专利技术属性】
技术研发人员:王方立,黄敏,龙国东,
申请(专利权)人:北京威努特技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。