一种病毒防护方法技术

本发明专利技术涉及信息安全技术领域，一种病毒防御方法及系统，所述病毒防御方法应用于信息防护系统，所述方法包括：分析当前主机行为，识别可疑程序；针对每一个可疑程序，计算所述可疑程序的异常行为分值；判断所述异常分值是否超过预设阈值；若是，确定所述可疑程序为病毒程序；将所述病毒程序对应的异常行为分类并添加对应的异常标识；将所述病毒程序挂起以拦截所述病毒程序

【技术实现步骤摘要】
一种病毒防护方法、装置、电子设备及存储介质


[0001]本专利技术涉及网络安全
，尤其是涉及一种病毒防御方法
、
装置
、
电子设备及存储介质
。

技术介绍

[0002]随着互联网通信技术快速发展，许多勒索病毒也随之出现，一旦感染勒索病毒，会将磁盘上的文件加密，导致重要文件无法读取
、
关键数据损坏等影响正常使用的情况，为了指引被感染者缴纳赎金，勒索病毒还会在桌面等明显位置生成勒索提示文件，给使用者造成了困扰和经济损失
。
[0003]目前勒索软件检测方法主要基于特征
、
行为及其结合的方法，然而这些方法存在特征匹配困难
、
行为分析复杂
、
数据储量较大，防护效果不稳定的缺点，导致病毒防御效率较低
。

技术实现思路

[0004]有鉴于此，本专利技术的目的在于提供一种病毒防御方法及系统，以提高病毒识别效率
、
病毒防御效率
。
[0005]第一方面，本专利技术实施例提供了一种病毒防御方法，应用于信息防护系统，所述方法包括：
[0006]分析当前主机行为，识别可疑程序；
[0007]针对每一个可疑程序，计算所述可疑程序的异常行为分值；
[0008]判断所述异常行为分值是否超过预设阈值；
[0009]若是，确定所述可疑程序为病毒程序；
[0010]将所述病毒程序对应的异常行为分类并添加对应的异常标识；<br/>[0011]将所述病毒程序挂起以拦截所述病毒程序；
[0012]响应针对所述病毒程序的确认防御操作，根据预设映射关系，对具有所述异常标识的病毒程序防御处理
。
[0013]结合第一方面，所述信息防护系统内存储有行为基线；
[0014]所述分析当前主机行为，识别可疑程序的步骤，包括：
[0015]获取采样周期内至少一个当前主机行为；
[0016]针对每个所述当前主机行为，判断所述当前主机行为是否偏离所述行为基线；
[0017]若是，将所述当前主机行为标记为可疑程序
。
[0018]结合第一方面，计算所述可疑程序的异常行为分值的步骤，包括：
[0019]针对每一个可疑程序，获取与所述可疑程序的进程
ID
信息上下关联的异常行为；其中，所述异常行为至少包括以下之一：对主机文件进行恶意加密
、
修改目标文件后缀为恶意加密后缀
、
添加注册表启动项
、
删除备份文件
、
修改桌面背景；
[0020]获取所述可疑程序运行过程中修改诱饵文件的数量；
[0021]针对每个诱饵文件，查找所述数据库中所述诱饵文件的操作评分；
[0022]针对每个可疑程序，执行所述可疑程序并根据预设规则计算异常行为分值
。
[0023]结合第一方面，
[0024]执行所述可疑程序并根据预设规则计算异常行为分值的步骤，包括：
[0025]以如下算式计算：
[0026]P
＝
w1
×
M+w2
×
∑n
i
×
f(M)
；
[0027]M
＝
α
×
C+
β
×
A+
γ
×
D+
δ
×
E
；
[0028]其中，
w1、w2
为权重系数，且
w1+w2
＝1；
α
，
β
，
γ
和
δ
：这些系数代表每个操作维度的权重，它们之间的关系为
α
+
β
+
γ
+
δ
＝1；
M
为诱饵文件操作评分，
C
为诱饵文件修改次数
(
与加密行为相关
)
，
A
为诱饵文件访问次数，
D
为诱饵文件移动次数，
E
为加密活动指标；
f(M)
为病毒特征函数
。
[0029]结合第一方面，所述数据库包括主机行为列表，将所述病毒程序挂起的步骤之后，还包括：
[0030]响应针对所述病毒程序的否认操作，将所述病毒程序标记为可运行程序并添加至所述主机行为列表
。
[0031]结合第一方面，将所述病毒程序标记为可运行程序并添加至所述主机行为列表的步骤之后，还包括：
[0032]响应针对所述行为基线的调整操作，根据所述可运行程序调整所述行为基线
。
[0033]结合第一方面，分析所述当前主机行为，识别可疑程序的步骤之前还包括：
[0034]在一个学习周期中学习主机行为并将所述主机行为保存于所述主机行为列表中；
[0035]响应针对所述主机行为的确认操作，根据所述主机行为生成行为基线并保存
。
[0036]第二方面，本申请提供一种病毒防御装置，应用于信息防护系统，所述装置包括：
[0037]分析识别模块，用于分析当前主机行为，识别可疑程序；
[0038]计算模块，用于针对每一个可疑程序，计算所述可疑程序的异常行为分值；
[0039]判断模块，用于判断所述异常行为分值是否超过预设阈值；
[0040]确定模块，用于在所述异常行为分值是否超过预设阈值的情况下，确定所述可疑程序为病毒程序；
[0041]分类模块，用于将所述病毒程序对应的异常行为分类并添加对应的异常标识；
[0042]拦截模块，用于将所述病毒程序挂起以拦截所述病毒程序；
[0043]防御处理模块，用于响应针对所述病毒程序的确认防御操作，根据预设映射关系，对具有所述异常标识的病毒程序防御处理
。
[0044]第三方面，本申请提供一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序以实现如上述的方法
。
[0045]第四方面，本申请提供一种存储介质，所述存储介质存储有计算机可执行程序，所述程序被处理器执行，以实现上述的方法
。
[0046]本专利技术实施例带来了以下有益效果：本专利技术提供了一种病毒防御方法及系统，所述病毒防御方法应用于信息防护系统，所述方法包括：分析当前主机行为，识别可疑程序；针对每一个可疑程序，计算所述可疑程序的异常行为分值；判断所述异常分值是否超过预设阈值；若是，确定所述可疑程序为病毒程序；将所述病毒程序对应的异常行为分类并添加
对应的异常标识；将所述病毒程序挂起以拦截所述病毒程序；响应针对所述病毒程序的确认防御操作，根据预设映射关系，对具有所述异常标识的病毒程序防御处理...

【技术保护点】

【技术特征摘要】
1.
一种病毒防御方法，其特征在于，应用于信息防护系统，所述方法包括：分析当前主机行为，识别可疑程序；针对每一个可疑程序，计算所述可疑程序的异常行为分值；判断所述异常行为分值是否超过预设阈值；若是，确定所述可疑程序为病毒程序；将所述病毒程序对应的异常行为分类并添加对应的异常标识；将所述病毒程序挂起以拦截所述病毒程序；响应针对所述病毒程序的确认防御操作，根据预设映射关系，对具有所述异常标识的病毒程序防御处理
。2.
根据权利要求1所述的方法，其特征在于，所述信息防护系统内存储有行为基线；所述分析当前主机行为，识别可疑程序的步骤，包括：获取采样周期内至少一个当前主机行为；针对每个所述当前主机行为，判断所述当前主机行为是否偏离所述行为基线；若是，将所述当前主机行为标记为可疑程序
。3.
根据权利要求1所述的方法，其特征在于，计算所述可疑程序的异常行为分值的步骤，包括：针对每一个可疑程序，获取与所述可疑程序的进程
ID
信息上下关联的异常行为；其中，所述异常行为至少包括以下之一：对主机文件进行恶意加密
、
修改目标文件后缀为恶意加密后缀
、
添加注册表启动项
、
删除备份文件
、
修改桌面背景；获取所述可疑程序运行过程中修改诱饵文件的数量；针对每个诱饵文件，查找数据库中所述诱饵文件的操作评分；针对每个可疑程序，执行所述可疑程序并根据预设规则计算异常行为分值
。4.
根据权利要求1所述的方法，其特征在于，执行所述可疑程序并根据预设规则计算异常行为分值的步骤，包括：以如下算式计算：
P
＝
w1
×
M+w2
×
∑n
i
×
f(M)
；
M
＝
α
×
C+
β
×
A+
γ
×
D+
δ
×
E
；其中，
w1、w2
为权重系数，且
w1+w2
＝1；
α
，
β
，
γ
和
δ
：这些系数代表每...

【专利技术属性】
技术研发人员：王斌，刘书航，王可圣，
申请(专利权)人：江苏安恒网络安全有限公司，
类型：发明
国别省市：