【技术实现步骤摘要】
一种病毒防护方法、装置、电子设备及存储介质
[0001]本专利技术涉及网络安全
,尤其是涉及一种病毒防御方法
、
装置
、
电子设备及存储介质
。
技术介绍
[0002]随着互联网通信技术快速发展,许多勒索病毒也随之出现,一旦感染勒索病毒,会将磁盘上的文件加密,导致重要文件无法读取
、
关键数据损坏等影响正常使用的情况,为了指引被感染者缴纳赎金,勒索病毒还会在桌面等明显位置生成勒索提示文件,给使用者造成了困扰和经济损失
。
[0003]目前勒索软件检测方法主要基于特征
、
行为及其结合的方法,然而这些方法存在特征匹配困难
、
行为分析复杂
、
数据储量较大,防护效果不稳定的缺点,导致病毒防御效率较低
。
技术实现思路
[0004]有鉴于此,本专利技术的目的在于提供一种病毒防御方法及系统,以提高病毒识别效率
、
病毒防御效率
。
[0005]第一方面,本专利技术实施例提供了一种病毒防御方法,应用于信息防护系统,所述方法包括:
[0006]分析当前主机行为,识别可疑程序;
[0007]针对每一个可疑程序,计算所述可疑程序的异常行为分值;
[0008]判断所述异常行为分值是否超过预设阈值;
[0009]若是,确定所述可疑程序为病毒程序;
[0010]将所述病毒程序对应的异常行为分类并添加对应的异常标识;<
【技术保护点】
【技术特征摘要】
1.
一种病毒防御方法,其特征在于,应用于信息防护系统,所述方法包括:分析当前主机行为,识别可疑程序;针对每一个可疑程序,计算所述可疑程序的异常行为分值;判断所述异常行为分值是否超过预设阈值;若是,确定所述可疑程序为病毒程序;将所述病毒程序对应的异常行为分类并添加对应的异常标识;将所述病毒程序挂起以拦截所述病毒程序;响应针对所述病毒程序的确认防御操作,根据预设映射关系,对具有所述异常标识的病毒程序防御处理
。2.
根据权利要求1所述的方法,其特征在于,所述信息防护系统内存储有行为基线;所述分析当前主机行为,识别可疑程序的步骤,包括:获取采样周期内至少一个当前主机行为;针对每个所述当前主机行为,判断所述当前主机行为是否偏离所述行为基线;若是,将所述当前主机行为标记为可疑程序
。3.
根据权利要求1所述的方法,其特征在于,计算所述可疑程序的异常行为分值的步骤,包括:针对每一个可疑程序,获取与所述可疑程序的进程
ID
信息上下关联的异常行为;其中,所述异常行为至少包括以下之一:对主机文件进行恶意加密
、
修改目标文件后缀为恶意加密后缀
、
添加注册表启动项
、
删除备份文件
、
修改桌面背景;获取所述可疑程序运行过程中修改诱饵文件的数量;针对每个诱饵文件,查找数据库中所述诱饵文件的操作评分;针对每个可疑程序,执行所述可疑程序并根据预设规则计算异常行为分值
。4.
根据权利要求1所述的方法,其特征在于,执行所述可疑程序并根据预设规则计算异常行为分值的步骤,包括:以如下算式计算:
P
=
w1
×
M+w2
×
∑n
i
×
f(M)
;
M
=
α
×
C+
β
×
A+
γ
×
D+
δ
×
E
;其中,
w1、w2
为权重系数,且
w1+w2
=1;
α
,
β
,
γ
和
δ
:这些系数代表每...
【专利技术属性】
技术研发人员:王斌,刘书航,王可圣,
申请(专利权)人:江苏安恒网络安全有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。