CN111027065A - 一种勒索病毒识别方法、装置、电子设备及存储介质 - Google Patents

一种勒索病毒识别方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN111027065A
CN111027065A CN201911028271.7A CN201911028271A CN111027065A CN 111027065 A CN111027065 A CN 111027065A CN 201911028271 A CN201911028271 A CN 201911028271A CN 111027065 A CN111027065 A CN 111027065A
Authority
CN
China
Prior art keywords
information
picture
embedded
extracting
sample
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911028271.7A
Other languages
English (en)
Other versions
CN111027065B (zh
Inventor
邢洋
童志明
黄磊
何公道
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antian Science And Technology Group Co ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201911028271.7A priority Critical patent/CN111027065B/zh
Publication of CN111027065A publication Critical patent/CN111027065A/zh
Application granted granted Critical
Publication of CN111027065B publication Critical patent/CN111027065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例提供了一种勒索病毒识别方法、装置、电子设备及存储介质,用以解决现有技术通常是基于病毒特征库进行特征匹配检测,而对于未知勒索病毒的检测效果不理想的问题。该方法包括:建立勒索病毒信息库;提取待测样本的二进制可执行文件内嵌图片;提取所述图片的内嵌信息,筛选勒索关键字信息;利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。

Description

一种勒索病毒识别方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种勒索病毒识别方法、装置、电子设备及存储介质。
背景技术
随着计算机技术的发展与普及,计算机应用已经全面渗透到人们的工作与生活中,成为人们不可缺少的重要工具和家庭娱乐设备。随着计算机的广泛使用同时也会产生相应的计算机安全问题。
勒索病毒是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
而传统检测方法通常是基于病毒特征库进行特征匹配检测,对于未知勒索病毒的检测效果并不理想。
发明内容
本发明实施例提供了一种勒索病毒识别方法、装置、电子设备及存储介质,用以解决现有技术通常是基于病毒特征库进行特征匹配检测,而对于未知勒索病毒的检测效果不理想的问题。
基于上述问题,本发明实施例提供的一种勒索病毒识别方法,包括:
建立勒索病毒信息库;提取待测样本的二进制可执行文件内嵌图片;提取所述图片的内嵌信息,筛选勒索关键字信息;利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。
进一步地,所述建立勒索病毒信息库,具体为:收集已知勒索病毒二进制可执行文件;提取已知勒索病毒二进制可执行文件内嵌图片;提取所述图片的内嵌信息,筛选勒索关键字信息;按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;其中,不同信誉等级的信誉库设有不同的权重值。
进一步地,所述提取待测样本的二进制可执行文件内嵌图片,具体为:解析样本的二进制可执行文件结构;判断所述二进制可执行文件结构中是否含有内嵌图片;若含有内嵌图片,则提取所有的内嵌图片。
进一步地,所述提取所述图片的内嵌信息,包括:图片中的元数据信息,属性信息,文本信息。
进一步地,所述利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,具体为:统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
本发明实施例提供的一种勒索病毒识别装置,包括:
信息库设立单元:用于建立勒索病毒信息库;
内嵌图片提取单元:用于提取待测样本的二进制可执行文件内嵌图片;
关键字筛选单元:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
检测结果判定单元:用于利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。
进一步地,所述信息库设立单元还包括:
文件收集单元:用于收集已知勒索病毒二进制可执行文件;
内嵌图片提取单元二:用于提取已知勒索病毒二进制可执行文件内嵌图片;
关键字筛选单元二:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
勒索病毒信息库设立单元:按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;其中,不同信誉等级的信誉库设有不同的权重值。
进一步地,内嵌图片提取单元,还包括:
结构解析单元:用于解析样本的二进制可执行文件结构;
内嵌图片判断单元:用于判断所述二进制可执行文件结构中是否含有内嵌图片;
提取单元:若含有内嵌图片,则提取所有的内嵌图片。
进一步地,所述提取所述图片的内嵌信息,包括:图片中的元数据信息,属性信息,文本信息。
进一步地,检测结果判定单元还包括:
统计单元:用于统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;
权值计算单元:用于利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;
判定单元:用于将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
本发明实施例同时公开一种勒索病毒识别的电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行任一前述的勒索病毒识别方法。
本发明实施例提供了计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现任一前述的勒索病毒识别方法。
与现有技术相比,本发明实施例提供的一种勒索病毒识别方法、装置、电子设备及存储介质,至少实现了如下的有益效果:建立勒索病毒信息库;提取待测样本的二进制可执行文件内嵌图片;提取所述图片的内嵌信息,筛选勒索关键字信息;利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。本发明实施例通过将提取的内嵌于二进制可执行文件中的图片信息与建立的勒索病毒信誉库按加权算法进行匹配判定,有效地弥补了传统检测模式下对于新型未知勒索病毒无法有效检出的缺陷。
附图说明
图1为本发明实施例提供的一种勒索病毒识别方法的流程图;
图2为本发明实施例提供的一种勒索病毒识别装置的结构图;
图3为本发明实施例提供的电子设备的结构示意图。
具体实施方式
当遭受新型勒索病毒攻击时,传统检测方法通常是基于已知的勒索病毒特征库进行特征检测,但是已知的勒索病毒特征库并不能完全包含新型未知勒索病毒的特征,使得勒索病毒容易逃脱检测。
基于此,下面结合说明书附图,对本发明实施例提供的一种勒索病毒识别方法、装置、电子设备及存储介质的具体实施方式进行说明。
本发明实施例提供的一种勒索病毒识别方法,如图1所示,具体包括以下步骤:
S101、建立勒索病毒信息库;
具体为:收集已知勒索病毒二进制可执行文件;提取已知勒索病毒二进制可执行文件内嵌图片;提取所述图片的内嵌信息,筛选勒索关键字信息;按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;其中,不同信誉等级的信誉库设有不同的权重值。
例如,可以按照关键字符合勒索病毒特征的程度,将信誉库分为3个等级,分别是特级信誉库,一级信誉库和二级信誉库,关键字“赎金”可以归入特级信誉库,关键字“解密”、“全盘加密”可以归入一级信誉库,关键字“支付”、“货币”可以归入二级信誉库。
勒索病毒信息库通过定时获取最新的已知勒索病毒,不断更新关键字信息,调整关键字信息所属信誉库,调整信誉库权重值。
S102、提取待测样本的二进制可执行文件内嵌图片;
具体为:解析样本的二进制可执行文件结构;判断所述二进制可执行文件结构中是否含有内嵌图片;若含有内嵌图片,则提取所有的内嵌图片。
S103、提取所述图片的内嵌信息,筛选勒索关键字信息;
提取所述图片的内嵌信息包括:图片中的元数据信息,属性信息,文本信息等;筛选出的勒索关键字信息包括:赎金、解密、全盘加密、支付、货币等。
S104、利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果;
统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
例如,所述勒索病毒信息库由特级信誉库、一级信誉库和二级信誉库组成,对应的权重值分别为Pt、P1及P2,权重值是通过大量统计关键字在勒索病毒中出现的概率以及人工经验判断进行分配的,其中信誉等级级别越高权重值越大,特级信誉库权重值Pt>一级信誉库权重值P1>二级信誉库权重值P2。待测样本勒索关键字与特级信誉库匹配的关键字数量为Nt,与一级信誉库匹配的关键字数量为N1,与二级信誉库匹配的关键字数量为N2,计算待测样本的检测权值V,可按照公式V=Pt*Nt+P1*N1+P2*N2计算检测权值V,将所述检测权值V与预设的标准检测阈值T进行比较,若检测权值V大于预设的标准检测阈值T,则待测样本判定为勒索病毒。其中,标准检测阈值T是根据大量勒索病毒样本分析经验设置的。
本发明实施例通过将提取的内嵌于二进制可执行文件中的图片信息与建立的勒索病毒信誉库按加权算法进行匹配判定,有效地弥补了传统检测模式下对于新型未知勒索病毒无法有效检出的缺陷。
本发明实施例还提供的一种勒索病毒识别装置,如图2所示,包括:
信息库设立单元21:用于建立勒索病毒信息库;
内嵌图片提取单元22:用于提取待测样本的二进制可执行文件内嵌图片;
关键字筛选单元23:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
检测结果判定单元24:用于利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。
进一步地,所述信息库设立单元21还包括:
文件收集单元211:用于收集已知勒索病毒二进制可执行文件;
内嵌图片提取单元二212:用于提取已知勒索病毒二进制可执行文件内嵌图片;
关键字筛选单元二213:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
勒索病毒信息库设立单元214:按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;其中,不同信誉等级的信誉库设有不同的权重值。
进一步地,内嵌图片提取单元22,还包括:
结构解析单元221:用于解析样本的二进制可执行文件结构;
内嵌图片判断单元222:用于判断所述二进制可执行文件结构中是否含有内嵌图片;
提取单元223:若含有内嵌图片,则提取所有的内嵌图片。
进一步地,所述提取所述图片的内嵌信息,包括:图片中的元数据信息,属性信息,文本信息。
进一步地,检测结果判定单元24还包括:
统计单元241:用于统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;
权值计算单元242:用于利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;
判定单元243:用于将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
本发明实施例还提供一种电子设备,图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1所示实施例的流程,如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的程序启动方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本发明的实施例还提供一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述的程序启动方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (12)

1.一种勒索病毒识别方法,其特征在于,包括:
建立勒索病毒信息库;
提取待测样本的二进制可执行文件内嵌图片;
提取所述图片的内嵌信息,筛选勒索关键字信息;
利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。
2.如权利要求1所述的方法,其特征在于,所述建立勒索病毒信息库,具体为:
收集已知勒索病毒二进制可执行文件;
提取已知勒索病毒二进制可执行文件内嵌图片;
提取所述图片的内嵌信息,筛选勒索关键字信息;
按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;
其中,不同信誉等级的信誉库设有不同的权重值。
3.如权利要求1所述的方法,其特征在于,所述提取待测样本的二进制可执行文件内嵌图片,具体为:
解析样本的二进制可执行文件结构;
判断所述二进制可执行文件结构中是否含有内嵌图片;
若含有内嵌图片,则提取所有的内嵌图片。
4.如权利要求1所述的方法,其特征在于,所述提取所述图片的内嵌信息,包括:图片中的元数据信息,属性信息,文本信息。
5.如权利要求2所述的方法,其特征在于,所述利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,具体为:
统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;
利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;
将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
6.一种勒索病毒识别装置,其特征在于,
信息库设立单元:用于建立勒索病毒信息库;
内嵌图片提取单元:用于提取待测样本的二进制可执行文件内嵌图片;
关键字筛选单元:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
检测结果判定单元:用于利用加权算法,将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定,输出判定的检测结果。
7.如权利要求6所述的装置,其特征在于,所述信息库设立单元还包括:
文件收集单元:用于收集已知勒索病毒二进制可执行文件;
内嵌图片提取单元二:用于提取已知勒索病毒二进制可执行文件内嵌图片;
关键字筛选单元二:用于提取所述图片的内嵌信息,筛选勒索关键字信息;
勒索病毒信息库设立单元:按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中,多个所述不同信誉等级的信誉库建立勒索病毒信息库;其中,不同信誉等级的信誉库设有不同的权重值。
8.如权利要求6所述的装置,其特征在于,内嵌图片提取单元,还包括:
结构解析单元:用于解析样本的二进制可执行文件结构;
内嵌图片判断单元:用于判断所述二进制可执行文件结构中是否含有内嵌图片;
提取单元:若含有内嵌图片,则提取所有的内嵌图片。
9.如权利要求6所述的装置,其特征在于,所述提取所述图片的内嵌信息,包括:图片中的元数据信息,属性信息,文本信息。
10.如权利要求7所述的装置,其特征在于,检测结果判定单元还包括:
统计单元:用于统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目;
权值计算单元:用于利用各匹配数目及与其对应信誉库的权重值,根据加权算法,计算出待测样本的检测权值;
判定单元:用于将所述检测权值与预设的标准检测阈值进行比较,若超过所述标准检测阈值,则待测样本判定为勒索病毒。
11.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1至5任一项所述的勒索病毒识别方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1至5中任一项所述的勒索病毒识别方法。
CN201911028271.7A 2019-10-28 2019-10-28 一种勒索病毒识别方法、装置、电子设备及存储介质 Active CN111027065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911028271.7A CN111027065B (zh) 2019-10-28 2019-10-28 一种勒索病毒识别方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911028271.7A CN111027065B (zh) 2019-10-28 2019-10-28 一种勒索病毒识别方法、装置、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN111027065A true CN111027065A (zh) 2020-04-17
CN111027065B CN111027065B (zh) 2023-09-08

Family

ID=70200173

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911028271.7A Active CN111027065B (zh) 2019-10-28 2019-10-28 一种勒索病毒识别方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN111027065B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112560031A (zh) * 2020-11-16 2021-03-26 杭州美创科技有限公司 一种勒索病毒检测方法及系统
CN112668649A (zh) * 2020-12-29 2021-04-16 中国南方电网有限责任公司 一种基于计算机取证的可靠性验证方法、装置和系统

Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104156490A (zh) * 2014-09-01 2014-11-19 北京奇虎科技有限公司 基于文字识别检测可疑钓鱼网页的方法及装置
CN104580203A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 网站恶意程序检测方法及装置
CN104580200A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 一种网站防护方法与装置
US20160042179A1 (en) * 2014-08-11 2016-02-11 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
CN105871883A (zh) * 2016-05-10 2016-08-17 上海交通大学 基于攻击行为分析的高级持续性威胁检测方法
CN106131016A (zh) * 2016-07-13 2016-11-16 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
CN107360576A (zh) * 2017-07-25 2017-11-17 上海思依暄机器人科技股份有限公司 一种识别诈骗信息的方法及系统、电子设备、服务器
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
CN107506646A (zh) * 2017-09-28 2017-12-22 努比亚技术有限公司 恶意应用的检测方法、装置及计算机可读存储介质
CN107657175A (zh) * 2017-09-15 2018-02-02 北京理工大学 一种基于图像特征描述子的恶意样本同源检测方法
CN107679403A (zh) * 2017-10-11 2018-02-09 北京理工大学 一种基于序列比对算法的勒索软件变种检测方法
US20180115577A1 (en) * 2016-10-21 2018-04-26 Tata Consultancy Services Limited System and method for detecting and mitigating ransomware threats
CN109359467A (zh) * 2018-10-10 2019-02-19 杭州安恒信息技术股份有限公司 针对未知勒索病毒的精准识别与全网联动防御方法和系统
WO2019051507A1 (en) * 2017-09-11 2019-03-14 Carbon Black, Inc. METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES
CN109525572A (zh) * 2018-11-08 2019-03-26 郑州云海信息技术有限公司 一种互联网网站安全监测防护系统及方法
CN109784047A (zh) * 2018-12-07 2019-05-21 中国人民解放军战略支援部队航天工程大学 基于多特征的程序检测方法
CN109829304A (zh) * 2018-12-29 2019-05-31 北京奇安信科技有限公司 一种病毒检测方法及装置

Patent Citations (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160042179A1 (en) * 2014-08-11 2016-02-11 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
CN104156490A (zh) * 2014-09-01 2014-11-19 北京奇虎科技有限公司 基于文字识别检测可疑钓鱼网页的方法及装置
CN104580203A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 网站恶意程序检测方法及装置
CN104580200A (zh) * 2014-12-31 2015-04-29 北京奇虎科技有限公司 一种网站防护方法与装置
CN105871883A (zh) * 2016-05-10 2016-08-17 上海交通大学 基于攻击行为分析的高级持续性威胁检测方法
CN106131016A (zh) * 2016-07-13 2016-11-16 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US20180115577A1 (en) * 2016-10-21 2018-04-26 Tata Consultancy Services Limited System and method for detecting and mitigating ransomware threats
CN107360576A (zh) * 2017-07-25 2017-11-17 上海思依暄机器人科技股份有限公司 一种识别诈骗信息的方法及系统、电子设备、服务器
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
WO2019051507A1 (en) * 2017-09-11 2019-03-14 Carbon Black, Inc. METHODS OF BEHAVIORAL DETECTION AND PREVENTION OF CYBERATTAICS, AS WELL AS APPARATUS AND RELATED TECHNIQUES
CN107657175A (zh) * 2017-09-15 2018-02-02 北京理工大学 一种基于图像特征描述子的恶意样本同源检测方法
CN107506646A (zh) * 2017-09-28 2017-12-22 努比亚技术有限公司 恶意应用的检测方法、装置及计算机可读存储介质
CN107679403A (zh) * 2017-10-11 2018-02-09 北京理工大学 一种基于序列比对算法的勒索软件变种检测方法
CN109359467A (zh) * 2018-10-10 2019-02-19 杭州安恒信息技术股份有限公司 针对未知勒索病毒的精准识别与全网联动防御方法和系统
CN109525572A (zh) * 2018-11-08 2019-03-26 郑州云海信息技术有限公司 一种互联网网站安全监测防护系统及方法
CN109784047A (zh) * 2018-12-07 2019-05-21 中国人民解放军战略支援部队航天工程大学 基于多特征的程序检测方法
CN109829304A (zh) * 2018-12-29 2019-05-31 北京奇安信科技有限公司 一种病毒检测方法及装置

Non-Patent Citations (9)

* Cited by examiner, † Cited by third party
Title
AVIAD COHEN 等: "SFEM: Structural feature extraction methodology for the detection of malicious office documents using machine learning methods", 《EXPERTS SYSTEMS WITH APPLICATIONS》, vol. 63, pages 324 - 343, XP029682162, DOI: 10.1016/j.eswa.2016.07.010 *
JING CHEN 等: "Uncovering the face of Android Ransomware:Characterization and Real-Time Detection", IEEE TRANSACTIONS ON INFORMATION FORENSCS AND SECURITY, vol. 13, no. 5, pages 1286 - 1300 *
MUHAMMET BAYKARA 等: "A novel approach to ransomware:Designing a safe zone system", 2018 6TH INTERNATIONAL SYMPOSIUM ON DIGITAL FORENSIC AND SECURITY(ISDFS), pages 1 - 5 *
NOLEN SCAIFE 等: "CryptoLock(and Drop It): Stopping Ransomware Attacks on user Data", 2016 IEEE 36TH INTERNATIONAL CONFERENCE ON DISTRIBUTED SYSTEMS(ICDCS), pages 303 - 312 *
刘蓉 等: "恶意社交机器人检测技术研究", 通信学报, vol. 38, no. 2, pages 197 - 210 *
庄蔚蔚;姜青山;: "恶意软件鉴别技术及其应用", 集成技术, no. 01, pages 55 - 64 *
王兆国 等: "抗混淆的Android应用相似性检测方法", 华中科技大学学报(自然科学版), vol. 44, no. 03, pages 60 - 64 *
薛立宏 等: "移动应用安全批量化检测关键问题探讨", 电信科学, vol. 30, no. 12, pages 139 - 144 *
谭昕;周安民;张磊;陈航;: "基于机器学习的Mac OS平台加密勒索软件主动防御方案", 现代计算机(专业版), no. 04, pages 58 - 63 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112560031A (zh) * 2020-11-16 2021-03-26 杭州美创科技有限公司 一种勒索病毒检测方法及系统
CN112668649A (zh) * 2020-12-29 2021-04-16 中国南方电网有限责任公司 一种基于计算机取证的可靠性验证方法、装置和系统
CN112668649B (zh) * 2020-12-29 2022-04-22 中国南方电网有限责任公司 一种基于计算机取证的可靠性验证方法、装置和系统

Also Published As

Publication number Publication date
CN111027065B (zh) 2023-09-08

Similar Documents

Publication Publication Date Title
CN111030986B (zh) 一种攻击组织溯源分析的方法、装置及存储介质
CN108875364B (zh) 未知文件的威胁性判定方法、装置、电子设备及存储介质
CN110287421A (zh) 一种信息内容推荐方法、装置及电子设备
CN108304426B (zh) 标识的获取方法及装置
CN110868377B (zh) 一种网络攻击图的生成方法、装置及电子设备
CN111931048B (zh) 基于人工智能的黑产账号检测方法及相关装置
CN111090615A (zh) 混合资产的分析处理方法、装置、电子设备及存储介质
CN113973012B (zh) 一种威胁检测方法、装置、电子设备及可读存储介质
CN110659493A (zh) 威胁告警方式生成的方法、装置、电子设备及存储介质
CN111027065B (zh) 一种勒索病毒识别方法、装置、电子设备及存储介质
CN114338102B (zh) 安全检测方法、装置、电子设备及存储介质
CN115174250A (zh) 网络资产安全评估方法、装置、电子设备及存储介质
CN108804917B (zh) 一种文件检测方法、装置、电子设备及存储介质
CN110740117B (zh) 仿冒域名检测方法、装置、电子设备及存储介质
CN111030974A (zh) 一种apt攻击事件检测方法、装置及存储介质
CN112099870B (zh) 文档处理方法、装置、电子设备及计算机可读存储介质
CN110611675A (zh) 向量级检测规则生成方法、装置、电子设备及存储介质
US20170171330A1 (en) Method for pushing information and electronic device
CN111800391B (zh) 端口扫描攻击的检测方法、装置、电子设备及存储介质
CN114070638A (zh) 一种计算机系统安全防御方法、装置、电子设备及介质
CN113987489A (zh) 一种网络未知威胁的检测方法、装置、电子设备及存储介质
CN114626466B (zh) 一种app列表的构建方法、电子设备及可读存储介质
CN116244659B (zh) 一种识别异常设备的数据处理方法、装置、设备及介质
CN112583798B (zh) 从区块链系统中筛选共识节点的方法、装置及相关产品
CN110032843B (zh) 一种账号注册方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Harbin, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

GR01 Patent grant
GR01 Patent grant