CN111444503B - 一种检测勒索病毒的方法、装置、系统和介质 - Google Patents
一种检测勒索病毒的方法、装置、系统和介质 Download PDFInfo
- Publication number
- CN111444503B CN111444503B CN202010219807.XA CN202010219807A CN111444503B CN 111444503 B CN111444503 B CN 111444503B CN 202010219807 A CN202010219807 A CN 202010219807A CN 111444503 B CN111444503 B CN 111444503B
- Authority
- CN
- China
- Prior art keywords
- file
- flow log
- score
- virus
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 128
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000006399 behavior Effects 0.000 claims abstract description 69
- 238000004590 computer program Methods 0.000 claims description 12
- 238000011156 evaluation Methods 0.000 claims description 12
- 238000011158 quantitative evaluation Methods 0.000 claims description 5
- 238000013139 quantization Methods 0.000 claims description 4
- 238000012216 screening Methods 0.000 claims description 3
- 238000001514 detection method Methods 0.000 abstract description 20
- 238000012545 processing Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 238000013077 scoring method Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种检测勒索病毒的方法、装置、系统和介质,获取用于记录文件操作行为的流量日志。依据文件加密前和加密后的状态信息预先设置病毒侵袭评分规则。按照该病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值。评分值反映了客户端当前的操作行为与正常操作行为的偏离程度。若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。在该技术方案中,依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估,可以不局限于已知类型的勒索病毒的检测,有效的提升了勒索病毒检测的准确性。
Description
技术领域
本发明涉及安全管理技术领域,特别是涉及一种检测勒索病毒的方法、装置、系统和计算机可读存储介质。
背景技术
SMB(Server Message Block)是微软(Miscrosoft)和英特尔(Intel)在1987年制定的通讯协议。通过该协议,客户端应用程序可以在各种网络环境下,远程访问服务端的文件,例如读、写文件等操作。
勒索病毒是一种新型的电脑病毒,主要通过邮件、程序木马、网页挂马和系统漏洞的方式进行内外网传播。这种病毒利用各种加密算法,对本地主机甚至包括远程服务端上的文件进行加密,被加密文件一般无法自行解密,必须通过上交赎金换取密钥才有可能解密文件。
目前勒索病毒检测技术,主要依赖于已知类型的勒索病毒的特征提取,对已知类型的勒索病毒进行检测,无法检测未知类型勒索病毒的威胁,容易存在漏报,导致勒索病毒的检测结果不准确。
可见,如何提升勒索病毒检测的准确性,是本领域技术人员需要解决的问题。
发明内容
本发明实施例的目的是提供一种检测勒索病毒的方法、装置、系统和计算机可读存储介质,可以提升勒索病毒检测的准确性。
为解决上述技术问题,本发明实施例提供一种检测勒索病毒的方法,包括:
获取用于记录文件操作行为的流量日志;
按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值;其中,所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;
若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。
可选地,所述按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值包括:
依据所述流量日志中记录的文件操作行为,将所述流量日志中符合加密模式的文件数据作为第一数据集,不符合所述加密模式的文件数据作为第二数据集;其中,所述加密模式按照勒索病毒加密文件的操作行为预先设置;
按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数;
根据预先建立的解密提示信息特征库,对所述第二数据集中包含的各文件数据进行匹配处理,以得到所述流量日志对应的匹配分数;
将所述文件分数和所述匹配分数进行加权求和,以得到所述流量日志对应的评分值。
可选地,所述根据预先建立的解密提示信息特征库,对所述第二数据集中包含的各文件数据进行匹配处理,以得到所述流量日志对应的匹配分数包括:
依据所述第二数据集中各文件数据携带的数据信息,筛选出所述第二数据集中包含有解密文件标识的至少一个文件数据;
统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目;
根据所述文件数目以及预先设定的分数值,得到所述流量日志对应的匹配分数。
可选地,在所述统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后还包括:
当所述文件数目超过预设的上限值时,则判定与所述解密提示信息特征库相匹配的文件属于勒索病毒加密文件。
可选地,所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数包括:
根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值;
依据所述第一数据集的文件数据在预设时间段内的访问流量,对所述流量日志设置第二分数值;
根据所述第一数据集所对应的连接时间以及在所述连接时间内文件访问次数,计算出所述流量日志的访问频率;
查询预先建立的频率与分数值的对应关系,确定出所述流量日志的第三分数值;
根据所述流量日志的第一分数值、第二分数值、第三分数值,计算出所述流量日志对应的文件分数。
可选地,所述根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值包括:
判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值;
若否,则将所述第一数据集所包含的文件的名称得分设置为零;
若是,则将所述第一数据集所包含的文件的名称得分设置为预设分值;
计算所述第一数据集中各个文件在读写前和读写后的文件内容的相似度;
查询预先建立的相似度与分数值的对应关系,确定出所述第一数据集所包含的文件对应的内容得分;
将所述第一数据集的名称得分和内容得分的加权平均值作为所述流量日志的第一分数值。
可选地,在所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数之前还包括:
判断第一数据集中所有文件与加密文件特征库的匹配率是否超过预设匹配值;
若是,则将预先设定的分值作为所述流量日志对应的文件分数;
若否,则执行所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数的步骤。
可选地,在所述判定所述流量日志所包含的文件属于勒索病毒加密文件之后还包括:
检测所述流量日志中是否包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对所述敏感系统文件的下载次数超过预设上限值;
若是,则展示所述远程服务端信息泄露的提示信息。
本发明实施例还提供了一种检测勒索病毒的装置,包括获取单元、评分单元和判定单元;
所述获取单元,用于获取用于记录文件操作行为的流量日志;
所述评分单元,用于按照预先设定的病毒侵袭评分规则,对所述流量日志进行评估,以得到所述流量日志对应的评分值;其中,所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;
所述判定单元,用于若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。
可选地,所述评分单元包括划分子单元、评估子单元、匹配子单元和求和子单元;
所述划分子单元,用于依据所述流量日志中记录的文件操作行为,将所述流量日志中符合加密模式的文件数据作为第一数据集,不符合所述加密模式的文件数据作为第二数据集;其中,所述加密模式按照勒索病毒加密文件的操作行为预先设置;
所述评估子单元,用于按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数;
所述匹配子单元,用于根据预先建立的解密提示信息特征库,对所述第二数据集中包含的各文件数据进行匹配处理,以得到所述流量日志对应的匹配分数;
所述求和子单元,用于将所述文件分数和所述匹配分数进行加权求和,以得到所述流量日志对应的评分值。
可选地,所述匹配子单元具体用于依据所述第二数据集中各文件数据携带的数据信息,筛选出所述第二数据集中包含有解密文件标识的至少一个文件数据;
统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目;
根据所述文件数目以及预先设定的分数值,得到所述流量日志对应的匹配分数。
可选地,所述判定单元还用于在所述统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后,当所述文件数目超过预设的上限值时,则判定与所述解密提示信息特征库相匹配的文件属于勒索病毒加密文件。
可选地,所述评估子单元具体用于根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值;
依据所述第一数据集的文件数据在预设时间段内的访问流量,对所述流量日志设置第二分数值;
根据所述第一数据集所对应的连接时间以及在所述连接时间内文件访问次数,计算出所述流量日志的访问频率;
查询预先建立的频率与分数值的对应关系,确定出所述流量日志的第三分数值;
根据所述流量日志的第一分数值、第二分数值、第三分数值,计算出所述流量日志对应的文件分数。
可选地,所述评估子单元具体用于判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值;
若否,则将所述第一数据集所包含的文件的名称得分设置为零;
若是,则将所述第一数据集所包含的文件的名称得分设置为预设分值;
计算所述第一数据集中各个文件在读写前和读写后的文件内容的相似度;
查询预先建立的相似度与分数值的对应关系,确定出所述第一数据集所包含的文件对应的内容得分;
将所述第一数据集的名称得分和内容得分的加权平均值作为所述流量日志的第一分数值。
可选地,在所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数之前还包括:判断单元和作为单元;
所述判断单元,用于判断第一数据集中所有文件与加密文件特征库的匹配率是否超过预设匹配值;若否,则触发所述评估子单元执行所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据进行评估,以得到所述流量日志对应的文件分数的步骤;若是,则触发所述作为单元;
所述作为单元,用于将预先设定的分值作为所述流量日志对应的文件分数。
可选地,还包括检测单元和展示单元;
所述检测单元,用于在所述判定所述流量日志所包含的文件属于勒索病毒加密文件之后,检测所述流量日志中是否包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对所述敏感系统文件的下载次数超过预设上限值;若是,则触发所述展示单元;
所述展示单元,用于展示所述远程服务端信息泄露的提示信息。
本发明实施例还提供了一种检测勒索病毒的系统,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述任意一项所述内存分配方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述检测勒索病毒的方法的步骤。
由上述技术方案可以看出,获取用于记录文件操作行为的流量日志。每个客户端有其对应的流量日志,客户端的正常操作行为和被勒索病毒侵袭后的操作行为会存在区别,从而对文件造成的影响也会存在很大的区别,因此在该技术方案中,依据文件加密前和加密后的状态信息设置病毒侵袭评分规则。按照预先设定的病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值。评分值反映了客户端当前的操作行为与正常操作行为的偏离程度。若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。在该技术方案中,依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估,可以不局限于已知类型的勒索病毒的检测,有效的提升了勒索病毒检测的准确性。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种检测勒索病毒的方法的流程图;
图2为本发明实施例提供的一种对客户端操作行为量化评估的方法的流程图;
图3为本发明实施例提供的一种基于文件区别信息计算流量日志的第一分数值的方法的流程图;
图4为本发明实施例提供的一种检测勒索病毒的装置的结构示意图;
图5为本发明实施例提供的一种检测勒索病毒的系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
接下来,详细介绍本发明实施例所提供的一种检测勒索病毒的方法。本发明实施例提供的检测勒索病毒的方法可以适用于客户端,客户端通过对自身的流量日志进行分析,检测自身是否受到勒索病毒的侵袭。也可以适用于服务端或者第三方平台对各客户端的流量日志进行分析,从而检测各客户端是否受到勒索病毒的侵袭。
图1为本发明实施例提供的一种检测勒索病毒的方法的流程图,该方法包括:
S101:获取用于记录文件操作行为的流量日志。
其中,流量日志中记录了客户端对服务端文件执行的操作行为。
每个客户端有其对应的流量日志,各流量日志的处理方式类似,在本发明实施例中,以一个客户端所对应的流量日志为例展开介绍。客户端的流量日志的获取方式可以有多种,可以在客户端安装一些软件,通过hook钩子技术,获取记录文件操作行为的流量日志。也可以通过客户端和服务器之间的请求/响应协议(Server Message Block,SMB)获取流量日志。为了便于介绍,在本发明实施例中均以SMB会话对应的流量日志为例展开介绍。
在实际应用中,客户端会与服务器建立一次SMB会话(SMB Session),并进行用户认证,认证成功后在保持该SMB会话的前提下,与服务器进行后续的目录访问和文件操作。也即每个客户端有其对应的SMB会话,在该SMB会话下实现对服务器的目录访问和文件操作。
SMB的每一次请求/响应交互都随带一个SMB命令(SMB Commands),并在响应时返回该SMB命令的执行结果,包含成功和失败等状态。SMB命令重组,是将每次的请求/响应交互通讯进行一一配对,记录为一次SMB命令操作日志,对于无法配对的通讯则当成无效通讯,并丢弃无法配对的流量日志。
流量审计设备,通常部署在内网中,并从交换机上获取网络流量。流量审计设备可以从网卡上抓取并过滤SMB协议的流量包,并记录SMB流量日志。在本发明实施例中,可以从流量审计设备中获取SMB会话所对应的流量日志。
S102:按照预先设定的病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值。
每个SMB会话有其对应的流量日志,一个SMB会话的流量日志反映了一个客户端对服务端文件的操作行为,各流量日志的处理方式相同,因此,在本发明实施例中,以所有流量日志中的任意一个流量日志为例展开介绍。
本发明实施例通过文件操作行为的检测方式,实现对勒索病毒的识别。文件加密前后的状态信息反映了文件操作行为产生的影响,因此,在本发明实施例中,可以依据文件加密前和文件加密后的状态信息设置病毒侵袭评分规则。
文件加密前和文件加密后的状态信息可以包括文件的加密模式、文件加密前后在时间、流量以及内容上的变化等。
在病毒侵袭评分规则中可以记录不同状态信息所对应的分值,从而对流量日志中所包含的各文件数据进行量化评估,得到流量日志的评分值。
S103:若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。
在具体实现中,可以在客户端的操作行为越偏离正常操作时,设置越高的评分值。
为了对评分值与客户端被勒索病毒侵袭的关系进行界定,在本发明实施例中,可以基于历史流量日志的分析结果设置预设阈值。当流量日志所对应的评分值超过预设阈值时,则说明流量日志所对应的客户端对服务端文件的操作行为属于勒索病毒的操作行为,此时可以判定该客户端被勒索病毒侵袭,相应的,流量日志所包含的文件属于勒索病毒加密文件。
由上述技术方案可以看出,获取用于记录文件操作行为的流量日志。每个客户端有其对应的流量日志,客户端的正常操作行为和被勒索病毒侵袭后的操作行为会存在区别,从而对文件造成的影响也会存在很大的区别,因此在该技术方案中,依据文件加密前和加密后的状态信息设置病毒侵袭评分规则。按照预先设定的病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值。评分值反映了客户端当前的操作行为与正常操作行为的偏离程度。若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。在该技术方案中,依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估,可以不局限于已知类型的勒索病毒的检测,有效的提升了勒索病毒检测的准确性。
在本发明实施例中按照病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值的方式可以有多种。第一种方式可以对流量日志中各文件数据的状态信息的变化设置相应的分数值,将所有分数值进行加权求和得到流量日志的评分值。
第二种方式可以根据文件的加密模式对流量日志中包含的文件数据进行分类,按照每种类型文件数据相对应的量化方式设置分数值,将两类分数值进行加权求和得到流量日志的评分值。
以第二种实现方式为例,可以依据流量日志中记录的文件操作行为,将流量日志中符合加密模式的文件数据作为第一数据集,不符合加密模式的文件数据作为第二数据集;其中,加密模式按照勒索病毒加密文件的操作行为预先设置。
勒索病毒对文件执行加密的操作模式相对固定,因此,在本发明实施例中,可以按照勒索病毒加密文件的操作行为设置加密模式。
加密模式可以包含三种模式,第一种模式为在时间顺序上依次包含读取文件、写入文件和重命名文件的操作步骤的模式;第二种模式为在时间顺序上依次包含读取文件、写入加密文件和删除原文件的操作步骤的模式;第三种模式为在时间顺序上依次包含源文件重命名为目标文件、读取目标文件和写入目标文件的操作步骤的模式。
对于第一数据集中的文件数据,可以按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数。
文件访问规则包含了对文件名称、文件内容、文件的访问流量、文件的访问频率等反映文件操作行为的量化方式。
流量日志是由客户端的操作行为产生,因此对第一数据集中包含的各文件数据进行量化评估可以看作是对客户端操作行为的量化评估。依据文件访问规则,对客户端操作行为量化评估的一种可行的实现方式可以参见图2,在此不再赘述。
在实际应用中,会存在一些勒索病毒对文件执行非法加密操作之后往往会设置解密文件标识,该解密文件标识中记录了对文件执行解密操作所需的条件。例如,向指定的账户打款。
因此,在本发明实施例中,可以预先统计不同类型的勒索病毒所设置的解密文件标识的形式,从而建立解密提示信息特征库。
对于第二数据集中的文件数据,可以根据预先建立的解密提示信息特征库,对第二数据集中包含的各文件数据进行匹配处理,以得到流量日志对应的匹配分数。
具体的,依据第二数据集中各文件数据携带的数据信息,筛选出第二数据集中包含有解密文件标识的至少一个文件数据。
考虑到勒索病毒会对文件进行批量的加密处理,单个文件与解密提示信息特征库相匹配并不具有代表性,因此,在本发明实施例中,在筛选出第二数据集中包含有解密文件标识的至少一个文件数据之后,可以统计所有文件数据中与预先建立的解密提示信息特征库相匹配的文件数目;根据文件数目以及预先设定的分数值,得到流量日志对应的匹配分数。
在得到流量日志的文件分数和匹配分数之后,可以将文件分数和匹配分数进行加权求和,以得到流量日志对应的评分值。
在本发明实施例中,当第二数据集中与解密提示信息特征库相匹配的文件数目超过预设的上限值时,则说明第二数据集中的文件极有可能属于勒索病毒加密文件,此时可以判定与解密提示信息特征库相匹配的目标文件均属于勒索病毒加密文件。
通过依赖于解密文件标识对不属于加密模式的文件进行评估,可以进一步提升勒索病毒检测的覆盖范围,保证了勒索病毒检测的全面性。
如图2所示为本发明实施例提供的一种对客户端操作行为量化评估的方法的流程图,该方法包括:
S201:根据第一数据集包含的所有文件在读写前后的文件区别信息,对流量日志设置第一分数值。
客户端通过建立的SMB会话对服务端的文件进行访问,客户端访问的文件个数往往有多个,每个文件的处理方式类似。在本发明实施例中,可以对SMB会话中每个文件进行分析,根据每个文件在读写前后的文件区别信息可以计算出其对应的一个分数值。在具体实现中,可以将SMB会话中所有文件的分数值的平均值作为流量日志的第一分数值。
当客户端对文件执行正常的读写操作时,文件在读写前后不会存在太大的变化。但是当客户端被勒索病毒侵袭时,服务端的文件在被客户端读取之前和被客户端重新写入之后相比,文件往往存在较大的区别。
文件在读写前后的文件区别信息越多,流量日志的第一分数值的取值会越大,相应的说明流量日志所对应的客户端被勒索病毒侵袭的概率越高。
文件读写前后的文件区别信息可以包括文件名称的变化、文件内容的变化等。对文件区别信息进行评分的方式可以有多种,可以对文件名称和文件内容进行综合分析后,得到一个分数值。也可以分别对文件名称的变化、文件内容的变化进行分析,得到各自对应的分值,然后将各分值的加权求和值作为文件的分数值。针对于文件区别信息的一种可行的评分方式可以参见图3,在此不再赘述。
S202:依据第一数据集的文件数据在预设时间段内的访问流量,对流量日志设置第二分数值。
客户端正常操作时很少会在短时间内对文件执行频繁的读写,而当客户端被勒索病毒侵袭时,勒索病毒会对服务端的文件进行批量的下载加密,造成短时间内访问流量的急增。因此,在本发明实施例中,可以将访问流量作为勒索病毒评估的依据。
流量日志中记录了客户端访问服务端文件所产生的流量信息。
在具体实现中,可以针对于访问流量设置流量上限值,并且设置该流量上限值对应的一个分数值。当预设时间段内的访问流量超过该流量上限值时,则将该分数值作为流量日志的第二分数值。
除此之外,也可以对访问流量进行层级的划分,每个层级有其对应的访问流量取值范围以及对应的分数值,通过查询流量日志在预设时间段内的访问流量所属的层级,从而得到流量日志所对应的第二分数值。预设时间段的取值可以根据实际需求设置,在此不做限定。
S203:根据第一数据集所对应的连接时间以及在连接时间内文件访问次数,计算出流量日志的访问频率。
基于勒索病毒的侵袭特性,当客户端被勒索病毒侵袭时,往往会对服务端上大量的文件执行非法的加密操作。因此,在本发明实施例中,可以将访问频率作为勒索病毒评估的依据。
流量日志中记录了SMB会话的连接时间以及客户端通过SMB会话对服务端文件的访问记录,通过统计可以获取到在连接时间内客户端对服务端的文件访问次数。
在具体实现中,可以将文件访问次数与连接时间的比值作为流量日志的访问频率。
S204:查询预先建立的频率与分数值的对应关系,确定出流量日志的第三分数值。
在本发明实施例中,可以对访问频率进行层级的划分,每个层级有其对应的访问频率取值范围以及对应的分数值,通过查询流量日志中访问频率所属的层级,可以得到流量日志所对应的第三分数值。
S205:根据流量日志的第一分数值、第二分数值、第三分数值,计算出流量日志对应的文件分数。
在本发明实施例中,可以将流量日志的第一分数值、第二分数值、第三分数值的平均值作为流量日志最终的一个评分值。也可以针对于文件区别信息、访问流量和访问频率设置不同的权重,将流量日志的第一分数值、第二分数值、第三分数值按照其各自对应的权重值进行加权求和,将得到的加权求和值作为流量日志的评分值。
需要说明的是,在本发明实施例中,对于计算流量日志的第一分数值、第二分数值以及第三分数值的先后顺序不做限定。
在本发明实施例中,通过文件区别信息、访问流量和访问频率等不同层面,对客户端的操作行为进行评估,可以更加全面有效的识别勒索病毒。并且采用分数值的方式,将客户端的操作行为进行量化,可以更加直观的了解客户端被勒索病毒侵袭的可能性。
如图3所示为本发明实施例提供的一种基于文件区别信息计算流量日志的第一分数值的方法的流程图,该方法包括:
S301:判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值。
文件名称发生同类型变化指的是文件名称发生相同或相似的变化。例如,与读写前的文件名称相比,读写后的文件名称添加了相同或相近的后缀;或者是与读写前的文件名称相比,读写后的文件名称添加了相同或相近的前缀。
预设概率值的取值可以根据实际需求设定,例如,设置为80%。
每个SMB会话有其对应的流量日志,SMB会话访问的文件有多个,每个文件的处理方式类似,在本发明实施例中以SMB会话所包含的所有文件中的任意一个文件即第一文件为例展开介绍。
客户端对第一文件执行正常的读写操作时,第一文件在读取前和写入后的文件名称不会发生改变。当客户端被勒索病毒侵袭时,勒索病毒重新将读取的文件写入服务端时,往往会在文件的名称上设置后缀或前缀信息。
例如,文件1的名称为a,勒索病毒对读取的文件1执行操作之后,将文件1重新写入服务端时会将文件名称修改为a.1。
在本发明实施例中可以依据文件名称的变化评估客户端是否受到勒索病毒的侵袭。
SMB会话访问的文件有多个,当SMB会话中有大量文件的文件名称发生同类型变化时,则说明SMB会话所对应的客户端极有可能被勒索病毒侵袭,因此,在本发明实施例中可以预先设定一个预设概率值。
当读写前和读写后的文件名称发生同类型变化的概率值未超过预设概率值时,则执行S302;当读写前和读写后的文件名称发生同类型变化的概率值超过预设概率值时,则执行S303。
S302:将第一数据集所包含的文件的名称得分设置为零。
当读写前和读写后的文件名称发生同类型变化的概率值未超过预设概率值时,则说明SMB会话所包含的文件的读写操作属于勒索病毒侵袭的可能性非常低,此时可以将第一文件的名称得分设置为零。
S303:将第一数据集所包含的文件的名称得分设置为预设分值。
当读写前和读写后的文件名称发生同类型变化的概率值未超过预设概率值时,则说明SMB会话所包含的文件的读写操作有可能属于勒索病毒的操作行为,此时可以将第一文件的名称得分设置为预设分值。
其中,预设分值的取值可以根据需求设置,在此不做限定。
S304:计算第一数据集中各个文件在读写前和读写后的文件内容的相似度。
当客户端被勒索病毒侵袭时,勒索病毒会对SMB会话所包含的文件进行非法加密,使得SMB会话所包含的文件变为不可用文件,因此,SMB会话所包含的文件在读写前和读写后的文件内容的相似度会极低。
计算文件内容相似度属于现有技术的常规操作,在此不再赘述。
S305:查询预先建立的相似度与分数值的对应关系,确定出第一数据集所包含的文件对应的内容得分。
在本发明实施例中,可以针对于不同的相似度取值范围设置其对应的分数值,当计算出SMB会话所包含的文件在读写前和读写后的文件内容的相似度之后,通过查询相似度与分数值的对应关系,可以得出SMB会话所包含的文件对应的内容得分,也即第一数据集所包含的文件对应的内容得分。
S306:将第一数据集的名称得分和内容得分的加权平均值作为流量日志的第一分数值。
当文件被勒索病毒操作时,文件读写前后的内容相似度会很低,但是在实际应用中,客户端也可能会对SMB会话所包含的文件执行修改操作,导致SMB会话所包含的文件读写前后的相似度较低,因此,在具体实现中,对于相似度所占的比重可以设置的小一些。
SMB会话所包含的文件有其对应的名称得分和内容得分,将这两个分值按照设定的权重值进行加权求和,可以得到SMB会话对应的第一分数值,该第一分数值即为流量日志的第一分数值。
需要说明的是,在本发明实施例中,对于计算第一数据集的名称得分和内容得分的先后顺序不做限定。
通过对文件名称和文件内容进行评估,可以有效的检测勒索病毒对文件的操作行为。将SMB会话中所有文件的分数值进行综合,得到SMB会话的第一分数值,可以降低单个文件操作进行评估造成的局限性。
在本发明实施例中,对于一些已知类型的常规勒索病毒,其对文件进行加密操作之后,往往会在文件中携带较为明显的特征信息。
因此在依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估之前,可以先判断目标SMB会话所对应的文件操作是否属于常规勒索病毒的侵袭操作。
具体的,在按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数之前,可以先判断第一数据集中所有文件与加密文件特征库的匹配率是否超过预设匹配值。
加密文件特征库中包含了已知类型的常规勒索病毒对文件执行加密操作后,文件名称和文件内容发生的变化的特征信息。
例如GlobeImposter勒索病毒,文件加密后的文件名称后缀通常为“.hidefiles”等;Wannacry勒索病毒,加密后文件内容头几个字节十六进制内容为“D31C708F”等。
预设匹配值可以根据实际需求设定,例如可以设置为60%。
匹配率指的是与加密文件特征库匹配的文件个数与文件总个数的比值,举例说明,目标SMB会话对应的文件有100个,其中70个文件的文件名称或文件内容的变化与加密文件特征库的匹配,则匹配率为70/100=70%。
流量日志所包含的文件有多个,当所有文件与加密文件特征库的匹配率超过预设匹配值,则说明流量日志中的大量文件是被常规的勒索病毒侵袭,此时可以将预先设定的分值作为流量日志对应的文件分数。
当所有文件与加密文件特征库的匹配率未超过预设匹配值时,则执行按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数的步骤。
通过建立加密文件特征库,可以对常规勒索病毒的侵袭行为进行快速检测,当文件并非受到常规勒索病毒加密时也即勒索病毒类型未知时,再依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估,既提升了勒索病毒检测的效率,又保证了勒索病毒检测的准确性和全面性。
在本发明实施例中,在判定流量日志所包含的文件属于勒索病毒加密文件之后,可以检测流量日志中是否包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对敏感系统文件的下载次数超过预设上限值。
敏感系统文件属于服务端中的重要文件,当敏感系统文件被勒索病毒操作时,会影响服务端的正常运行,为了便于管理人员及时发现敏感系统文件被勒索病毒操作,可以在流量日志中包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对敏感系统文件的下载次数超过预设上限值时,展示远程服务端信息泄露的提示信息。
通过展示服务端信息泄露的提示信息,可以便于管理人员及时的发现服务端的文件被勒索病毒侵袭,从而及时的采取应对措施,避免勒索病毒侵袭对服务端造成的影响。
图4为本发明实施例提供的一种检测勒索病毒的装置的结构示意图,包括获取单元41、评分单元42和判定单元43;
获取单元41,用于获取用于记录文件操作行为的流量日志;
评分单元42,用于按照预先设定的病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值;其中,病毒侵袭评分规则依据文件加密前及加密后的状态信息设置;
判定单元43,用于若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。
可选地,评分单元包括划分子单元、评估子单元、匹配子单元和求和子单元;
划分子单元,用于依据流量日志中记录的文件操作行为,将流量日志中符合加密模式的文件数据作为第一数据集,不符合加密模式的文件数据作为第二数据集;其中,加密模式按照勒索病毒加密文件的操作行为预先设置;
评估子单元,用于按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数;
匹配子单元,用于根据预先建立的解密提示信息特征库,对第二数据集中包含的各文件数据进行匹配处理,以得到流量日志对应的匹配分数;
求和子单元,用于将文件分数和匹配分数进行加权求和,以得到流量日志对应的评分值。
可选地,匹配子单元具体用于依据第二数据集中各文件数据携带的数据信息,筛选出第二数据集中包含有解密文件标识的至少一个文件数据;
统计所有文件数据中与预先建立的解密提示信息特征库相匹配的文件数目;
根据文件数目以及预先设定的分数值,得到流量日志对应的匹配分数。
可选地,判定单元还用于在统计所有文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后,当文件数目超过预设的上限值时,则判定与解密提示信息特征库相匹配的文件属于勒索病毒加密文件。
可选地,评估子单元具体用于根据第一数据集包含的所有文件在读写前后的文件区别信息,对流量日志设置第一分数值;
依据第一数据集的文件数据在预设时间段内的访问流量,对流量日志设置第二分数值;
根据第一数据集所对应的连接时间以及在连接时间内文件访问次数,计算出流量日志的访问频率;
查询预先建立的频率与分数值的对应关系,确定出流量日志的第三分数值;
根据流量日志的第一分数值、第二分数值、第三分数值,计算出流量日志对应的文件分数。
可选地,评估子单元具体用于判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值;
若否,则将第一数据集所包含的文件的名称得分设置为零;
若是,则将第一数据集所包含的文件的名称得分设置为预设分值;
计算第一数据集中各个文件在读写前和读写后的文件内容的相似度;
查询预先建立的相似度与分数值的对应关系,确定出所述第一数据集所包含的文件对应的内容得分;
将第一数据集的名称得分和内容得分的加权平均值作为流量日志的第一分数值。
可选地,在按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数之前还包括:判断单元和作为单元;
判断单元,用于判断第一数据集中所有文件与加密文件特征库的匹配率是否超过预设匹配值;若否,则触发评估子单元执行按照预先设定的文件访问规则,对第一数据集中包含的各文件数据进行评估,以得到流量日志对应的文件分数的步骤;若是,则触发作为单元;
作为单元,用于将预先设定的分值作为流量日志对应的文件分数。
可选地,还包括检测单元和展示单元;
检测单元,用于在判定流量日志所包含的文件属于勒索病毒加密文件之后,检测流量日志中是否包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对敏感系统文件的下载次数超过预设上限值;若是,则触发展示单元;
展示单元,用于展示远程服务端信息泄露的提示信息。
图4所对应实施例中特征的说明可以参见图1至图3所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,获取用于记录文件操作行为的流量日志。每个客户端有其对应的流量日志,客户端的正常操作行为和被勒索病毒侵袭后的操作行为会存在区别,从而对文件造成的影响也会存在很大的区别,因此在该技术方案中,依据文件加密前和加密后的状态信息设置病毒侵袭评分规则。按照预先设定的病毒侵袭评分规则,对流量日志进行评估,以得到流量日志对应的评分值。评分值反映了客户端当前的操作行为与正常操作行为的偏离程度。若流量日志的评分值不满足预设条件时,则判定流量日志所对应的客户端被勒索病毒侵袭,并且判定流量日志所包含的文件属于勒索病毒加密文件。在该技术方案中,依据流量日志所反映的客户端的操作行为,对文件加密前后的状态进行评估,可以不局限于已知类型的勒索病毒的检测,有效的提升了勒索病毒检测的准确性。
图5为本发明实施例提供的一种检测勒索病毒的系统50的结构示意图,包括:
存储器51,用于存储计算机程序;
处理器52,用于执行所述计算机程序以实现如上述任意实施例所述内存分配方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意实施例所述的检测勒索病毒的方法的步骤。
以上对本发明实施例所提供的一种检测勒索病毒的方法、装置、系统和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
Claims (10)
1.一种检测勒索病毒的方法,其特征在于,包括:
获取用于记录文件操作行为的流量日志;
依据所述流量日志中记录的文件操作行为,将所述流量日志中符合加密模式的文件数据作为第一数据集,不符合所述加密模式的文件数据作为第二数据集;其中,所述加密模式按照勒索病毒加密文件的操作行为预先设置;
按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据的操作行为进行量化评估,以得到所述流量日志对应的文件分数;其中,所述文件访问规则包含了反映文件操作行为的量化方式;
根据文件数目以及预先设定的分数值,得到所述流量日志对应的匹配分数;其中,所述文件数目为所述第二数据集中包含的各文件数据与预先建立的解密提示信息特征库相匹配的文件数目;
将所述文件分数和所述匹配分数进行加权求和,以得到所述流量日志对应的评分值;
若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。
2.根据权利要求1所述的方法,其特征在于,针对于文件数目的确定方式,所述方法包括:
依据所述第二数据集中各文件数据携带的数据信息,筛选出所述第二数据集中包含有解密文件标识的至少一个文件数据;
统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目。
3.根据权利要求2所述的方法,其特征在于,在所述统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后还包括:
当所述文件数目超过预设的上限值时,则判定与所述解密提示信息特征库相匹配的文件属于勒索病毒加密文件。
4.根据权利要求1所述的方法,其特征在于,所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据的操作行为进行量化评估,以得到所述流量日志对应的文件分数包括:
根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值;
依据所述第一数据集的文件数据在预设时间段内的访问流量,对所述流量日志设置第二分数值;
根据所述第一数据集所对应的连接时间以及在所述连接时间内文件访问次数,计算出所述流量日志的访问频率;
查询预先建立的访问频率与分数值的对应关系,确定出所述流量日志的第三分数值;
根据所述流量日志的第一分数值、第二分数值、第三分数值,计算出所述流量日志对应的文件分数。
5.根据权利要求4所述的方法,其特征在于,所述根据所述第一数据集包含的所有文件在读写前后的文件区别信息,对所述流量日志设置第一分数值包括:
判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值;
若否,则将所述第一数据集所包含的文件的名称得分设置为零;
若是,则将所述第一数据集所包含的文件的名称得分设置为预设分值;
计算所述第一数据集中各个文件在读写前和读写后的文件内容的相似度;
查询预先建立的相似度与分数值的对应关系,确定出所述第一数据集所包含的文件对应的内容得分;
将所述第一数据集的名称得分和内容得分的加权平均值作为所述流量日志的第一分数值。
6.根据权利要求1所述的方法,其特征在于,在所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据的操作行为进行量化评估,以得到所述流量日志对应的文件分数之前还包括:
判断第一数据集中所有文件与加密文件特征库的匹配率是否超过预设匹配值;
若是,则将预先设定的分值作为所述流量日志对应的文件分数;
若否,则执行所述按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据的操作行为进行量化评估,以得到所述流量日志对应的文件分数的步骤。
7.根据权利要求1-6任意一项所述的方法,其特征在于,在所述判定所述流量日志所包含的文件属于勒索病毒加密文件之后还包括:
检测所述流量日志中是否包含对远程服务端中敏感系统文件的访问,并且在预设时间段内对所述敏感系统文件的下载次数超过预设上限值;
若是,则展示所述远程服务端信息泄露的提示信息。
8.一种检测勒索病毒的装置,其特征在于,包括获取单元、评分单元和判定单元;所述评分单元包括划分子单元、评估子单元、匹配子单元和求和子单元;
所述获取单元,用于获取用于记录文件操作行为的流量日志;
所述划分子单元,用于依据所述流量日志中记录的文件操作行为,将所述流量日志中符合加密模式的文件数据作为第一数据集,不符合所述加密模式的文件数据作为第二数据集;其中,所述加密模式按照勒索病毒加密文件的操作行为预先设置;
所述评估子单元,用于按照预先设定的文件访问规则,对所述第一数据集中包含的各文件数据的操作行为进行量化评估,以得到所述流量日志对应的文件分数;其中,所述文件访问规则包含了反映文件操作行为的量化方式;
所述匹配子单元,用于根据文件数目以及预先设定的分数值,得到所述流量日志对应的匹配分数;其中,所述文件数目为所述第二数据集中包含的各文件数据与预先建立的解密提示信息特征库相匹配的文件数目;
所述求和子单元,用于将所述文件分数和所述匹配分数进行加权求和,以得到所述流量日志对应的评分值;
所述判定单元,用于若所述流量日志的评分值不满足预设条件时,则判定所述流量日志所对应的客户端被勒索病毒侵袭,并且判定所述流量日志所包含的文件属于勒索病毒加密文件。
9.一种检测勒索病毒的系统,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至7任意一项所述检测勒索病毒的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任意一项所述检测勒索病毒的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010219807.XA CN111444503B (zh) | 2020-03-25 | 2020-03-25 | 一种检测勒索病毒的方法、装置、系统和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010219807.XA CN111444503B (zh) | 2020-03-25 | 2020-03-25 | 一种检测勒索病毒的方法、装置、系统和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111444503A CN111444503A (zh) | 2020-07-24 |
| CN111444503B true CN111444503B (zh) | 2023-11-07 |
Family
ID=71647971
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010219807.XA Active CN111444503B (zh) | 2020-03-25 | 2020-03-25 | 一种检测勒索病毒的方法、装置、系统和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111444503B (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9734337B1 (en) * | 2017-01-24 | 2017-08-15 | Malwarebytes Inc. | Behavior-based ransomware detection |
| CN107403096A (zh) * | 2017-08-04 | 2017-11-28 | 郑州云海信息技术有限公司 | 一种基于文件状态分析的勒索软件检测方法 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| CN108932428A (zh) * | 2017-05-25 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
| JP6442649B1 (ja) * | 2017-10-11 | 2018-12-19 | 株式会社オレガ | ファイル・アクセス監視方法、プログラム、および、システム |
| WO2019073720A1 (ja) * | 2017-10-11 | 2019-04-18 | 株式会社 オレガ | ファイル・アクセス監視方法、プログラム、および、システム |
| CN110851833A (zh) * | 2019-11-18 | 2020-02-28 | 深信服科技股份有限公司 | 一种勒索病毒检测方法、装置及其相关设备 |
-
2020
- 2020-03-25 CN CN202010219807.XA patent/CN111444503B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9734337B1 (en) * | 2017-01-24 | 2017-08-15 | Malwarebytes Inc. | Behavior-based ransomware detection |
| CN108932428A (zh) * | 2017-05-25 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
| CN107403096A (zh) * | 2017-08-04 | 2017-11-28 | 郑州云海信息技术有限公司 | 一种基于文件状态分析的勒索软件检测方法 |
| CN107563199A (zh) * | 2017-09-04 | 2018-01-09 | 郑州云海信息技术有限公司 | 一种基于文件请求监控的勒索软件实时检测与防御方法 |
| JP6442649B1 (ja) * | 2017-10-11 | 2018-12-19 | 株式会社オレガ | ファイル・アクセス監視方法、プログラム、および、システム |
| WO2019073720A1 (ja) * | 2017-10-11 | 2019-04-18 | 株式会社 オレガ | ファイル・アクセス監視方法、プログラム、および、システム |
| CN110851833A (zh) * | 2019-11-18 | 2020-02-28 | 深信服科技股份有限公司 | 一种勒索病毒检测方法、装置及其相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111444503A (zh) | 2020-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8805995B1 (en) | Capturing data relating to a threat | |
| CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
| US7815106B1 (en) | Multidimensional transaction fraud detection system and method | |
| US10691796B1 (en) | Prioritizing security risks for a computer system based on historical events collected from the computer system environment | |
| US20130173442A1 (en) | Tuning product policy using observed evidence of customer behavior | |
| EP3852327A1 (en) | Exception access behavior identification method and server | |
| US9294560B2 (en) | System and method of analysing transfer of data over at least one network | |
| JP7204247B2 (ja) | 脅威対応自動化方法 | |
| Berrueta et al. | Crypto-ransomware detection using machine learning models in file-sharing network scenarios with encrypted traffic | |
| CN109815702B (zh) | 软件行为的安全检测方法、装置及设备 | |
| WO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラムが格納された記録媒体 | |
| JP4823813B2 (ja) | 異常検知装置、異常検知プログラム、および記録媒体 | |
| CN113177205A (zh) | 一种恶意应用检测系统及方法 | |
| CN116938600B (zh) | 威胁事件的分析方法、电子设备及存储介质 | |
| CN111444503B (zh) | 一种检测勒索病毒的方法、装置、系统和介质 | |
| CN112699369A (zh) | 一种通过栈回溯检测异常登录的方法及装置 | |
| EP2278468A2 (en) | System and method for tracking application usage | |
| CN115525897A (zh) | 终端设备的系统检测方法、装置、电子装置和存储介质 | |
| CN114900375A (zh) | 一种基于ai图分析的恶意威胁侦测方法 | |
| CN114297712A (zh) | 基于数据流转全流程审计的数据防攻击方法及装置 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| CN113434826A (zh) | 一种仿冒移动应用的检测方法,系统及相关产品 | |
| CN113923039A (zh) | 攻击设备识别方法、装置、电子设备及可读存储介质 | |
| KR100632204B1 (ko) | 네트워크 상의 공격 탐지 장치 및 그 방법 | |
| Ramos et al. | A Machine Learning Based Approach to Detect Stealthy Cobalt Strike C &C Activities from Encrypted Network Traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |