CN117852035A - 一种勒索病毒的检测方法、装置、设备及存储介质 - Google Patents
一种勒索病毒的检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117852035A CN117852035A CN202311787788.0A CN202311787788A CN117852035A CN 117852035 A CN117852035 A CN 117852035A CN 202311787788 A CN202311787788 A CN 202311787788A CN 117852035 A CN117852035 A CN 117852035A
- Authority
- CN
- China
- Prior art keywords
- file
- target file
- target
- header
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title description 24
- 238000000034 method Methods 0.000 claims abstract description 68
- 230000004044 response Effects 0.000 claims abstract description 25
- 230000002159 abnormal effect Effects 0.000 claims abstract description 24
- 241000700605 Viruses Species 0.000 claims description 68
- 230000008569 process Effects 0.000 claims description 29
- 238000002955 isolation Methods 0.000 claims 1
- 230000006399 behavior Effects 0.000 description 7
- 230000009545 invasion Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 238000004590 computer program Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 239000000203 mixture Substances 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000000354 decomposition reaction Methods 0.000 description 1
- 230000003247 decreasing effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 208000024891 symptom Diseases 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Landscapes
- Storage Device Security (AREA)
Abstract
本公开实施例公开了一种勒索病毒的检测方法、装置、设备及存储介质。所述方法包括:响应于事件的操作类型指示目标事件发生,获取目标文件的文件头;基于所述文件头,确定所述目标文件是否属于正常文件;响应于所述目标文件不属于所述正常文件,确定所述目标文件是否属于异常加密文件;响应于所述目标文件属于所述异常加密文件,对所述目标文件进行管控。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种勒索病毒的检测方法、装置、设备及存储介质。
背景技术
随着网络技术的发展,网络安全越来越受到重视。在诸多病毒中,勒索病毒成为较为流行的病毒,其可通过网络等多种途径传播,使用户的电子设备感染该病毒后,病毒将自动对常见文件进行恶意加密,并以此勒索受害者,获得赎金。甚至在用户支付赎金的情况下,仍难以还原被加密的文件,从而造成数据丢失、业务中断、隐私泄露等问题,也影响了社会稳定性。
为解决上述问题,各种勒索病毒的检测方式应运而生。传统的检测方式通常存在滞后性,只有在勒索病毒占用到大量系统资源时才会被发现,但此时难以采取补救措施。而滞后性相对较弱的检测方式,又具有强针对性,即难以应对未知勒索病毒的入侵。
可见,目前亟需一种勒索病毒的检测方案,以解决上述技术问题。
发明内容
有鉴于此,本公开实施例提供了一种勒索病毒的检测方法、装置、设备及存储介质,能够有效应对已知或是未知勒索病毒的入侵,即兼顾各类勒索病毒检测的同时具有高效性,从而帮助用户及时捕捉勒索病毒的存在并采取相应措施应对。
第一方面,本公开实施例提供了一种勒索病毒的检测方法,采用如下技术方案:
响应于事件的操作类型指示目标事件发生,获取目标文件的文件头;
基于所述文件头,确定所述目标文件是否属于正常文件;
响应于所述目标文件不属于所述正常文件,确定所述目标文件是否属于异常加密文件;
响应于所述目标文件属于所述异常加密文件,对所述目标文件进行管控。
第二方面,本公开实施例还提供了一种勒索病毒的检测装置,采用如下技术方案:
所述装置包括:
获取单元,用于响应于事件的操作类型指示目标事件发生,获取目标文件的文件头;
确定单元,用于基于所述文件头,确定所述目标文件是否属于正常文件;
所述确定单元,还用于响应于所述目标文件不属于所述正常文件,确定所述目标文件是否属于异常加密文件;
管控单元,用于响应于所述目标文件属于所述异常加密文件,对所述目标文件进行管控。
第三方面,本公开实施例还提供了一种电子设备,采用如下技术方案:
所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行以上第一方面所述的勒索病毒的检测方法。
第四方面,本公开实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行以上第一方面所述的勒索病毒的检测方法。
本公开实施例提供的勒索病毒的检测方法、装置、设备及存储介质,相比较于传统勒索病毒检测手段而言,本公开提供的技术内容不仅可以应对已知勒索病毒,还可以有效应对每年不停更新的未知勒索病毒。并且,本公开提供的技术内容不会占用大量诸如带宽、磁盘读写、内存、CPU等系统资源,可以在不过多影响电子设备运行速度的情况下,及时捕捉勒索病毒的存在并采取相应措施应对。可见,本公开提供的技术方案可以更好的应对市面上存在的各类勒索病毒,为用户和管理员高效解决勒索病毒入侵这一技术问题提供助力,且轻量级的配置,使电子设备原本的运行过程并未受到过多影响。
上述说明仅是本公开技术方案的概述,为了能更清楚了解本公开的技术手段,而可依照说明书的内容予以实施,并且为让本公开的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本公开实施例提供的一种勒索病毒的检测方法流程图;
图2为本公开实施例提供的另一种勒索病毒的检测方法流程图;
图3为本公开实施例提供的一种勒索病毒的检测装置的结构示意图;
图4为本公开实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本公开实施例进行详细描述。
应当明确,以下通过特定的具体实例说明本公开的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本公开的其他优点与功效。显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。本公开还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本公开的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目各方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
还需要说明的是,以下实施例中所提供的图示仅以示意方式说明本公开的基本构想,图式中仅显示与本公开中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
另外,在以下描述中,提供具体细节是为了便于透彻理解实例。然而,所属领域的技术人员将理解,可在没有这些特定细节的情况下实践所述方面。
本公开为了有效应对已知或是未知勒索病毒的入侵,即兼顾各类勒索病毒检测的同时具有高效性,从而帮助用户及时捕捉勒索病毒的存在并采取相应措施应对,提出了一种勒索病毒的检测方法,如图1所示,该方法包括步骤S101至步骤S105。
步骤S101、响应于事件的操作类型指示目标事件发生,获取目标文件的文件头。
为了更及时发现勒索病毒的存在,本公开以目标事件的发生作为检测方案的触发点,即在事件的操作类型指示为文件创建或是文件改名时,才触发勒索病毒检测流程。这样可以在勒索病毒出现时,第一时间捕捉到异常,从而采取相应措施。
在电子设备的不同系统中,通常由不同的主体来对目标事件的发生进行监控。比如,windows使用minifilter监控文件创建和改名,linux使用inotify/fanotify监控文件创建和改名。在此对于执行监控过程的主体不予过多限定,适应电子设备的当前环境即可,包括但不限于上述例举的情况。
本公开中,获取目标文件的文件头的具体方式可实现为:基于目标文件的文件路径,打开目标文件,获取目标文件的文件后缀,或是获取目标文件的文件后缀和文件头内容,又或是获取文件头内容。通常会结合所需要的数据内容来进行考量,以从文件头中提取所需的内容进行获取,具体可结合步骤S102用以判断目标文件是否属于正常文件的信息为基础,来进行抉择,在此不予限定。
步骤S102、基于文件头,确定目标文件是否属于正常文件。
文件头通常蕴含着丰富的信息,在本公开中可借助文件头记载得到内容来对目标文件是否正常予以判定。比如,基于文件后缀和文件头内容中的至少一项,与文件头库中的相应内容进行匹配,并在得到匹配失败的结果的情况下,确定目标文件不属于正常文件。相应的,若未得到匹配失败的结果,则目标文件可能属于正常文件,还需要后续判定来对文件是否属于异常加密文件等进行判断,具体判断过程可YY+231914P
参考步骤S103。
文件头库中的文件后缀与文件内容通常关联存在,其中文件内容通常以十六进制的形式来表示。比如,文件后缀为docx、xlsx、pptx格式,那么文件内容可以表示为:_Types\]\.xml;文件后缀为png格式,那么文件内容可以表示为:\x89PNG\x0D\x0A\x1A\x0A;文件后缀为7z格式,那么文件内容可以表示为:7z\xBC\xAF\x27。当然,文件头库的表现形式不限于上述例举的情况,通常可从网络等途径获取,比如,可将winhex官网最新发布的文件头加入到文件头库中,又或是将市面上常见加密软件的特殊文件头加入到文件头库中。而为了更好的适配各厂商自研技术,还可以为文件头库定时更新,以加入厂商自主研发的内容。为方便上述操作,文件头库通常可采用页面方式编辑,以便于用户或是管理员对文件头库进行定期或不定期的维护,从而通过页面完成添加、删除等编辑操作。此外,在文件头库的编辑过程中,还可以将常用的部分前置,以在遍历过程中提升命中效率。而哪些内容作为高频内容出现,可通过场景判断或是电子设备中被高利用的类型来分辨,在此对于前置内容不予限定。
响应于目标文件不属于正常文件,则执行步骤S103,即确定目标文件是否属于异常加密文件。响应于目标文件属于正常文件,则执行步骤S104,即确定目标文件属于正常文件。
响应于目标文件属于异常加密文件,则执行步骤S105,即对目标文件进行管控。响应于目标文件不属于异常加密文件,则执行步骤S104,即确定目标文件属于正常文件。
在经过步骤S102后,若目标文件已被认定为不属于正常文件,那么还需要确定目标文件是否属于异常加密文件,并对异常加密文件进行有效的管控措施。由于前述步骤已通过文件头库将常见加密情况的文件过滤掉,因此这里被判定为异常加密文件的目标文件,则是非明文的文件,而对于如何判定目标文件是否属于异常加密文件,可参见后文内容。
目前较为常见的勒索病毒检测方式包括了:病毒样本比对、签名检测、行为分析,以及异常流量检测。病毒样本比对,指的是通过对已知的勒索病毒样本进行比对,检测是否存在相似或完全相同的文件指纹或特征,如MD5值或文件名称。签名检测,指的是利用安全软件提供的病毒库或病毒特征数据库,对系统中的文件进行扫描,查找是否存在已知的勒索病毒征。行为分析,指的是监控系统的行为和活动,检测是否有异常的文件操作行为或进程行为,如大量的文件加密或删除操作。异常流量检测,指的是监控网络流量,检测是否有异常的网络连接或数据传输行为,如大量的加密或上传操作。
一方面,相比较于病毒样本比对等面向已知勒索病毒的检测手段而言,本公开提供的技术内容不仅可以应对已知勒索病毒,还可以有效应对每年不停更新的未知勒索病毒。另一方面,相比较于签名检测、行为分析、异常流量检测等的检测手段,本公开提供的技术内容不会占用大量诸如带宽、磁盘读写、内存、CPU等系统资源,可以在不过多影响电子设备运行速度的情况下,及时捕捉勒索病毒的存在并采取相应措施应对。可见,本公开提供的技术方案可以更好的应对市面上存在的各类勒索病毒,为用户和管理员高效解决勒索病毒入侵这一技术问题提供助力,且轻量级的配置,使电子设备原本的运行过程并未受到过多影响。
考虑到文件头库中存储的内容数据量较大,为进一步提升匹配速度,减少对电子设备运行的影响,降低损耗,可以对文件头库中各项内容的存储方式进行调整。一种可能的实现方式中,文件头库中的相应内容的存储方式包括正则表达式。其中,正则表达式用于将多项相同或相似内容表示为一项内容。即正则表达式相当于函数,可以将文件后缀和文件头内容作为函数的输入,以使函数返回命中失败,也就是匹配失败的结果,又或是使函数返回命中成功的结果,也就是匹配成功的结果。通常情况下,上述操作可以将某几个文件相似的内容进行合并,比如,将200多个文件写成20个,那么在命中与否的判别过程中就可以大幅提升遍历的效率。
在本公开中,确定目标文件是否属于异常加密文件,可实现为:获取目标文件的部分内容,并响应于部分内容中不存在明文,则确定目标文件属于异常加密文件。其中,部分内容包括目标文件的中部数据和尾部数据中的至少一项。
在对目标文件进行中部数据和尾部数据的提取时,可参考目标文件数据量,并基于数据量进行分段,比如,以数据量的一半作为中部数据的起点,向后选取第一指定字节数作为中段数据,或是以数据量的一半作为中部数据的终点,向前选取第一指定字节数作为中段数据,又或是以数据量的一般作为中部数据的中点,分别向前后选取第一指定字节数的一半作为中段数据,还或是以数据量的全部作为尾部数据的终点,向前选取第二指定字节数作为尾段数据。其中,第一指定字节数与第二指定字节数可以相同或是不同,且第一指定字节数与第二指定字节数均小于数据量的一半。
在实际操作过程中,中部数据与尾部数据可择一获取,或者为了增加判别过程的准确性,可在先获取的中部数据或先获取的尾部数据不满足要求时,再补充获取未获取的尾部数据或为获取的中部数据,当然,也可以同时获取中部数据和尾部数据。中部数据与尾部数据通常不存在交集,且中部数据的尾部与尾部数据的前部往往相差一些字节数,具体相差的数值不予限定。在确定第一指定字节数和第二指定字节数时,可充分考虑数据量、电子设备的资源占用情况、目标文件的判别总量等因素,又或是预先设置默认值,再未做特殊说明的情况下,直接将默认值作为相应的第一指定字节数和第二指定字节数。示
例性的,以目标文件的数据量是10M为例,可以第5M为中部数据的起点,向后取50KB作为中部数据,并以第10M为尾部数据的终点,向前取50KB作为尾部数据。
若中部数据和尾部数据中存在明文,则目标文件可视为正常文件,即若中部数据为明文,那么目标文件为正常文件,若尾部数据为明文,那么目标文件也为正常文件。因此判别过程中,可按照先后顺序逐个部分进行判定,又或是同时获取并判定。
示例性的,可采用如下方式对中部数据和尾部数据中是否存在明文进行判断,此处的明文,可理解为可打印字符,相应的非明文,可理解为非可打印字符。
while(
file.get(ch)){
if(ch<32||ch>126){//非可打印字符
return true;}
采用上述方式,可准确的识别目标文件是否属于异常加密文件,在中部数据和尾部数据都属于非可打印字符的情况下,则定义目标文件为异常加密文件,及时采取后续措施,以减少用户或管理员不必要的损失。
在有效识别出目标文件后,可以通过对与目标文件关联的电子设备进行本地隔离的方式,实现对目标文件的管控。并且,为了精准定位勒索病毒的存在,并采取相应措施,还可以向服务端上报目标文件的进程名称、进程路径和进程参数,以定位勒索病毒并调用补救方案,和/或,通知管理员和用户中的至少一项。这样不仅阻断了勒索病毒在本地的侵害,同时也高效地向用户和/或管理员进行了反馈,且在反馈内容中指出了勒索病毒可能存在的位置,从而帮助定位,及时根据进程树杀进程、删文件、隔离等操作。
本公开为了进一步降低对电子设备正常运行的影响,同时尽可能在勒索病毒检测过程中降低消耗,在事件的操作类型指示目标事件发生后,获取目标文件的文件头之前,还可以通过目标文件的名称预先做是否存在文件后缀的判断,并对于存在文件后缀,但文件后缀,但文件后缀未知的情况下,再基于文件头等对目标文件进行判别。这样可以使整个执行流程的消耗最小化,如图2所示,提出了另一种勒索病毒的检测方法,该方法包括步骤S201至步骤S210。
步骤S201、响应于事件的操作类型指示目标事件发生,获取目标文件的文件名称。
步骤S202、确定文件名称是否存在文件后缀。
通常文件后缀是在文件名称尾部以“.xxx”的形式结尾,因此可以通过是否存在“.”以及“.”后所存在的内容是什么来判断文件名称是否存在文件后缀,以及存在文件后缀的情况下,文件后缀的内容是什么。
响应于文件名称不存在文件后缀,则执行步骤S203,即确定目标文件属于正常文件;响应于文件名称存在文件后缀,则执行步骤S204,即将文件后缀与文件后缀库中的内容进行匹配。
步骤S205、确定文件后缀是否与文件后缀库中的内容匹配。
文件后缀库中存储了已知的各项文件后缀,与文件头库类似,可以通过页面进行编辑。在实际应用过程中,文件后缀库可不断丰富,比如,文件后缀库中的内容可来源于微软官网、第三方网站、安全软件厂商网站等,还可以基于自主研发的内容来增减。但需要注意的是,为了方便不同系统调用,在文件后缀库的部署时,需要区分不同系统,比如,可以针对不同系统搭建不同的文件后缀库,以方便不同系统的执行主体进行调用,又或者,仅搭建一个文件后缀库,但在库中有效区分不同文件后缀所对应的系统,方便执行主体遍历时,对库中内容进行有效区分,从而对于一个文件后缀库的使用,也可以有效节省遍历时间。
响应于文件后缀与文件后缀库中的内容匹配,则执行步骤S203,即确定目标文件属于正常文件;响应于文件后缀与文件后缀库中的内容不匹配,则执行步骤S206,即获取目标文件的文件头。
步骤S207、确定文件头是否与文件头库中的相应内容匹配。
响应于文件头与文件头库中的相应内容匹配,则执行步骤S203,即确定目标文件属于正常文件;响应于文件头与文件头库中的相应内容不匹配,则执行步骤S208,即获取目标文件的部分内容。
其中,部分内容包括目标文件的中部数据和尾部数据中的至少一项。
步骤S209、确定部分内容中是否存在明文。
响应于部分内容中存在明文,则执行步骤S203,即确定目标文件属于正常文件;响应于部分内容中不存在明文,则执行步骤S209,即确定目标文件属于异常加密文件。
步骤S210、对目标文件进行管控。
上述图2中未进行具体解释的步骤,可参考前文相应内容的表述,在此不予赘述。
本公开提供一种勒索病毒的检测装置,如图3所示,勒索病毒的检测装置30包括:
获取单元301,用于响应于事件的操作类型指示目标事件发生,获取目标文件的文件头。
确定单元302,用于基于文件头,确定目标文件是否属于正常文件;并且,响应于目标文件不属于正常文件,确定目标文件是否属于异常加密文件。
管控单元303,用于响应于目标文件属于异常加密文件,对目标文件进行管控。
在一种可能的实现方式中,获取单元301,还用于基于目标文件的文件路径,打开目标文件,获取目标文件的文件头,文件头包括文件后缀和文件头内容。
确定单元302,还用于基于文件后缀和文件头内容中的至少一项,与文件头库中的相应内容进行匹配;并且,响应于得到匹配失败的结果,确定目标文件不属于正常文件。
在一种可能的实现方式中,文件头库中的相应内容的存储方式包括正则表达式,正则表达式用于将多项相同或相似内容表示为一项内容。在基于文件后缀和文件头内容,与文件头库中的相应内容进行匹配的情况下,若正则表达式返回命中失败的结果,则得到匹配失败的结果。
在一种可能的实现方式中,确定单元302,还用于获取目标文件的部分内容;并且,响应于部分内容中不存在明文,则确定目标文件属于异常加密文件。其中,部分内容包括目标文件的中部数据和尾部数据中的至少一项。
在一种可能的实现方式中,管控单元303,还用于对与目标文件关联的电子设备进行本地隔离。
在一种可能的实现方式中,管控单元303,还用于向服务端上报目标文件的进程名称、进程路径和进程参数,以定位勒索病毒并调用补救方案,和/或,通知管理员和用户中的至少一项。
在一种可能的实现方式中,获取单元301,还用于在获取目标文件的文件头之前,获取目标文件的文件名称;并且,响应于文件名称存在文件后缀,将文件后缀与文件后缀库中的内容进行匹配。而后,响应于得到匹配失败的结果,获取目标文件的文件头。
相比较于传统勒索病毒检测手段而言,本公开提供的技术内容不仅可以应对已知勒索病毒,还可以有效应对每年不停更新的未知勒索病毒。并且,本公开提供的技术内容不会占用大量诸如带宽、磁盘读写、内存、CPU等系统资源,可以在不过多影响电子设备运行速度的情况下,及时捕捉勒索病毒的存在并采取相应措施应对。可见,本公开提供的技术方案可以更好的应对市面上存在的各类勒索病毒,为用户和管理员高效解决勒索病毒入侵这一技术问题提供助力,且轻量级的配置,使电子设备原本的运行过程并未受到过多影响。
根据本公开实施例的电子设备包括存储器和处理器。该存储器用于存储非暂时性计算机可读指令。具体地,存储器可以包括一个或多个计算机程序产品,该计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。该易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。该非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。
该处理器可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其它形式的处理单元,并且可以控制电子设备中的其它组件以执行期望的功能。在本公开的一个实施例中,该处理器用于运行该存储器中存储的该计算机可读指令,使得该电子设备执行前述的本公开各实施例的勒索病毒的检测方法全部或部分步骤。
本领域技术人员应能理解,为了解决如何获得良好用户体验效果的技术问题,本实施例中也可以包括诸如通信总线、接口等公知的结构,这些公知的结构也应包含在本公开的保护范围之内。
如图4所示,为本公开实施例提供的一种电子设备的结构示意图。其示出了适于用来实现本公开实施例中的电子设备的结构示意图。图4示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图4所示,电子设备可以包括处理器(例如中央处理器、图形处理器等),其可以根据存储在只读存储器(ROM)中的程序或者从存储装置加载到随机访问存储器(RAM)中的程序而执行各种适当的动作和处理。在RAM中,还存储有电子设备操作所需的各种程序和数据。处理器、ROM以及RAM通过总线彼此相连。输入/输出(I/O)接口也连接至总线。
通常,以下装置可以连接至I/O接口:包括例如传感器或者视觉信息采集设备等的输入装置;包括例如显示屏等的输出装置;包括例如磁带、硬盘等的存储装置;以及通信装置。通信装置可以允许电子设备与其他设备(比如边缘计算设备)进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置从网络上被下载和安装,或者从存储装置被安装,或者从ROM被安装。在该计算机程序被处理器执行时,执行本公开实施例的勒索病毒的检测方法的全部或部分步骤。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
根据本公开实施例的计算机可读存储介质,其上存储有非暂时性计算机可读指令。当该非暂时性计算机可读指令由处理器运行时,执行前述的本公开各实施例的勒索病毒的检测方法的全部或部分步骤。
上述计算机可读存储介质包括但不限于:光存储介质(例如:CD-ROM和DVD)、磁光存储介质(例如:MO)、磁存储介质(例如:磁带或移动硬盘)、具有内置的可重写非易失性存储器的媒体(例如:存储卡)和具有内置ROM的媒体(例如:ROM盒)。
有关本实施例的详细说明可以参考前述各实施例中的相应说明,在此不再赘述。
以上结合具体实施例描述了本公开的基本原理,但是,需要指出的是,在本公开中提及的优点、优势、效果等仅是示例而非限制,不能认为这些优点、优势、效果等是本公开的各个实施例必须具备的。另外,上述公开的具体细节仅是为了示例的作用和便于理解的作用,而非限制,上述细节并不限制本公开为必须采用上述具体的细节来实现。
在本公开中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序,本公开中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的,可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇,指“包括但不限于”,且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”,且可与其互换使用,除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”,且可与其互换使用。
另外,如在此使用的,在以“至少一个”开始的项的列举中使用的“或”指示分离的列举,以便例如“A、B或C的至少一个”的列举意味着A或B或C,或AB或AC或BC,或ABC(即A和B和C)。此外,措辞“示例的”不意味着描述的例子是优选的或者比其他例子更好。
还需要指出的是,在本公开的系统和方法中,各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本公开的等效方案。
可以不脱离由所附权利要求定义的教导的技术而进行对在此所述的技术的各种改变、替换和更改。此外,本公开的权利要求的范围不限于以上所述的处理、机器、制造、事件的组成、手段、方法和动作的具体方面。可以利用与在此所述的相应方面进行基本相同的功能或者实现基本相同的结果的当前存在的或者稍后要开发的处理、机器、制造、事件的组成、手段、方法或动作。因而,所附权利要求包括在其范围内的这样的处理、机器、制造、事件的组成、手段、方法或动作。
提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本公开。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的,并且在此定义的一般原理可以应用于其他方面而不脱离本公开的范围。因此,本公开不意图被限制到在此示出的方面,而是按照与在此公开的原理和新颖的特征一致的最宽范围。
为了例示和描述的目的已经给出了以上描述。此外,此描述不意图将本公开的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例,但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。
Claims (10)
1.一种勒索病毒的检测方法,其特征在于,所述方法包括:
响应于事件的操作类型指示目标事件发生,获取目标文件的文件头;
基于所述文件头,确定所述目标文件是否属于正常文件;
响应于所述目标文件不属于所述正常文件,确定所述目标文件是否属于异常加密文件;
响应于所述目标文件属于所述异常加密文件,对所述目标文件进行管控。
2.根据权利要求1所述的方法,其特征在于,所述获取目标文件的文件头,包括:
基于所述目标文件的文件路径,打开所述目标文件,获取所述目标文件的文件头,所述文件头包括文件后缀和文件头内容;
所述基于所述文件头,确定所述目标文件是否属于正常文件,包括:
基于所述文件后缀和所述文件头内容中的至少一项,与文件头库中的相应内容进行匹配;
响应于得到匹配失败的结果,确定所述目标文件不属于所述正常文件。
3.根据权利要求2所述的方法,其特征在于,所述文件头库中的相应内容的存储方式包括正则表达式,所述正则表达式用于将多项相同或相似内容表示为一项内容;
在基于所述文件后缀和所述文件头内容,与所述文件头库中的相应内容进行匹配的情况下,若所述正则表达式返回命中失败的结果,则得到匹配失败的结果。
4.根据权利要求1至3中任意一项所述的方法,其特征在于,所述确定所述目标文件是否属于异常加密文件,包括:
获取所述目标文件的部分内容,所述部分内容包括所述目标文件的中部数据和尾部数据中的至少一项;
响应于所述部分内容中不存在明文,则确定所述目标文件属于异常加密文件。
5.根据权利要求1至3中任意一项所述的方法,其特征在于,所述对所述目标文件进行管控,包括:
对与所述目标文件关联的电子设备进行本地隔离。
6.根据权利要求5所述的方法,其特征在于,所述对所述目标文件进行管控,包括:
向服务端上报所述目标文件的进程名称、进程路径和进程参数,以定位勒索病毒并调用补救方案,和/或,通知管理员和用户中的至少一项。
7.根据权利要求1至3中任意一项所述的方法,其特征在于,在所述获取目标文件的文件头之前,所述方法包括:
获取所述目标文件的文件名称;
响应于所述文件名称存在文件后缀,将所述文件后缀与文件后缀库中的内容进行匹配;
所述获取目标文件的文件头,包括:
响应于得到匹配失败的结果,获取所述目标文件的文件头。
8.一种勒索病毒的检测装置,其特征在于,所述装置包括:
获取单元,用于响应于事件的操作类型指示目标事件发生,获取目标文件的文件头;
确定单元,用于基于所述文件头,确定所述目标文件是否属于正常文件;
所述确定单元,还用于响应于所述目标文件不属于所述正常文件,确定所述目标文件是否属于异常加密文件;
管控单元,用于响应于所述目标文件属于所述异常加密文件,对所述目标文件进行管控。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至7中任意一项所述的勒索病毒检测方法。
10.一种计算机可读存储介质,其特征在于,该计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行权利要求1至7中任意一项所述的勒索病毒检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311787788.0A CN117852035A (zh) | 2023-12-22 | 2023-12-22 | 一种勒索病毒的检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311787788.0A CN117852035A (zh) | 2023-12-22 | 2023-12-22 | 一种勒索病毒的检测方法、装置、设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117852035A true CN117852035A (zh) | 2024-04-09 |
Family
ID=90542829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311787788.0A Pending CN117852035A (zh) | 2023-12-22 | 2023-12-22 | 一种勒索病毒的检测方法、装置、设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117852035A (zh) |
-
2023
- 2023-12-22 CN CN202311787788.0A patent/CN117852035A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20170149830A1 (en) | Apparatus and method for automatically generating detection rule | |
US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
US9621571B2 (en) | Apparatus and method for searching for similar malicious code based on malicious code feature information | |
US20180357214A1 (en) | Log analysis system, log analysis method, and storage medium | |
EP3258409A1 (en) | Device for detecting terminal infected by malware, system for detecting terminal infected by malware, method for detecting terminal infected by malware, and program for detecting terminal infected by malware | |
JP6697123B2 (ja) | プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム | |
CN104956376A (zh) | 虚拟化环境中应用和设备控制的方法和技术 | |
US9355250B2 (en) | Method and system for rapidly scanning files | |
CN111222137A (zh) | 一种程序分类模型训练方法、程序分类方法及装置 | |
US9465694B2 (en) | Method and apparatus for recovering partition based on file system metadata | |
NL2026782A (en) | Method and system for determining affiliation of software to software families | |
WO2019163154A1 (ja) | ルール生成装置およびルール生成プログラム | |
CA2734207C (en) | Electronic file comparator | |
US20220012230A1 (en) | Management system, acquisition device, and management method | |
CN111581057B (zh) | 一种通用日志解析方法、终端设备及存储介质 | |
CN113141369A (zh) | 基于人工智能的防火墙策略管理方法及相关设备 | |
CN117852035A (zh) | 一种勒索病毒的检测方法、装置、设备及存储介质 | |
CN115906184A (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 | |
CN109033831A (zh) | 一种病毒检测方法、装置、电子设备及存储介质 | |
CN116185785A (zh) | 文件异常变更的预警方法及装置 | |
JP2019175334A (ja) | 情報処理装置、制御方法、及びプログラム | |
CN113434860A (zh) | 病毒检测方法、装置、计算设备及存储介质 | |
JP2010231568A (ja) | イベント判別装置、イベント判別プログラム、イベント判別方法 | |
WO2020065778A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
JP7004477B2 (ja) | インシデントレスポンス補助システム、インシデントレスポンス補助方法およびインシデントレスポンス補助プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |