[发明专利]基于文件型蜜罐检测勒索软件方法、电子设备及程序产品

权利要求书

1.一种基于文件型蜜罐检测勒索软件方法，其特征在于，包括：

监测映射文件夹对应的日志文件；所述映射文件夹为根据当前使用环境中的原始文件生成的虚拟文件夹；

当所述日志文件中指定指令发生的顺序和指令执行时间满足预设条件，确定当前使用环境中具有攻击源的机器行为，

在监控映射文件夹对应的日志文件之前，所述方法还包括：

获取当前使用环境信息，根据所述当前使用环境信息确定映射文件夹信息；

根据所述映射文件夹信息以及当前使用环境中的原始文件信息，生成具有语义的目标文件，存储在所述映射文件夹中，

所述获取当前使用环境信息，根据所述当前使用环境信息确定映射文件夹信息，包括：

获取磁盘的剩余总容量以及磁盘名称；

根据所述磁盘的剩余总容量以及磁盘名称，确定映射文件夹容量及映射文件夹名称；

具体采用如下公式：

其中，x1表示所述磁盘的剩余总容量，y1表示所述映射文件夹容量。

2.根据权利要求1所述的方法，其特征在于，所述目标文件，包括第一规格文件以及第二规格文件；

所述第一规格文件占比采用如下公式进行计算：

其中，x2表示系统运行内存，并且，系统运行内存小于8G则取值1、8G-64G之间则取值2、64G以上取值3；

x3表示系统稳定性，并且，正式版本取值为1、非正式版本取值为0；

x4表示系统是否安装有GPU，并且，有取值1、没有取值0；

y2表示所述第一规格文件占比；

所述第二规格文件占比采用如下公式进行计算：

其中，y3表示所述第二规格文件占比。

3.根据权利要求2所述的方法，其特征在于，所述第二规格文件包括第二规格文件甲、第二规格文件乙；所述第二规格文件甲的数量与所述第二规格文件乙的数量相等；所述方法还包括：

按照时间先后顺序，将所述映射文件夹内的所有文件按照第二规格文件甲、第一规格文件、第二规格文件乙的顺序进行排序。

4.根据权利要求1所述的方法，其特征在于，所述根据当前使用环境中的原始文件信息，生成具有语义的目标文件，包括：

采集当前使用环境中的原始文件，作为初始数据；

对所述初始数据中的文件名进行短语分词；

在短语分词得到的至少一个候选词中选择目标用词，将所述目标用词作为文件名，将所述初始数据的后缀作为目标文件后缀，形成目标文件名；

生成具有语义的文件内容，所述文件内容与所述目标文件名共同形成所述目标文件。

5.根据权利要求1所述的方法，其特征在于，所述方法还包括：

复制所述映射文件夹内的目标文件；

切断当前使用环境中终端使用的网卡；

将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中。

6.根据权利要求5所述的方法，其特征在于，所述将当前使用环境中的原始文件信息迁移至所述攻击源未攻击的文件夹中，包括：

确定按照指定规则分类的数据集；

计算样本与数据集中所有数据的距离数值；

将所有距离数值进行递增排序，计算平均值；根据所有距离数值中小于平均值的数量确定第一系数，以及根据所有距离数值中大于或者等于平均值的数量确定第二系数；根据第一系数和第二系数对所有距离数值进行增益或者惩罚修正；

根据增益或者惩罚修正后的结果，确定第三系数；

根据第三系数确定目标样本；

确定目标样本所在类别出现的频率，输出频率最高的类别。

7.一种电子设备，其特征在于，所述电子设备包括处理器以及存储器；所述存储器用于存储指令，所述指令被所述处理器执行时，使得所述设备执行如权利要求1～6中任一种所述的方法。

8.一种计算机可读存储介质，其特征在于，可直接加载到电子设备的内部存储器中，并含有软件代码，所述计算机可读存储介质经由电子设备载入并执行后能够实现如权利要求1～6中任一种所述的方法。