[发明专利]针对未知勒索病毒的精准识别与全网联动防御方法和系统有效
| 申请号: | 201811180960.5 | 申请日: | 2018-10-10 |
| 公开(公告)号: | CN109359467B | 公开(公告)日: | 2020-11-20 |
| 发明(设计)人: | 李华生;范渊 | 申请(专利权)人: | 杭州安恒信息技术股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京超凡志成知识产权代理事务所(普通合伙) 11371 | 代理人: | 梁斌 |
| 地址: | 310052 浙江省*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 针对 未知 勒索 病毒 精准 识别 联动 防御 方法 系统 | ||
1.一种针对未知勒索病毒的精准识别与全网联动防御方法,其特征在于,应用于识别设备,包括:
获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息,所述特征信息包括以下至少一种:用于表征所述待处理文件是否产生过外联行为的标识信息,所述待处理文件的首次启动时刻和首次启动时长,所述待处理文件对诱饵文件执行加密操作的次数,所述待处理文件进入待检测设备的时间和方式;
计算每个待检测设备发送的待处理文件的哈希值,得到多个哈希值;
从多个待处理文件中选择哈希值相同的多个目标文件;
对所述多个目标文件进行识别,得到识别结果,并将所述识别结果发送给各个所述待检测设备,其中,所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件;
其中,所述多个目标文件包括:第一目标文件和第二目标文件;对所述多个目标文件进行识别,得到识别结果包括:
若所述第一目标文件的特征信息中包含用于表征所述第一目标文件产生过外联行为的标识信息,且所述第二目标文件的特征信息中包含用于表征所述第二目标文件产生过外联行为的标识信息,则判断所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差是否小于或等于预设时间差;
若是,则判断所述第一目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数,以及判断所述第二目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数;
若是,则确定所述识别结果为第一识别结果,其中,所述第一识别结果表示所述第一目标文件和所述第二目标文件为携带未知勒索病毒的文件,且所述多个目标文件中与所述第一目标文件哈希值相同的目标文件同样为携带未知勒索病毒的文件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一目标文件的特征信息中不包含所述用于表征所述第一目标文件产生过外联行为的标识信息,和/或,所述第二目标文件的特征信息中不包含用于表征所述第二目标文件产生过外联行为的标识信息,则确定所述识别结果为第二识别结果,其中,所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件,且所述多个目标文件中与所述第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件;
若所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差大于预设时间差,则确定所述识别结果为第二识别结果,其中,所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件,且所述多个目标文件中与所述第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件;
若所述第一目标文件对诱饵文件执行加密操作的次数小于预设次数,和/或,所述第二目标文件对诱饵文件执行加密操作的次数小于预设次数,则确定所述识别结果为第二识别结果,其中,所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件,且所述多个目标文件中与所述第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于杭州安恒信息技术股份有限公司,未经杭州安恒信息技术股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811180960.5/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种VR设备的危险场景分析方法
- 下一篇:漏洞检测方法、装置及设备
