[发明专利]一种勒索病毒文件识别与检测方法及系统

说明书

本发明提供了一种勒索病毒文件识别与检测方法及系统，用于检测计算机是否存在勒索病毒。该方法采用文件驱动进行至少两次计算机磁盘的检索，生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件；通过对比同一被检索文件的各单次检索结果，判断检索结果是否一致；如果否，对比同一被检索文件各单次检索生成的hash文件，读取hash文件中发生变化的文件的字节码，并判断所述字节码是否正常；对不正常的字节码所对应的被检索文件进行加密特征检测，确定是否存在勒索病毒。本发明能够较为全面、准确地对计算机中的文件进行勒索病毒的识别与检测，为用户提供可靠的安全防护。

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种勒索病毒文件识别与检测方法及系统。

背景技术

勒索病毒是近两年比较流行的病毒，尤其是在2016年中国勒索软件成爆发式增长。主要以邮件、程序木马、网页挂马等形式进行传播，利用各种非对称加密算法对电脑磁盘的文档文件、图片文件、文本文件、数据库、源代码、压缩文件等进行加密，加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

现有技术中，检测未知恶意代码、识别勒索病毒的方法有很多，例如：基于未知文件行为检测的方案，通过沙箱技术对恶意程序进行模拟执行，通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁；基于终端应用监控的方案，采用文件信誉与黑白名单技术在终端上检测应用和进程；基于大数据分析，通过网路取证，将大数据分析技术和沙箱技术结合全面分析勒索病毒攻击。但是这些检测方法存在着一些局限性，比如：检测的范围不够全面，有时会遗漏勒索病毒，甚至有时检测不出来勒索病毒的存在，因此，有必要提供一种检测结果较为准确、检测范围较为全面的勒索病毒识别与检测方法。

发明内容

本发明的目的是提供一种勒索病毒文件识别与检测方法及系统，能够较为全面、准确地对计算机磁盘中的文件进行勒索病毒的识别与检测。

为实现上述目的，本发明提供了如下方案：

一种勒索病毒文件识别与检测方法，用于检测计算机是否存在勒索病毒，所述勒索病毒文件识别与检测方法包括：

采用文件驱动进行至少两次计算机磁盘的检索，生成计算机磁盘中各被检索文件的检索结果以及各被检索文件对应的hash文件；

对比同一被检索文件的各单次检索结果，判断检索结果是否一致；

如果否，对比同一被检索文件各单次检索生成的hash文件，读取hash文件中发生变化的文件的字节码，并判断所述字节码是否正常；

对不正常的字节码所对应的被检索文件进行加密特征检测，确定是否存在勒索病毒。

可选地，所述采用文件驱动进行至少两次计算机磁盘的检索之前，还包括：

安装客户端程序Agent；

通过所述客户端程序Agent访问操作系统，调用操作系统中的文件驱动。

可选地，所述判断所述字节码是否正常具体包括：

采用勒索检测引擎读取hash文件中发生变化的文件的字节码，判断所述发生变化的文件的字节码是否正常；

若所述字节码为8位，则判定所述字节码正常；

若所述字节码大于8位，则判定所述字节码不正常。

可选地，所述对不正常的字节码所对应的被检索文件进行加密特征检测，确定是否存在勒索病毒，具体包括：

采用勒索检测引擎对不正常的字节码所对应的被检索文件前后的字节填充方式进行检测，判断所述文件前后的字节填充方式是零字节填充还是分字节填充；