本發明公開一種檢測惡意軟件的方法及裝置，涉及通信網絡技術領域，以解決因樣本特征庫的更新滯后性，導致無法對勒索軟件進行有效檢測的問題。所述方法包括：計算目標目錄下每個被目標軟件操作后的誘餌文件的特征值，誘餌文件為用于檢測惡意軟件的文件；將每個被目標軟件操作后的誘餌文件的特征值組成目標特征值序列；將目標特征值序列與原始特征值序列進行比較，原始特征值序列為每個未被操作的誘餌文件的特征值所組成的特征值序列；若確定目標特征值序列與原始特征值序列一致，則確定目標軟件為惡意軟件。本發明提供的方案適于檢測惡意軟件時采用。

技術領域

本發明涉及通信網絡技術領域，尤其涉及一種檢測惡意軟件的方法及裝置。

背景技術

在開放式網絡環境下，惡意軟件越來越盛行，其中，在各種惡意軟件中，勒索軟件占據了很大比例。當終端感染勒索軟件之后，勒索軟件會加密終端中文件，從而導致用戶無法使用被加密的文件。

目前，典型的檢測和阻止勒索軟件的方案是基于勒索軟件的樣本庫。在這種方案中，殺毒軟件廠商需對大量的勒索軟件和其變種軟件進行分析，并提取這些軟件的樣本特征，建立樣本特征庫。在勒索軟件或其變種軟件對用戶的文件進行加密操作時，終端會將勒索軟件或其變種軟件的加密操作特征與樣本特征庫中的特征進行比對，若勒索軟件或其變種軟件的加密操作特征與樣本特征庫中的某一特征匹配，則終端能夠確定進行加密操作的軟件為勒索軟件。

但是，一旦出現更新的勒索軟件或者已有勒索軟件發生變種，則由于樣本特征庫的更新滯后性(來不及將更新后的樣本特征添加進內存中)，導致勒索軟件或其變種軟件的加密操作特征在樣本特征庫中沒有匹配的項，因此，終端無法確定進行加密操作的軟件為勒索軟件，進而無法對勒索軟件進行有效的檢測。

發明內容

本發明實施例提供一種檢測惡意軟件的方法及裝置，用于解決因樣本特征庫的更新滯后性，導致無法對勒索軟件進行有效檢測的問題。

為達到上述目的，本發明采用如下技術方案：

一種檢測惡意軟件的方法，包括：

計算目標目錄下每個被目標軟件操作后的誘餌文件的特征值，所述誘餌文件為用于檢測惡意軟件的文件；

將每個被所述目標軟件操作后的誘餌文件的特征值組成目標特征值序列；

將所述目標特征值序列與原始特征值序列進行比較，所述原始特征值序列為每個未被操作的誘餌文件的特征值所組成的特征值序列；

若確定所述目標特征值序列與所述原始特征值序列一致，則確定所述目標軟件為惡意軟件。

一種檢測惡意軟件的裝置，包括：

計算單元，用于計算目標目錄下每個被目標軟件操作后的誘餌文件的特征值，所述誘餌文件為用于檢測惡意軟件的文件；

組成單元，用于將每個被所述目標軟件操作后的誘餌文件的特征值組成目標特征值序列；

比較單元，用于將所述目標特征值序列與原始特征值序列進行比較，所述原始特征值序列為每個未被操作的誘餌文件的特征值所組成的特征值序列；

確定單元，用于若確定所述目標特征值序列與所述原始特征值序列一致，則確定所述目標軟件為惡意軟件。