1.一種基于文件狀態(tài)分析的勒索軟件檢測方法，其特征在于：首先，系統(tǒng)設(shè)定文件內(nèi)容監(jiān)控模塊、文件目錄監(jiān)控模塊、文件增刪監(jiān)控模塊三個(gè)監(jiān)控模塊，分析模塊，響應(yīng)模塊，以及一個(gè)監(jiān)控時(shí)間窗口W；然后，從主機(jī)中文件狀態(tài)的多方面邏輯出發(fā)，在每個(gè)長度為W的時(shí)間單元內(nèi)，全面地結(jié)合文件內(nèi)容監(jiān)控、文件目錄監(jiān)控、文件增刪監(jiān)控三個(gè)方面對被測程序的文件訪問行為進(jìn)行持續(xù)性地考察；最后，根據(jù)文件內(nèi)容監(jiān)控模塊、文件目錄監(jiān)控模塊以及文件增刪監(jiān)控模塊的監(jiān)控結(jié)果，向系統(tǒng)的分析模塊反饋各自的監(jiān)控因子，如果各監(jiān)控因子的數(shù)值總和達(dá)到甚至超過了預(yù)設(shè)的告警門限值，則判斷所測程序?yàn)槔账鬈浖⒃撔畔⑼扑椭料到y(tǒng)的響應(yīng)模塊進(jìn)行處理。

2.根據(jù)權(quán)利要求1所述的基于文件狀態(tài)分析的勒索軟件檢測方法，其特征在于，包括以下步驟：

(1)所述文件內(nèi)容監(jiān)控模塊分別對訪問文件前后文件頭的變化情況，訪問文件前后文件的相似程度，以及訪問文件前后文件香農(nóng)熵的變化情況進(jìn)行監(jiān)控，并維護(hù)監(jiān)控因子F1，每隔長度為W的時(shí)間單元后對監(jiān)控因子F1進(jìn)行清零操作；

(2)所述文件目錄監(jiān)控模塊分別對同一目錄下被訪問文件的數(shù)量以及不同后綴名類型的文件被修改并保存為同一類型文件的情況進(jìn)行監(jiān)控，并維護(hù)監(jiān)控因子F2，每隔長度為W的時(shí)間單元后對監(jiān)控因子F2進(jìn)行清零操作；

(3)所述文件增刪監(jiān)控模塊分別對用戶文件的刪除情況和新增說明文檔的行為進(jìn)行監(jiān)控，并維護(hù)監(jiān)控因子F3，每隔長度為W的時(shí)間單元后對監(jiān)控因子F3進(jìn)行清零操作；

(4)在監(jiān)控時(shí)間窗口W內(nèi)，所述分析模塊接收來自文件內(nèi)容監(jiān)控模塊、文檔目錄監(jiān)控模塊、文檔增刪監(jiān)控模塊的反饋因子F1、F2、F3，以及相應(yīng)的文件狀態(tài)變化日志信息；分析模塊計(jì)算因子和F＝F1+F2+F3，預(yù)設(shè)定告警門限值T，如果F大于或等于T，分析模塊將日志信息、程序名稱和進(jìn)程標(biāo)識符提交至響應(yīng)模塊；

(5)根據(jù)分析模塊提供的程序信息，響應(yīng)模塊立即掛起對應(yīng)的程序，并進(jìn)行告警操作。

3.根據(jù)權(quán)利要求2所述的基于文件狀態(tài)分析的勒索軟件檢測方法，其特征在于：所述步驟(1)中，在監(jiān)控時(shí)間窗口W內(nèi)，針對僅對文件的關(guān)鍵信息部分，即文件頭，進(jìn)行修改或加密的勒索軟件類型，文件內(nèi)容監(jiān)控模塊監(jiān)控所測程序訪問主機(jī)文件前后，文件頭的變化情況，以判斷被測程序是否對用戶數(shù)據(jù)文件進(jìn)行了讀訪問或?qū)懖僮?；如果被測程序?qū)τ脩魯?shù)據(jù)文件進(jìn)行了讀訪問，則記錄此時(shí)文件的文件頭信息；如果被測程序進(jìn)一步對文件進(jìn)行了寫操作，則將文件訪問前和進(jìn)行寫操作后的文件頭信息進(jìn)行比較，如果文件頭信息發(fā)生改變，便將監(jiān)控因子F1的數(shù)值增加1；

由于發(fā)生數(shù)據(jù)加密的文件前后內(nèi)容的相似度將會(huì)顯著降低，在監(jiān)控時(shí)間窗口W內(nèi)，針對將整體文件進(jìn)行加密的勒索軟件類型，文件內(nèi)容監(jiān)控模塊監(jiān)控所測程序訪問主機(jī)文件前后，文件本身的相似程度，以判斷被測程序是否對系統(tǒng)中的用戶文件進(jìn)行了讀訪問或?qū)懖僮鳎蝗绻粶y程序?qū)ο到y(tǒng)中的用戶文件進(jìn)行了讀訪問，則計(jì)算并保存此時(shí)的文件哈希值H_前；如果被測程序進(jìn)一步對文件進(jìn)行了寫操作，則計(jì)算此時(shí)的文件哈希值H_后，H_前和H_后的計(jì)算均使用相似性摘要哈希算法SDH，從而可以根據(jù)SDH算法比較H_前和H_后的相似度，得到相似度分?jǐn)?shù)S；預(yù)設(shè)相似程度下限值A(chǔ)，如果文件的相似性較低，即S低于預(yù)設(shè)相似程度下限值A(chǔ)，則監(jiān)控因子F1的數(shù)值增加1；

由于發(fā)生數(shù)據(jù)加密的密文文件的香農(nóng)熵會(huì)顯著增加，在監(jiān)控時(shí)間窗口W內(nèi)，針對進(jìn)一步對應(yīng)將整體文件進(jìn)行加密的勒索軟件類型，文件內(nèi)容監(jiān)控模塊監(jiān)控所測程序訪問主機(jī)文件前后，文件香農(nóng)熵的變化情況，以判斷被測程序是否對系統(tǒng)中的用戶文件進(jìn)行了讀訪問或?qū)懖僮?；如果被測程序?qū)ο到y(tǒng)中的用戶文件進(jìn)行了讀訪問，則計(jì)算并保存此時(shí)的文件香農(nóng)熵E_前；如果被測程序進(jìn)一步對文件進(jìn)行了寫操作，則計(jì)算此時(shí)的文件香農(nóng)熵E_后，預(yù)設(shè)文件熵差異上限值B；如果E_后與E_前之差超過預(yù)設(shè)文件熵差異上限值B，則監(jiān)控因子F1的數(shù)值增加1。