1.一種基于行為分析的勒索病毒檢測方法，其特征在于，包括

實時且持續(xù)的監(jiān)控Windows操作系統(tǒng)中的運行程序；

設定監(jiān)控結果的閾值N；

判斷監(jiān)控結果是否不小于所述閾值，在監(jiān)控結果不小于所述閾值時，對監(jiān)控結果進行實時告警處理；

設定時間長度為T的監(jiān)控時段，每間隔T時長即對監(jiān)控結果進行清零操作。

2.根據(jù)權利要求1所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述檢測方法實時且持續(xù)的監(jiān)控Windows操作系統(tǒng)中的文件操作部分、敏感函數(shù)調(diào)用部分、界面顯示部分、網(wǎng)絡數(shù)據(jù)部分。

3.根據(jù)權利要求2所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述檢測方法實時且持續(xù)監(jiān)控文件操作部分的具體內(nèi)容包括：

A）監(jiān)控運行程序對于Windows系統(tǒng)主文件表MFT的訪問情況：預設MFT中被修改文件數(shù)的上限n1，在T時長內(nèi)，如果監(jiān)控的運行程序對MFT進行的表項修改操作數(shù)不小于了預設上限n1，則文件操作部分的監(jiān)控結果增加1；

B）監(jiān)控運行程序在不同目錄下進行文件操作的情況：預設修改數(shù)量上限n1_目錄，當在同一目錄路徑中實際修改文件的數(shù)量不小于預設上限時，文件操作部分的監(jiān)控結果增加1。

4.根據(jù)權利要求2所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述檢測方法實時且持續(xù)監(jiān)控敏感函數(shù)調(diào)用部分的具體操作為：根據(jù)API調(diào)用Hook的方式，排查運行程序是否對Windows平臺標準加密庫函數(shù)進行了調(diào)用，如果在T時長內(nèi)存在相關調(diào)用，則敏感函數(shù)調(diào)用部分的監(jiān)控結果增加1。

5.根據(jù)權利要求2所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述檢測方法實時且持續(xù)監(jiān)控界面顯示部分的具體操作包括：

A）監(jiān)控運行程序對于系統(tǒng)桌面鎖定情況：在T時長內(nèi)，根據(jù)API調(diào)用Hook的方式，檢查運行程序是否對主機桌面進行了切換和鎖定，如果發(fā)現(xiàn)API函數(shù)GetThreadDesktop、CreateDesktop、SwitchDesktop的出現(xiàn)順序調(diào)用時，桌面可能將發(fā)生更換并鎖定，界面顯示部分的監(jiān)控結果增加1；

B）監(jiān)控運行程序對于桌面背景圖像的切換情況：在T時長內(nèi)，如果檢測到注冊表中與桌面背景圖像有關鍵值的變化，發(fā)現(xiàn)相應鍵值“HKCU/Control Panel/Desktop/Wallpaper”項被修改，則桌面壁紙發(fā)生了更換，界面顯示部分的監(jiān)控結果增加1。

6.根據(jù)權利要求2所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述檢測方法實時且持續(xù)監(jiān)控網(wǎng)絡數(shù)據(jù)部分的具體操作為：檢測運行程序是否通過典型的Tor網(wǎng)絡端口進行網(wǎng)絡通信，如果發(fā)現(xiàn)相應端口的活動，網(wǎng)絡數(shù)據(jù)部分的監(jiān)控結果增加1。

7.根據(jù)權利要求1所述的一種基于行為分析的勒索病毒檢測方法，其特征在于，所述告警處理的方式是：彈出可視化窗體與用戶進行交互，列舉檢測出的可疑程序名稱或進程標識符，最終由用戶決定是否對程序進行終止或放行。

8.一種基于行為分析的勒索病毒檢測系統(tǒng)，其特征在于，包括：

實時監(jiān)控模塊，用于實時且持續(xù)監(jiān)控Windows操作系統(tǒng)中的運行程序；

閾值模塊，用于確定運行程序的監(jiān)控結果是否不小于設定的閾值；

判斷模塊，用于判定是否將監(jiān)控結果發(fā)送至告警模塊；

告警模塊，用于接收判斷模塊發(fā)送的監(jiān)控結果并進行告警處理。

9.根據(jù)權利要求8所述的一種基于行為分析的勒索病毒檢測系統(tǒng)，其特征在于，所述檢測系統(tǒng)還包括：

清零模塊，用于對設定時間長度內(nèi)的監(jiān)控結果進行清零。

10.根據(jù)權利要求8所述的一種基于行為分析的勒索病毒檢測系統(tǒng)，其特征在于，所述實時監(jiān)控模塊包括文件操作監(jiān)控模塊、敏感函數(shù)調(diào)用監(jiān)控模塊、界面顯示監(jiān)控模塊、網(wǎng)絡數(shù)據(jù)監(jiān)控模塊。