[發(fā)明專利]一種勒索病毒識別方法、裝置、電子設(shè)備及存儲介質(zhì)有效
| 申請?zhí)枺?/td> | 201811438897.0 | 申請日: | 2018-11-28 |
| 公開(公告)號: | CN110866248B | 公開(公告)日: | 2022-06-10 |
| 發(fā)明(設(shè)計)人: | 孫洪偉;徐翰隆;王小豐;肖新光 | 申請(專利權(quán))人: | 北京安天網(wǎng)絡(luò)安全技術(shù)有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京市廣友專利事務(wù)所有限責(zé)任公司 11237 | 代理人: | 祁獻(xiàn)民 |
| 地址: | 100195 北京市海淀區(qū)*** | 國省代碼: | 北京;11 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 勒索 病毒 識別 方法 裝置 電子設(shè)備 存儲 介質(zhì) | ||
1.一種勒索病毒識別方法,其特征在于,包括:
判斷掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊;
若掛載到系統(tǒng)進(jìn)程的子模塊為可疑子模塊,則記錄所述可疑子模塊的掛載信息;其中,所述掛載信息包括可疑子模塊掛載到系統(tǒng)進(jìn)程的時間點;
監(jiān)測當(dāng)前磁盤中的文件是否被修改;
若監(jiān)測到當(dāng)前磁盤中的文件被修改,則判斷在與被修改文件的同級目錄中是否存在新創(chuàng)建的可疑文件;
若在與被修改文件的同級目錄中存在新創(chuàng)建的可疑文件,則監(jiān)測當(dāng)前磁盤中的文件是否再次被修改;
若監(jiān)測到當(dāng)前磁盤中的文件再次被修改,則根據(jù)所述掛載信息,將掛載時間點距離當(dāng)前時間點最近的可疑子模塊,確定為勒索病毒。
2.根據(jù)權(quán)利要求1所述的勒索病毒識別方法,其特征在于,所述判斷掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊,包括:
根據(jù)預(yù)設(shè)的檢查規(guī)則,判斷已掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊。
3.根據(jù)權(quán)利要求1所述的勒索病毒識別方法,其特征在于,所述判斷掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊,包括:
監(jiān)測是否有新的子模塊掛載到系統(tǒng)進(jìn)程;
若監(jiān)測到有新的子模塊掛載到系統(tǒng)進(jìn)程,則根據(jù)預(yù)設(shè)的檢查規(guī)則,判斷新掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊。
4.根據(jù)權(quán)利要求1所述的勒索病毒識別方法,其特征在于,在確定掛載到系統(tǒng)進(jìn)程的子模塊為可疑子模塊之后,所述方法還包括:
將可疑子模塊加入到危險模塊監(jiān)控列表中。
5.根據(jù)權(quán)利要求1所述的勒索病毒識別方法,其特征在于,所述若在與被修改文件的同級目錄中存在新創(chuàng)建的可疑文件,則監(jiān)測當(dāng)前磁盤中的文件是否再次被修改,包括:
若在與被修改文件的同級目錄中存在新創(chuàng)建的可疑文件,則加載深度分析模塊,通過所述深度分析模塊,監(jiān)測當(dāng)前磁盤中的文件是否再次被修改。
6.一種勒索病毒識別裝置,其特征在于,包括:
第一判斷模塊,用于判斷掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊;
記錄模塊,用于若掛載到系統(tǒng)進(jìn)程的子模塊為可疑子模塊,則記錄所述可疑子模塊的掛載信息;其中,所述掛載信息包括可疑子模塊掛載到系統(tǒng)進(jìn)程的時間點;
第一監(jiān)測模塊,用于監(jiān)測當(dāng)前磁盤中的文件是否被修改;
第二判斷模塊,用于若監(jiān)測到當(dāng)前磁盤中的文件被修改,則判斷在與被修改文件的同級目錄中是否存在新創(chuàng)建的可疑文件;
第二監(jiān)測模塊,用于若在與被修改文件的同級目錄中存在新創(chuàng)建的可疑文件,則監(jiān)測當(dāng)前磁盤中的文件是否再次被修改;
第三判斷模塊,用于若監(jiān)測到當(dāng)前磁盤中的文件再次被修改,則根據(jù)所述掛載信息,將掛載時間點距離當(dāng)前時間點最近的可疑子模塊,確定為勒索病毒。
7.根據(jù)權(quán)利要求6所述的勒索病毒識別裝置,其特征在于,所述第一判斷模塊,具體用于根據(jù)預(yù)設(shè)的檢查規(guī)則,判斷已掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊。
8.根據(jù)權(quán)利要求6所述的勒索病毒識別裝置,其特征在于,所述第一判斷模塊,包括:
掛載監(jiān)測子模塊,用于監(jiān)測是否有新的子模塊掛載到系統(tǒng)進(jìn)程;
可疑判斷子模塊,用于若監(jiān)測到有新的子模塊掛載到系統(tǒng)進(jìn)程,則根據(jù)預(yù)設(shè)的檢查規(guī)則,判斷新掛載到系統(tǒng)進(jìn)程的子模塊是否為可疑子模塊。
9.根據(jù)權(quán)利要求6所述的勒索病毒識別裝置,其特征在于,還包括:危險模塊監(jiān)控列表模塊,用于將可疑子模塊加入到危險模塊監(jiān)控列表中。
10.根據(jù)權(quán)利要求6所述的勒索病毒識別裝置,其特征在于,所述第二監(jiān)測模塊,具體用于:若在與被修改文件的同級目錄中存在新創(chuàng)建的可疑文件,則加載深度分析模塊,以通過所述深度分析模塊,監(jiān)測當(dāng)前磁盤中的文件是否再次被修改。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于北京安天網(wǎng)絡(luò)安全技術(shù)有限公司,未經(jīng)北京安天網(wǎng)絡(luò)安全技術(shù)有限公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811438897.0/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點
G06F21-22 .通過限制訪問或處理程序或過程
