(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114254318A(43)申请公布日2022.03.29(21)申请号202111490030.1(22)申请日2021.12.08(71)申请人北京安天网络安全技术有限公司地址100195北京市海淀区闵庄路3号清华科技园玉泉慧谷一期1号楼(72)发明人张锐盛颖肖新光(74)专利代理机构北京锺维联合知识产权代理有限公司11579代理人郑明明(51)Int.Cl.G06F21/56(2013.01)G06F21/55(2013.01)权利要求书2页说明书7页附图4页(54)发明名称勒索病毒检测方法、装置、计算机设备及存储介质(57)摘要本申请提供了一种勒索病毒检测方法、装置、计算机设备及存储介质，涉及网络安全技术领域，用于减少诱饵文件所占用的存储空间，减少系统资源消耗。方法主要包括：实获取预置目录的目录信息；实时检测是否存在可疑进程遍历目标根目录；若存在可疑进程遍历所述目标根目录，根据预置目录的目录信息在所述目标根目录下创建诱饵目录，在诱饵目录下创建多个文档类型的虚拟的诱饵文件；将虚拟的诱饵文件的路径重定向到预置目录下的诱饵文件上；当可疑进程对诱饵目录中的虚拟的诱饵文件进行操作时，根据可疑进程对虚拟的诱饵文件重定向到的预置目录中的诱饵文件的操作结果，确定可疑进程是否为勒索病毒。CN114254318ACN114254318A权利要求书1/2页1.一种勒索病毒检测方法，其特征在于，所述方法包括：获取预置目录的目录信息，所述预置目录包括多个真实创建的诱饵文件，所述诱饵文件包括多种文档类型；实时检测是否存在可疑进程遍历目标根目录，所述目标根目录为需要防御勒索病毒的目标目录所在的根目录；若存在可疑进程遍历所述目标根目录，根据所述预置目录的目录信息在所述目标根目录下创建诱饵目录，在所述诱饵目录下创建多个文档类型的虚拟的诱饵文件；将所述虚拟的诱饵文件的路径重定向到所述预置目录下的诱饵文件上；当所述可疑进程对所述诱饵目录中的虚拟的诱饵文件进行操作时，根据所述可疑进程对所述虚拟的诱饵文件重定向到的所述预置目录中的诱饵文件的操作结果，确定所述可疑进程是否为勒索病毒。2.根据权利要求1所述的方法，其特征在于，在实时检测是否存在可疑进程遍历目录信息之前，所述方法还包括：加载文件过滤驱动，拦截所有进程对所述目标目录的遍历、对目标文件的打开和/或查询所述目标文件的文件信息，所述目标目录为需要防御勒索病毒的目录。3.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：若存在可疑进程遍历所述诱饵目录，则获取所述诱饵目录的目录信息；将所述诱饵目录的目录信息反馈给所述可疑进程。4.根据权利要求1或2所述的方法，其特征在于，所述方法还包括：若存在可疑进程查询所述虚拟的诱饵文件的文件信息，则获取所述虚拟的诱饵文件重定向到的所述预置目录中的诱饵文件；获取重定向的所述预置目录中的诱饵文件的文件信息；将所述诱饵文件的文件信息反馈给所述可疑进程。5.根据权利要求1所述的方法，其特征在于，所述将所述虚拟的诱饵文件的路径重定向到所述预置目录下的诱饵文件上，包括：获取所述预置目录下未被重定向的诱饵文件；将所述虚拟的诱饵文件的路径重定向到所述未被重定向的诱饵文件上。6.根据权利要求5所述的方法，其特征在于，所述将所述虚拟的诱饵文件的路径重定向到所述未被重定向的诱饵文件上，包括：确定所述虚拟的诱饵文件分别对应的文件类型；将所述虚拟的诱饵文件的路径重定向到与所述虚拟的诱饵文件的文件类型相同的，且所述未被重定向的诱饵文件上。7.根据权利要求2所述的方法，其特征在于，所述方法还包括：停止所述文件过滤驱动，删除在所述目标根目录中创建的诱饵目录，以及所述诱饵目录中的虚拟的诱饵文件。8.一种勒索病毒检测装置，其特征在于，所述装置包括：获取模块，用于获取预置目录的目录信息，所述预置目录包括多个真实创建的诱饵文件，所述诱饵文件包括多种文档类型；检测模块，用于实时检测是否存在可疑进程遍历目标根目录，所述目标根目录为需要2CN114254318A权利要求书2/2页防御勒索病毒的目标目录所在的根目录；创建模块，用于若存在可疑进程遍历所述目标根目录，根据所述预置目录的目录信息在所述目标根目录下创建诱饵目录，在所述诱饵目录下创建多个文档类型的虚拟的诱饵文件；重定向模块，用于将所述虚拟的诱饵文件的路径重定向到所述预置目录下的诱饵文件上；确定模块，用于当所述可疑进程对所述诱饵目录中的虚拟的诱饵文件进行操作时，根据所述可疑进程对所述虚拟的诱饵文件重定向到的所述预置目录中的诱饵文件的操作结果，确定所述可疑进程是否为勒索病毒。9.一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所