(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112560031A(43)申请公布日2021.03.26(21)申请号202011276018.6(22)申请日2020.11.16(71)申请人杭州美创科技有限公司地址310011浙江省杭州市拱墅区丰潭路508号天行国际中心7幢12楼(72)发明人王月兵刘隽良柳遵梁覃锦端王中天毛菲(74)专利代理机构杭州杭诚专利事务所有限公司33109代理人刘正君(51)Int.Cl.G06F21/56(2013.01)权利要求书3页说明书11页附图1页(54)发明名称一种勒索病毒检测方法及系统(57)摘要本发明公开了一种勒索病毒检测方法及系统。解决了传统勒索病毒检测识别基于已知恶意行为特征库，无法有效识别多变的勒索病毒的问题。方法包括对文件及目录进行监控，提取行为特征，进行异常检测，若存在异常，判断对应应用为勒索病毒，对勒索病毒进行处理。本发明能够利用已知勒索病毒特征库、文件行为操作特征，以勒索病毒实时运行、操作行为数据流量为依托，以文件行为操作特征为共识，在已知恶意特征库之上追加自动化判别其中访问对象、操作行为与操作应用，从而精准判别异常行应用为检测勒索病毒。CN112560031ACN112560031A权利要求书1/3页1.一种勒索病毒检测方法，其特征在于：包括以下步骤：S1.对文件及目录进行监控，记录对文件或目录的操作行为；S2.分析操作行为提取行为特征；S3.对诱饵文件进行异常检测，对操作方法进行异常检测，通过恶意特征库匹配进行异常检测，通过正常行为特征库匹配进行异常检测，输出各异常检测结果；S4.异常检测存在异常，判断对应操作应用为勒索病毒；S5.对勒索病毒进行处理。2.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对诱饵文件进行异常检测过程包括：S301.预先制作诱饵文件，设定诱饵文件名为最小数字或ASCII小的字符，将诱饵文件置于非系统盘下ASCII小的目录名下的目录；S302.分析行为特征，是否存在对诱饵文件操作的应用；S303.若存在，确定对诱饵文件操作的应用，输出Wf0=1，反之Wf0=0。3.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括回收站输入异常检测，回收站输入异常检测过程包括：S311.分析行为特征，提取回收站骤量输入相关值；S312.进行回收站骤量输入检测计算，Tfx{(R,H)}其中，R为被监控的回收站目录，H为统计周期，Tfx为时间H内，R目录内由相同操作应用新增文件个数；S313.进行异常比较，Wf1{(Tfx,N)}其中，N为指定的阈值；当Tfx>N时，则Wf1{(Tfx,N)}=1,当Tfx<N时，则Wf1{(Tfx,N)}=0。4.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括文件名修改异常检测，文件名修改异常检测过程包括：S321.分析行为特征，提取批量文件名修改相关值；S322.进行批量文件名修改经常计算，Qfx{(Fx,M,H)}其中Fx为被监控的目录集合，M为后缀名，Qfx为时间H内，Fx目录内新增特定后缀名M的文件数量；S323.进行异常比较，Wf2{(Qfx,N)}当Qfx>N时，则Wf2{(Qfx,N)}=1,当Qfx<N时，则Wf2{(Qfx,N)}=0。2CN112560031A权利要求书2/3页5.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中对操作方法进行异常检测包括文件新增异常检测，文件新增异常检测过程包括：S331.分析行为特征，提取相同文件新增相关值；S332.进行相同文件新增计算，Pfx{(Fx,S,H)}其中Fx为被监控的目录集合，S为新增文件名，Pfx为时间H内，Fx目录内新增文件名S的文件数量；S333.进行异常比较，Wf3{(Pfx,N)}当Pfx>N时，则Wf3{(Pfx,N)}=1，当Pfx<N时，则Wf3{(Pfx,N)}=0。6.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中通过恶意特征库匹配进行异常检测的过程包括：S341.设置静态的恶意特征库R(r1,r2,r3...rn)，其中r1…rn为已收集到的勒索病毒应用的hash值；S342.生成应用的静态特征，Yfx{(a)}其中a为操作应用路径，通过Yfx生成操作应用的hash值；S343.进行异常比较，Wf4{(Yfx,R(r1,r2,r3...rn))}当Yfx∈R(r1,r2,r3...rn)时，则Wfx{(Yfx,R(r1,r2,r3...rn))}=1,反之则Wfx{(Yfx,R(r1,r2,r3...rn))}=0。7.根据权利要求1所述的一种勒索病毒检测方法，其特征是步骤S3中通过正常