(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN112329014A(43)申请公布日2021.02.05(21)申请号202011357398.6(22)申请日2020.11.27(71)申请人杭州安恒信息技术股份有限公司地址310051浙江省杭州市滨江区西兴街道联慧街188号(72)发明人周玉刚范渊(74)专利代理机构杭州华进联浙知识产权代理有限公司33250代理人何晓春(51)Int.Cl.G06F21/56(2013.01)权利要求书2页说明书9页附图3页(54)发明名称一种病毒识别防御方法、装置、存储介质及设备(57)摘要本申请涉及一种病毒识别防御方法、装置、存储介质及设备，方法包括：通过主机行为分析，识别恶意程序；对恶意程序的日志进行识别，确定恶意程序的攻击行为；根据恶意程序的攻击行为，采用对应的预设策略对恶意程序的攻击行为进行防御。本发明通过主机行为分析，识别恶意程序，并基于对恶意程序的日志进行识别，以确定恶意程序产生的各种行为动作以及其影响和意图，最终确定攻击行为，以便采用对应的应对策略对该攻击行为进行有效防御，从而实现对未知勒索病毒进行准确识别和联动防御。CN112329014ACN112329014A权利要求书1/2页1.一种病毒识别防御方法，其特征在于，所述方法包括：通过主机行为分析，识别恶意程序；对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为；根据所述恶意程序的攻击行为，采用对应的预设策略对所述恶意程序的攻击行为进行防御。2.根据权利要求1所述的病毒识别防御方法，其特征在于，所述通过主机行为分析，识别恶意程序的步骤包括：通过主机追踪技术收集系统日志；根据所述系统日志及系统对象调用关系，生成调用关系图；采用图聚类方法对所述调用关系图进行聚类，识别出所述恶意程序产生的社区。3.根据权利要求1或2所述的病毒识别防御方法，其特征在于，对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为的步骤包括：根据所述恶意程序的日志所针对的数据类型，对所述恶意程序的日志进行分类；采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为。4.根据权利要求3所述的病毒识别防御方法，其特征在于，所述目标类别中包含多个预设子事件，采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为的步骤包括：计算所述恶意程序的日志触发所述预设子事件的数量占所述预设子事件总数的比率，得到匹配度；判断所述匹配度是否大于阈值；若是，则判定所述恶意程序存在对所述目标类别对应的数据类型的攻击行为。5.根据权利要求3所述的病毒识别防御方法，其特征在于，所述目标类别中包含多个预设子事件，采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为的步骤包括：判断所述恶意程序的日志是否触发所述预设子事件；若是，则判定所述恶意程序存在与所述预设子事件对应性质的攻击行为。6.根据权利要求1所述的病毒识别防御方法，其特征在于，所述预设策略包括启动网络防火墙、流量阻断、和端口/IP屏蔽。7.根据权利要求1所述的病毒识别防御方法，其特征在于，通过主机行为分析，识别恶意程序的步骤包括：提取所述恶意程序的动态特征，所述动态特征包括首次启动时间、加密尝试次数和是否产生过外联行为；当判断到所述恶意程序存在违规外联行为、且首次启动时间差在预设时段内、且加密尝试次数超过预设次数，则判定所述恶意程序为疑似勒索病毒。8.一种病毒识别防御装置，其特征在于，所述装置包括：病毒识别模块，用于通过主机行为分析，识别恶意程序；行为识别模块，用于对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为；病毒防御模块，用于根据所述恶意程序的攻击行为，采用对应的预设策略对所述恶意2CN112329014A权利要求书2/2页程序的攻击行为进行防御。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1－7任一所述的病毒识别防御方法。10.一种病毒识别防御设备，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1－7任一所述的病毒识别防御方法。3CN112329014A说明书1/9页一种病毒识别防御方法、装置、存储介质及设备技术领域[0001]本申请涉及网络安全技术领域，特别涉及一种病毒识别防御方法、装置、存储介质及设备。背景技术[0002]近几年勒索病毒广泛传播，各种加密和索要赎金的安全事件频发。尤其是工业生产企业的工业主机，被加密后的主机无法使用，直接关系到企业的生产是否可以继续，所以对工业企业的勒索更加行之有效。[0003]然而，目前传统的主机防护软