(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111600893A(43)申请公布日2020.08.28(21)申请号202010426631.5(22)申请日2020.05.19(71)申请人山石网科通信技术股份有限公司地址215163江苏省苏州市高新区景润路181号(72)发明人王博赵烨王镜清杨升邱丽丽(74)专利代理机构北京康信知识产权代理有限责任公司11240代理人霍文娟(51)Int.Cl.H04L29/06(2006.01)G06F21/56(2013.01)权利要求书2页说明书11页附图3页(54)发明名称勒索软件的防御方法、装置、存储介质、处理器和主机(57)摘要本申请提供了一种勒索软件的防御方法、装置、存储介质、处理器和主机，该勒索软件的防御方法包括：获取被测软件的监控日志，监控日志用于记录第一文件名称和第二文件名称，第一文件名称为被测软件创建文件的名称，第二文件名称为被测软件删除文件的名称；获取预定时间内第一文件名称的数量以及第二文件名称的数量；根据第一文件名称、第二文件名称、第一文件名称的数量以及第二文件名称的数量确定被测软件是否为勒索软件；在被测软件是否为勒索软件的情况下，阻断被勒索软件入侵的主机的网络连接。相比于现有技术深度介入用户环境且建立受保护存储区的技术方案，上述防御方法实施难度低且部署简单，适用于网络安全方案中。CN111600893ACN111600893A权利要求书1/2页1.一种勒索软件的防御方法，其特征在于，包括：获取被测软件的监控日志，所述监控日志用于记录第一文件名称和第二文件名称，所述第一文件名称为所述被测软件创建文件的名称，所述第二文件名称为所述被测软件删除文件的名称；获取预定时间内所述第一文件名称的数量以及所述第二文件名称的数量；根据所述第一文件名称、所述第二文件名称、所述第一文件名称的数量以及所述第二文件名称的数量确定所述被测软件是否为勒索软件；在所述被测软件是否为勒索软件的情况下，阻断被所述勒索软件入侵的主机的网络连接。2.根据权利要求1所述的防御方法，其特征在于，根据所述第一文件名称、所述第二文件名称、所述第一文件名称的数量以及所述第二文件名称的数量确定所述被测软件是否为勒索软件包括：确定所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量是否均大于或者等于预定阈值；确定所述第一文件名称是否包含对应的所述第二文件名称，所述第一文件名称与所述第二文件名称一一对应；在所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量均大于或者等于所述预定阈值且所述第一文件名称包含对应的所述第二文件名称的情况下，确定所述被测软件为勒索软件。3.根据权利要求2所述的防御方法，其特征在于，所述预定时间为3min～8min，所述预定阈值为8～15。4.根据权利要求1所述的防御方法，其特征在于，在阻断被所述勒索软件入侵的主机的网络连接之前，所述防御方法还包括：确定所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量是否均大于或者等于预定阈值；确定所述第一文件名称是否包含对应的所述第二文件名称，所述第一文件名称与所述第二文件名称一一对应；在所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量均大于或者等于所述预定阈值且所述第一文件名称包含对应的所述第二文件名称的情况下，确定所述被测软件为疑似勒索软件；在所述第一文件名称和所述第二文件名称相同且所述第一文件名称对应的文件位置与所述第二文件名称对应的文件位置相同的情况下，确定所述疑似勒索软件为勒索软件。5.根据权利要求1所述的防御方法，其特征在于，在阻断被所述勒索软件入侵的主机的网络连接之前，所述防御方法还包括：确定所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量是否均大于或者等于预定阈值；确定所述第一文件名称是否包含对应的所述第二文件名称，所述第一文件名称与所述第二文件名称一一对应；在所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量均大于或者2CN111600893A权利要求书2/2页等于所述预定阈值且所述第一文件名称包含对应的所述第二文件名称的情况下，确定所述被测软件为疑似勒索软件；在各所述第一文件名称的前缀均相同的情况下，确定所述疑似勒索软件为勒索软件。6.根据权利要求1所述的防御方法，其特征在于，在阻断被所述勒索软件入侵的主机的网络连接之前，所述防御方法还包括：确定所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量是否均大于或者等于预定阈值；确定所述第一文件名称是否包含对应的所述第二文件名称，所述第一文件名称与所述第二文件名称一一对应；在所述预定时间内所述第一文件名称的数量和所述第二文件名称的数量均大于或者等于所述预定阈值且所述第一文件名称包含对应的所