(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111444503A(43)申请公布日2020.07.24(21)申请号202010219807.X(22)申请日2020.03.25(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人黄得雄(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人王兆林(51)Int.Cl.G06F21/56(2013.01)H04L29/06(2006.01)权利要求书2页说明书13页附图3页(54)发明名称一种检测勒索病毒的方法、装置、系统和介质(57)摘要本发明实施例公开了一种检测勒索病毒的方法、装置、系统和介质，获取用于记录文件操作行为的流量日志。依据文件加密前和加密后的状态信息预先设置病毒侵袭评分规则。按照该病毒侵袭评分规则，对流量日志进行评估，以得到流量日志对应的评分值。评分值反映了客户端当前的操作行为与正常操作行为的偏离程度。若流量日志的评分值不满足预设条件时，则判定流量日志所对应的客户端被勒索病毒侵袭，并且判定流量日志所包含的文件属于勒索病毒加密文件。在该技术方案中，依据流量日志所反映的客户端的操作行为，对文件加密前后的状态进行评估，可以不局限于已知类型的勒索病毒的检测，有效的提升了勒索病毒检测的准确性。CN111444503ACN111444503A权利要求书1/2页1.一种检测勒索病毒的方法，其特征在于，包括：获取用于记录文件操作行为的流量日志；按照预先设定的病毒侵袭评分规则，对所述流量日志进行评估，以得到所述流量日志对应的评分值；其中，所述病毒侵袭评分规则依据文件加密前及加密后的状态信息设置；若所述流量日志的评分值不满足预设条件时，则判定所述流量日志所对应的客户端被勒索病毒侵袭，并且判定所述流量日志所包含的文件属于勒索病毒加密文件。2.根据权利要求1所述的方法，其特征在于，所述按照预先设定的病毒侵袭评分规则，对所述流量日志进行评估，以得到所述流量日志对应的评分值包括：依据所述流量日志中记录的文件操作行为，将所述流量日志中符合加密模式的文件数据作为第一数据集，不符合所述加密模式的文件数据作为第二数据集；其中，所述加密模式按照勒索病毒加密文件的操作行为预先设置；按照预先设定的文件访问规则，对所述第一数据集中包含的各文件数据进行评估，以得到所述流量日志对应的文件分数；根据预先建立的解密提示信息特征库，对所述第二数据集中包含的各文件数据进行匹配处理，以得到所述流量日志对应的匹配分数；将所述文件分数和所述匹配分数进行加权求和，以得到所述流量日志对应的评分值。3.根据权利要求2所述的方法，其特征在于，所述根据预先建立的解密提示信息特征库，对所述第二数据集中包含的各文件数据进行匹配处理，以得到所述流量日志对应的匹配分数包括：依据所述第二数据集中各文件数据携带的数据信息，筛选出所述第二数据集中包含有解密文件标识的至少一个文件数据；统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目；根据所述文件数目以及预先设定的分数值，得到所述流量日志对应的匹配分数。4.根据权利要求3所述的方法，其特征在于，在所述统计所有所述文件数据中与预先建立的解密提示信息特征库相匹配的文件数目之后还包括：当所述文件数目超过预设的上限值时，则判定与所述解密提示信息特征库相匹配的文件属于勒索病毒加密文件。5.根据权利要求2所述的方法，其特征在于，所述按照预先设定的文件访问规则，对所述第一数据集中包含的各文件数据进行评估，以得到所述流量日志对应的文件分数包括：根据所述第一数据集包含的所有文件在读写前后的文件区别信息，对所述流量日志设置第一分数值；依据所述第一数据集的文件数据在预设时间段内的访问流量，对所述流量日志设置第二分数值；根据所述第一数据集所对应的连接时间以及在所述连接时间内文件访问次数，计算出所述流量日志的访问频率；查询预先建立的频率与分数值的对应关系，确定出所述流量日志的第三分数值；根据所述流量日志的第一分数值、第二分数值、第三分数值，计算出所述流量日志对应的文件分数。6.根据权利要求5所述的方法，其特征在于，所述根据所述第一数据集包含的所有文件2CN111444503A权利要求书2/2页在读写前后的文件区别信息，对所述流量日志设置第一分数值包括：判断读写前和读写后的文件名称发生同类型变化的概率值是否超过预设概率值；若否，则将所述第一数据集所包含的文件的名称得分设置为零；若是，则将所述第一数据集所包含的文件的名称得分设置为预设分值；计算所述第一数据集中各个文件在读写前和读写后的文件内容的相似度；查询预先建立的相似度与分数值的对应关系，确定出所述第一数据集所包含的文件对应的内容得分；