(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN111027065A(43)申请公布日2020.04.17(21)申请号201911028271.7(22)申请日2019.10.28(71)申请人哈尔滨安天科技集团股份有限公司地址150028黑龙江省哈尔滨市哈尔滨高新技术产业开发区科技创新城创新创业广场7号楼（世坤路838号）(72)发明人邢洋童志明黄磊何公道(51)Int.Cl.G06F21/56(2013.01)G06K9/62(2006.01)权利要求书2页说明书6页附图2页(54)发明名称一种勒索病毒识别方法、装置、电子设备及存储介质(57)摘要本发明实施例提供了一种勒索病毒识别方法、装置、电子设备及存储介质，用以解决现有技术通常是基于病毒特征库进行特征匹配检测，而对于未知勒索病毒的检测效果不理想的问题。该方法包括：建立勒索病毒信息库；提取待测样本的二进制可执行文件内嵌图片；提取所述图片的内嵌信息，筛选勒索关键字信息；利用加权算法，将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定，输出判定的检测结果。CN111027065ACN111027065A权利要求书1/2页1.一种勒索病毒识别方法，其特征在于，包括：建立勒索病毒信息库；提取待测样本的二进制可执行文件内嵌图片；提取所述图片的内嵌信息，筛选勒索关键字信息；利用加权算法，将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定，输出判定的检测结果。2.如权利要求1所述的方法，其特征在于，所述建立勒索病毒信息库，具体为：收集已知勒索病毒二进制可执行文件；提取已知勒索病毒二进制可执行文件内嵌图片；提取所述图片的内嵌信息，筛选勒索关键字信息；按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中，多个所述不同信誉等级的信誉库建立勒索病毒信息库；其中，不同信誉等级的信誉库设有不同的权重值。3.如权利要求1所述的方法，其特征在于，所述提取待测样本的二进制可执行文件内嵌图片，具体为：解析样本的二进制可执行文件结构；判断所述二进制可执行文件结构中是否含有内嵌图片；若含有内嵌图片，则提取所有的内嵌图片。4.如权利要求1所述的方法，其特征在于，所述提取所述图片的内嵌信息，包括：图片中的元数据信息，属性信息，文本信息。5.如权利要求2所述的方法，其特征在于，所述利用加权算法，将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定，具体为：统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目；利用各匹配数目及与其对应信誉库的权重值，根据加权算法，计算出待测样本的检测权值；将所述检测权值与预设的标准检测阈值进行比较，若超过所述标准检测阈值，则待测样本判定为勒索病毒。6.一种勒索病毒识别装置，其特征在于，信息库设立单元：用于建立勒索病毒信息库；内嵌图片提取单元：用于提取待测样本的二进制可执行文件内嵌图片；关键字筛选单元：用于提取所述图片的内嵌信息，筛选勒索关键字信息；检测结果判定单元：用于利用加权算法，将所述勒索关键字信息与所述勒索病毒信息库中的信息进行匹配判定，输出判定的检测结果。7.如权利要求6所述的装置，其特征在于，所述信息库设立单元还包括：文件收集单元：用于收集已知勒索病毒二进制可执行文件；内嵌图片提取单元二：用于提取已知勒索病毒二进制可执行文件内嵌图片；关键字筛选单元二：用于提取所述图片的内嵌信息，筛选勒索关键字信息；勒索病毒信息库设立单元：按照关键字信息内容将全部勒索关键字信息分到不同信誉等级的信誉库中，多个所述不同信誉等级的信誉库建立勒索病毒信息库；其中，不同信誉等2CN111027065A权利要求书2/2页级的信誉库设有不同的权重值。8.如权利要求6所述的装置，其特征在于，内嵌图片提取单元，还包括：结构解析单元：用于解析样本的二进制可执行文件结构；内嵌图片判断单元：用于判断所述二进制可执行文件结构中是否含有内嵌图片；提取单元：若含有内嵌图片，则提取所有的内嵌图片。9.如权利要求6所述的装置，其特征在于，所述提取所述图片的内嵌信息，包括：图片中的元数据信息，属性信息，文本信息。10.如权利要求7所述的装置，其特征在于，检测结果判定单元还包括：统计单元：用于统计待测样本勒索关键字信息与所述勒索病毒信息库中各信誉库信息匹配的数目；权值计算单元：用于利用各匹配数目及与其对应信誉库的权重值，根据加权算法，计算出待测样本的检测权值；判定单元：用于将所述检测权值与预设的标准检测阈值进行比较，若超过所述标准检测阈值，则待测样本判定为勒索病毒。11.一种电子设备，其特征在于，所述电子设备包括：壳体、处理器、存储器、电路板和电源电路，其中，电路板安置在壳体围成的空间内部，处理器和存储器设置在电路板上；电源电路，用于为