(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110941822A(43)申请公布日2020.03.31(21)申请号201811106882.4(22)申请日2018.09.21(71)申请人武汉安天信息技术有限责任公司地址430000湖北省武汉市东湖新技术开发区花城大道8号武汉软件新城产业三期C20号楼(72)发明人钟翔马志远陈柱高坤(51)Int.Cl.G06F21/55(2013.01)G06F21/56(2013.01)权利要求书1页说明书10页附图8页(54)发明名称勒索病毒的检测方法及装置(57)摘要本发明实施例提供一种勒索病毒的检测方法，包括：确定历史勒索病毒遍历终端文件的顺序；根据确定的历史勒索病毒遍历终端文件的顺序，在终端上部署污点文件，以确保勒索病毒在遍历到终端任一重要文件之前，先遍历所述污点文件；当监控到所述污点文件的操作状态异常时，获取所述终端当下的所有进程；若某个进程满足勒索病毒库的任一特定属性，则与所述进程对应的软件为勒索病毒。相较于在终端设备上部署污点文件，并对I/O类操作对应的每个API接口进行监控以检测勒索病毒的方法，一方面本发明对污点文件的操作状态监控时获取污点文件的操作状态的频率远不及I/O操作的频率，因此监控成本较小，系统运行损耗较小；另一方面，本发明对污点文件的操作状态监控与I/O类操作相互独立，不会影响的I/O操作速度，具有较强的可行性，适合推广使用。CN110941822ACN110941822A权利要求书1/1页1.一种勒索病毒的检测方法，其特征在于，包括：确定历史勒索病毒遍历终端文件的顺序；根据确定的历史勒索病毒遍历终端文件的顺序，在终端上部署污点文件，以确保勒索病毒在遍历到终端任一重要文件之前，先遍历所述污点文件；当监控到所述污点文件的操作状态异常时，获取所述终端当下的所有进程；若某个进程满足勒索病毒库的任一特定属性，则与所述进程对应的软件为勒索病毒。2.根据权利要求1所述的勒索病毒的检测方法，其特征在于，还包括：根据第一规则对所述污点文件进行命名，所述第一规则为所述污点文件的名称字符串比所述终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高，所述名称字符串包括汉字、字母、数字和键盘符号中至少一种。3.根据权利要求2所述的勒索病毒的检测方法，其特征在于，所述方法还包括：根据第二规则确定所述污点文件的创建时间，所述第二规则为根据文件的修改时间递增和/或递减的遍历顺序，所述污点文件排在所述终端上所有重要文件之前。4.根据权利要求2或3所述的勒索病毒的检测方法，其特征在于，所述方法还包括：在所述终端上所有重要文件所在的路径上部署所述污点文件。5.根据权利要求4所述的勒索病毒的检测方法，其特征在于，所述当监控到所述污点文件的操作状态异常时，获取所述终端当下的所有进程，具体包括：当监控到所述污点文件的操作状态异常时，获取所述终端当下的、对应软件启动次数小于预设阈值的所有进程。6.根据权利要求5所述的勒索病毒的检测方法，其特征在于，所述特定属性包括应用名称、包名、证书和图标中至少一种。7.根据权利要求6所述的勒索病毒的检测方法，其特征在于，所述重要文件为常被攻击的文件或用户自定义的重要文件。8.一种勒索病毒的检测装置，其特征在于，包括：确定模块，用于确定历史勒索病毒遍历终端文件的顺序；部署模块，用于根据确定的历史勒索病毒遍历终端文件的顺序，在终端上部署污点文件，以确保勒索病毒在遍历到终端任一重要文件之前，先遍历所述污点文件；获取模块，用于当监控到所述污点文件的操作状态异常时，获取所述终端当下的所有进程；检测模块，用于若某个进程满足勒索病毒库的任一特定属性，则与所述进程对应的软件为勒索病毒。9.一种计算机设备，其特征在于，包括：处理器；以及用于存放计算机程序的存储器，所述处理器用于执行所述存储器上所存放的计算机程序，以实现如权利要求1-7中任一权利要求所述的勒索病毒的检测方法。10.一种计算机存储介质，其特征在于，所述计算机存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1-7中任一权利要求所述的勒索病毒的检测方法。2CN110941822A说明书1/10页勒索病毒的检测方法及装置技术领域[0001]本发明实施例涉及移动信息安全技术领域，尤其涉及一种勒索病毒的检测方法及装置。背景技术[0002]勒索病毒，是一种对终端设备上的文件进行加密以勒索终端设备用户的恶意软件。由于制造门槛较低、获利极快等特点，近年来勒索病毒逐渐增多，攻击对象从服务器、PC端延伸至手机终端，被勒索对象从学校、企业延伸至个人用户。大量勒索病毒的出现，带来的是惨重的经济损失，因此，及时检测出终端设备上的勒索病毒避免终端设备用户遭受勒索迫在眉睫