一種病毒防護方法技術

本發明專利技術涉及信息安全技術領域，一種病毒防御方法及系統，所述病毒防御方法應用于信息防護系統，所述方法包括：分析當前主機行為，識別可疑程序；針對每一個可疑程序，計算所述可疑程序的異常行為分值；判斷所述異常分值是否超過預設閾值；若是，確定所述可疑程序為病毒程序；將所述病毒程序對應的異常行為分類并添加對應的異常標識；將所述病毒程序掛起以攔截所述病毒程序

【技術實現步驟摘要】
一種病毒防護方法、裝置、電子設備及存儲介質


[0001]本專利技術涉及網絡安全
，尤其是涉及一種病毒防御方法
、
裝置
、
電子設備及存儲介質
。

技術介紹

[0002]隨著互聯網通信技術快速發展，許多勒索病毒也隨之出現，一旦感染勒索病毒，會將磁盤上的文件加密，導致重要文件無法讀取
、
關鍵數據損壞等影響正常使用的情況，為了指引被感染者繳納贖金，勒索病毒還會在桌面等明顯位置生成勒索提示文件，給使用者造成了困擾和經濟損失
。
[0003]目前勒索軟件檢測方法主要基于特征
、
行為及其結合的方法，然而這些方法存在特征匹配困難
、
行為分析復雜
、
數據儲量較大，防護效果不穩定的缺點，導致病毒防御效率較低
。

技術實現思路

[0004]有鑒于此，本專利技術的目的在于提供一種病毒防御方法及系統，以提高病毒識別效率
、
病毒防御效率
。
[0005]第一方面，本專利技術實施例提供了一種病毒防御方法，應用于信息防護系統，所述方法包括：
[0006]分析當前主機行為，識別可疑程序；
[0007]針對每一個可疑程序，計算所述可疑程序的異常行為分值；
[0008]判斷所述異常行為分值是否超過預設閾值；
[0009]若是，確定所述可疑程序為病毒程序；
[0010]將所述病毒程序對應的異常行為分類并添加對應的異常標識；<br/>[0011]將所述病毒程序掛起以攔截所述病毒程序；
[0012]響應針對所述病毒程序的確認防御操作，根據預設映射關系，對具有所述異常標識的病毒程序防御處理
。
[0013]結合第一方面，所述信息防護系統內存儲有行為基線；
[0014]所述分析當前主機行為，識別可疑程序的步驟，包括：
[0015]獲取采樣周期內至少一個當前主機行為；
[0016]針對每個所述當前主機行為，判斷所述當前主機行為是否偏離所述行為基線；
[0017]若是，將所述當前主機行為標記為可疑程序
。
[0018]結合第一方面，計算所述可疑程序的異常行為分值的步驟，包括：
[0019]針對每一個可疑程序，獲取與所述可疑程序的進程
ID
信息上下關聯的異常行為；其中，所述異常行為至少包括以下之一：對主機文件進行惡意加密
、
修改目標文件后綴為惡意加密后綴
、
添加注冊表啟動項
、
刪除備份文件
、
修改桌面背景；
[0020]獲取所述可疑程序運行過程中修改誘餌文件的數量；
[0021]針對每個誘餌文件，查找所述數據庫中所述誘餌文件的操作評分；
[0022]針對每個可疑程序，執行所述可疑程序并根據預設規則計算異常行為分值
。
[0023]結合第一方面，
[0024]執行所述可疑程序并根據預設規則計算異常行為分值的步驟，包括：
[0025]以如下算式計算：
[0026]P
＝
w1
×
M+w2
×
∑n
i
×
f(M)
；
[0027]M
＝
α
×
C+
β
×
A+
γ
×
D+
δ
×
E
；
[0028]其中，
w1、w2
為權重系數，且
w1+w2
＝1；
α
，
β
，
γ
和
δ
：這些系數代表每個操作維度的權重，它們之間的關系為
α
+
β
+
γ
+
δ
＝1；
M
為誘餌文件操作評分，
C
為誘餌文件修改次數
(
與加密行為相關
)
，
A
為誘餌文件訪問次數，
D
為誘餌文件移動次數，
E
為加密活動指標；
f(M)
為病毒特征函數
。
[0029]結合第一方面，所述數據庫包括主機行為列表，將所述病毒程序掛起的步驟之后，還包括：
[0030]響應針對所述病毒程序的否認操作，將所述病毒程序標記為可運行程序并添加至所述主機行為列表
。
[0031]結合第一方面，將所述病毒程序標記為可運行程序并添加至所述主機行為列表的步驟之后，還包括：
[0032]響應針對所述行為基線的調整操作，根據所述可運行程序調整所述行為基線
。
[0033]結合第一方面，分析所述當前主機行為，識別可疑程序的步驟之前還包括：
[0034]在一個學習周期中學習主機行為并將所述主機行為保存于所述主機行為列表中；
[0035]響應針對所述主機行為的確認操作，根據所述主機行為生成行為基線并保存
。
[0036]第二方面，本申請提供一種病毒防御裝置，應用于信息防護系統，所述裝置包括：
[0037]分析識別模塊，用于分析當前主機行為，識別可疑程序；
[0038]計算模塊，用于針對每一個可疑程序，計算所述可疑程序的異常行為分值；
[0039]判斷模塊，用于判斷所述異常行為分值是否超過預設閾值；
[0040]確定模塊，用于在所述異常行為分值是否超過預設閾值的情況下，確定所述可疑程序為病毒程序；
[0041]分類模塊，用于將所述病毒程序對應的異常行為分類并添加對應的異常標識；
[0042]攔截模塊，用于將所述病毒程序掛起以攔截所述病毒程序；
[0043]防御處理模塊，用于響應針對所述病毒程序的確認防御操作，根據預設映射關系，對具有所述異常標識的病毒程序防御處理
。
[0044]第三方面，本申請提供一種電子設備，包括存儲器和處理器，所述存儲器中存儲有計算機程序，所述處理器執行所述計算機程序以實現如上述的方法
。
[0045]第四方面，本申請提供一種存儲介質，所述存儲介質存儲有計算機可執行程序，所述程序被處理器執行，以實現上述的方法
。
[0046]本專利技術實施例帶來了以下有益效果：本專利技術提供了一種病毒防御方法及系統，所述病毒防御方法應用于信息防護系統，所述方法包括：分析當前主機行為，識別可疑程序；針對每一個可疑程序，計算所述可疑程序的異常行為分值；判斷所述異常分值是否超過預設閾值；若是，確定所述可疑程序為病毒程序；將所述病毒程序對應的異常行為分類并添加
對應的異常標識；將所述病毒程序掛起以攔截所述病毒程序；響應針對所述病毒程序的確認防御操作，根據預設映射關系，對具有所述異常標識的病毒程序防御處理...

【技術保護點】

【技術特征摘要】
1.
一種病毒防御方法，其特征在于，應用于信息防護系統，所述方法包括：分析當前主機行為，識別可疑程序；針對每一個可疑程序，計算所述可疑程序的異常行為分值；判斷所述異常行為分值是否超過預設閾值；若是，確定所述可疑程序為病毒程序；將所述病毒程序對應的異常行為分類并添加對應的異常標識；將所述病毒程序掛起以攔截所述病毒程序；響應針對所述病毒程序的確認防御操作，根據預設映射關系，對具有所述異常標識的病毒程序防御處理
。2.
根據權利要求1所述的方法，其特征在于，所述信息防護系統內存儲有行為基線；所述分析當前主機行為，識別可疑程序的步驟，包括：獲取采樣周期內至少一個當前主機行為；針對每個所述當前主機行為，判斷所述當前主機行為是否偏離所述行為基線；若是，將所述當前主機行為標記為可疑程序
。3.
根據權利要求1所述的方法，其特征在于，計算所述可疑程序的異常行為分值的步驟，包括：針對每一個可疑程序，獲取與所述可疑程序的進程
ID
信息上下關聯的異常行為；其中，所述異常行為至少包括以下之一：對主機文件進行惡意加密
、
修改目標文件后綴為惡意加密后綴
、
添加注冊表啟動項
、
刪除備份文件
、
修改桌面背景；獲取所述可疑程序運行過程中修改誘餌文件的數量；針對每個誘餌文件，查找數據庫中所述誘餌文件的操作評分；針對每個可疑程序，執行所述可疑程序并根據預設規則計算異常行為分值
。4.
根據權利要求1所述的方法，其特征在于，執行所述可疑程序并根據預設規則計算異常行為分值的步驟，包括：以如下算式計算：
P
＝
w1
×
M+w2
×
∑n
i
×
f(M)
；
M
＝
α
×
C+
β
×
A+
γ
×
D+
δ
×
E
；其中，
w1、w2
為權重系數，且
w1+w2
＝1；
α
，
β
，
γ
和
δ
：這些系數代表每...

【專利技術屬性】
技術研發人員：王斌，劉書航，王可圣，
申請(專利權)人：江蘇安恒網絡安全有限公司，
類型：發明
國別省市：