[发明专利]一种检测恶意软件的方法及装置

权利要求书

1.一种检测恶意软件的方法，其特征在于，所述方法包括：

计算目标目录下每个被目标软件操作后的诱饵文件的特征值，所述诱饵文件为用于检测恶意软件的文件；所述恶意软件为勒索软件；

将每个被所述目标软件操作后的诱饵文件的特征值组成目标特征值序列；所述目标特征值序列反映被所述目标软件操作后的诱饵文件内容之间的相互关联；

将所述目标特征值序列与原始特征值序列进行比较，所述原始特征值序列为所述目标软件对所述诱饵文件进行操作之前，每个所述诱饵文件的特征值所组成的特征值序列；所述原始特征值序列反映原始诱饵文件内容之间的相互关联；

若确定所述目标特征值序列与所述原始特征值序列能够匹配，则确定所述目标软件为恶意软件。

2.根据权利要求1所述的检测恶意软件的方法，其特征在于，在所述计算目标目录下每个被目标软件操作后的诱饵文件的特征值之前，所述方法还包括：

检测所述目标软件的查询目录操作，所述查询目录操作为用于查询目录下文件标识的操作；

若确定被查询目录为所述目标目录，则对所述目标软件进行鉴权；

若确定所述目标软件为不受信任的软件，则按照预设顺序向所述目标软件发送所述目标目录下每个诱饵文件的标识。

3.根据权利要求2所述的检测恶意软件的方法，其特征在于，所述计算目标目录下每个被目标软件操作后的诱饵文件的特征值包括：

每发送一次诱饵文件的标识，检测所述目标软件本次对诱饵文件的操作；

每检测到一次所述目标软件对诱饵文件的操作，计算本次被操作后的诱饵文件的特征值，直至计算出所述目标目录下每个诱饵文件的特征值。

4.根据权利要求2所述的检测恶意软件的方法，其特征在于，在所述对所述目标软件进行鉴权之后，所述方法还包括：

若确定所述目标软件为可信软件，则依次向所述目标软件发送所述目标目录下的用户文件的标识。

5.根据权利要求1至4任一所述的检测恶意软件的方法，其特征在于，所述若确定所述目标特征值序列与所述原始特征值序列能够匹配，则确定所述目标软件为恶意软件包括：

将所述目标目录下的诱饵文件的目标附属特征与原始附属特征进行比较，所述目标附属特征包括每个被操作的诱饵文件所在的目录、每个被操作的诱饵文件的时间戳值，所述原始附属特征包括每个未被操作的诱饵文件所在的目录、每个未被操作的诱饵文件的时间戳值；

若确定每个诱饵文件被操作前后所在的目录能够匹配，且每个诱饵文件被操作之后的时间戳值大于被操作前的时间戳值，则确定所述目标软件为恶意软件。

6.一种检测恶意软件的装置，其特征在于，所述装置包括：

计算单元，用于计算目标目录下每个被目标软件操作后的诱饵文件的特征值，所述诱饵文件为用于检测恶意软件的文件；

组成单元，用于将每个所述计算单元计算的被所述目标软件操作后的诱饵文件的特征值组成目标特征值序列；所述目标特征值序列反映被所述目标软件操作后的诱饵文件内容之间的相互关联；

比较单元，用于将所述目标特征值序列与原始特征值序列进行比较，所述原始特征值序列为所述目标软件对所述诱饵文件进行操作之前，每个所述诱饵文件的特征值所组成的特征值序列；所述原始特征值序列反映被原始诱饵文件内容之间的相互关联；

确定单元，用于若确定所述目标特征值序列与所述原始特征值序列能够匹配，则确定所述目标软件为恶意软件。

7.根据权利要求6所述的检测恶意软件的装置，其特征在于，所述装置还包括：检测单元、鉴权单元以及发送单元；

所述检测单元，用于检测所述目标软件的查询目录操作，所述查询目录操作为用于查询目录下文件标识的操作；

所述鉴权单元，用于若确定所述检测单元检测的被查询目录为所述目标目录，则对所述目标软件进行鉴权；

所述发送单元，用于若确定所述目标软件为不受信任的软件，则按照预设顺序向所述目标软件发送所述目标目录下每个诱饵文件的标识。