[发明专利]一种勒索病毒检测方法、装置及其相关设备

权利要求书

1.一种勒索病毒检测方法，其特征在于，包括：

根据获取的检测指令确定目标存储路径；

对所述目标存储路径下的文件进行检测，判断各所述文件的文件名后缀是否发生变更；

若所述文件名后缀发生变更，则对所述文件名后缀发生变更的变更文件进行数量统计，获得变更文件数量；

根据所述变更文件数量确定是否存在勒索病毒入侵。

2.如权利要求1所述的勒索病毒检测法，其特征在于，所述对所述文件名后缀发生变更的变更文件进行数量统计，获得变更文件数量，包括：

获取各所述变更文件的变更文件名后缀；

对所有所述变更文件进行统计，获得具有相同的所述变更文件名后缀的各初始变更文件数量；

选择取值最大的初始变更文件数量作为所述变更文件数量。

3.如权利要求2所述的勒索病毒检测方法，其特征在于，所述根据所述变更文件数量确定是否存在勒索病毒入侵，包括：

将所述变更文件数量输入至第一预设指数模型进行计算，获得第一当前检测值；

判断所述第一当前检测值是否超出第一告警阈值，若所述第一当前检测值超出所述第一告警阈值，则判定存在勒索病毒入侵。

4.如权利要求1所述的勒索病毒检测方法，其特征在于，还包括：

对所述目标存储路径下的文件进行检测，判断是否有勒索信息文件生成；

若有所述勒索信息文件生成，则对所述勒索信息文件进行数量统计，获得勒索信息文件数量；

根据所述勒索信息文件数量确定是否存在勒索病毒入侵。

5.如权利要求4所述的勒索病毒检测方法，其特征在于，所述判断是否有勒索信息文件生成，包括：

判断所述目标存储路径下是否有新文件生成；

若有所述新文件生成，则利用预设勒索信息库判断所述新文件中是否存在勒索词汇；

若所述新文件存在所述勒索词汇，则确定所述新文件为所述勒索信息文件。

6.如权利要求5所述的勒索病毒检测方法，其特征在于，所述根据所述勒索信息文件数量确定是否存在勒索病毒入侵，包括：

在所述预设勒索信息库中获取各所述勒索词汇的匹配值；

将所述勒索信息文件数量和各所述勒索词汇的匹配值输入至第二预设指数模型进行计算，获得第二当前检测值；

判断所述第二当前检测值是否超出第二告警阈值，若所述第二当前检测值超出所述第二告警阈值，则判定存在勒索病毒入侵。

7.如权利要求1所述的勒索病毒检测方法，其特征在于，所述根据所述变更文件数量确定是否存在勒索病毒入侵，包括：

根据所述变更文件数量计算获得第一检测值；

当所述目标存储路径下生成有勒索信息文件时，根据勒索信息文件数量计算获得第二检测值；

判断所述目标存储路径下是否有黑客工具运行，若有所述黑客工具运行，则获得第三检测值；

判断所述目标存储路径下是否有备份删除命令运行，若有所述备份删除命令运行，则获得第四检测值；

判断所述目标存储路径下是否有桌面更改命令运行，若有所述桌面更改命令运行，则获得第五检测值；

对所述第一检测值、第二检测值、第三检测值、第四检测值和第五检测值进行统计，获得系统检测值；

判断所述系统检测值是否超出总告警阈值，若所述系统检测值超出所述总告警阈值，则存在勒索病毒入侵。

8.如权利要求1至7任意一项所述的勒索病毒检测方法，其特征在于，还包括：

当确定存在勒索病毒入侵时，执行预设病毒防护操作。

9.如权利要求8所述的勒索病毒检测方法，其特征在于，所述预设病毒防护操作包括产生告警信息操作、拦截命令操作、断开网络操作以及锁死系统操作。