[发明专利]一种勒索病毒检测方法、装置及其相关设备

说明书

本申请公开了一种勒索病毒检测方法，包括根据获取的检测指令确定目标存储路径；对所述目标存储路径下的文件进行检测，判断各所述文件的文件名后缀是否发生变更；若所述文件名后缀发生变更，则对所述文件名后缀发生变更的变更文件进行数量统计，获得变更文件数量；根据所述变更文件数量确定是否存在勒索病毒入侵；该勒索病毒检测方法可以更为有效的实现计算机终端的勒索病毒检测，降低误判率，最大限度的保障了用户数据安全。本申请还公开了一种勒索病毒检测装置、设备及计算机可读存储介质，均具上述有益效果。

技术领域

本申请涉及网络信息安全技术领域，特别涉及一种勒索病毒检测方法，还涉及一种勒索病毒检测装置、设备及计算机可读存储介质。

背景技术

勒索病毒(Ransomware)是一种会加密用户文件的计算机病毒，一般采用RSA等非对称加密算法，难以解密，且通常要求支持赎金才能解密(一般通过比特币进行支付)。勒索病毒目前是主流的安全威胁之一，感染量大，且严重危害数据和业务安全。

在现有技术中，针对入侵到终端的勒索病毒，一般采用以下两种方式进行检测，即基于文件诱饵的勒索病毒检测和基于敏感函数或者系统命令调用监控的勒索病毒检测。其中，基于勒索诱饵的勒索病毒检测，是在各个文件目录下放置诱饵文件，一旦该诱饵文件被修改，则认为有勒索病毒入侵，但是，终端中的正常软件在运行过程中也有可能动到诱饵文件，或人为不小心点开触发，均会导致诱饵文件被修改，因此，很容易出现误判的情况。而基于敏感函数或者系统命令调用监控的勒索病毒检测，是勒索病毒在入侵过程中，会有一些常用的函数调用或者系统命令执行，包括但不限于删除系统备份、删除日志等，因此，可以对这些函数或命令进行检测，当发现其被调用或被执行时，则认为有勒索病毒入侵，从而及时阻拦“删除系统备份”的动作，但是，该种实现方式同样存在容易误判的问题，而且存在拦截时间滞后的问题，很容易出现入侵即将结束或已经结束后才触发检测的情况，对于数据挽回来说，风险性太高。

因此，如何更为有效的实现计算机终端的勒索病毒检测，减少误判，以最大限度的保障用户数据安全是本领域技术人员亟待解决的问题。

发明内容

本申请的目的是提供一种勒索病毒检测方法，该勒索病毒检测方法可以更为有效的实现计算机终端的勒索病毒检测，降低误判率，最大限度的保障了用户数据安全；本申请的另一目的是提供一种勒索病毒检测装置、设备及计算机可读存储介质，均具有上述有益效果。

第一方面，本申请提供了一种勒索病毒检测方法，所述勒索病毒检测方法包括：

根据获取的检测指令确定目标存储路径；

对所述目标存储路径下的文件进行检测，判断各所述文件的文件名后缀是否发生变更；

若所述文件名后缀发生变更，则对所述文件名后缀发生变更的变更文件进行数量统计，获得变更文件数量；

根据所述变更文件数量确定是否存在勒索病毒入侵。

优选地，所述对所述文件名后缀发生变更的变更文件进行数量统计，获得变更文件数量，包括：

获取各所述变更文件的变更文件名后缀；

对所有所述变更文件进行统计，获得具有相同的所述变更文件名后缀的各初始变更文件数量；

选择取值最大的初始变更文件数量作为所述变更文件数量。

优选地，所述根据所述变更文件数量确定是否存在勒索病毒入侵，包括：

将所述变更文件数量输入至第一预设指数模型进行计算，获得第一当前检测值；

判断所述第一当前检测值是否超出第一告警阈值，若所述第一当前检测值超出所述第一告警阈值，则判定存在勒索病毒入侵。

优选地，所述勒索病毒检测方法还包括：