[发明专利]一种病毒识别防御方法、装置、存储介质及设备

权利要求书

1.一种病毒识别防御方法，其特征在于，所述方法包括：

通过主机行为分析，识别恶意程序；

对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为；

根据所述恶意程序的攻击行为，采用对应的预设策略对所述恶意程序的攻击行为进行防御。

2.根据权利要求1所述的病毒识别防御方法，其特征在于，所述通过主机行为分析，识别恶意程序的步骤包括：

通过主机追踪技术收集系统日志；

根据所述系统日志及系统对象调用关系，生成调用关系图；

采用图聚类方法对所述调用关系图进行聚类，识别出所述恶意程序产生的社区。

3.根据权利要求1或2所述的病毒识别防御方法，其特征在于，对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为的步骤包括：

根据所述恶意程序的日志所针对的数据类型，对所述恶意程序的日志进行分类；

采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为。

4.根据权利要求3所述的病毒识别防御方法，其特征在于，所述目标类别中包含多个预设子事件，采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为的步骤包括：

计算所述恶意程序的日志触发所述预设子事件的数量占所述预设子事件总数的比率，得到匹配度；

判断所述匹配度是否大于阈值；

若是，则判定所述恶意程序存在对所述目标类别对应的数据类型的攻击行为。

5.根据权利要求3所述的病毒识别防御方法，其特征在于，所述目标类别中包含多个预设子事件，采用所述恶意程序的日志所属的目标类别对应的预设攻击行为判定规定，确定所述恶意程序的攻击行为的步骤包括：

判断所述恶意程序的日志是否触发所述预设子事件；

若是，则判定所述恶意程序存在与所述预设子事件对应性质的攻击行为。

6.根据权利要求1所述的病毒识别防御方法，其特征在于，所述预设策略包括启动网络防火墙、流量阻断、和端口/IP屏蔽。

7.根据权利要求1所述的病毒识别防御方法，其特征在于，通过主机行为分析，识别恶意程序的步骤包括：

提取所述恶意程序的动态特征，所述动态特征包括首次启动时间、加密尝试次数和是否产生过外联行为；

当判断到所述恶意程序存在违规外联行为、且首次启动时间差在预设时段内、且加密尝试次数超过预设次数，则判定所述恶意程序为疑似勒索病毒。

8.一种病毒识别防御装置，其特征在于，所述装置包括：

病毒识别模块，用于通过主机行为分析，识别恶意程序；

行为识别模块，用于对所述恶意程序的日志进行识别，确定所述恶意程序的攻击行为；

病毒防御模块，用于根据所述恶意程序的攻击行为，采用对应的预设策略对所述恶意程序的攻击行为进行防御。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1－7任一所述的病毒识别防御方法。

10.一种病毒识别防御设备，其特征在于，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1－7任一所述的病毒识别防御方法。