[发明专利]勒索病毒检测方法、装置、设备及存储介质

说明书

本申请公开了一种勒索病毒检测方法、装置、设备及存储介质。该方法包括：获取是否存在可疑进程的第一监测结果；基于第一监测结果确定存在可疑进程，则启动勒索病毒检测过程，勒索病毒检测过程为基于可疑进程执行过程中的动态行为数据进行勒索病毒检测的检测过程；执行勒索病毒检测过程，得到是否存在勒索病毒的第二监测结果。如此，可以仅在确定存在可疑进程时，才启动勒索病毒检测过程，从而尽可能地减少勒索病毒检测的资源消耗，保障电子设备的运行性能，此外，该勒索病毒检测过程基于可疑进程执行过程中的动态行为数据进行勒索病毒检测，能够有效防范静态检测导致的漏检，且能够满足无文件攻击等攻击行为的勒索病毒检测需求。

技术领域

本申请涉及信息安全领域，尤其涉及一种勒索病毒检测方法、装置、设备及存储介质。

背景技术

相关技术中，勒索病毒的检测识别，往往基于静态检测技术，例如，针对本地文件落地的文件进行解析，采用规则检测或者AI(artificial intelligence，人工智能)识别的方式判断文件是否恶意。

然而，基于静态检测的方案往往很容易被绕过，例如，加壳、混淆、系统进程注入、无文件攻击等各种绕过手段层出不穷，能够轻易的绕过静态检测的防护手段。相关技术中，虽然可以对动态行为进行神经网络模型检测，进而识别恶意软件，仍存在以下缺陷：一是通过动态行为的神经网络模型进行恶意文件检测，会出现较大的误报；二是动态行为检测需要采集进程行为，对进程行为进行特征化，且需要调用神经网络模型到内存，因此，需要消耗很多计算机资源。

发明内容

有鉴于此，本申请实施例提供了一种勒索病毒检测方法、装置、设备及存储介质，旨在至少减少勒索病毒检测的资源消耗。

本申请实施例的技术方案是这样实现的：

第一方面，本申请实施例提供了一种勒索病毒检测方法，包括：

获取是否存在可疑进程的第一监测结果；

基于所述第一监测结果确定存在可疑进程，则启动勒索病毒检测过程；其中，所述勒索病毒检测过程为基于所述可疑进程执行过程中的动态行为数据进行勒索病毒检测的检测过程；

执行所述勒索病毒检测过程，得到是否存在勒索病毒的第二监测结果。

上述方案中，所述获取是否存在可疑进程的第一监测结果，包括：

基于第一监测模块、第二监测模块及第三监测模块中的至少之一，生成所述第一监测结果；

其中，所述第一监测模块用于确定是否存在触碰勒索诱饵的可疑进程，所述第二监测模块用于确定是否存在对文件进行破坏性操作的可疑进程，所述第三监测模块用于确定是否存在创建的文件中包含勒索信息的可疑进程。

上述方案中，所述执行所述勒索病毒检测过程，得到是否存在勒索病毒的第二监测结果，包括：

采集所述可疑进程相应于设定时长的动态行为数据；

对所述动态行为数据进行特征量化，得到量化特征数据；

将所述量化特征数据输入训练好的检测模型，得到是否存在勒索病毒的第二监测结果。

上述方案中，所述采集所述可疑进程相应于设定时长的动态行为数据，包括：

采集所述可疑进程相应于设定时长的调用应用程序接口(API)、命令执行、注册表修改、文件操作及网络访问中的至少之一的动态行为数据。

上述方案中，所述对所述动态行为数据进行特征量化，得到量化特征数据，包括：

将所述动态行为数据基于数据类型进行编码，得到相应的量化特征数据；