一种基于信息熵特征曲线的勒索病毒检测方法及装置

技术领域

本发明涉及工控安全技术领域，尤其涉及一种基于信息熵特征曲线的勒索病毒检测方法及装置。

背景技术

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。

随着近年来，勒索病毒的肆虐，很多工控设备及重要机构的电脑被感染，导致大量的经济损失。因此本发明提出了一种基于信息熵特征曲线的检测方法，可以快速检测电脑是否被勒索病毒侵害。

发明内容

本发明提供了一种基于信息熵特征曲线的勒索病毒检测方法，包括：

在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n；

计算n个文件样本中每个文件的信息熵，形成一个文件信息熵矩阵E；

把文件信息熵矩阵E映射到直角坐标系，并在x轴n/2处进行分割，形成两个和x轴围成的区域；

计算两个区域的面积，并计算两个区域面积的差值D；

设定阈值K，比对差值D与阈值K，若阈值K＞差值D，则判定文件没被加密，确定非勒索病毒；若阈值K<差值D，则判定文件被加密，确定为勒索病毒。

如上所述的一种基于信息熵特征曲线的勒索病毒检测方法，其中，预设文本类型的大信息熵文件样本包含压缩文件、视频文件、图片文件和其他信息熵本身就很大的文件。

如上所述的一种基于信息熵特征曲线的勒索病毒检测方法，其中，将文件信息熵矩阵E映射到直角坐标系中，直角坐标系的x轴代表信息熵的大小，y轴代表此信息熵对应的文件个数，在x轴n/2处进行纵向分割，形成两个和x轴围成的区域A1和A2。

如上所述的一种基于信息熵特征曲线的勒索病毒检测方法，其中，区域A1的面积为S1、区域A2面积为S2，计算D＝|S1-S2|，即计算S1与S2差值的绝对值D。

本发明还提供一种基于信息熵特征曲线的勒索病毒检测装置，包括：取样模块、信息熵计算模块、勒索病毒检测模块；

取样模块用于在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n；

信息熵计算模块用于计算n个文件样本中每个文件的信息熵，形成一个文件信息熵矩阵E；

勒索病毒检测模块用于把文件信息熵矩阵E映射到直角坐标系，并在x轴n/2处进行分割，形成两个和x轴围成的区域；计算两个区域的面积，并计算两个区域面积的差值D；设定阈值K，比对差值D与阈值K，若阈值K＞差值D，则判定文件没被加密，确定非勒索病毒；若阈值K<差值D，则判定文件被加密，确定为勒索病毒。

本发明还提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行上述任一项所述的一种基于信息熵特征曲线的勒索病毒检测方法。

本发明实现的有益效果如下：本发明基于信息熵对文件是否被加密作出判定，并排除了特殊类型文件的影响，简单有效，并不受其他因素的干扰。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于信息熵特征曲线的勒索病毒检测方法流程图；

图2是直角坐标系示意图；

图3是一种基于信息熵特征曲线的勒索病毒检测装置示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

正常情况下，电脑中除了一些特殊文件的信息熵很大，比如压缩文件、视频文件、图片文件等信息熵比较大之外，其他文本文件、可执行文件等信息熵的值的分布会按着类正态分布的方式分布。而被勒索病毒加密后，加密后的文件会出现文件的信息随机度增加，信息熵增大的特性，因此根据此特性，可以通过对一定量的样本进行统计，形成一个特征曲线，通过曲线的特性来做判定，由此能够快速检测电脑是否被勒索病毒侵害。

参见图1，本发明实施例一提供一种基于信息熵特征曲线的勒索病毒检测方法，包括：

步骤110、在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n；

可选地，预设文本类型的大信息熵文件样本包含压缩文件、视频文件、图片5文件和其他信息熵本身就很大的文件。

步骤120、计算n个文件样本中每个文件的信息熵，形成一个文件信息熵矩阵E；

步骤130、把文件信息熵矩阵E映射到直角坐标系，并在x轴n/2处进行分

割，形成两个和x轴围成的区域；

0本申请实施例中，如图2所示，图2示例性地给出两种文本信息熵矩阵映射

直角坐标系的示例。将文件信息熵矩阵E映射到直角坐标系中，直角坐标系的x轴代表信息熵的大小，y轴代表此信息熵对应的文件个数，在x轴n/2处进行纵向分割，形成两个和x轴围成的区域A1和A2。

步骤140、计算两个区域的面积，并计算两个区域面积的差值D；5图2中左边区域A1的面积为S1、右边区域A2面积为S2，计算D＝|S1-S2|，

即计算S1与S2差值的绝对值D。

步骤150、设定阈值K，比对差值D与阈值K，若阈值K＞差值D，则判定文件没被加密，确定非勒索病毒；若阈值K<差值D，则判定文件被加密，确定

为勒索病毒；

0需要说明的是，阈值K的设定可以是依据对大量勒索病毒进行学习所得，为

保证能够准确识别，可以将K设定为一个阈值范围，比对差值D与该阈值范围K，确定是否为勒索病毒。可选地，一般K值与D值相等可能性较小，假如计算出的D正好等于K，则为了防止信息误判，可以进行勒索病毒可能性提示等。

如图3所示，本发明还提供一种基于信息熵特征曲线的勒索病毒检测装置，5包括：取样模块31、信息熵计算模块32、勒索病毒检测模块33；

取样模块31用于在电脑中随机选取一定量的除预设文本类型外的其他大信息熵文件样本n；

信息熵计算模块32用于计算n个文件样本中每个文件的信息熵，形成一个文件信息熵矩阵E；

勒索病毒检测模块33用于把文件信息熵矩阵E映射到直角坐标系，并在x轴n/2处进行分割，形成两个和x轴围成的区域；计算两个区域的面积，并计算两个区域面积的差值D；设定阈值K，比对差值D与阈值K，若阈值K≥差值D，则判定文件没被加密，确定非勒索病毒；若阈值K<差值D，则判定文件被加密，确定为勒索病毒。

与上述实施例对应的，本发明实施例提供一种基于信息熵特征曲线的勒索病毒检测装置，包括：至少一个存储器和至少一个处理器；

存储器用于存储一个或多个程序指令；

处理器，用于运行一个或多个程序指令，用以执行一种基于信息熵特征曲线的勒索病毒检测方法。

与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种基于信息熵特征曲线的勒索病毒检测方法。

本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的一种基于信息熵特征曲线的勒索病毒检测方法。

在本发明实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(Read-Only Memory，简称ROM)、可编程只读存储器(Programmable ROM，简称PROM)、可擦除可编程只读存储器(Erasable PROM，简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM，简称EEPROM)或闪存。

易失性存储器可以是随机存取存储器(Random Access Memory，简称RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，简称SRAM)、动态随机存取存储器(Dynamic RAM，简称DRAM)、同步动态随机存取存储器(Synchronous DRAM，简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM，简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，简称DRRAM)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。