公开(公告)号：CN120012081A

公开(公告)日：2025-05-16

申请号：CN202411873543.4

申请日：2024-12-18

Applicant: 清华大学

Inventor： 郭礼华 ,  侯伊为 ,  周炽金 ,  张泉 ,  刘闻欢 ,  姜宇

IPC: G06F21/56 ,  G06F21/60 ,  G06F18/2413 ,  G06F18/214

Abstract: 本发明提供一种勒索软件的检测方法、装置、电子设备及存储介质，涉及计算机软件安全技术领域。所述方法包括：通过对待检测进程的硬件数据进行加密行为检测，确定可疑进程，对待检测进程的文件操作数据中所述可疑进程的文件操作数据进行量化分析，得到可疑进程的文件操作特征，根据所述可疑进程的硬件数据与所述可疑进程的文件操作特征之间是否存在时序关联关系，确定所述可疑进程是否为勒索软件。该方法能够避免勒索软件逃脱检测策略，提升了勒索软件检测的准确性。

公开(公告)号：CN119918048A

公开(公告)日：2025-05-02

申请号：CN202411882687.6

申请日：2024-12-19

Applicant: 清华大学

Inventor： 侯伊为 ,  郭礼华 ,  周炽金 ,  张泉 ,  刘闻欢 ,  姜宇

IPC: G06F21/56 ,  G06F18/23

Abstract: 本发明提供一种勒索软件检测方法、装置、设备、存储介质及产品，从Windows系统中所有可用的事件提供者中筛选获得风险事件提供者，并收集风险事件提供者提供的事件数据；其中，风险事件提供者是与卷影副本删除事件相关的事件提供者；基于预先设置的卷影副本删除行为识别模版，从事件数据中筛选获得卷影副本删除事件，并获取卷影副本删除事件对应的待处理进程；对待处理进程进行进程追踪溯源，确定待处理进程是否是与勒索软件相关的进程；若是，则停止执行待处理进程，否则，则继续执行待处理进程。本发明的方案，提高了勒索软件检测的效率和准确性，从而提高了计算机系统的安全性和可靠性。