病毒的防护方法、装置、电子设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种病毒的防护方法、装置、电子设备及存储介质。


背景技术：

2.病毒，如勒索病毒是一种常见的病毒，由于攻击成功后可以向受害者进行赎金勒索，因此，各种变种的勒索病毒越来越多，防病毒软件虽然可以起到一定的杀毒功能，但是，防病毒软件通常是依据病毒库中已经标记过的病毒进行查杀，然而，黑客不断地更新病毒，或者改变病毒的攻击手段来绕过防病毒软件的查杀，导致并不能够全面地进行查杀，系统存在安全隐患。


技术实现要素：

3.针对现有技术中的问题，本发明实施例提供一种病毒的防护方法、装置、电子设备及存储介质。
4.具体地，本发明实施例提供了以下技术方案：
5.第一方面，本发明实施例提供了一种病毒的防护方法，包括：
6.监测预先存储在磁盘中的诱饵文件，其中，所述诱饵文件是病毒优先攻击的文件；
7.如果所述诱饵文件发生预设的操作行为，则确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
8.进一步地，所述在监测预先存储在磁盘中的诱饵文件之前，还包括：
9.获取诱饵文件的磁盘存放目录；
10.将所述诱饵文件存储在所述磁盘存放目录下。
11.进一步地，所述获取诱饵文件的磁盘存放目录，包括：
12.获取多个病毒样本，并获取多个所述病毒样本优先攻击的磁盘目录，并将所述磁盘目录作为所述磁盘存放目录。
13.进一步地，在将所述磁盘目录作为所述磁盘存放目录之后，还包括：
14.获取多个所述病毒样本优先攻击的文件的文件名；
15.基于所述多个所述病毒样本优先攻击的文件的文件名，确定所述诱饵文件的文件名。
16.进一步地，所述如果所述诱饵文件发生预设的操作行为，则确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象，包括：
17.如果所述诱饵文件发生加密操作，则确定向所述诱饵文件发起加密操作行为的对象为病毒，并进行告警和/或拦截所述对象，其中，所述对象为进程。
18.进一步地，在确定向所述诱饵文件发起所述预设的操作行为的对象为病毒之后，还包括：
19.根据所述病毒更新病毒特征库，以便基于所述病毒特征库进行病毒查杀。
20.第二方面，本发明实施例还提供了一种病毒的防护装置，包括：
21.监测模块，用于监测预先存储在磁盘中的诱饵文件，其中，所述诱饵文件是病毒优先攻击的文件；
22.防护模块，用于在所述监测模块监测到所述诱饵文件发生预设的操作行为时，确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
23.第三方面，本发明实施例还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的病毒的防护方法的步骤。
24.第四方面，本发明实施例还提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面所述的病毒的防护方法的步骤。
25.第五方面，本发明实施例还提供了一种计算机程序产品，所计算机程序产品包括有计算机程序，该计算机程序被处理器执行时实现如第一方面所述的病毒的防护方法的步骤。
26.由上面技术方案可知，本发明实施例提供的病毒的防护方法、装置、电子设备及存储介质，通过在各个磁盘放置诱饵文件，使病毒优先对诱饵文件发起攻击，因此，当监测到诱饵文件产生攻击行为时，便进行主动的防御警告和对病毒的拦截，阻止病毒的继续执行，从而，有效地避免了损失，提升了系统的安全性。
附图说明
27.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
28.图1为本发明一实施例提供的病毒的防护方法的流程图；
29.图2为本发明一实施例提供的病毒的防护装置的结构框图；
30.图3为本发明一实施例提供的电子设备的结构示意图。
具体实施方式
31.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.图1示出了本发明实施例提供的病毒的防护方法的流程图。如图1所示，本发明实施例提供的病毒的防护方法，包括如下步骤：
33.步骤101：监测预先存储在磁盘中的诱饵文件，其中，所述诱饵文件是病毒优先攻击的文件。
34.诱饵文件实质上就是被预先构造并放入粗盘中的一种文件，也就是说，在监测预
先存储在磁盘中的诱饵文件之前，需要将构造出的诱饵文件放入到磁盘中，即：在监测预先存储在磁盘中的诱饵文件之前，本发明实施例的方法还可包括：获取诱饵文件的磁盘存放目录；将诱饵文件存储在磁盘存放目录下。
35.该示例中，获取诱饵文件的磁盘存放目录，可以通过如下方式实现：获取多个病毒样本，并获取多个所述病毒样本优先攻击的磁盘目录，并将所述磁盘目录作为所述磁盘存放目录。此外，在将磁盘目录作为磁盘存放目录之后，还可包括：获取多个所述病毒样本优先攻击的文件的文件名；基于所述多个所述病毒样本优先攻击的文件的文件名，确定所述诱饵文件的文件名。
36.具体来说，假设存在多个文件，病毒需要依次对多个文件发起攻击，例如：多个文件包括文件1到文件10共10个文件，病毒需要逐一地对这10个文件发起攻击，因此，为了能够及时地得知是否是病毒，需要得知病毒优先发起的文件，例如通常优先攻击文件4，则可以分析文件4的名称、文件4的存储位置，进而，将诱饵文件根据文件4的名称、文件4的存储位置进行磁盘存放目录以及诱饵文件的文件名的设置。
37.在具体应用中，假设统计出病毒样本通常优先发起攻击的磁盘目录为各个磁盘的根目录，优先发起攻击的文件名是以字母a开头的文件。因此，可以将诱饵文件的文件名构造为以a开头的文件名，并且，将诱饵文件存储在各磁盘的根目录中。
38.可以理解的时，各磁盘的根目录以及以字母a开头的文件名的诱饵文件仅仅是示例性的，当病毒样本优先发起攻击的目录和有效发起目标文件名的文件改变时，可以相应地改变诱饵文件的文件名和磁盘存放目录。
39.以勒索病毒为例，通常是对文件进行加密攻击，从而对用户进行勒索。因此，监测预先存储在磁盘中的诱饵文件，可以是监测诱饵文件是否发生加密行为。
40.步骤102：如果诱饵文件发生预设的操作行为，则确定向诱饵文件发起预设的操作行为的对象为病毒，并进行告警和/或拦截对象。
41.以勒索病毒为例，由于其攻击行为是对文件的加密攻击，因此，在本发明的一个实施例中，如果诱饵文件发生加密操作，则确定向诱饵文件发起加密操作行为的对象为病毒，并进行告警和/或拦截对象。在该示例中，对象例如为进程。
42.具体来说，如果监测到诱饵文件被某个运行的进程进行了加密操作的行为，则说明该进程是病毒程序运行的进程，此时，可以进行告警和拦截该进程继续执行。由于通过本发明实施例的诱饵文件的存放目录和文件名的设置，病毒会优先攻击到诱饵文件，此时，还没有攻击其他的文件，便获知发生了病毒攻击，进行有效的拦截，进而，有效地避免了损失，提升了系统的安全性。
43.根据本发明实施例的病毒的防护方法，通过在各个磁盘放置诱饵文件，使病毒优先对诱饵文件发起攻击，因此，当监测到诱饵文件产生攻击行为时，便进行主动的防御警告和对病毒的拦截，阻止病毒的继续执行，从而，有效地避免了损失，提升了系统的安全性。
44.在本方的一个实施例中，在确定向所述诱饵文件发起所述预设的操作行为的对象为病毒之后，该方法还可包括：根据病毒更新病毒特征库，以便基于病毒特征库进行病毒查杀。也就是说，当通过本发明实施例的方法检测到病毒后，可以对病毒进行分析，得到病毒的特征数据，并将病毒的特征数据更新到病毒特征库中，保证病毒特征库中标记的病毒更加全面，从而，杀毒软件可以基于病毒特征库进行全面地杀毒，提升系统安全。该示例中，病
毒特征库可以存储在本地，也可以存储在云服务器中。
45.图2示出了本发明实施例提供的病毒的防护装置的结构示意图。如图2所示，本实施例提供的病毒的防护装置，包括：监测模块210和防护模块230，其中：
46.监测模块210，用于监测预先存储在磁盘中的诱饵文件，其中，所述诱饵文件是病毒优先攻击的文件；
47.防护模块220，用于在所述监测模块210监测到所述诱饵文件发生预设的操作行为时，确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
48.基于上述各实施例的内容，在本实施例中，还包括：设置模块(图2中没有示出)，设置模块用于在所述监测模块210监测预先存储在磁盘中的诱饵文件之前，获取诱饵文件的磁盘存放目录；将所述诱饵文件存储在所述磁盘存放目录下。
49.基于上述各实施例的内容，在本实施例中，设置模块用于：
50.获取多个病毒样本，并获取多个所述病毒样本优先攻击的磁盘目录，并将所述磁盘目录作为所述磁盘存放目录。
51.基于上述各实施例的内容，在本实施例中，设置模块在将所述磁盘目录作为所述磁盘存放目录之后，还用于：
52.获取多个所述病毒样本优先攻击的文件的文件名；
53.基于所述多个所述病毒样本优先攻击的文件的文件名，确定所述诱饵文件的文件名。
54.基于上述各实施例的内容，在本实施例中，所述防护模块220，具体用于：
55.如果所述诱饵文件发生加密操作，则确定向所述诱饵文件发起加密操作行为的对象为病毒，并进行告警和/或拦截所述对象，其中，所述对象为进程。
56.基于上述各实施例的内容，在本实施例中，还包括：更新模块(图2中没有示出)，更新模块用于在防护模块220确定向所述诱饵文件发起所述预设的操作行为的对象为病毒之后，根据所述病毒更新病毒特征库，以便基于所述病毒特征库进行病毒查杀。
57.根据本发明实施例的病毒的防护装置，通过在各个磁盘放置诱饵文件，使病毒优先对诱饵文件发起攻击，因此，当监测到诱饵文件产生攻击行为时，便进行主动的防御警告和对病毒的拦截，阻止病毒的继续执行，从而，有效地避免了损失，提升了系统的安全性。
58.由于本发明实施例提供的病毒的防护装置，可以用于执行上述实施例所述的病毒的防护方法，其工作原理和有益效果类似，故此处不再详述，具体内容可参见上述实施例的介绍。
59.在本实施例中，需要说明的是，本发明实施例的装置中的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。
60.基于相同的发明构思，本发明又一实施例提供了一种电子设备，参见图3，所述电子设备具体包括如下内容：处理器301、存储器302、通信接口303和通信总线304；
61.其中，所述处理器301、存储器302、通信接口303通过所述通信总线304完成相互间的通信；
62.所述处理器301用于调用所述存储器302中的计算机程序，所述处理器执行所述计算机程序时实现上述病毒的防护方法的全部步骤，例如，所述处理器执行所述计算机程序
时实现下述过程：监测预先存储在磁盘中的诱饵文件；如果所述诱饵文件发生预设的操作行为，则确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
63.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
64.基于相同的发明构思，本发明又一实施例提供了一种非暂态计算机可读存储介质，该非暂态计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述病毒的防护方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：监测预先存储在磁盘中的诱饵文件；如果所述诱饵文件发生预设的操作行为，则确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
65.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
66.基于相同的发明构思，本发明又一实施例提供了一种计算机程序产品，所计算机程序产品包括有计算机程序，该计算机程序被处理器执行时实现上述病毒的防护方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述过程：监测预先存储在磁盘中的诱饵文件；如果所述诱饵文件发生预设的操作行为，则确定向所述诱饵文件发起所述预设的操作行为的对象为病毒，并进行告警和/或拦截所述对象。
67.可以理解的是，所述计算机程序可以执行的细化功能和扩展功能可参照上面实施例的描述。
68.此外，上述的存储器中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
69.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
70.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的流量审计方法。
71.此外，在本发明中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者
操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
72.此外，在本发明中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
73.最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。