针对未知勒索病毒的精准识别与全网联动防御方法和系统与流程

本发明涉及网络安全技术领域，尤其是涉及一种针对未知勒索病毒的精准识别与全网联动防御方法和系统。

背景技术：

勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。勒索病毒利用各种非对称加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。勒索病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。

勒索病毒文件一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析。接下来，勒索病毒利用本地的互联网访问权限连接至黑客的控制服务器，进而上传本机信息并下载加密公钥，利用加密公钥对文件进行加密。除了拥有解密私钥的攻击者本人，其他人是几乎不可能解密。加密完成后，通常还会指导用户去缴纳赎金。勒索病毒变种类型非常快，对常规的杀毒软件都具有免疫性，对常规依靠特征检测的安全产品是一个极大的挑战。现有的疑似未知勒索病毒的识别方法，对疑似未知勒索病毒的行为特征进行分析，来确定疑似未知勒索病毒是否为未知勒索病毒。但是该方法仅对疑似未知勒索病毒的行为特征进行了分析，缺少其他有利的分析依据，从而容易出现误判。

针对上述问题，还未提出有效的解决方案。

技术实现要素：

有鉴于此，本发明的目的在于提供一种针对未知勒索病毒的精准识别与全网联动防御方法和系统，缓解了现有疑似未知勒索病毒的识别方法在确定疑似未知勒索病毒是否为未知勒索病毒过程中误判率较高的技术问题。

第一方面，本发明实施例提供了一种针对未知勒索病毒的精准识别与全网联动防御方法，该方法应用于识别设备，包括：获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

进一步地，所述多个目标文件包括：第一目标文件和第二目标文件；对所述多个目标文件进行识别，得到识别结果包括：若所述第一目标文件的特征信息中包含用于表征所述第一目标文件产生过外联行为的标识信息，且所述第二目标文件的特征信息中包含用于表征所述第二目标文件产生过外联行为的标识信息，则判断所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差是否小于或等于预设时间差；若是，则判断所述第一目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数，以及判断所述第二目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数；若是，则确定所述识别结果为第一识别结果，其中，所述第一识别结果表示所述第一目标文件和所述第二目标文件为携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为携带未知勒索病毒的文件。

进一步地，所述方法还包括：若所述第一目标文件的特征信息中不包含所述用于表征所述第一目标文件产生过外联行为的标识信息，和/或，所述第二目标文件的特征信息中不包含所述用于表征所述第二目标文件产生过外联行为的标识信息，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；若所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差大于预设时间差，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；若所述第一目标文件对诱饵文件执行加密操作的次数小于预设次数，和/或，所述第二目标文件对诱饵文件执行加密操作的次数小于预设次数，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件。

第二方面，本发明实施例提供了一种针对未知勒索病毒的精准识别与全网联动防御方法，该方法应用于待检测设备，包括：获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；将所述待处理文件和所述特征信息发送给识别设备；其中，所述识别设备在获取到所述待处理文件和所述特征信息之后，计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

进一步地，在获取所述疑似携带未知勒索病毒的待处理文件的特征信息之前，所述方法还包括：创建所述诱饵文件；将所述待检测设备中，读取所述诱饵文件，且对所述诱饵文件执行加密操作的文件确定为所述待处理文件。

进一步地，在将所述待检测设备中，读取所述诱饵文件，且对所述诱饵文件执行加密操作的文件确定为所述待处理文件之后，所述方法还包括：阻断所述待处理文件对所述待检测设备中的文件的加密操作。

进一步地，所述方法还包括：获取所述识别设备发送的识别结果，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件；若所述识别结果为所述待处理文件为携带未知勒索病毒的文件，则将所述特征信息添加至杀毒引擎的病毒特征库；以及将所述待处理文件中的未知勒索病毒标记为已知勒索病毒。

第三方面，本发明实施例提供了一种针对未知勒索病毒的精准识别与全网联动防御系统，该系统包括：待检测设备和识别设备，其中，所述待检测设备用于获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；将所述待处理文件和所述特征信息发送给识别设备；所述识别设备用于获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

进一步地，所述识别设备包括：决策模块和调度模块，其中，所述决策模块用于获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件；所述调度模块用于将所述识别结果和所述特征信息发送给各个所述待检测设备。

进一步地，所述待检测设备包括：行为设别器和调度代理模块，其中，所述行为设别器用于获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；将所述待处理文件和所述特征信息发送给识别设备；所述调度代理模块用于获取所述识别设备发送的识别结果，并将所述识别结果和所述特征信息发送给杀毒引擎。

在本发明实施例中，首先，获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，接着，计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值，并从多个待处理文件中选择哈希值相同的多个目标文件；最后，对所述多个目标文件进行识别，得到识别结果。

本发明通过对多个哈希值相同的携带疑似未知勒索病毒的文件的特征信息进行分析和对比，来确定疑似未知勒索病毒是否为未知勒索病毒的方式，提高了对未知病毒的识别率，缓解了现有的疑似未知勒索病毒的识别方法针对一个携带疑似未知勒索病毒的文件的特征信息进行分析，来确定疑似未知勒索病毒是否为未知勒索病毒，导致误判率较高的问题，进而达到了提高对未知勒索病毒的识别准确率。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种针对未知勒索病毒的精准识别与全网联动防御方法的流程图；

图2为本发明实施例提供的另一种针对未知勒索病毒的精准识别与全网联动防御方法的流程图；

图3为本发明实施例提供的另一种针对未知勒索病毒的精准识别与全网联动防御方法的流程图；

图4为本发明实施例提供的另一种针对未知勒索病毒的精准识别与全网联动防御方法的流程图；

图5为本发明实施例提供的另一种针对未知勒索病毒的精准识别与全网联动防御方法的流程图；

图6为本发明实施例提供的一种针对未知勒索病毒的精准识别与全网联动防御系统的示意图；

图7为本发明实施例提供的另一种针对未知勒索病毒的精准识别与全网联动防御系统的示意图；

图8为本发明实施例提供的一种服务器的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一：

根据本发明实施例，提供了一种针对未知勒索病毒的精准识别与全网联动防御方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的一种针对未知勒索病毒的精准识别与全网联动防御方法，如图1所示，该方法应用于识别设备，该方法包括如下步骤：

步骤s102，获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；

步骤s104，计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；

步骤s106，从多个待处理文件中选择哈希值相同的多个目标文件；

步骤s108，对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

本发明通过对多个哈希值相同的携带疑似未知勒索病毒的文件的特征信息进行分析和对比，来确定疑似未知勒索病毒是否为未知勒索病毒，提高了对未知病毒的识别率，解决了现有的疑似未知勒索病毒的识别方法针对一个携带疑似未知勒索病毒的文件的特征信息进行分析，来确定疑似未知勒索病毒是否为未知勒索病毒，导致容易出现误判的问题，进而达到了提高对未知勒索病毒的识别准确率。

需要说明的是，上述的哈希值可以采用md5哈希值，由于不同的文件的哈希值是不相同的，因此通过计算每个待处理文件的哈希值，基于每个待处理文件的哈希值，确定出文件内容相同的待处理文件作为目标文件。

在本发明实施例中，如图2所示，对所述多个目标文件进行识别，得到识别结果，包括如下步骤：

步骤s11，若所述第一目标文件的特征信息中不包含所述用于表征所述第一目标文件产生过外联行为的标识信息，和/或，所述第二目标文件的特征信息中不包含所述用于表征所述第二目标文件产生过外联行为的标识信息，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；

步骤s12，若所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差大于预设时间差，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；

步骤s13，若所述第一目标文件对诱饵文件执行加密操作的次数小于预设次数，和/或，所述第二目标文件对诱饵文件执行加密操作的次数小于预设次数，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件。

在本发明实施例中，所述多个目标文件包括：第一目标文件和第二目标文件，第一目标文件和第二目标文件可以为同一台待检测设备通过两次上报过程，上报给识别设备的，也可以是不同的两台待检测设备上报给识别设备的。

首先，如果第一目标文件的特征信息中包含用于表征第一目标文件产生过外联行为的标识信息，且第二目标文件的特征信息中包含用于表征第二目标文件产生过外联行为的标识信息，则判断第一目标文件的首次启动时刻与第二目标文件的首次启动时刻之间的时间差是否小于或等于预设时间差。

需要说明的是，上述的预设时间差可以由检测人员根据实际情况自行设定，在本发明实施例中不做具体限定，一般情况下，预设时间差为1个月。

另外，还需要说明的是，上述的时间差用于判定疑似携带未知勒索病毒的文件进入各个待检测设备和识别设备组成的内网的时间，进而为内网管理员提供区分正常加密程序和疑似携带未知勒索病毒的文件的依据。

如果第一目标文件的首次启动时刻与第二目标文件的首次启动时刻之间的时间差是否小于或等于预设时间差，那么则判断第一目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数，以及判断第二目标文件对诱饵文件执行加密操作的次数是否大于或等于预设次数。

需要说明的是，上述的预设次数可以由检测人员根据实际情况自行设定，在本发明实施例中不做具体限定，一般情况下预设次数为5次。

另外，还需要说明的是，上述的加密操作的次数用于内网管理员提供区分正常加密程序的加密行为和疑似携带未知勒索病毒的文件的加密行为的依据。

在本发明实施例中，所述方法还包括如下步骤：

步骤s21，若所述第一目标文件的特征信息中不包含所述用于表征所述第一目标文件产生过外联行为的标识信息，和/或，所述第二目标文件的特征信息中不包含所述用于表征所述第二目标文件产生过外联行为的标识信息，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；

步骤s22，若所述第一目标文件的首次启动时刻与所述第二目标文件的首次启动时刻之间的时间差大于预设时间差，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件；

步骤s23，若所述第一目标文件对诱饵文件执行加密操作的次数小于预设次数，和/或，所述第二目标文件对诱饵文件执行加密操作的次数小于预设次数，则确定所述识别结果为第二识别结果，其中，所述第二识别结果表示所述第一目标文件和所述第二目标文件为未携带未知勒索病毒的文件，且所述多个目标文件中与所述第一目标文件相同的目标文件同样为未携带未知勒索病毒的文件。

在本发明实施例中，如果第一目标文件的特征信息中不包含用于表征第一目标文件产生过外联行为的标识信息，和/或，第二目标文件的特征信息中不包含用于表征第二目标文件产生过外联行为的标识信息，则表明第一目标文件和第二目标文件为未携带未知勒索病毒的文件，且多个目标文件中与第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件。

如果第一目标文件的首次启动时刻与第二目标文件的首次启动时刻之间的时间差大于预设时间差，则表明第一目标文件和第二目标文件为未携带未知勒索病毒的文件，且多个目标文件中与第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件。

如果第一目标文件对诱饵文件执行加密操作的次数小于预设次数，和/或，第二目标文件对诱饵文件执行加密操作的次数小于预设次数，则表明第一目标文件和第二目标文件为未携带未知勒索病毒的文件，且多个目标文件中与第一目标文件哈希值相同的目标文件同样为未携带未知勒索病毒的文件。

实施例二：

图3是根据本发明实施例的一种针对未知勒索病毒的精准识别与全网联动防御方法，如图3所示，该方法应用于待检测设备，该方法包括如下步骤：

步骤s302，获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；

步骤s304，将所述待处理文件和所述特征信息发送给识别设备；

其中，所述识别设备在获取到所述待处理文件和所述特征信息之后，计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

本发明通过对多个哈希值相同的携带疑似未知勒索病毒的文件的特征信息进行分析和对比，来确定疑似未知勒索病毒是否为未知勒索病毒，提高了对未知病毒的识别率，缓解了现有的疑似未知勒索病毒的识别方法针对一个携带疑似未知勒索病毒的文件的特征信息进行分析，来确定疑似未知勒索病毒是否为未知勒索病毒，导致误判率较高的问题，进而达到了提高对未知勒索病毒的识别准确率。

在本发明实施例中，如图4所示，在获取所述疑似携带未知勒索病毒的待处理文件的特征信息之前，所述方法还包括：

步骤s31，创建所述诱饵文件；

步骤s32，将所述待检测设备中，读取所述诱饵文件，且对所述诱饵文件执行加密操作的文件确定为所述待处理文件。

在本发明实施例中，首先在待检测设备的操作系统的内核中创建幼儿文件。

如果待检测设备中有文件读取诱饵文件，并对诱饵文件进行加密操作，则可以判定该文件为疑似携带未知勒索病毒的待处理文件。

需要说明的是，由于诱饵文件仅存在与待检测设备的操作系统内核中，因此占用待检测设备的操作系统的资源很少，解决了现有的未知勒索病毒识别方法中需要在待识别设备操作系统的根目录和各个磁盘目录下创建大量创建诱饵文件，导致诱饵文件占用较多的系统资源的问题。

另外，还需要说明的是，由于诱饵文件属于虚拟文件，因此，用户在待识别设备的系统中输入的命令是无法遍历识别到虚拟文件，仅在遍历文件的系统调用函数执行时才可以发现，进而能够有效的避免出现用户在调用正常加密程序对诱饵文件执行加密操作的情况，以使待检测设备将正常的加密程序的加密操作行为误判为疑似携带未知勒索病毒的文件的加密行为，从而提高了疑似携带未知勒索病毒的文件的识别准确率。

在本发明实施例中，如图4所示，在将所述待检测设备中，读取所述诱饵文件，且对所述诱饵文件执行加密操作的文件确定为所述待处理文件之后，所述方法还包括：

步骤s41，阻断所述待处理文件对所述待检测设备中的文件的加密操作。

在本发明实施例中，当疑似携带未知勒索病毒的文件执行加密操作时，待检测设备通过对操作形同内核的疑似携带未知勒索病毒的文件写函数进行阻断，进而阻值了疑似携带未知勒索病毒的文件将加密后的内容写入待检测设备中的文件，从而阻值了疑似携带未知勒索病毒的文件的加密行为，有效降低疑似携带未知勒索病毒的文件对用户带来的危害。

在本发明实施例中，如图5所示，所述方法还包括已下步骤：

步骤s306，获取所述识别设备发送的识别结果，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件；

步骤s308，若所述识别结果为所述待处理文件为携带未知勒索病毒的文件，则将所述特征信息添加至杀毒引擎的病毒特征库；以及

步骤s310，将所述待处理文件中的未知勒索病毒标记为已知勒索病毒。

在本发明实施例中，当待检测设备获取到识别设备发送的识别结果后，如果识别结果为待处理文件为携带未知勒索病毒的文件，则将待处理文件的特征信息添加至杀毒引擎的病毒特征库，并在杀毒引擎的病毒库中将该位置勒索病毒标记为已知勒索病毒。

通过识别设备将识别结果和携带未知勒索病毒的文件的特征信息发送给各个待识别设备，各个待识别设备将基于识别结果将携带未知勒索病毒的文件的特征信息更新在各个待识别设备安装的杀毒引擎的病毒特征库中，从而使各个待识别设备都具备了对该未知勒索病毒的查杀功能，进而使识别设备和各个待检测设备组成的网络具备了全网防御该未知勒索病毒的功能。

实施例三：

图6是根据本发明实施例的一种针对未知勒索病毒的精准识别与全网联动防御系统，如图3所示，该系统包括如下步骤：待检测设备10和识别设备20，可选地，所述待检测设备10的数量为多个，包括：待检测设备11，待检测设备12和待检测设备13。

所述待检测设备用于获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；将所述待处理文件和所述特征信息发送给识别设备；

所述识别设备用于获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，并将所述识别结果发送给各个所述待检测设备，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件。

本发明通过对多个哈希值相同的携带疑似未知勒索病毒的文件的特征信息进行分析和对比，来确定疑似未知勒索病毒是否为未知勒索病毒，提高了对未知病毒的识别率，解决了现有的疑似未知勒索病毒的识别方法针对一个携带疑似未知勒索病毒的文件的特征信息进行分析，来确定疑似未知勒索病毒是否为未知勒索病毒，导致误判率较高的问题，进而达到了提高对未知勒索病毒的识别准确率。

可选地，如图7所示，所述识别设备包括：决策模块21和调度模块22，其中，

所述决策模块21用于获取每个待检测设备发送的疑似携带未知勒索病毒的待处理文件和所述待处理文件的特征信息，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入待检测设备的时间和方式；计算每个待检测设备发送的待处理文件的哈希值，得到多个哈希值；从多个待处理文件中选择哈希值相同的多个目标文件；对所述多个目标文件进行识别，得到识别结果，其中，所述识别结果表示哈希值相同的多个目标文件是否为携带未知勒索病毒的文件；所述调度模块22用于将所述识别结果和所述特征信息发送给各个所述待检测设备。

可选地，如图7所示，所述待检测设备包括：行为设别器101和调度代理模块102，其中，

所述行为设别器101用于获取疑似携带未知勒索病毒的待处理文件的特征信息，其中，所述特征信息包括以下至少一种：用于表征所述待处理文件是否产生过外联行为的标识信息，所述待处理文件的首次启动时刻和首次启动时长，所述待处理文件对诱饵文件执行加密操作的次数，所述待处理文件进入所述待检测设备的时间和进入方式；将所述待处理文件和所述特征信息发送给识别设备；

所述调度代理模块102用于获取所述识别设备发送的识别结果，并将所述识别结果和所述特征信息发送给杀毒引擎。

参见图8，本发明实施例还提供一种服务器100，包括：处理器80，存储器81，总线82和通信接口83，所述处理器80、通信接口83和存储器81通过总线82连接；处理器80用于执行存储器81中存储的可执行模块，例如计算机程序。

其中，存储器81可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非不稳定的存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口83(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线82可以是isa总线、pci总线或eisa总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图7中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器81用于存储程序，所述处理器80在接收到执行指令后，执行所述程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器80中，或者由处理器80实现。

处理器80可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器80中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器80可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器81，处理器80读取存储器81中的信息，结合其硬件完成上述方法的步骤。

另外，在本发明实施例的描述中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。