(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211056184.4 (22)申请日 2022.08.31 (71)申请人 山石网科通信技 术股份有限公司 地址 215163 江苏省苏州市高新区景润路 181号 (72)发明人 詹令明　王博　王谦　邱丽丽　 杨升　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 周春枚 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 异常软件的确定方法、 装置及电子设备 (57)摘要 本申请公开了一种异常软件的确定方法、 装 置及电子设备。 其中， 该方法包括： 获取目标主机 与其他主机之间的共享流量； 对共享流量进行解 析， 得到目标主机在第一预设时长内在同一共享 文件夹中发起的多个共享文件操作行为， 其中， 每个共享文件操作行为对应一个权重值； 根据每 个共享文件操作行为对应的权重值， 计算多个共 享文件操作行为对应的目标值； 在目标值大于或 等于预设阈值的情况下， 确定目标主机中存在异 常软件， 其中， 异常软件用于表征对共享文件进 行强制加密处理的软件。 本申请解决了现有技术 中需要在主机上安装监控软件才能检测到异常 软件， 导致的主机计算资源利用率低的技术问 题。 权利要求书2页 说明书15页 附图2页 CN 115426164 A 2022.12.02 CN 115426164 A 1.一种异常软件的确定方法， 其特 征在于， 包括： 获取目标主机与其他主机之间的共享流量， 其中， 所述目标主机为局域网络中的任意 一台主机， 所述 其他主机为所述局域网络中除所述目标主机之外的所有 主机； 对所述共享流量进行解析， 得到所述目标主机在第 一预设时长 内在同一共享文件夹中 发起的多个共享文件操作行为， 其中， 每 个共享文件操作行为对应一个权 重值； 根据所述每个共享文件操作 行为对应的权重值， 计算所述多个共享文件操作 行为对应 的目标值； 在所述目标值大于或等于预设阈值的情况下， 确定所述目标主机中存在异常软件， 其 中， 所述异常软件用于表征对 共享文件进行强制加密处 理的软件。 2.根据权利要求1所述的方法， 其特征在于， 在获取目标主机与其他主机之间的共享流 量之后， 所述方法还 包括： 对所述共享流量进行解析， 得到所述目标主机在第 二预设时长 内所操作的目标共享文 件的文件信息， 其中， 所述第二预设时长小于所述第一预设时长； 根据所述文件信息确定所述目标共享文件是否为异常文件， 其中， 所述异常文件为存 在信息安全风险的文件； 统计在所述第二预设时长内确定的异常文件的数量； 在所述异常文件的数量大于或等于预设数量 时， 确定所述目标主机 中存在所述异常软 件。 3.根据权利要求2所述的方法， 其特征在于， 在确定所述目标主机 中存在所述异常软件 之后， 所述方法还 包括： 调用网络安全设备禁止所述目标主机与所述 其他主机之间的通讯联系； 获取所述目标主机的主机信息， 并根据所述主机信息生成报警信息； 将所述报警信息发送至终端设备中。 4.根据权利要求1所述的方法， 其特征在于， 根据 所述每个共享文件操作行为对应的权 重值， 计算所述多个共享文件操作行为对应的目标值， 包括： 检测所述多个共享文件操作行为中是否存在至少一个目标操作行为， 其中， 所述目标 操作行为的权重值大于0， 所述 目标操作行为之外的共享操作行为的权重值为0， 所述目标 操作行为 为所述异常软件在对所述共享文件进行修改时的操作行为； 在所述多个共享操作行为中不存在所述目标操作行为时， 确定所述目标值 为0； 在所述多个共享操作 行为中存在所述至少一个目标操作 行为时， 根据每个目标操作 行 为的权重值计算得到所述目标值。 5.根据权利要求4所述的方法， 其特征在于， 在所述多个共享操作行为中存在所述至少 一个目标操作行为时， 根据每 个目标操作行为的权 重值计算得到所述目标值， 包括： 在所述多个共享操作 行为中存在所述至少一个目标操作 行为时， 识别每个目标操作 行 为是否为加密操作行为， 其中， 所述加密操作行为为所述异常软件对所述共享文件进行加 密的行为； 在识别到所述至少一个目标操作 行为中存在所述加密操作行为 时， 计算在 当前时刻下 已经检测到的所有目标操作行为的加权求和值； 在所述加权求和值大于或等于所述预设阈值的情况下， 确定所述目标主机 中存在所述权　利　要　求　书 1/2 页 2 CN 115426164 A 2异常软件， 并调用网络安全设备禁止所述目标主机与所述 其他主机之间的通讯联系。 6.根据权利要求5所述的方法， 其特征在于， 识别每个目标操作 行为是否为加密操作 行 为， 包括： 确定所述目标操作行为所对应的操作文件； 获取所述操作文件对应的香浓熵的熵值以及最小熵的熵值， 其中， 所述香浓熵与所述 最小熵用于表征所述操作文件的文件内容的不确定性， 所述香浓熵的熵值根据所述操作文 件的字节流数据确定， 所述 最小熵的熵值 根据所述操作文件的比特流数据确定； 根据所述香浓熵的熵值以及所述最小熵的熵值确定所述目标操作行为是否为所述加 密操作行为。 7.根据权利要求6所述的方法， 其特征在于， 根据 所述香浓熵的熵值以及所述最小熵的 熵值确定所述目标操作行为是否为所述加密操作行为， 包括： 确定所述 香浓熵的熵值与所述 最小熵的熵值 为输入特 征值； 将所述输入特征值输入至目标模型中， 得到输出结果， 其中， 所述目标模型为根据随机 森林算法训练得到的模型， 所述输出 结果用于表征 所述操作文件是否为加密文件； 在所述操作文件为所述加密文件的情况下， 确定所述目标操作 行为为所述加密操作 行 为。 8.一种异常软件的确定装置， 其特 征在于， 包括： 获取模块， 用于获取目标主机与其他主机之间的共享流量， 其中， 所述目标主机为局域 网络中的任意一台主机， 所述其他主机为所述局域网络中除所述目标主机之外的所有主 机； 解析模块， 用于对所述共享流量进行解析， 得到所述目标主机在第一预设时长内在同 一共享文件夹中发起的多个共享文件操作行为， 其中， 每个共享文件操作行为对应一个权 重值； 计算模块， 用于根据所述每个共享文件操作行为对应的权重值， 计算所述多个共享文 件操作行为对应的目标值； 确定模块， 用于在所述目标值大于或等于预设阈值的情况下， 确定所述目标主机中存 在异常软件， 其中， 所述异常软件用于表征对 共享文件进行强制加密处 理的软件。 9.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质中存储有计算机 程序， 其中， 所述计算机程序被 设置为运行时执行所述权利要求 1‑7任一项中所述的异常软 件的确定方法。 10.一种电子设备， 其特征在于， 所述电子设备包括一个或多个处理器； 存储装置， 用于 存储一个或多个程序， 当所述一个或多个程序被所述一个或多个处理器执行时， 使得所述 一个或多个处理器实现用于运行程序， 其中， 所述程序被设置为运行时执行所述权利要求 1‑7任一项中所述的异常软件的确定方法。权　利　要　求　书 2/2 页 3 CN 115426164 A 3