文件系统操作处理方法、系统、设备和计算机可读介质与流程

1.本公开的实施例涉及计算机技术领域，具体涉及文件系统操作处理方法、系统、设备和计算机可读介质。


背景技术：

2.文件系统操作处理是指在确定文件系统操作存在勒索软件行为时对文件系统操作进行的处理。目前，现有的文件系统操作处理方法一般依赖勒索软件特征库，如果检测出勒索软件特征库中的已知的勒索软件，将检测出的勒索软件进行删除。另一种方法是基于深度学习的方法，利用深度学习模型训练文件系统操作对应的描述信息的特征，从而识别出文件系统操作存在的勒索软件行为。
3.然而，发明人发现，当采用上述方式进行文件系统操作处理时，经常会存在如下技术问题：第一，基于勒索软件特征库的方法仅是针对已知的勒索软件配置的处理方案，对于新的勒索软件变体检出率较低。当系统遭受新的勒索软件变体的攻击时，不能及时采取应对方法，从而导致系统安全性较低；基于深度学习的方法，由于勒索软件行为种类较多，且缺乏标准的勒索软件行为数据集，导致训练的勒索软件行为识别模型在勒索软件行为识别时的误报率较高，从而增加了阻止合法文件系统操作的概率。
4.第二，将文件系统操作直接与勒索软件特征库中的勒索软件特征进行匹配，未考虑文件系统操作的特征与勒索软件特征库中的勒索软件特征的相似性，导致针对新的勒索软件变体的检出率较低。当新的勒索软件变体入侵文件系统时，导致系统的安全性较低。
5.该背景技术部分中所公开的以上信息仅用于增强对本发明构思的背景的理解，并因此，其可包含并不形成本国的本领域普通技术人员已知的现有技术的信息。


技术实现要素：

6.本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。
7.本公开的一些实施例提出了文件系统操作处理方法、系统、电子设备和计算机可读介质，来解决以上背景技术部分提到的技术问题中的一项或多项。
8.第一方面，本公开的一些实施例提供了一种文件系统操作处理方法，该方法包括：响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合；根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息；根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息；根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型；将上述各个勒索软
件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至上述勒索软件特征向量模型，得到各个勒索软件特征向量集合；响应于检测到文件系统操作，确定上述文件系统操作对应的特征信息；根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为；响应于确定上述文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据上述勒索软件阻止方法信息表，确定对应上述目标勒索软件行为的阻止方法信息；根据上述阻止方法信息，对上述文件系统操作进行阻止处理。
9.第二方面，本公开的一些实施例提供了一种文件系统操作处理系统，系统包括：威胁情报服务端，被配置成获取勒索软件信息；响应于确定上述勒索软件信息与历史勒索软件信息集合中的各个历史勒索软件信息相异，对上述历史勒索软件信息集合进行更新处理，得到更新勒索软件信息集合；将上述更新勒索软件信息集合发送至中央管理服务器；中央管理服务器，被配置成响应于接收到上述威胁情报服务端发送的更新勒索软件信息集合，根据上述更新勒索软件信息集合，对勒索软件阻止方法信息表进行更新处理，得到更新处理后的勒索软件阻止方法信息表；将更新处理后的勒索软件阻止方法信息表发送至端点代理客户端；端点代理客户端，被配置成实现如第一方面任一实现方式所描述的方法。
10.第三方面，本公开的一些实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
11.第四方面，本公开的一些实施例提供了一种计算机可读介质，其上存储有计算机程序，其中，计算机程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
12.本公开的上述各个实施例具有如下有益效果：通过本公开的一些实施例的文件系统操作处理方法，提高了系统的安全性、减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。具体来说，造成系统的安全性较低、勒索软件行为的误报率和阻止合法文件系统操作的概率较高的原因在于：基于勒索软件特征库的方法仅是针对已知的勒索软件配置的处理方案，对于新的勒索软件变体检出率较低。当系统遭受新的勒索软件变体的攻击时，不能及时采取应对方法，从而导致系统安全性较低；基于深度学习的方法，由于勒索软件行为种类较多，且缺乏标准的勒索软件行为数据集，导致训练的勒索软件行为识别模型在勒索软件行为识别时的误报率较高，从而增加了阻止合法文件系统操作的概率。基于此，本公开的一些实施例的文件系统操作处理方法，首先，响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：首先，对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。由此，可以得到对应各个勒索软件行为的各个勒索软件特征实体集合。然后，根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。由此，可以得到对应各个勒索软件特征实体集合中包括的各个勒索软件特征实体的各个勒索软件特征实体关系信息。接着，根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。由此，可以得到各个勒索软件特征实体的各个权重信息，各个权重信息可以表征各个勒索软件特征实体的重要程度。之后，根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型。由此，可以得到勒索软件特征向量模型，可以用于生成各个勒索软件特征实体的各个特
征向量。最后，将上述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至上述勒索软件特征向量模型，得到各个勒索软件特征向量集合。由此，可以得到相关联的中央管理服务器发送的勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息对应的各个勒索软件特征向量集合。然后，响应于检测到文件系统操作，确定上述文件系统操作对应的特征信息。由此，可以得到文件系统操作对应的特征信息。之后，根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为。由此，可以确定文件系统操作是否存在勒索软件行为。接着，响应于确定上述文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据上述勒索软件阻止方法信息表，确定对应上述目标勒索软件行为的阻止方法信息。由此，可以得到对应目标勒索软件行为的阻止方法信息。最后，根据上述阻止方法信息，对上述文件系统操作进行阻止处理。由此，可以对文件系统操作进行阻止处理，以防止勒索软件勒索系统文件。因为所实现的文件系统操作处理方法，能够根据文件系统操作对应的特征信息和各个勒索软件特征向量集合来确定文件系统操作是否存在勒索软件行为，而不是单纯的进行文件操作系统描述信息和勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息的匹配。提高了新的勒索软件变体的检出率。从而提高了系统的安全性。也因为所实现的文件系统操作处理方法不是采用基于深度学习的方法，从而减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。
附图说明
13.结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，元件和元素不一定按照比例绘制。
14.图1是根据本公开的文件系统操作处理方法的一些实施例的流程图；图2是根据本公开的文件系统操作处理系统的时序图；图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
15.下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
16.另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
17.需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
18.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
19.本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
20.下面将参考附图并结合实施例来详细说明本公开。
21.图1示出了根据本公开的文件系统操作处理方法的一些实施例的流程100。该文件系统操作处理方法，包括以下步骤：步骤101，响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：步骤1011，对勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。
22.在一些实施例中，文件系统操作处理方法的执行主体（例如计算设备）可以对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。其中，上述中央管理服务器可以是存储和维护勒索软件阻止方法信息表的服务器。上述勒索软件阻止方法信息表可以表征勒索软件行为和阻止方法信息之间的关系。上述阻止方法信息可以表征处理勒索软件行为的方法。例如，上述阻止方法信息可以是弹窗显示可疑行为、安装蜜罐文件。上述勒索软件行为描述信息可以是勒索软件行为的程序代码。上述勒索软件特征实体集合可以表征对勒索软件行为描述信息进行特征实体识别得到的各个命名实体。实践中，上述执行主体可以采用各种方法，对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。
23.在一些实施例的一些可选的实现方式中，上述执行主体可以将上述各个勒索软件行为描述信息中的每个勒索软件行为描述信息输入至预先训练的特征实体识别模型中，得到各个勒索软件特征实体集合。其中，上述预先训练的特征实体识别模型可以是bert命名实体识别模型。
24.步骤1012，根据各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。
25.在一些实施例中，上述执行主体可以根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。其中，上述各个勒索软件特征实体关系信息可以表征对应各个勒索软件特征实体的实体网络图。上述勒索软件特征实体关系信息可以包括勒索软件特征实体对和勒索软件特征实体对中的两个勒索软件特征实体的共现次数。上述勒索软件特征实体对可以表征存在共现关系的两个勒索软件特征实体。例如，实体网络图中的节点可以表征勒索软件特征实体。实体网络图中的边可以表征连接的两个勒索软件特征实体存在共现关系。实体网络图中边的权重可以表征连接的两个勒索软件特征实体的共现次数。上述共现关系可以表征两个勒索软件特征实体共同存在于一个勒索软件行为描述信息中。实践中，上述执行主体可以通过各种方式，根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。
26.在一些实施例的一些可选的实现方式中，上述执行主体可以通过以下步骤，根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息：第一步，对上述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中的勒索软件特征实体进行去重处理，以生成目标勒索软件特征实体集合，得到各个目标勒索软件特征实体集合。其中，上述目标勒索软件特征实体集合可以表征去重后得到的各个勒索软件特征实体。
27.第二步，对预设的目标勒索软件特征实体关系信息集合进行初始化处理。其中，上述目标勒索软件特征实体关系信息集合可以表征各个目标勒索软件特征实体之间的共现关系和共现权重。上述共现权重可以表征两个目标勒索软件特征实体共同存在于同一个勒索软件特征实体集合的个数。上述初始化处理可以是将上述目标勒索软件特征实体关系信息集合清空。
28.第三步，对于上述各个目标勒索软件特征实体集合中的每个目标勒索软件特征实体集合，执行以下步骤：第一子步骤，根据上述目标勒索软件特征实体集合，生成上述目标勒索软件特征实体集合对应的各个目标勒索软件特征实体对信息。其中，上述目标勒索软件特征实体对信息可以表征目标勒索软件特征实体对信息中包括的两个目标勒索软件特征实体存在共现关系。实践中，首先，对于上述目标勒索软件特征实体集合中的每个目标勒索软件特征实体，上述执行主体可以通过以下生成步骤，根据上述目标勒索软件特征实体集合，生成上述目标勒索软件特征实体集合对应的各个目标勒索软件特征实体对信息：第一生成步骤，将上述目标勒索软件特征实体集合中与上述目标勒索软件特征实体相异的各个目标勒索软件特征实体确定为各个相异勒索软件特征实体。
29.第二生成步骤，对于上述各个相异勒索软件特征实体中的每个相异勒索软件特征实体，将上述目标勒索软件特征实体与上述相异勒索软件特征实体组合为目标勒索软件特征实体对信息。
30.第二子步骤，根据上述各个目标勒索软件特征实体对信息，对目标勒索软件特征实体关系信息集合进行更新。实践中，上述执行主体可以通过各种方式，根据上述各个目标勒索软件特征实体对信息，对目标勒索软件特征实体关系信息集合进行更新。
31.第四步，将所更新的目标勒索软件特征实体关系信息集合中包括的各个目标勒索软件特征实体关系信息确定为各个勒索软件特征实体关系信息。
32.在一些实施例的一些可选的实现方式中，上述执行主体可以通过以下步骤，根据上述各个目标勒索软件特征实体对信息，对目标勒索软件特征实体关系信息集合进行更新：第一步，对上述各个目标勒索软件特征实体对信息中的目标勒索软件特征实体对信息进行去重处理，得到去重处理后的各个目标勒索软件特征实体对信息。
33.第二步，对于去重处理后的各个目标勒索软件特征实体对信息中的每个目标勒索软件特征实体对信息，执行以下步骤：第一子步骤，响应于确定上述目标勒索软件特征实体对信息存在于目标勒索软件特征实体关系信息集合中，对目标勒索软件特征实体关系信息集合中对应上述目标勒索软件特征实体对信息的目标勒索软件特征实体关系信息包括的共现信息进行更新。其中，上述共现信息可以是目标勒索软件特征实体关系信息中包括的两个目标勒索软件特征实体的共现次数。实践中，上述执行主体可以将目标勒索软件特征实体关系信息集合中对应上述目标勒索软件特征实体对信息的目标勒索软件特征实体关系信息包括的共现信息加1，以对共现信息进行更新。
34.第二子步骤，响应于确定上述目标勒索软件特征实体对信息不存在于目标勒索软件特征实体关系信息集合中，将上述目标勒索软件特征实体对信息和预设初始共现信息确
定为目标勒索软件特征实体关系信息，以及将所确定的目标勒索软件特征实体关系信息添加至目标勒索软件特征实体关系信息集合。其中，上述预设初始共现信息可以是1。
35.步骤1013，根据各个勒索软件特征实体关系信息，生成各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。
36.在一些实施例中，上述执行主体可以根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。其中，上述各个勒索软件特征实体关系信息中的勒索软件特征实体关系信息可以包括勒索软件特征实体对信息和上述勒索软件特征实体对信息对应的共现信息。上述权重信息可以是勒索软件特征实体的特征向量中心度。上述特征向量中心度可以表征勒索软件特征实体的重要程度。实践中，上述执行主体可以通过各种方式，根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。
37.在一些实施例的一些可选的实现方式中，上述执行主体可以通过以下步骤，根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息：第一步，根据上述各个勒索软件特征实体关系信息包括的各个勒索软件特征实体对信息和各个共现信息，确定对应上述各个勒索软件特征实体关系信息的邻接矩阵。其中，上述邻接矩阵的阶数可以为上述各个勒索软件特征实体关系信息中包括的勒索软件特征实体的个数。实践中，上述执行主体可以采用邻接矩阵表示法，根据上述各个勒索软件特征实体关系信息包括的各个勒索软件特征实体对信息和各个共现信息，确定对应上述各个勒索软件特征实体关系信息的邻接矩阵。
38.第二步，将上述邻接矩阵的各个特征值中满足预设特征值条件的特征值确定为目标特征值。其中，上述预设特征值条件可以是特征值最大。上述目标特征值可以是上述各个特征值中最大的特征值。实践中，上述执行主体可以将上述各个特征值中最大的特征值确定为目标特征值。
39.第三步，将上述目标特征值对应的特征向量中的各个元素确定为上述各个勒索软件特征实体对应的各个权重信息。
40.步骤1014，根据各个勒索软件特征实体关系信息和各个权重信息，生成勒索软件特征向量模型。
41.在一些实施例中，上述执行主体可以根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型。其中，上述勒索软件特征向量模型可以表征勒索软件特征实体和勒索软件特征向量之间的关系。实践中，上述执行主体可以通过各种方式，根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型。
42.在一些实施例的一些可选的实现方式中，上述执行主体可以通过以下步骤，根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型：第一步，根据上述各个勒索软件特征实体关系信息，确定上述各个勒索软件特征实体中的每个勒索软件特征实体对应的邻接特征实体集合。其中，上述邻接特征实体集合可以表征与上述勒索软件特征实体存在共现关系的各个勒索软件特征实体组成的集合。实
践中，对于上述各个勒索软件特征实体中的每个勒索软件特征实体，首先，上述执行主体可以将上述各个勒索软件特征实体关系信息中包括上述勒索软件特征实体的各个勒索软件特征实体关系信息确定为各个目标特征实体关系信息。然后，可以将上述各个目标特征实体关系信息包括的与上述勒索软件特征实体相异的各个勒索软件特征实体确定为上述勒索软件特征实体对应的邻接特征实体集合。其中，上述各个目标特征实体关系信息可以是包括上述勒索软件特征实体的各个勒索软件特征实体关系信息。
43.第二步，对于上述各个勒索软件特征实体中的每个勒索软件特征实体，执行以下步骤：第一子步骤，将上述勒索软件特征实体确定为目标特征实体。其中，上述目标特征实体可以表征进行采样的起始勒索软件特征实体。
44.第二子步骤，将上述勒索软件特征实体添加至采样特征实体序列。其中，上述采样特征实体序列可以表征采样过程中得到的具有先后顺序关系的各个勒索软件特征实体。上述采样特征实体序列的初始状态可以为空。
45.第三子步骤，基于目标特征实体，执行以下采样步骤：第一采样步骤，根据目标特征实体、对应目标特征实体的邻接特征实体集合、对应目标特征实体的前向目标特征实体、对应前向目标特征实体的前向邻接特征实体集合、第一采样信息和第二采样信息，确定采样特征实体。其中，上述前向目标特征实体可以是与上述目标特征实体存在共现关系的相邻的上一次采样步骤对应的目标特征实体。上述前向邻接特征实体集合可以是对应上述前向目标特征实体的邻接特征实体集合。实践中，首先，上述执行主体可以将上述邻接特征实体集合与上述前向邻接特征实体集合的交集确定为共有邻接特征实体集合。然后，将上述邻接特征实体集合中与上述共有邻接特征实体集合中的各个共有邻接特征实体相异的各个邻接特征实体确定为独有邻接特征实体集合。之后，对于上述共有邻接特征实体集合中的每个共有邻接特征实体，将上述目标特征实体与上述共有邻接特征实体之间的共现信息确定为对应上述共有邻接特征实体的采样权重。接着，对于上述独有邻接特征实体集合中的每个独有邻接特征实体，将上述目标特征实体与上述独有邻接特征实体之间的共现信息与上述第一采样信息的乘积确定为对应上述独有邻接特征实体的采样权重。接着，将上述目标特征实体与上述前向目标特征实体之间的共现关系与上述第二采样信息的乘积确定为对应上述前向目标特征实体的采样权重。最后，将所得到的各个采样权重中数值最大的采样权重对应的勒索软件特征实体确定为采样特征实体。其中，上述共有邻接特征实体集合可以表征既与上述目标特征实体存在共现关系，又与上述前向目标特征实体存在共现关系的各个勒索软件特征实体。上述独有邻接特征实体集合可以表征与上述目标特征实体存在共现关系，但与上述前向目标特征实体不存在共现关系的各个勒索软件特征实体。上述采样权重可以表征对应的勒索软件特征实体的采样概率。上述第一采样信息可以表征对前向目标特征实体进行采样的采样概率。上述第二采样信息可以表征进行深度游走采样或广度游走采样的概率。例如，当上述第二采样信息大于1时，倾向于采样广度优先搜索路径上的节点。当上述第二采样信息小于1时，倾向于采样深度优先搜索路径上的节点。当第二采样信息等于1时，随机选择下一个采样节点。
46.第二采样步骤，将采样特征实体添加至采样特征实体序列。
47.第三采样步骤，响应于确定采样特征实体序列未达到预设采样目标，将采样特征
实体确定为目标特征实体，再次执行上述采样步骤。其中，上述预设采样目标可以是采样特征实体序列中的采样特征实体的个数达到预设数值。例如，上述预设数值可以是80。
48.第四子步骤，将所得到的采样特征实体序列确定为采样信息。
49.第三步，根据所确定的各个采样信息，生成样本集，其中，上述样本集中的样本可以包括样本特征实体序列和样本标签。实践中，对于上述各个采样信息中的每个采样信息，上述执行主体可以执行以下步骤：第一子步骤，对于上述采样信息中包括的各个采样特征实体中的每个采样特征实体，执行以下生成步骤：第一生成步骤，将上述采样特征实体确定为样本标签。
50.第二生成步骤，将上述采样信息中包括的各个采样特征实体中与上述采样特征实体相异的各个采样特征实体确定为样本特征实体序列。
51.第三生成步骤，将上述样本特征实体序列和上述样本标签确定为样本。
52.第二子步骤，将所确定的各个样本确定为样本集。
53.第四步，基于样本集，执行以下训练步骤：第一训练步骤，将样本集中的任意一个样本的样本特征实体序列输入至初始神经网络，得到对应上述任意一个样本的样本特征实体序列的预测标签。其中，上述初始神经网络可以是未经训练的连续词袋模型（continuous bag of words，cbow）。上述预测标签可以表征经过初始神经网络预测得到的对应上述样本特征实体序列的特征实体。
54.第二训练步骤，根据上述任意一个样本的样本特征实体序列对应的样本标签和对应上述任意一个样本的样本特征实体序列的预测标签，确定初始神经网络是否达到预设优化目标。其中，上述预设优化目标可以是上述预测标签对应的one-hot向量与上述样本标签对应的one-hot向量之间的距离小于等于预设距离阈值。此处，对于上述预设距离阈值的设定，不做限定。实践中，首先，上述执行主体可以将上述预测标签对应的one-hot向量与上述样本标签对应的one-hot向量之间的距离确定为损失值。然后，响应于确定上述损失值小于等于上述预设距离阈值，确定初始神经网络达到上述预设优化目标。
55.第三训练步骤，响应于确定初始神经网络达到上述预设优化目标，将初始神经网络确定为勒索软件特征向量模型。
56.在一些实施例的一些可选的实现方式中，响应于确定初始神经网络未达到上述预设优化目标，上述执行主体可以调整初始神经网络的网络参数，以及使用未使用过的样本组成的样本集，再次执行上述训练步骤。其中，可以采用梯度下降法调整初始神经网络的网络参数。
57.上述技术方案其相关内容作为本公开的实施例的一个发明点，解决了背景技术提及的技术问题二“新的勒索软件变体的检出率和系统的安全性较低”。导致新的勒索软件变体的检出率和系统的安全性较低的因素往往如下：将文件系统操作直接与勒索软件特征库中的勒索软件特征进行匹配，未考虑文件系统操作的特征与勒索软件特征库中的勒索软件特征的相似性，导致针对新的勒索软件变体的检出率较低。当新的勒索软件变体入侵文件系统时，导致系统的安全性较低。如果解决了上述因素，就能达到提高新的勒索软件变体的检出率和系统的安全性的效果。为了达到这一效果，本公开引入了特征向量模型，以生成对应勒索软件特征实体的特征向量。用于确定文件系统操作对应的各个特征实体的各个特征
向量与各个勒索软件特征实体集合的各个相似度。从而能够识别出与已经存在的各个勒索软件行为特征相似的新的勒索软件变体，从而提高了新的勒索软件变体的检出率和系统的安全性。
58.步骤1015，将各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至勒索软件特征向量模型，得到各个勒索软件特征向量集合。
59.在一些实施例中，上述执行主体可以将上述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至上述勒索软件特征向量模型，得到各个勒索软件特征向量集合。其中，上述勒索软件特征向量集合可以表征通过上述勒索软件特征向量模型生成的各个特征向量。
60.步骤102，响应于检测到文件系统操作，确定文件系统操作对应的特征信息。
61.在一些实施例中，响应于检测到文件系统操作，上述执行主体可以确定上述文件系统操作对应的特征信息。其中，上述文件系统操作可以表征对文件进行的各种操作。例如，上述文件系统操作可以包括但不限于创建文件、删除文件、修改文件或重命名文件。上述特征信息可以表征从文件系统操作对应的描述信息中提取出的各个命名实体。实践中，响应于检测到文件系统操作，上述执行主体可以通过各种方式确定上述文件系统操作对应的特征信息。
62.在一些实施例的一些可选的实现方式中，响应于检测到文件系统操作，上述执行主体可以通过以下步骤，确定上述文件系统操作对应的特征信息：第一步，对上述文件系统操作对应的描述信息进行特征实体识别，得到特征实体集合。其中，上述文件系统操作对应的描述信息可以表征上述文件系统操作对应的程序代码。上述特征实体集合可以是文件系统操作对应的描述信息进行特征实体识别得到的各个命名实体。实践中，上述执行主体可以采用bert命名实体识别模型，对上述文件系统操作对应的描述信息进行特征实体识别，得到特征实体集合。
63.第二步，将上述特征实体集合中的每个特征实体输入至上述勒索软件特征向量模型，得到特征向量集合。其中，上述特征向量集合可以表征特征实体集合中各个特征实体对应的特征向量。
64.第三步，将上述特征向量集合确定为上述文件系统操作对应的特征信息。
65.步骤103，根据特征信息和各个勒索软件特征向量集合，确定文件系统操作是否存在勒索软件行为。
66.在一些实施例中，上述执行主体可以根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为。其中，上述勒索软件行为可以表征勒索软件的恶意行为。例如，上述勒索软件行为可以包括加密用户磁盘文件、安装开源的窃密程序、窃取文件、图片截屏、目录检索、上传或下载文件。实践中，上述执行主体可以通过各种方式，根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为。
67.在一些实施例的一些可选的实现方式中，上述执行主体可以通过以下步骤，根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为：
第一步，对于上述各个勒索软件特征向量集合中的每个勒索软件特征向量集合，执行以下步骤：第一子步骤，根据上述特征信息、上述勒索软件特征向量集合和上述各个权重信息，生成第一特征向量和第二特征向量。其中，上述第一特征向量对应上述特征信息，上述第二特征向量对应上述勒索软件特征向量集合。上述第一特征向量可以表征上述特征信息对应的特征向量。上述第二特征向量可以表征对应上述勒索软件特征向量集合中的各个勒索软件特征向量的特征向量。实践中，上述执行主体可以通过以下生成步骤，根据上述特征信息、上述勒索软件特征向量集合和上述各个权重信息，生成第一特征向量和第二特征向量：第一生成步骤，根据上述各个权重信息，确定上述特征信息中包括的各个特征实体向量中的每个特征实体向量与上述勒索软件特征向量集合中的每个勒索软件特征向量之间的第一相似值，得到各个第一相似值。实践中，上述执行主体可以通过相似值约束函数，根据上述各个权重信息，确定上述特征信息中包括的各个特征实体向量中的每个特征实体向量与上述勒索软件特征向量集合中的每个勒索软件特征向量之间的相似值。作为示例，上述相似值约束函数可以是：。
68.其中，的取值范围可以是[1，m]。的取值范围可以是[1，n]。m可以是上述特征信息中包括的特征实体向量的个数。n可以是上述勒索软件特征向量集合中的勒索软件特征向量的个数。可以表征上述特征信息中第个特征实体向量。可以表征上述各个权重信息中对应上述第个特征实体向量对应的特征实体的权重信息。可以表征上述勒索软件特征向量集合中的第个勒索软件特征向量。可以表征上述各个权重信息中对应上述第个勒索软件特征向量对应的勒索软件特征实体的权重信息。可以表征上述的转置向量。可以表征上述特征信息中第个特征实体向量与上述勒索软件特征向量集合中的第个勒索软件特征向量间的相似值。
[0069]
第二生成步骤，根据上述各个权重信息，确定上述勒索软件特征向量集合中的每个勒索软件特征向量与上述特征信息中包括的各个特征实体向量中的每个特征实体向量之间的第二相似值，得到各个第二相似值。其中，得到各个第二相似值的步骤可以参考上述第一生成步骤，在此不再赘述。
[0070]
第三生成步骤，将上述各个第一相似值组合为第一特征向量。作为示例，当上述各个第一相似值为0.987、0.765、0.564、0.327、0.754。则组合成的第一特征向量可以为[0.987,0.765,0.564,0.327,0.754]。
[0071]
第四生成步骤，将上述各个第二相似值组合为第二特征向量。
[0072]
第二子步骤，确定上述第一特征向量与上述第二特征向量之间的相似值。实践中，上述执行主体可以通过余弦相似度算法，确定上述第一特征向量与上述第二特征向量之间
的相似值。
[0073]
第二步，根据所确定的各个相似值，确定上述各个勒索软件特征向量集合中是否存在满足预设相似值条件的勒索软件特征向量集合。其中，上述预设相似值条件可以是上述各个勒索软件特征向量集合中的勒索软件特征向量集合与上述特征信息之间的最大相似值大于预设阈值。例如，上述预设阈值可以是85%。实践中，上述执行主体可以响应于确定上述各个勒索软件特征向量集合中的勒索软件特征向量集合与上述特征信息之间的最大相似值大于上述预设阈值，确定上述各个勒索软件特征向量集合中存在满足预设相似值条件的勒索软件特征向量集合。
[0074]
第三步，响应于确定上述各个勒索软件特征向量集合中存在满足预设相似值条件的勒索软件特征向量集合，确定上述文件系统操作存在勒索软件行为。
[0075]
步骤104，响应于确定文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据勒索软件阻止方法信息表，确定对应目标勒索软件行为的阻止方法信息。
[0076]
在一些实施例中，响应于确定上述文件系统操作存在勒索软件行为，上述执行主体可以将所存在的勒索软件行为确定为目标勒索软件行为，以及根据上述勒索软件阻止方法信息表，确定对应上述目标勒索软件行为的阻止方法信息。其中，上述目标勒索软件行为可以表征上述文件系统操作存在的勒索软件行为。实践中，上述执行主体可以通过查询上述勒索软件阻止方法信息表中上述文件系统操作对应的阻止方法信息，得到对应上述目标勒索软件行为的阻止方法信息。
[0077]
步骤105，根据阻止方法信息，对文件系统操作进行阻止处理。
[0078]
在一些实施例中，上述执行主体可以根据上述阻止方法信息，对上述文件系统操作进行阻止处理。实践中，首先，上述执行主体可以关闭上述文件系统操作对应的进程。然后，可以执行上述阻止方法信息中包括的防止上述文件系统操作存在的勒索软件的操作。例如，上述阻止方法信息中包括的防止上述文件系统操作存在的勒索软件的操作可以包括安装蜜罐文件、安装补丁。
[0079]
本公开的上述各个实施例具有如下有益效果：通过本公开的一些实施例的文件系统操作处理方法，提高了系统的安全性、减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。具体来说，造成系统的安全性较低、勒索软件行为的误报率和阻止合法文件系统操作的概率较高的原因在于：基于勒索软件特征库的方法仅是针对已知的勒索软件配置的处理方案，对于新的勒索软件变体检出率较低。当系统遭受新的勒索软件变体的攻击时，不能及时采取应对方法，从而导致系统安全性较低；基于深度学习的方法，由于勒索软件行为种类较多，且缺乏标准的勒索软件行为数据集，导致训练的勒索软件行为识别模型在勒索软件行为识别时的误报率较高，从而增加了阻止合法文件系统操作的概率。基于此，本公开的一些实施例的文件系统操作处理方法，首先，响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：首先，对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。由此，可以得到对应各个勒索软件行为的各个勒索软件特征实体集合。然后，根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。由此，可以得到对应各个勒索软件特征实体集合中包括的各个勒索软件特征实体的各个勒索软件特征实体
关系信息。接着，根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。由此，可以得到各个勒索软件特征实体的各个权重信息，各个权重信息可以表征各个勒索软件特征实体的重要程度。之后，根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型。由此，可以得到勒索软件特征向量模型，可以用于生成各个勒索软件特征实体的各个特征向量。最后，将上述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至上述勒索软件特征向量模型，得到各个勒索软件特征向量集合。由此，可以得到相关联的中央管理服务器发送的勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息对应的各个勒索软件特征向量集合。然后，响应于检测到文件系统操作，确定上述文件系统操作对应的特征信息。由此，可以得到文件系统操作对应的特征信息。之后，根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为。由此，可以确定文件系统操作是否存在勒索软件行为。接着，响应于确定上述文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据上述勒索软件阻止方法信息表，确定对应上述目标勒索软件行为的阻止方法信息。由此，可以得到对应目标勒索软件行为的阻止方法信息。最后，根据上述阻止方法信息，对上述文件系统操作进行阻止处理。由此，可以对文件系统操作进行阻止处理，以防止勒索软件勒索系统文件。因为所实现的文件系统操作处理方法，能够根据文件系统操作对应的特征信息和各个勒索软件特征向量集合来确定文件系统操作是否存在勒索软件行为，而不是单纯的进行文件操作系统描述信息和勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息的匹配。提高了新的勒索软件变体的检出率。从而提高了系统的安全性。也因为所实现的文件系统操作处理方法不是采用基于深度学习的方法，从而减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。
[0080]
进一步参考图2，其示出了本公开的一种文件系统操作处理系统的时序图。
[0081]
如图2所示，一种文件系统操作处理系统包括：威胁情报服务端、中央管理服务器和端点代理客户端。上述威胁情报服务端、上述中央管理服务器和上述端点代理客户端之间的交互步骤可以包括以下步骤：步骤201，威胁情报服务端获取勒索软件信息。
[0082]
在一些实施例中，威胁情报服务端可以获取勒索软件信息。其中，上述威胁情报服务端可以是收集勒索软件信息的平台。上述勒索软件信息可以表征已知勒索软件行为和对应已知勒索软件行为的处理信息。上述处理信息可以表征对已知勒索软件行为的处理方法。例如，弹窗显示可疑行为、安装蜜罐文件、开启操作系统自动更新。实践中，上述威胁情报服务端可以从各种发布勒索软件行为和处理方法的网站上获取勒索软件信息。
[0083]
步骤202，威胁情报服务端响应于确定勒索软件信息与历史勒索软件信息集合中的各个历史勒索软件信息相异，对历史勒索软件信息集合进行更新处理，得到更新勒索软件信息集合。
[0084]
在一些实施例中，威胁情报服务端可以响应于确定上述勒索软件信息与历史勒索软件信息集合中的各个历史勒索软件信息相异，对上述历史勒索软件信息集合进行更新处理，得到更新勒索软件信息集合。其中，上述历史勒索软件信息集合可以表征在先获取到的各个勒索软件信息。上述更新勒索软件信息集合可以是加入上述勒索软件信息的历史勒索
软件信息集合。实践中，响应于确定上述勒索软件信息与历史勒索软件信息集合中的各个历史勒索软件信息相异，上述威胁情报服务端可以将上述勒索软件信息添加至上述历史勒索软件信息集合中，以对上述历史勒索软件信息集合进行更新处理，得到更新勒索软件信息集合。
[0085]
步骤203，威胁情报服务端将更新勒索软件信息集合发送至中央管理服务器。
[0086]
在一些实施例中，威胁情报服务端可以将上述更新勒索软件信息集合发送至上述中央管理服务器。实践中，上述威胁情报服务端可以通过数据传输协议与上述中央管理服务器通信，将上述更新勒索软件信息集合发送至上述中央管理服务器。例如，上述数据传输协议可以是https协议。
[0087]
步骤204，中央管理服务器响应于接收到威胁情报服务端发送的更新勒索软件信息集合，根据更新勒索软件信息集合，对勒索软件阻止方法信息表进行更新处理，得到更新处理后的勒索软件阻止方法信息表。
[0088]
在一些实施例中，上述中央管理服务器可以响应于接收到上述威胁情报服务端发送的更新勒索软件信息集合，根据上述更新勒索软件信息集合，对勒索软件阻止方法信息表进行更新处理，得到更新处理后的勒索软件阻止方法信息表。其中，上述勒索软件阻止方法信息表可以表征勒索软件行为和阻止方法信息之间的关系。实践中，对于上述更新勒索软件信息集合中的每个更新勒索软件信息，首先，上述中央管理服务器可以响应于确定上述更新勒索软件信息包括的勒索软件行为描述信息存在于上述勒索软件阻止方法信息表中，将上述更新勒索软件信息包括的处理信息添加至上述勒索软件阻止方法信息表中上述勒索软件行为描述信息对应的阻止方法信息。然后，响应于确定上述更新勒索软件信息包括的勒索软件行为描述信息不存在于上述勒索软件阻止方法信息表中，上述中央管理服务器可以将上述更新勒索软件信息包括的处理信息确定为阻止方法信息，以及将上述更新勒索软件信息包括的勒索软件行为描述信息和上述阻止方法信息添加至勒索软件阻止方法信息表。
[0089]
步骤205，中央管理服务器将更新处理后的勒索软件阻止方法信息表发送至端点代理客户端。
[0090]
在一些实施例中，上述中央管理服务器可以将更新处理后的勒索软件阻止方法信息表发送至端点代理客户端。实践中，上述中央管理服务器可以通过数据传输协议，将更新处理后的勒索软件阻止方法信息表发送至端点代理客户端。例如，上述数据传输协议可以是https协议。
[0091]
步骤206，端点代理客户端响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：步骤2061，对勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合。
[0092]
步骤2062，根据各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息。
[0093]
步骤2063，根据各个勒索软件特征实体关系信息，生成各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息。
[0094]
步骤2064，根据各个勒索软件特征实体关系信息和各个权重信息，生成勒索软件
特征向量模型。
[0095]
步骤2065，将各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至勒索软件特征向量模型，得到各个勒索软件特征向量集合。
[0096]
步骤207，端点代理客户端响应于检测到文件系统操作，确定文件系统操作对应的特征信息。
[0097]
步骤208，端点代理客户端根据特征信息和各个勒索软件特征向量集合，确定文件系统操作是否存在勒索软件行为。
[0098]
步骤209，端点代理客户端响应于确定文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据勒索软件阻止方法信息表，确定对应目标勒索软件行为的阻止方法信息。
[0099]
步骤210，端点代理客户端根据阻止方法信息，对文件系统操作进行阻止处理。
[0100]
在一些实施例中，步骤206-210的具体实现及所带来的技术效果可以参考图1对应的那些实施例中的步骤101-105，在此不再赘述。
[0101]
可以理解的是，图1对应的那些实施例中的各个步骤应用于上述文件系统操作处理系统。由此，上述文件系统操作处理系统提高了系统的安全性、减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。
[0102]
下面参考图3，其示出了适于用来实现本公开的一些实施例的电子设备（例如计算设备）300的结构示意图。图3示出的电子设备仅仅是一个示例，不应对本公开的实施例的功能和使用范围带来任何限制。
[0103]
如图3所示，电子设备300可以包括处理装置（例如中央处理器、图形处理器等）301，其可以根据存储在只读存储器（rom）302中的程序或者从存储装置308加载到随机访问存储器（ram）303中的程序而执行各种适当的动作和处理。在ram 303中，还存储有电子设备300操作所需的各种程序和数据。处理装置301、rom 302以及ram 303通过总线304彼此相连。输入/输出（i/o）接口305也连接至总线304。
[0104]
通常，以下装置可以连接至i/o接口305：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306；包括例如液晶显示器（lcd）、扬声器、振动器等的输出装置307；包括例如磁带、硬盘等的存储装置308；以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置，也可以根据需要代表多个装置。
[0105]
特别地，根据本公开的一些实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的一些实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中，该计算机程序可以通过通信装置309从网络上被下载和安装，或者从存储装置308被安装，或者从rom 302被安装。在该计算机程序被处理装置301执行时，执行本公开的一些实施例的方法中限定的上述功能。
[0106]
需要说明的是，本公开的一些实施例中记载的计算机可读介质可以是计算机可读
信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑磁盘只读存储器（cd-rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf（射频）等等，或者上述的任意合适的组合。
[0107]
在一些实施方式中，客户端、服务器可以利用诸如http（hypertext transfer protocol，超文本传输协议）之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信（例如，通信网络）互连。通信网络的示例包括局域网（“lan”），广域网（“wan”），网际网（例如，互联网）以及端对端网络（例如，ad hoc端对端网络），以及任何当前已知或未来研发的网络。
[0108]
上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：对上述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合；根据上述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息；根据上述各个勒索软件特征实体关系信息，生成上述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息；根据上述各个勒索软件特征实体关系信息和上述各个权重信息，生成勒索软件特征向量模型；将上述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至上述勒索软件特征向量模型，得到各个勒索软件特征向量集合；响应于检测到文件系统操作，确定上述文件系统操作对应的特征信息；根据上述特征信息和上述各个勒索软件特征向量集合，确定上述文件系统操作是否存在勒索软件行为；响应于确定上述文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据上述勒索软件阻止方法信息表，确定对应上述目标勒索软件行为的阻止方法信息；根据上述阻止方法信息，对上述文件系统操作进行阻止处理。
[0109]
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立
的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网（lan）或广域网（wan）——连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。
[0110]
附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
[0111]
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、片上系统（soc）、复杂可编程逻辑设备（cpld）等等。
[0112]
以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开的实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。

技术特征：
1.一种文件系统操作处理方法，包括：响应于接收到相关联的中央管理服务器发送的勒索软件阻止方法信息表，执行以下操作步骤：对所述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合；根据所述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息；根据所述各个勒索软件特征实体关系信息，生成所述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息；根据所述各个勒索软件特征实体关系信息和所述各个权重信息，生成勒索软件特征向量模型；将所述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至所述勒索软件特征向量模型，得到各个勒索软件特征向量集合；响应于检测到文件系统操作，确定所述文件系统操作对应的特征信息；根据所述特征信息和所述各个勒索软件特征向量集合，确定所述文件系统操作是否存在勒索软件行为；响应于确定所述文件系统操作存在勒索软件行为，将所存在的勒索软件行为确定为目标勒索软件行为，以及根据所述勒索软件阻止方法信息表，确定对应所述目标勒索软件行为的阻止方法信息；根据所述阻止方法信息，对所述文件系统操作进行阻止处理。2.根据权利要求1所述的方法，其中，所述对所述勒索软件阻止方法信息表中包括的各个勒索软件行为描述信息进行特征实体识别，得到各个勒索软件特征实体集合，包括：将所述各个勒索软件行为描述信息中的每个勒索软件行为描述信息输入至预先训练的命名实体识别模型中，得到各个勒索软件特征实体集合。3.根据权利要求1所述的方法，其中，所述根据所述各个勒索软件特征实体集合，生成各个勒索软件特征实体关系信息，包括：对所述各个勒索软件特征实体集合中的每个勒索软件特征实体集合中的勒索软件特征实体进行去重处理，以生成目标勒索软件特征实体集合，得到各个目标勒索软件特征实体集合；对预设的目标勒索软件特征实体关系信息集合进行初始化处理；对于所述各个目标勒索软件特征实体集合中的每个目标勒索软件特征实体集合，执行以下步骤：根据所述目标勒索软件特征实体集合，生成所述目标勒索软件特征实体集合对应的各个目标勒索软件特征实体对信息；根据所述各个目标勒索软件特征实体对信息，对目标勒索软件特征实体关系信息集合进行更新；将所更新的目标勒索软件特征实体关系信息集合中包括的各个目标勒索软件特征实体关系信息确定为各个勒索软件特征实体关系信息。4.根据权利要求3所述的方法，其中，所述根据所述各个目标勒索软件特征实体对信息，对目标勒索软件特征实体关系信息集合进行更新，包括：
对所述各个目标勒索软件特征实体对信息中的目标勒索软件特征实体对信息进行去重处理，得到去重处理后的各个目标勒索软件特征实体对信息；对于去重处理后的各个目标勒索软件特征实体对信息中的每个目标勒索软件特征实体对信息，执行以下步骤：响应于确定所述目标勒索软件特征实体对信息存在于目标勒索软件特征实体关系信息集合中，对目标勒索软件特征实体关系信息集合中对应所述目标勒索软件特征实体对信息的目标勒索软件特征实体关系信息包括的共现信息进行更新；响应于确定所述目标勒索软件特征实体对信息不存在于目标勒索软件特征实体关系信息集合中，将所述目标勒索软件特征实体对信息和预设初始共现信息确定为目标勒索软件特征实体关系信息，以及将所确定的目标勒索软件特征实体关系信息添加至目标勒索软件特征实体关系信息集合。5.根据权利要求4所述的方法，其中，所述各个勒索软件特征实体关系信息中的勒索软件特征实体关系信息包括勒索软件特征实体对信息和所述勒索软件特征实体对信息对应的共现信息；以及所述根据所述各个勒索软件特征实体关系信息，生成所述各个勒索软件特征实体集合中的各个勒索软件特征实体对应的各个权重信息，包括：根据所述各个勒索软件特征实体关系信息包括的各个勒索软件特征实体对信息和各个共现信息，确定对应所述各个勒索软件特征实体关系信息的邻接矩阵；将所述邻接矩阵的各个特征值中满足预设特征值条件的特征值确定为目标特征值；将所述目标特征值对应的特征向量中的各个元素确定为所述各个勒索软件特征实体对应的各个权重信息。6.根据权利要求1所述的方法，其中，所述响应于检测到文件系统操作，确定所述文件系统操作对应的特征信息，包括：对所述文件系统操作对应的描述信息进行特征实体识别，得到特征实体集合；将所述特征实体集合中的每个特征实体输入至所述勒索软件特征向量模型，得到特征向量集合；将所述特征向量集合确定为所述文件系统操作对应的特征信息。7.根据权利要求1所述的方法，其中，所述根据所述特征信息和所述各个勒索软件特征向量集合，确定所述文件系统操作是否存在勒索软件行为，包括：对于所述各个勒索软件特征向量集合中的每个勒索软件特征向量集合，执行以下步骤：根据所述特征信息、所述勒索软件特征向量集合和所述各个权重信息，生成第一特征向量和第二特征向量，其中，所述第一特征向量对应所述特征信息，所述第二特征向量对应所述勒索软件特征向量集合；确定所述第一特征向量与所述第二特征向量之间的相似值；根据所确定的各个相似值，确定所述各个勒索软件特征向量集合中是否存在满足预设相似值条件的勒索软件特征向量集合；响应于确定所述各个勒索软件特征向量集合中存在满足预设相似值条件的勒索软件特征向量集合，确定所述文件系统操作存在勒索软件行为。
8.一种文件系统操作处理系统，包括：威胁情报服务端，被配置成获取勒索软件信息；响应于确定所述勒索软件信息与历史勒索软件信息集合中的各个历史勒索软件信息相异，对所述历史勒索软件信息集合进行更新处理，得到更新勒索软件信息集合；将所述更新勒索软件信息集合发送至中央管理服务器；中央管理服务器，被配置成响应于接收到所述威胁情报服务端发送的更新勒索软件信息集合，根据所述更新勒索软件信息集合，对勒索软件阻止方法信息表进行更新处理，得到更新处理后的勒索软件阻止方法信息表；将更新处理后的勒索软件阻止方法信息表发送至端点代理客户端；端点代理客户端，被配置成实现如权利要求1-7中任一所述的方法。9.一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一所述的方法。10.一种计算机可读存储介质，其上存储有计算机程序，其中，所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的方法。

技术总结
本公开的实施例公开了文件系统操作处理方法、系统、设备和计算机可读介质。该方法的一具体实施方式包括：将各个勒索软件特征实体集合中的每个勒索软件特征实体集合中包括的每个勒索软件特征实体输入至勒索软件特征向量模型，得到各个勒索软件特征向量集合；确定文件系统操作对应的特征信息；根据特征信息和各个勒索软件特征向量集合，确定文件系统操作是否存在勒索软件行为；响应于确定文件系统操作存在勒索软件行为，根据勒索软件阻止方法信息表，确定对应所存在的勒索软件行为的阻止方法信息，以及对文件系统操作进行阻止处理。该实施方式提高了系统的安全性，减少了勒索软件行为的误报率和阻止合法文件系统操作的概率。为的误报率和阻止合法文件系统操作的概率。为的误报率和阻止合法文件系统操作的概率。


技术研发人员：孙磊 尹琴 霍钰 宋洁 李宁 郭晨萌 冯磊
受保护的技术使用者：国网信息通信产业集团有限公司
技术研发日：2023.09.06
技术公布日：2023/10/15