CN118277999A - 一种勒索病毒检测方法和装置以及*** - Google Patents
一种勒索病毒检测方法和装置以及*** Download PDFInfo
- Publication number
- CN118277999A CN118277999A CN202211731341.7A CN202211731341A CN118277999A CN 118277999 A CN118277999 A CN 118277999A CN 202211731341 A CN202211731341 A CN 202211731341A CN 118277999 A CN118277999 A CN 118277999A
- Authority
- CN
- China
- Prior art keywords
- data
- storage system
- virus
- detection
- risk
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 578
- 241000700605 Viruses Species 0.000 claims abstract description 345
- 238000013500 data storage Methods 0.000 claims abstract description 224
- 230000015654 memory Effects 0.000 claims abstract description 131
- 238000000034 method Methods 0.000 claims abstract description 64
- 238000012545 processing Methods 0.000 claims description 38
- 238000012216 screening Methods 0.000 claims description 36
- 230000002159 abnormal effect Effects 0.000 claims description 11
- 238000004422 calculation algorithm Methods 0.000 description 37
- 238000010801 machine learning Methods 0.000 description 13
- 238000010586 diagram Methods 0.000 description 12
- 238000000605 extraction Methods 0.000 description 12
- 230000006870 function Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 9
- 238000012549 training Methods 0.000 description 9
- 238000004364 calculation method Methods 0.000 description 7
- 239000000284 extract Substances 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- VVIAGPKUTFNRDU-STQMWFEESA-N (6S)-5-formyltetrahydrofolic acid Chemical compound C([C@H]1CNC=2N=C(NC(=O)C=2N1C=O)N)NC1=CC=C(C(=O)N[C@@H](CCC(O)=O)C(O)=O)C=C1 VVIAGPKUTFNRDU-STQMWFEESA-N 0.000 description 5
- 238000003066 decision tree Methods 0.000 description 5
- 238000013528 artificial neural network Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 230000004913 activation Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 3
- 238000011022 operating instruction Methods 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 230000003213 activating effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例公开了一种勒索病毒检测方法和装置以及***,用于提高对勒索病毒检测效率和灵活性。本申请实施例提供的勒索病毒检测方法由勒索病毒检测装置实现,所述勒索病毒检测装置通过硬件接口和数据存储***连接,所述数据存储***包括控制器和存储器;所述方法包括:确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;从所述存储器获取待检测数据;对所述待检测数据进行勒索病毒检测,以得到检测结果;向所述控制器发送所述检测结果。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种勒索病毒检测方法和装置以及***。
背景技术
对计算机的远程攻击主要通过计算机病毒实现。例如勒索病毒是一种危害性大的恶意网络攻击,内置高强度的加密算法,在感染目标计算机后,会迅速对目标计算机内的重要数据进行加密,导致被加密的数据不可用,进而以这些被加密的数据对受害用户进行勒索,只有受害用户在支付了相应赎金后才有可能获取用于解密数据的密钥。
目前的数据存储***在检测勒索病毒时,该数据存储***需要连接远程服务器,由远程服务器扫描数据存储***中的数据内容。由于只能通过远程通信实现,无法实现对勒索病毒的实时检测,存在无法及时检测勒索病毒的问题,另外数据存储***还需要连接专用的远程服务器,存在勒索病毒检测灵活性差的问题。
发明内容
本申请实施例提供了一种勒索病毒检测方法和装置以及***,用于提高对勒索病毒检测效率和灵活性。
为解决上述技术问题,本申请实施例提供以下技术方案:
第一方面,本申请实施例提供一种勒索病毒检测方法,所述勒索病毒检测方法由勒索病毒检测装置实现,所述勒索病毒检测装置通过硬件接口和数据存储***连接,所述数据存储***包括控制器和存储器;所述方法包括:确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;从所述存储器获取待检测数据;对所述待检测数据进行勒索病毒检测,以得到检测结果;向所述控制器发送所述检测结果。
在上述方案中,勒索病毒检测装置可以通过硬件接口连接多种存储业务类型的数据存储***,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接数据存储***,勒索病毒检测装置对勒索病毒的检测不会占用数据存储***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
在一种可能的实现方式中,所述方法还包括:从所述控制器获取主机访问所述数据存储***所产生的输入输出IO操作的信息;所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的数据的起始地址,所述IO操作对应的数据的长度,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置。在上述方案中,勒索病毒检测装置根据IO操作的信息对数据存储***中IO操作对应的数据进行风险筛查,以确定存储器中的风险存储位置。该风险存储位置指的是在数据存储***中可能被勒索病毒攻击的数据的存储位置。本申请实施例中通过风险筛查,可以确定存储器中的风险存储位置,通过风险存储位置可以确定待检测数据,缩小勒索病毒攻击的数据检测范围,提高勒索病毒检测的效率。
在一种可能的实现方式中,在确定所述数据存储***为所述NAS***时;所述IO操作对应的数据的起始地址包括:所述IO操作对应的文件的路径和所述IO操作对应的文件的数据内容起始地址offset;所述IO操作的信息还包括:所述IO操作对应的文件类型和执行所述IO操作的主机的地址;所述根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置,包括:在根据所述IO操作的信息确定所述IO操作对应的文件为风险文件或者确定所述IO操作为风险操作时,根据所述IO操作对应的文件的路径确定所述风险存储位置。在上述方案中,勒索病毒检测装置获取到IO操作的信息之后,可以对该IO操作的信息进行分析,以确定该IO操作对应的文件是否为风险文件,或者确定IO操作为风险操作,当IO操作对应的文件为风险文件或者确定IO操作为风险操作时,根据IO操作对应的文件的路径确定风险存储位置,该风险存储位置指的是可能被勒索病毒攻击的文件在存储器中的存储位置。主机访问NAS***产生的IO操作的数据量很大,所以需要采用轻量的检测算法,实现对风险数据的初步筛查,达到快速检测勒索病毒的目的。
在一种可能的实现方式中,所述根据所述IO操作的信息确定所述IO操作对应的文件为风险文件,包括:将所述IO操作对应的文件类型与文件黑名单进行匹配,确定所述IO操作对应的文件为风险文件,所述文件黑名单包括:已确定的勒索病毒产生的文件的命名规则。在上述方案中,通过IO操作对应的文件类型与文件黑名单的匹配,可以快速确定IO操作对应的文件是否为风险文件,具有快速实现对勒索病毒初步筛查的目的。
在一种可能的实现方式中,所述根据所述IO操作的信息确定所述IO操作为风险操作,包括:根据所述IO操作的类型和所述执行IO操作的主机的地址对所述IO操作进行异常IO检测,确定所述IO操作为风险操作。在上述方案中,勒索病毒检测装置可以根据IO操作的信息分析IO操作是否为风险操作,风险操作指的是勒索病毒攻击装置执行的IO操作。勒索病毒对存储器中存储的文件进行攻击时产生的IO操作可以通过IO操作序列检测算法进行检测,例如在短时间内大量出现对一批文件的读-写、读-写-重命名、读-删除原文件-写新文件等IO操作序列,则可以确定这些IO操作的相关文件是可能正在被勒索攻击,该IO操作可以被识别为风险操作。
在一种可能的实现方式中,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:从所述待检测数据中提取所述IO操作对应的文件的数据内容特征;将所述IO操作对应的文件的数据内容特征输入预设的文件数据内容检测模型,以得到所述检测结果。在上述方案中,勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为NAS***,勒索病毒检测装置可以启用文件数据内容检测模型。通过文件数据内容检测模型对文件的数据内容特征进行深度检测,以得到每个文件的检测结果。
在一种可能的实现方式中,在确定所述数据存储***为所述SAN***时:所述IO操作对应的数据的起始地址包括:所述IO操作访问的逻辑块地址LBA;所述根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置,包括:在根据所述IO操作的信息确定所述IO操作为风险操作时,根据所述IO操作访问的逻辑块地址确定所述风险存储位置。在上述方案中,勒索病毒检测装置获取到IO操作的信息之后,可以对该IO操作的信息进行分析,以确定IO操作为风险操作,当IO操作为风险操作时,根据IO操作访问的逻辑块地址确定风险存储位置,该风险存储位置指的是可能被勒索病毒攻击的块在存储器中的存储位置。
在一种可能的实现方式中,所述根据所述IO操作的信息确定所述IO操作为风险操作,包括:根据所述IO操作访问的逻辑块地址和所述IO操作的类型对所述IO操作进行异常IO检测,以确定所述IO操作为风险操作。在上述方案中,勒索病毒检测装置可以根据IO操作的信息分析IO操作是否为风险操作,风险操作指的是勒索病毒攻击装置执行的IO操作。勒索病毒对存储器中存储的块进行攻击时产生的IO操作可以通过IO操作序列检测算法进行检测,例如在SAN***中,采用决策树模型对采集到的IO操作序列进行二分类检测,判断该段IO操作序列是否与勒索病毒的IO操作序列相似,此决策树模型是采用大量的勒索病毒IO数据以及正常的业务软件IO数据训练的。
在一种可能的实现方式中,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:从所述待检测数据中提取所述IO操作访问的逻辑块的数据内容特征;将所述IO操作访问的逻辑块的数据内容特征输入预设的块数据内容检测模型,以得到所述检测结果。在上述方案中,块数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为SAN***,勒索病毒检测装置可以启用块数据内容检测模型。通过块数据内容检测模型对块的数据内容特征进行深度检测,以得到每个块的检测结果。
在一种可能的实现方式中,所述从所述存储器获取所述待检测数据,包括:根据所述风险存储位置从所述存储器获取所述待检测数据。在上述方案中,勒索病毒检测装置通过IO操作的信息确定风险存储位置之后,可以根据该风险存储位置从SAN***的存储器中获取到待检测数据。该待检测数据可以是一个或多个块。
在一种可能的实现方式中,在确定所述数据存储***为所述备份存储***时;所述从所述存储器获取待检测数据,包括:扫描所述存储器中的备份数据,以得到所述待检测数据。在上述方案中,备份存储***与前述的NAS***、SAN***中业务访问方式是不同的,备份存储***中的控制器不需要进行IO操作数据的采集,勒索病毒检测装置可以扫描备份存储***中的存储器中的备份数据,以得到待检测数据。
在一种可能的实现方式中,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:从所述待检测数据中提取备份数据内容特征;将所述备份数据内容特征输入预设的备份数据内容检测模型,以得到所述检测结果。在上述方案中,备份数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为备份存储***,勒索病毒检测装置可以启用备份数据内容检测模型。通过备份数据内容检测模型对备份的数据内容特征进行深度检测,以得到每个备份数据的检测结果。
在一种可能的实现方式中,在确定所述数据存储***为所述OSS***时;所述方法还包括:从所述控制器获取主机访问所述数据存储***所产生的IO操作的信息,所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的对象标识,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述IO操作对应的对象为风险对象;所述从所述存储器获取待检测数据,包括:根据所述IO操作对应的对象从所述存储器获取待检测数据。在上述方案中,勒索病毒检测装置确定IO操作对应的对象为风险对象之后,可以根据IO操作对应的对象从存储器获取待检测数据。该待检测数据可以是一个或多个对象。
在一种可能的实现方式中,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:从所述待检测数据中提取所述IO操作对应的对象的数据内容特征;将所述IO操作对应的对象的数据内容特征输入预设的对象数据内容检测模型,以得到所述检测结果。在上述方案中,对象数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为OSS***,勒索病毒检测装置可以启用对象数据内容检测模型。通过对象数据内容检测模型对对象的数据内容特征进行深度检测,以得到每个对象的检测结果。
在一种可能的实现方式中,所述确定所述数据存储***的类型,包括:当所述勒索病毒检测装置和所述数据存储***建立初始连接时,根据所述数据存储***的默认配置信息确定所述数据存储***的类型;或者,向所述控制器发送***类型检测请求,接收所述控制器发送的***类型检测结果,根据所述***类型检测结果确定所述数据存储***的类型。在上述方案中,勒索病毒检测装置通过与数据存储***的交互,可以确定数据存储***的类型,从而勒索病毒检测装置可以根据数据存储***的类型进行勒索病毒的检测。
第二方面,本申请实施例还提供一种勒索病毒检测装置,所述勒索病毒检测装置通过硬件接口和数据存储***连接,所述数据存储***包括控制器和存储器;
所述勒索病毒检测装置,包括:处理模块、勒索病毒检测模块和收发模块,其中,
所述处理模块,用于确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;
所述处理模块,还用于从所述存储器获取待检测数据;
所述勒索病毒检测模块,用于对所述待检测数据进行勒索病毒检测,以得到检测结果;
所述收发模块,用于向所述控制器发送所述检测结果。
在上述方案中,勒索病毒检测装置可以通过硬件接口连接多种存储业务类型的数据存储***,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接数据存储***,勒索病毒检测装置对勒索病毒的检测不会占用数据存储***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
在一种可能的实现方式中,所述处理模块,还用于从所述控制器获取主机访问所述数据存储***所产生的输入输出IO操作的信息;所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的数据的起始地址,所述IO操作对应的数据的长度,所述IO操作的类型;
所述勒索病毒检测模块,还用于根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置。
在一种可能的实现方式中,在确定所述数据存储***为所述NAS***时;
所述IO操作对应的数据的起始地址包括:所述IO操作对应的文件的路径和所述IO操作对应的文件的数据内容起始地址offset;
所述IO操作的信息还包括:所述IO操作对应的文件类型和执行所述IO操作的主机的地址;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作对应的文件为风险文件或者确定所述IO操作为风险操作时,根据所述IO操作对应的文件的路径确定所述风险存储位置。
在一种可能的实现方式中,所述勒索病毒检测模块,还用于将所述IO操作对应的文件类型与文件黑名单进行匹配,确定所述IO操作对应的文件为风险文件,所述文件黑名单包括:已确定的勒索病毒产生的文件的命名规则。
在一种可能的实现方式中,所述勒索病毒检测模块,还用于根据所述IO操作的类型和所述执行IO操作的主机的地址对所述IO操作进行异常IO检测,确定所述IO操作为风险操作。
在一种可能的实现方式中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作对应的文件的数据内容特征;将所述IO操作对应的文件的数据内容特征输入预设的文件数据内容检测模型,以得到所述检测结果。
在一种可能的实现方式中,在确定所述数据存储***为所述SAN***时:
所述IO操作对应的数据的起始地址包括:所述IO操作访问的逻辑块地址LBA;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作为风险操作时,根据所述IO操作访问的逻辑块地址确定所述风险存储位置。
在一种可能的实现方式中,所述勒索病毒检测模块,还用于根据所述IO操作访问的逻辑块地址和所述IO操作的类型对所述IO操作进行异常IO检测,以确定所述IO操作为风险操作。
在一种可能的实现方式中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作访问的逻辑块的数据内容特征;将所述IO操作访问的逻辑块的数据内容特征输入预设的块数据内容检测模型,以得到所述检测结果。
在一种可能的实现方式中,所述处理模块,具体用于根据所述风险存储位置从所述存储器获取所述待检测数据。
在一种可能的实现方式中,在确定所述数据存储***为所述备份存储***时;
所述处理模块,具体用于扫描所述存储器中的备份数据,以得到所述待检测数据。
在一种可能的实现方式中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取备份数据内容特征;将所述备份数据内容特征输入预设的备份数据内容检测模型,以得到所述检测结果。
在一种可能的实现方式中,在确定所述数据存储***为所述OSS***时;
所述勒索病毒检测模块,还用于从所述控制器获取主机访问所述数据存储***所产生的IO操作的信息,所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的对象标识,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述IO操作对应的对象为风险对象;
所述处理模块,具体用于根据所述IO操作对应的对象从所述存储器获取待检测数据。
在一种可能的实现方式中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作对应的对象的数据内容特征;将所述IO操作对应的对象的数据内容特征输入预设的对象数据内容检测模型,以得到所述检测结果。
在一种可能的实现方式中,所述处理模块,具体用于当所述勒索病毒检测装置和所述数据存储***建立初始连接时,根据所述数据存储***的默认配置信息确定所述数据存储***的类型;或者,
所述收发模块,还用于向所述控制器发送***类型检测请求,接收所述控制器发送的***类型检测结果;所述处理模块,还用于根据所述***类型检测结果确定所述数据存储***的类型。
在本申请的第二方面中,勒索病毒检测装置的组成模块还可以执行前述第一方面以及各种可能的实现方式中所描述的步骤,详见前述对第一方面以及各种可能的实现方式中的说明。
第三方面,本申请实施例还提供一种勒索病毒检测***,包括:数据存储***和勒索病毒检测装置;其中,所述勒索病毒检测装置通过硬件接口和所述数据存储***连接;
所述数据存储***包括:控制器和存储器;
所述勒索病毒检测装置,用于执行前述如第一方面中任一项所述的方法。
在本申请的第三方面中,勒索病毒检测***中包括的勒索病毒检测装置可以执行前述第一方面以及各种可能的实现方式中所描述的步骤,详见前述对第一方面以及各种可能的实现方式中的说明。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
第五方面,本申请实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
第六方面,本申请实施例提供一种通信装置,该通信装置可以包括终端设备或者芯片等实体,所述通信装置包括:处理器、存储器;所述存储器用于存储指令;所述处理器用于执行所述存储器中的所述指令,使得所述通信装置执行如前述第一方面中任一项所述的方法。
第六方面,本申请提供了一种芯片***,该芯片***包括处理器,用于支持勒索病毒检测装置实现上述方面中所涉及的功能,例如,发送或处理上述方法中所涉及的数据和/或信息。在一种可能的设计中,所述芯片***还包括存储器,所述存储器,用于保存勒索病毒检测装置必要的程序指令和数据。该芯片***,可以由芯片构成,也可以包括芯片和其他分立器件。
附图说明
图1为本申请实施例提供的勒索病毒检测***的一种组成部分示意图;
图2为本申请实施例提供的勒索病毒检测装置与数据存储***的一种交互流程示意图;
图3为本申请实施例提供的勒索病毒检测装置与NAS***的一种交互流程示意图;
图4为本申请实施例提供的勒索病毒检测装置与SAN***的一种交互流程示意图;
图5为本申请实施例提供的勒索病毒检测装置与备份存储***的一种交互流程示意图;
图6为本申请实施例提供的勒索病毒检测装置与OSS***的一种交互流程示意图;
图7为本申请实施例提供的勒索病毒检测装置与数据存储***的一种交互流程示意图;
图8为本申请实施例提供的勒索病毒检测装置执行勒索病毒检测方法的流程示意图;
图9为本申请实施例提供的勒索病毒检测装置的一种组成结构示意图;
图10为本申请实施例提供的勒索病毒检测装置的一种组成结构示意图。
具体实施方式
本申请实施例提供了一种勒索病毒检测方法和装置以及***,用于提高对勒索病毒检测效率和灵活性。
下面结合附图,对本申请的实施例进行描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换,这仅仅是描述本申请的实施例中对相同属性的对象在描述时所采用的区分方式。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、***、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。
首先对本申请实施例中涉及的勒索病毒以及勒索病毒检测进行说明。勒索病毒是一种危害性很强的恶意网络攻击,勒索病毒内置高强度的加密算法,以勒索病毒攻击数据存储***为例,在感染目标计算机后,会迅速对受害者设备内的重要数据进行批量读取与加密,会产生相应的对数据的读写操作。以数据存储***为网络附加存储(networkattached storage,NAS)***为例,可以在数据存储***侧通过对IO操作的序列进行检测,达到识别对勒索行为检测的目的。另外,在NAS***中,文件被勒索病毒读取加密后,往往会伴随着文件自身的改变,如文件后缀名变化、文件数据熵增加等现象,因此通过对文件的后缀检测、数据熵检测等手段也可识别勒索行为。
不限定的是,本申请实施例中数据存储***可以根据存储业务类型分为多种存储***,例如数据存储***的类型为NAS***、存储区域网络(storage area network,SAN)***、备份存储***或者对象存储服务 (object storage service,OSS)***中的任意一种。不同存储业务类型的存储***在遭受勒索病毒时都可连接本申请实施例提供的勒索病毒检测装置,本申请实施例提供的勒索病毒检测装置执行勒索病毒检测方法,解决数据存储业务场景下在存储侧对勒索病毒行为的检测问题,该勒索病毒检测装置能够适配多种不同的数据存储***,该勒索病毒检测装置可以内置多样的数据内容检测算法,从而可灵活应用于多种存储业务场景,如NAS存储、SAN存储以及备份存储、对象存储等场景,存储***具备高效的勒索病毒检测能力,保障数据安全。
本申请实施例提供一种勒索病毒检测***,如图1所示,为勒索病毒检测***的一种组成部分示意图,勒索病毒检测***10包括:勒索病毒检测装置20和数据存储***30;其中,勒索病毒检测装置20通过硬件接口和数据存储***30连接;
数据存储***30包括:控制器和存储器;
勒索病毒检测装置20,用于确定数据存储***30的类型;从存储器获取待检测数据;对待检测数据进行勒索病毒检测,以得到检测结果;勒索病毒检测装置向控制器发送检测结果。
其中,图1中没有示意出数据存储***30包括的控制器和存储器。该存储器又可以称为存储盘,该存储盘中可以存储数据,对于不同类型的数据存储***30,该存储器中存储的数据类型不同。例如对于数据存储***30的类型有多种,本申请实施例中数据存储***30的类型为NAS***、SAN***、备份存储***或者OSS***中的任意一种。例如在确定数据存储***30为NAS***时,存储器中可以存储文件数据,在确定数据存储***30为SAN***时,存储器中可以存储逻辑块(logical block address, LBA)数据,在确定数据存储***30为备份存储***时,存储器中可以存储备份数据,在确定数据存储***30为OSS***时,存储器中可以存储对象数据。控制器可用于和勒索病毒装置20进行交互,从勒索病毒装置20获取勒索病毒的检测结果。另外,该控制器还用于和主机进行交互,向主机提供业务访问功能。该主机又可以称为业务主机。
勒索病毒检测装置20通过硬件接口和数据存储***30连接,对于该硬件接口的实现方式有多种,例如该硬件接口具体可以是高速串行计算机扩展总线标准 (peripheralcomponent interconnect express,PCIe)。具体的,该勒索病毒检测装置20具体可以是一种可通过硬件接口灵活插拔接入数据存储***的装置,对数据存储***提供勒索病毒检测能力,保护数据安全。
该勒索病毒检测装置20自身含有相应的算力硬件,勒索病毒检测装置20内置的多种数据内容检测算法部署在该算力硬件上,该勒索病毒检测装置20通过硬件接口和数据存储***进行通信,从而避免勒索检测算法对数据存储***原有算力的消耗,以保证用户的正常业务访问不受影响。本申请实施例提供的勒索病毒检测装置就可以实现对勒索病毒的自动检测,提高对勒索病毒检测效率和灵活性。
接下来对该勒索病毒检测装置执行的勒索病毒检测方法进行详细说明,该方法适用于勒索病毒检测场景中,请参阅图2所示,为本申请实施例提供的勒索病毒检测装置与数据存储***的一种交互流程示意图,主要包括如下步骤:
201、勒索病毒检测装置确定数据存储***的类型,数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种。
其中,本申请实施例提供的数据存储***根据存储业务类型的不同可以分为多种,勒索病毒检测装置通过硬件接口连接该数据存储***,勒索病毒检测装置可以为该数据存储***提供勒索病毒检测功能,首先勒索病毒检测装置确定数据存储***的类型,由于不同类型的数据存储***中数据存储方式不同,对于勒索病毒的检测方式也不同,该勒索病毒检测装置可以内置适用于多种数据存储***的勒索病毒检测算法,根据勒索病毒检测装置确定的数据存储***的类型,调用相应的勒索病毒检测算法,从而可以实现针对不同类型的数据存储***的勒索病毒检测。
在本申请的一些实施例中,勒索病毒检测装置确定数据存储***的类型,包括:
当勒索病毒检测装置和数据存储***建立初始连接时,勒索病毒检测装置根据数据存储***的默认配置信息确定数据存储***的类型;或者,
勒索病毒检测装置向控制器发送***类型检测请求,接收控制器发送的***类型检测结果,根据***类型检测结果确定数据存储***的类型。
其中,勒索病毒检测装置在第一次***数据存储***的硬件接口,勒索病毒检测装置和数据存储***建立初始连接,勒索病毒检测装置获取数据存储***的默认配置信息,根据数据存储***的默认配置信息确定数据存储***的类型,例如数据存储***的默认配置信息中会记录该数据存储***的存储业务类型,所存储的数据类型等。或者,勒索病毒检测装置可以通过硬件接口和数据存储***进行交互,例如勒索病毒检测装置向数据存储***的控制器发送***类型检测请求,数据存储***的控制器接收该***类型检测请求,根据该***类型检测请求向勒索病毒检测装置发送***类型检测结果,从而勒索病毒检测装置接收控制器发送的***类型检测结果,勒索病毒检测装置可以根据***类型检测结果确定数据存储***的类型。勒索病毒检测装置通过与数据存储***的交互,可以确定数据存储***的类型,从而勒索病毒检测装置可以根据数据存储***的类型进行勒索病毒的检测。不限定的是,勒索病毒检测装置还可以通过其它方式确定数据存储***的类型,例如通过对勒索病毒检测装置进行初始配置,输入该勒索病毒检测装置需要连接的数据存储***的类型。
在本申请的一些实施例中,勒索病毒检测装置除了执行前述的步骤201,勒索病毒检测装置还可以执行步骤:
A1、勒索病毒检测装置从控制器获取主机访问数据存储***所产生的输入输出(input output,IO)操作的信息。其中,IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型;
A2、勒索病毒检测装置根据IO操作的信息进行风险筛查,以确定存储器中的风险存储位置。
其中,主机访问数据存储***时会产生IO操作,例如该数据存储***具体可以是NAS***、SAN***、OSS***中的任意一种。数据存储***的控制器可以获取主机访问数据存储***所产生的IO操作的信息。可以理解的是,IO操作的信息需要根据数据存储***的类型确定。例如,IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型。其中,IO操作的时间是指主机访问数据存储***的时间,IO操作对应的数据的起始地址是指主机访问数据存储***中的数据的起始地址,IO操作对应的数据的长度是指主机访问数据存储***中的数据的长度,IO操作的类型是指主机访问数据存储***中的数据的操作类型,例如IO操作的类型可以包括读或者写。
IO操作的信息可用于确定数据存储***中的数据是否被勒索病毒攻击,具体的,勒索病毒检测装置根据IO操作的信息对数据存储***中IO操作对应的数据进行风险筛查,以确定存储器中的风险存储位置。该风险存储位置指的是在数据存储***中可能被勒索病毒攻击的数据的存储位置。例如,勒索病毒检测装置可以根据IO操作的信息提取IO序列特征,对该IO序列特征进行初步筛查,由于勒索病毒在运行时具有相应的IO序列特征,因此勒索病毒检测装置可以通过初步筛查,确定存储器中的风险存储位置。本申请实施例中通过风险筛查,可以确定存储器中的风险存储位置,通过风险存储位置可以确定待检测数据,缩小勒索病毒攻击的数据检测范围,提高勒索病毒检测的效率。
可以理解的是,勒索病毒检测装置确定存储器中的风险存储位置之后,可以触发执行后续步骤202。
在本申请的另一些实施例中,根据数据存储***的类型确定是否主机是否会产生IO操作,若数据存储***不产生IO操作,则不需要执行前述步骤A1至A2,例如数据存储***可以是备份存储***,在这种应用场景下,不需要执行前述步骤A1至A2,在执行步骤201之后可以触发执行后续步骤202。
202、勒索病毒检测装置从存储器获取待检测数据。
其中,数据存储***包括存储器,该存储器中可以存储多个数据,业务主机可以和数据存储***的控制器进行交互,以访问上述数据。存储器中存储的数据可以称为待检测数据,这些待检测数据是否被勒索病毒攻击,需要由勒索病毒检测装置进行检测之后确定。
勒索病毒检测装置可以通过硬件接口读取存储器中存储的数据,以确定待检测数据。对于数据存储***的不同类型,勒索病毒检测装置获取待检测数据的方式不同,详见后续实施例中对待检测数据的获取方式的举例说明。
203、勒索病毒检测装置对待检测数据进行勒索病毒检测,以得到检测结果。
其中,勒索病毒检测装置从存储器中获取到待检测数据之后,勒索病毒检测装置可以对该待检测数据进行勒索病毒检测,对于勒索病毒检测装置采用的检测算法不做限定。例如对于数据存储***的不同类型,勒索病毒检测装置中可以内置多种检测算法,在确定数据存储***的类型之后,根据该数据存储***的类型启用与数据存储***相适配的检测算法,从而通过检测算法对待检测数据进行勒索病毒检测,以得到检测结果。
具体的,本申请实施例中勒索病毒检测装置中可以内置的多种检测算法可以通过数据内容检测模型来实现,例如该数据内容检测模型可以采用机器学习(machinelearning,ML)模型实现,通过机器学习算法(例如神经网络算法)采用训练样本进行模型训练,以得到适用于不同数据存储***的多种数据内容检测模型。
勒索病毒检测装置对待检测数据进行勒索病毒检测之后,可以生成检测结果,该检测结果可以指示存储器中的数据是否检测到勒索病毒,并在检测到勒索病毒时指示被勒索病毒攻击的数据存储位置。
204、勒索病毒检测装置向控制器发送检测结果。
其中,勒索病毒检测装置生成检测结果之后,勒索病毒检测装置通过硬件接口向数据存储***的控制器发送检测结果。对于检测结果的发送方式不做限定。例如,可以是实时发送,在勒索病毒检测装置检测到一个数据被勒索病毒攻击之后即直接向控制器发送检测结果。或者,勒索病毒检测装置也可以在对存储器中存储的所有数据进行勒索病毒检测之后,汇总检测结果,然后集中向控制器发送检测结果。
通过前述实施例的举例说明可知,勒索病毒检测装置首先确定该勒索病毒检测装置通过硬件接口连接的数据存储***的类型,数据存储***的类型为NAS***、SAN***、备份存储***或者OSS***中的任意一种,然后勒索病毒检测装置从该数据存储***的存储器获取待检测数据,勒索病毒检测装置对待检测数据进行勒索病毒检测,以得到检测结果,最后勒索病毒检测装置向数据存储***的控制器发送检测结果。本申请实施例中勒索病毒检测装置可以通过硬件接口连接多种存储业务类型的数据存储***,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接数据存储***,勒索病毒检测装置对勒索病毒的检测不会占用数据存储***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
接下来以勒索病毒检测装置对不同类型的数据存储***的检测流程进行说明。
在确定数据存储***为NAS***时,勒索病毒检测装置可以对NAS***进行勒索病毒检测,具体流程如图3所示,包括:
301、勒索病毒检测装置从控制器获取主机访问NAS***所产生的IO操作的信息;IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型。
其中,NAS***中包括控制器和存储器,该控制器可以和主机交互,主机通过控制器访问存储器。主机访问NAS***会产生IO操作,NAS***的控制器可以获取该IO操作的信息,IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型。
在本申请的一些实施例中,IO操作对应的数据的起始地址包括:IO操作对应的文件的路径和IO操作对应的文件的数据内容起始地址offset;
IO操作的信息还包括:IO操作对应的文件类型和执行IO操作的主机的地址。
其中,主机访问NAS***时会产生IO操作,NAS***的控制器会获取IO操作对应的文件的路径和IO操作对应的文件的数据内容起始地址offset,IO操作对应的文件的路径是主机访问存储器中存储的文件的路径,IO操作对应的文件的数据内容起始地址是主机访问存储器中存储文件的数据内容起始地址。IO操作对应的文件类型是指主机访问存储器中存储文件的类型,例如通过文件的后缀名表示文件类型。执行IO操作的主机的地址具体可以是主机的IP地址。
举例说明如下,NAS***中控制器采集的IO格式为[time, op, path, offset,length, ip]。其中,time为IO操作的时间,例如time可以表示IO操作发生的时间戳。op为IO操作的类型,例如op表示IO操作对NAS***的存储器中存储的文件的操作类型。path表示存储器中被访问的文件路径。offset为IO操作对应的数据的起始地址,例如offset为IO操作的文件数据内容起始地址。length为IO操作对应的数据的长度,例如length为IO操作的文件内容数据长度,ip为发出此IO操作的主机ip地址。
302、勒索病毒检测装置在根据IO操作的信息确定IO操作对应的文件为风险文件或者确定IO操作为风险操作时,根据IO操作对应的文件的路径确定风险存储位置。
其中,勒索病毒检测装置获取到IO操作的信息之后,可以对该IO操作的信息进行分析,以确定该IO操作对应的文件是否为风险文件,或者确定IO操作为风险操作,当IO操作对应的文件为风险文件或者确定IO操作为风险操作时,根据IO操作对应的文件的路径确定风险存储位置,该风险存储位置指的是可能被勒索病毒攻击的文件在存储器中的存储位置。
具体的,勒索病毒检测装置可以根据IO操作的信息生成IO操作序列,IO操作序列是根据预设的IO拆分规则对原始的IO操作的信息进行拆分得到,IO操作的信息中包括来自不同ip地址的用户、对不同的文件的IO操作,所以需要进行拆分。例如,来自于同一个ip地址、对同一个文件的若干IO操作,按照时间排序得到的序列就是一个IO操作序列。在获取到IO操作序列之后,勒索病毒检测装置可以使用初步筛查算法对这些IO操作序列进行检测,以确定是否存在异常的IO操作序列,对异常的IO操作序列进行计数,如果计数超过阈值,则确定这些IO操作访问的文件存储位置是风险存储位置。
可以理解的是,本申请实施例中根据IO操作的信息可以筛选出存储器中哪些数据可能是勒索病毒正在进行加密操作的数据。比如在NAS***中,通过IO操作的信息可以确定疑似勒索病毒的IO操作序列正在访问哪些文件,这些正在被勒索病毒访问的文件可以认为是风险数据。
接下来对勒索病毒检测装置采用的初步筛查算法进行说明,例如勒索病毒检测装置中可以包括中央处理器(central processing unit,CPU),CPU执行该初步检测算法。
具有的,主机访问NAS***产生的IO操作的数据量很大,所以需要采用轻量的检测算法,实现对风险数据的初步筛查,达到快速检测勒索病毒的目的。
在本申请的一些实施例中,勒索病毒检测装置根据IO操作的信息确定IO操作对应的文件为风险文件,包括:
勒索病毒检测装置将IO操作对应的文件类型与文件黑名单进行匹配,确定IO操作对应的文件为风险文件,文件黑名单包括:已确定的勒索病毒产生的文件的命名规则。
其中,勒索病毒检测装置可以内置勒索病毒相关的文件黑名单,该文件黑名单包括:已确定的勒索病毒产生的文件的命名规则,将IO操作对应的文件类型与文件黑名单进行匹配,当匹配成功时确定IO操作对应的文件为风险文件。举例说明如下,勒索病毒检测装置可以采用文件后缀检测算法,将IO操作访问的文件后缀名与文件黑名单中已知的勒索病毒攻击的文件后缀名进行匹配,判断是否有文件被攻击。通过IO操作对应的文件类型与文件黑名单的匹配,可以快速确定IO操作对应的文件是否为风险文件,具有快速实现对勒索病毒初步筛查的目的。
在本申请的一些实施例中,勒索病毒检测装置根据IO操作的信息确定IO操作为风险操作,包括:
勒索病毒检测装置根据IO操作的类型和执行IO操作的主机的地址对IO操作进行异常IO检测,确定IO操作为风险操作。
其中,勒索病毒检测装置可以根据IO操作的信息分析IO操作是否为风险操作,风险操作指的是勒索病毒攻击装置执行的IO操作。勒索病毒对存储器中存储的文件进行攻击时产生的IO操作可以通过IO操作序列检测算法进行检测,例如在短时间内大量出现对一批文件的读-写、读-写-重命名、读-删除原文件-写新文件等IO操作序列,则可以确定这些IO操作的相关文件是可能正在被勒索攻击,该IO操作可以被识别为风险操作。
303、勒索病毒检测装置根据风险存储位置从存储器获取待检测数据。
其中,勒索病毒检测装置通过IO操作的信息确定风险存储位置之后,可以根据该风险存储位置从NAS***的存储器中获取到待检测数据。该待检测数据可以是一个或多个文件。
304、勒索病毒检测装置从待检测数据中提取IO操作对应的文件的数据内容特征。
其中,勒索病毒检测装置获取到待检测数据之后,从待检测数据中提取IO操作对应的文件的数据内容特征,该文件的数据内容特征可以根据文件数据内容检测模型对输入数据的提取要求确定。
举例说明如下,文件的数据内容特征具体可以是文件的数据熵,数据熵可用于计算文件数据的混乱度,正常的数据是有内在的内容与结构上的规律,数据熵较小,而被勒索病毒加密后的数据失去了内在的规律性,导致内容混乱,数据熵的值较高。因此数据熵可用于确定数据是否被勒索病毒攻击。
305、勒索病毒检测装置将IO操作对应的文件的数据内容特征输入预设的文件数据内容检测模型,以得到检测结果。
其中,文件数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为NAS***,勒索病毒检测装置可以启用文件数据内容检测模型。通过文件数据内容检测模型对文件的数据内容特征进行深度检测,以得到每个文件的检测结果。
举例说明如下,勒索病毒检测装置中包括:神经网络处理单元(neural-networkprocessing unit,NPU),该NPU可以从勒索病毒检测装置中的CPU获取到IO操作对应的文件的数据内容特征,NPU将IO操作对应的文件的数据内容特征输入预设的文件数据内容检测模型,以得到检测结果。
306、勒索病毒检测装置向控制器发送检测结果。
其中,勒索病毒检测装置通过硬件接口和NAS***的控制器连接,勒索病毒检测装置可以向控制器发送检测结果,该检测结果可以指示文件是否被勒索病毒攻击。
举例说明如下,每个文件的检测结果可以表示为[file,0/1],输出0表示相应文件的数据内容未被勒索感染,输出1则表示文件的数据内容已被勒索加密。
307、NAS***中的控制器接收勒索病毒检测装置发送的检测结果。
308、NAS***中的控制器根据该检测结果确定是否检测到勒索病毒,并在检测到勒索病毒时确定被勒索病毒攻击的数据。
其中,控制器可以在接收到检测结果之后,对该检测结果进行分析,以获取到勒索病毒检测装置的指示内容。例如,每个文件的检测结果可以表示为[file,0/1],若获取到检测结果为0表示相应文件的数据内容未被勒索感染,若获取到检测结果为1则表示文件的数据内容已被勒索加密。
通过前述图3所示的实施例的说明可知,本申请实施例中勒索病毒检测装置可以通过硬件接口连接NAS***,通过调用NAS***中的文件数据内容检测模型,可以实现对NAS***中存储器存储的文件进行勒索病毒检测,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接NAS***,勒索病毒检测装置对勒索病毒的检测不会占用NAS***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
在确定数据存储***为SAN***时,勒索病毒检测装置可以对SAN***进行勒索病毒检测,具体流程如图4所示,包括:
401、勒索病毒检测装置从控制器获取主机访问SAN***所产生的IO操作的信息;IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型。
其中,SAN***中包括控制器和存储器,该控制器可以和主机交互,主机通过控制器访问存储器。主机访问SAN***会产生IO操作,SAN***的控制器可以获取该IO操作的信息,IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的数据的起始地址,IO操作对应的数据的长度,IO操作的类型。
在本申请的一些实施例中,在确定数据存储***为SAN***时,IO操作对应的数据的起始地址包括:IO操作访问的逻辑块地址(logical block address,LBA)。
其中,主机访问SAN***时会产生IO操作,SAN***的控制器会获取IO操作访问的LBA,控制器在获取到IO操作访问的LBA之后,控制器向勒索病毒检测装置发送IO操作访问的LBA。
举例说明如下,SAN***中采集的IO格式为[time,LBA,length,op],其中,time表示IO操作发生的时间戳,LBA表示IO操作访问的逻辑块地址,length表示IO操作访问的地址空间长度,op 表示IO操作的类型,例如IO操作的类型可以包括读或写。
402、勒索病毒检测装置在根据IO操作的信息确定IO操作为风险操作时,勒索病毒检测装置根据IO操作访问的逻辑块地址确定风险存储位置。
其中,勒索病毒检测装置获取到IO操作的信息之后,可以对该IO操作的信息进行分析,以确定IO操作为风险操作,当IO操作为风险操作时,根据IO操作访问的逻辑块地址确定风险存储位置,该风险存储位置指的是可能被勒索病毒攻击的块在存储器中的存储位置。
在本申请的一些实施例中,勒索病毒检测装置根据IO操作的信息确定IO操作为风险操作,包括:
勒索病毒检测装置根据IO操作访问的逻辑块地址和IO操作的类型对IO操作进行异常IO检测,以确定IO操作为风险操作。
其中,勒索病毒检测装置可以根据IO操作的信息分析IO操作是否为风险操作,风险操作指的是勒索病毒攻击装置执行的IO操作。勒索病毒对存储器中存储的块进行攻击时产生的IO操作可以通过IO操作序列检测算法进行检测,例如在SAN***中,采用决策树模型对采集到的IO操作序列进行二分类检测,判断该段IO操作序列是否与勒索病毒的IO操作序列相似,此决策树模型是采用大量的勒索病毒IO数据以及正常的业务软件IO数据训练的。
403、勒索病毒检测装置根据风险存储位置从存储器获取待检测数据。
其中,勒索病毒检测装置通过IO操作的信息确定风险存储位置之后,可以根据该风险存储位置从SAN***的存储器中获取到待检测数据。该待检测数据可以是一个或多个块。
404、勒索病毒检测装置从待检测数据中提取IO操作访问的逻辑块的数据内容特征。
其中,勒索病毒检测装置获取到待检测数据之后,从待检测数据中提取IO操作对应的逻辑块的数据内容特征,该逻辑块的数据内容特征可以根据块数据内容检测模型对输入数据的提取要求确定。
举例说明如下,逻辑块的数据内容特征具体可以是逻辑块的数据熵,数据熵可用于计算逻辑块数据的混乱度,正常的数据是有内在的内容与结构上的规律,数据熵较小,而被勒索病毒加密后的数据失去了内在的规律性,导致内容混乱,数据熵的值较高。因此数据熵可用于确定数据是否被勒索病毒攻击。
405、勒索病毒检测装置将IO操作访问的逻辑块的数据内容特征输入预设的块数据内容检测模型,以得到检测结果。
其中,块数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为SAN***,勒索病毒检测装置可以启用块数据内容检测模型。通过块数据内容检测模型对块的数据内容特征进行深度检测,以得到每个块的检测结果。
举例说明如下,勒索病毒检测装置中包括:NPU,该NPU可以从勒索病毒检测装置中的CPU获取到IO操作对应的逻辑块的数据内容特征,NPU将IO操作对应的逻辑块的数据内容特征输入预设的块数据内容检测模型,以得到检测结果。
406、勒索病毒检测装置向控制器发送检测结果。
其中,勒索病毒检测装置通过硬件接口和SAN***的控制器连接,勒索病毒检测装置可以向控制器发送检测结果,该检测结果可以指示逻辑块是否被勒索病毒攻击。
举例说明如下,每个文件的检测结果可以表示为[LBA,length,0/1],输出0表示相应逻辑块的数据内容未被勒索感染,输出1则表示逻辑块的数据内容已被勒索加密。
407、SAN***中的控制器接收勒索病毒检测装置发送的检测结果。
408、SAN***中的控制器根据该检测结果确定是否检测到勒索病毒,并在检测到勒索病毒时确定被勒索病毒攻击的数据。
其中,控制器可以在接收到检测结果之后,对该检测结果进行分析,以获取到勒索病毒检测装置的指示内容。例如,每个逻辑块的检测结果可以表示为[LBA,length,0/1],若获取到检测结果为0表示相应逻辑块的数据内容未被勒索感染,若获取到检测结果为1则表示逻辑块的数据内容已被勒索加密。
通过前述图4所示的实施例的说明可知,本申请实施例中勒索病毒检测装置可以通过硬件接口连接SAN***,通过调用SAN***中的块数据内容检测模型,可以实现对SAN***中存储器存储的文件进行勒索病毒检测,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接SAN***,勒索病毒检测装置对勒索病毒的检测不会占用SAN***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
在确定数据存储***为备份存储***时,勒索病毒检测装置可以对备份存储***进行勒索病毒检测,具体流程如图5所示,包括:
501、勒索病毒检测装置扫描存储器中的备份数据,以得到待检测数据。
其中,备份存储***与前述的NAS***、SAN***中业务访问方式是不同的,备份存储***中的控制器不需要进行IO操作数据的采集,勒索病毒检测装置可以扫描备份存储***中的存储器中的备份数据,以得到待检测数据。
502、勒索病毒检测装置从待检测数据中提取备份数据内容特征。
其中,备份存储***中的数据来自备份软件,备份软件按照自身的数据编码规则,对原始的数据进行编码再保存至备份存储***中。勒索病毒检测装置可以从待检测数据中提取备份数据内容特征。
503、勒索病毒检测装置将备份数据内容特征输入预设的备份数据内容检测模型,以得到检测结果。
其中,备份数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为备份存储***,勒索病毒检测装置可以启用备份数据内容检测模型。通过备份数据内容检测模型对备份的数据内容特征进行深度检测,以得到每个备份数据的检测结果。
504、勒索病毒检测装置向控制器发送检测结果。
其中,勒索病毒检测装置通过硬件接口和备份存储***的控制器连接,勒索病毒检测装置可以向控制器发送检测结果,该检测结果可以指示备份是否被勒索病毒攻击。
举例说明如下,每个备份数据的检测结果可以表示为[BackupFile,0/1],输出0表示相应备份的数据内容未被勒索感染,输出1则表示备份的数据内容已被勒索加密。
505、备份存储***中的控制器接收勒索病毒检测装置发送的检测结果。
506、备份存储***中的控制器根据该检测结果确定是否检测到勒索病毒,并在检测到勒索病毒时确定被勒索病毒攻击的数据。
通过前述图5所示的实施例的说明可知,本申请实施例中勒索病毒检测装置可以通过硬件接口连接备份存储***,通过调用备份存储***中的备份数据内容检测模型,可以实现对备份存储***中存储器存储的文件进行勒索病毒检测,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接备份存储***,勒索病毒检测装置对勒索病毒的检测不会占用备份存储***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
在确定数据存储***为OSS***时,勒索病毒检测装置可以对OSS***进行勒索病毒检测,具体流程如图6所示,包括:
601、勒索病毒检测装置从控制器获取主机访问OSS***所产生的IO操作的信息,IO操作的信息包括如下一种或多种:IO操作的时间,IO操作对应的对象标识,IO操作的类型。
其中,OSS***中包括控制器和存储器,该控制器可以和主机交互,主机通过控制器访问存储器。主机访问OSS***会产生IO操作,OSS***的控制器可以获取该IO操作的信息。
602、勒索病毒检测装置根据IO操作的信息进行风险筛查,以确定IO操作对应的对象为风险对象。
其中,勒索病毒检测装置获取到IO操作的信息之后,可以对该IO操作的信息进行风险筛查,以确定IO操作对应的对象为风险对象,该风险对象指的是OSS***中的存储器中可能被勒索病毒攻击的对象。
603、勒索病毒检测装置根据IO操作对应的对象从存储器获取待检测数据。
其中,勒索病毒检测装置确定IO操作对应的对象为风险对象之后,可以根据IO操作对应的对象从存储器获取待检测数据。该待检测数据可以是一个或多个对象。
604、勒索病毒检测装置从待检测数据中提取IO操作对应的对象的数据内容特征。
其中,勒索病毒检测装置获取到待检测数据之后,从待检测数据中提取IO操作对应的对象的数据内容特征,该对象的数据内容特征可以根据对象数据内容检测模型对输入数据的提取要求确定。
605、勒索病毒检测装置将IO操作对应的对象的数据内容特征输入预设的对象数据内容检测模型,以得到检测结果。
其中,对象数据内容检测模型可以通过机器学习算法进行模型训练得到。本申请实施例中勒索病毒检测装置中可以内置多个数据内容检测模型,根据数据存储***的类型启用相应的数据内容检测模型,例如数据存储***为OSS***,勒索病毒检测装置可以启用对象数据内容检测模型。通过对象数据内容检测模型对对象的数据内容特征进行深度检测,以得到每个对象的检测结果。
606、勒索病毒检测装置向控制器发送检测结果。
其中,勒索病毒检测装置通过硬件接口和OSS***的控制器连接,勒索病毒检测装置可以向控制器发送检测结果,该检测结果可以指示对象是否被勒索病毒攻击。
607、OSS***中的控制器接收勒索病毒检测装置发送的检测结果。
608、OSS***中的控制器根据该检测结果确定是否检测到勒索病毒,并在检测到勒索病毒时确定被勒索病毒攻击的数据。
通过前述图6所示的实施例的说明可知,本申请实施例中勒索病毒检测装置可以通过硬件接口连接OSS***,通过调用OSS***中的备份数据内容检测模型,可以实现对OSS***中存储器存储的文件进行勒索病毒检测,因此能够实现针对勒索病毒的灵活检测。且勒索病毒检测装置通过硬件接口连接OSS***,勒索病毒检测装置对勒索病毒的检测不会占用OSS***的原有算力,以保证用户的数据存储业务不受影响,提高对勒索病毒的检测效率。
为便于更好的理解和实施本申请实施例的上述方案,下面举例相应的应用场景来进行具体说明。
请参阅如图7所示,为本申请实施例提供的勒索病毒检测装置与数据存储***的一种交互流程示意图。其中,数据存储***可以包括控制器和存储器,业务主机可以访问数据存储***的控制器,数据存储***中的存储器可以用于存储业务数据,对于不同类型的数据存储***,存储器中存储业务数据的类型也不同。
勒索病毒检测装置可以通过硬件接口和数据存储***连接,控制器可以对IO路径中产生的IO操作进行采集,以采集IO信息,勒索病毒检测装置可以从控制器获取控制器采集到的IO信息,勒索病毒检测装置根据该IO信息从存储器中读取待检测数据,勒索病毒检测装置内置多样的检测算法,根据该待检测数据进行风险检测,以确定存储器中的数据是否被勒索病毒感染。从而可灵活应用于多种存储业务场景,如NAS***、SAN***以及备份存储***、对象存储***等场景。使存储***具备高效的勒索病毒检测能力,保障数据安全。
接下来对勒索病毒检测装置的具体工作流程进行举例说明,如图8所示,为本申请实施例提供的勒索病毒检测装置执行勒索病毒检测方法的流程示意图。
在硬件层面,勒索病毒检测装置内部主要包括:中央处理器(central processingunit,CPU)与神经网络处理单元(neural-network processing unit,NPU)。勒索病毒检测装置外部通过高速串行计算机扩展总线标准(peripheral component interconnectexpress,PCIe)硬件接口与数据存储***进行连接,从而实现与数据存储***的控制器之间的数据通信。
在软件层面,勒索病毒检测装置内置了多种勒索检测算法,其中CPU主要承担数据IO密集型的任务,达到对勒索行为风险快速筛查的目的。
CPU的功能包括:从控制器中获取大量的IO数据,该IO数据包括业务IO序列信息;对IO数据进行IO特征提取;根据IO特征进行风险数据初步筛查;从数据存储***的存储器中读取风险数据并进行特征提取;将数据特征传输至NPU,供后续深度检测。其中,初步筛查包括:检测文件后缀、检测IO序列和定位风险数据。
NPU的主要功能包括:预先建立数据内容模型库,根据数据存储***的类型调用相应的数据内容检测模型。然后使用该数据内容检测模型进行深度检测。其中,数据内容检测模型具体可以为机器学习(machine learning,ML)模型。数据内容检测模型对CPU处理后的数据特征进行检测,得到检测结果。NPU可以向勒索病毒检测装置的CPU发送检测结果,勒索病毒检测装置的CPU汇总检测结果之后,再向数据存储***的控制器输出告警。
举例说明如下,在不同的数据存储***下,勒索病毒检测装置的配置过程主要包括勒索病毒检测装置的驱动软件安装、在勒索病毒检测装置的控制器中安装相应的IO采集模块、以及激活勒索病毒检测装置内不同的检测算法模块。因为在不同的存储***中,数据的存储与访问方式不一样,例如,NAS***中数据以文件的形式存储,SAN***中数据以块的形式存储,备份存储***中数据以备份文件的形式存储,OSS***中数据以对象的形式存储,所以勒索病毒检测装置需要根据不同的数据存储***来激活适合相应存储***特点的算法模块与流程。
具体来说,NAS***中激活模块的有:NAS IO数据采集、IO数据获取、IO特征提取、文件后缀检测、NAS IO序列检测、风险数据定位、数据内容读取、数据特征提取、深度检测模块中的文件内容检测模型、检测结果的输出告警等。
SAN***激活的模块有:SAN IO的采集、SANIO数据获取、IO特征提取、SAN IO序列检测、风险数据定位、数据内容读取、数据特征提取、深度检测模块中的块内容检测模型、检测结果的输出告警等。
备份存储***中激活的模块有:数据内容读取、数据特征提取、深度检测模块中的备份数据检测模型、检测结果的输出告警等。
OSS***激活的模块有:OSS IO的采集、OSS IO数据获取、IO特征提取、OSS IO序列检测、风险数据定位、数据内容读取、数据特征提取、深度检测模块中的对象内容检测模型、检测结果的输出告警等。
本防勒索装置在存储***设备上初次安装时,用户可以根据所部署的存储业务类型(SAN存储、NAS存储、备份存储)进行选择,防勒索装置会自动进行相应配置,在存储控制器中安装相应的IO数据采集功能模块,并激活适配该存储业务场景的各个功能模块。
勒索病毒检测装置的功能流程为:控制器中的数据采集模块采集业务IO元数据序列,防勒索病毒检测装置的CPU获取采集的业务IO信息并进行处理与特征提取,调用相应轻量检测算法进行风险初步筛查,基于筛查结果定位风险数据(例如文件,块,备份,对象)。根据筛查结果,CPU读取存储盘中的数据内容,经过数据处理与特征提取,将处理后的标准数据特征传至NPU。NPU根据勒索病毒检测装置部署时预先设定的存储业务场景,从机器学习模型库中调用相应深度检测模型(如决策树模型,神经网络模型等),对数据内容特征分类检测,输出结果至CPU,再由CPU传输检测结果至存储控制器,进而向用户输出勒索病毒告警信息。
通过前述内容的举例说明可知,本申请实施例提供的勒索病毒检测装置通过硬件接口实现在数据存储***的灵活插拔安装,从而为数据存储***提供勒索病毒检测功能,保护数据安全;勒索病毒检测装置自身含有CPU、NPU算力芯片,独立于数据存储***,实现了算力卸载,对数据存储***硬件资源占用很小,不影响用户正常存储业务。另外,针对多种存储业务场景(SAN、NAS、备份存储、对象存储)下的数据特点,勒索病毒检测装置内设计了多种不同的勒索检测模型与算法流程,使勒索病毒检测装置在不同的存储场景下都有较高的泛用性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。
为便于更好的实施本申请实施例的上述方案,下面还提供用于实施上述方案的相关装置。
请参阅图9所示,本申请实施例提供的一种勒索病毒检测装置900,可以包括:处理模块901、勒索病毒检测模块902、收发模块903,其中,
所述处理模块,用于确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;
所述处理模块,还用于从所述存储器获取待检测数据;
所述勒索病毒检测模块,用于对所述待检测数据进行勒索病毒检测,以得到检测结果;
所述收发模块,用于向所述控制器发送所述检测结果。
在本申请的一些实施例中,所述处理模块,还用于从所述控制器获取主机访问所述数据存储***所产生的输入输出IO操作的信息;所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的数据的起始地址,所述IO操作对应的数据的长度,所述IO操作的类型;
所述勒索病毒检测模块,还用于根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置。
在本申请的一些实施例中,在确定所述数据存储***为所述NAS***时;
所述IO操作对应的数据的起始地址包括:所述IO操作对应的文件的路径和所述IO操作对应的文件的数据内容起始地址offset;
所述IO操作的信息还包括:所述IO操作对应的文件类型和执行所述IO操作的主机的地址;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作对应的文件为风险文件或者确定所述IO操作为风险操作时,根据所述IO操作对应的文件的路径确定所述风险存储位置。
在本申请的一些实施例中,所述勒索病毒检测模块,还用于将所述IO操作对应的文件类型与文件黑名单进行匹配,确定所述IO操作对应的文件为风险文件,所述文件黑名单包括:已确定的勒索病毒产生的文件的命名规则。
在本申请的一些实施例中,所述勒索病毒检测模块,还用于根据所述IO操作的类型和所述执行IO操作的主机的地址对所述IO操作进行异常IO检测,确定所述IO操作为风险操作。
在本申请的一些实施例中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作对应的文件的数据内容特征;将所述IO操作对应的文件的数据内容特征输入预设的文件数据内容检测模型,以得到所述检测结果。
在本申请的一些实施例中,在确定所述数据存储***为所述SAN***时:
所述IO操作对应的数据的起始地址包括:所述IO操作访问的逻辑块地址LBA;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作为风险操作时,根据所述IO操作访问的逻辑块地址确定所述风险存储位置。
在本申请的一些实施例中,所述勒索病毒检测模块,还用于根据所述IO操作访问的逻辑块地址和所述IO操作的类型对所述IO操作进行异常IO检测,以确定所述IO操作为风险操作。
在本申请的一些实施例中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作访问的逻辑块的数据内容特征;将所述IO操作访问的逻辑块的数据内容特征输入预设的块数据内容检测模型,以得到所述检测结果。
在本申请的一些实施例中,所述处理模块,具体用于根据所述风险存储位置从所述存储器获取所述待检测数据。
在本申请的一些实施例中,在确定所述数据存储***为所述备份存储***时;
所述处理模块,具体用于扫描所述存储器中的备份数据,以得到所述待检测数据。
在本申请的一些实施例中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取备份数据内容特征;将所述备份数据内容特征输入预设的备份数据内容检测模型,以得到所述检测结果。
在本申请的一些实施例中,在确定所述数据存储***为所述OSS***时;
所述勒索病毒检测模块,还用于从所述控制器获取主机访问所述数据存储***所产生的IO操作的信息,所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的对象标识,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述IO操作对应的对象为风险对象;
所述处理模块,具体用于根据所述IO操作对应的对象从所述存储器获取待检测数据。
在本申请的一些实施例中,所述勒索病毒检测模块,具体用于从所述待检测数据中提取所述IO操作对应的对象的数据内容特征;将所述IO操作对应的对象的数据内容特征输入预设的对象数据内容检测模型,以得到所述检测结果。
在本申请的一些实施例中,所述处理模块,具体用于当所述勒索病毒检测装置和所述数据存储***建立初始连接时,根据所述数据存储***的默认配置信息确定所述数据存储***的类型;或者,
所述收发模块,还用于向所述控制器发送***类型检测请求,接收所述控制器发送的***类型检测结果;所述处理模块,还用于根据所述***类型检测结果确定所述数据存储***的类型。
需要说明的是,上述装置各模块/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其带来的技术效果与本申请方法实施例相同,具体内容可参见本申请前述所示的方法实施例中的叙述,此处不再赘述。
本申请实施例还提供一种计算机存储介质,其中,该计算机存储介质存储有程序,该程序执行包括上述方法实施例中记载的部分或全部步骤。
接下来介绍本申请实施例提供的另一种勒索病毒检测装置,请参阅图10所示,勒索病毒检测装置1000包括:
接收器1001、发射器1002、处理器1003和存储器1004 (其中勒索病毒检测装置1000中的处理器1003的数量可以一个或多个,图10中以一个处理器为例)。在本申请的一些实施例中,接收器1001、发射器1002、处理器1003和存储器1004可通过总线或其它方式连接,其中,图10中以通过总线连接为例。
存储器1004可以包括只读存储器和随机存取存储器,并向处理器1003提供指令和数据。存储器1004的一部分还可以包括非易失性随机存取存储器(non-volatile randomaccess memory,NVRAM)。存储器1004存储有操作***和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作***可包括各种***程序,用于实现各种基础业务以及处理基于硬件的任务。
处理器1003控制勒索病毒检测装置的操作,处理器1003还可以称为中央处理单元(central processing unit,CPU)。具体的应用中,勒索病毒检测装置的各个组件通过总线***耦合在一起,其中总线***除包括数据总线之外,还可以包括电源总线、控制总线和状态信号总线等。但是为了清楚说明起见,在图中将各种总线都称为总线***。
上述本申请实施例揭示的方法可以应用于处理器1003中,或者由处理器1003实现。处理器1003可以是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器1003中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器1003可以是通用处理器、数字信号处理器(digital signal processing,DSP)、专用集成电路(applicatIOn specific integrated circuit,ASIC)、现场可编程门阵列(field-programmable gate array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器1004,处理器1003读取存储器1004中的信息,结合其硬件完成上述方法的步骤。
接收器1001可用于接收输入的数字或字符信息,以及产生与勒索病毒检测装置的相关设置以及功能控制有关的信号输入,发射器1002可包括显示屏等显示设备,发射器1002可用于通过外接接口输出数字或字符信息。
本申请实施例中,处理器1003,用于执行前述图2至图6中勒索病毒检测装置所执行的方法。
在另一种可能的设计中,当勒索病毒检测装置为终端内的芯片时,芯片包括:处理单元和通信单元,所述处理单元例如可以是处理器,所述通信单元例如可以是输入/输出接口、管脚或电路等。该处理单元可执行存储单元存储的计算机执行指令,以使该终端内的芯片执行上述第一方面任意一项的方法。可选地,所述存储单元为所述芯片内的存储单元,如寄存器、缓存等,所述存储单元还可以是所述终端内的位于所述芯片外部的存储单元,如只读存储器(read-onlymemory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(randomaccessmemory,RAM)等。
其中,上述任一处提到的处理器,可以是一个通用中央处理器,微处理器,ASIC,或一个或多个用于控制上述第一方面方法的程序执行的集成电路。
另外需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本申请提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件的方式来实现,当然也可以通过专用硬件包括专用集成电路、专用CPU、专用存储器、专用元器件等来实现。一般情况下,凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现,而且,用来实现同一功能的具体硬件结构也可以是多种多样的,例如模拟电路、数字电路或专用电路等。但是,对本申请而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘、U盘、移动硬盘、ROM、RAM、磁碟或者光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
Claims (19)
1.一种勒索病毒检测方法,其特征在于,所述勒索病毒检测方法由勒索病毒检测装置实现,所述勒索病毒检测装置通过硬件接口和数据存储***连接,所述数据存储***包括控制器和存储器;所述方法包括:
确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;
从所述存储器获取待检测数据;
对所述待检测数据进行勒索病毒检测,以得到检测结果;
向所述控制器发送所述检测结果。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述控制器获取主机访问所述数据存储***所产生的输入输出IO操作的信息;所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的数据的起始地址,所述IO操作对应的数据的长度,所述IO操作的类型;
根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置。
3.根据权利要求2所述的方法,其特征在于,在确定所述数据存储***为所述NAS***时;
所述IO操作对应的数据的起始地址包括:所述IO操作对应的文件的路径和所述IO操作对应的文件的数据内容起始地址offset;
所述IO操作的信息还包括:所述IO操作对应的文件类型和执行所述IO操作的主机的地址;
所述根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置,包括:
在根据所述IO操作的信息确定所述IO操作对应的文件为风险文件或者确定所述IO操作为风险操作时,根据所述IO操作对应的文件的路径确定所述风险存储位置。
4.根据权利要求2所述的方法,其特征在于,在确定所述数据存储***为所述SAN***时:
所述IO操作对应的数据的起始地址包括:所述IO操作访问的逻辑块地址LBA;
所述根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置,包括:
在根据所述IO操作的信息确定所述IO操作为风险操作时,根据所述IO操作访问的逻辑块地址确定所述风险存储位置。
5.根据权利要求4所述的方法,其特征在于,所述根据所述IO操作的信息确定所述IO操作为风险操作,包括:
根据所述IO操作访问的逻辑块地址和所述IO操作的类型对所述IO操作进行异常IO检测,以确定所述IO操作为风险操作。
6.根据权利要求2至5中任一项所述的方法,其特征在于,所述从所述存储器获取所述待检测数据,包括:
根据所述风险存储位置从所述存储器获取所述待检测数据。
7.根据权利要求1所述的方法,其特征在于,在确定所述数据存储***为所述备份存储***时;
所述从所述存储器获取待检测数据,包括:
扫描所述存储器中的备份数据,以得到所述待检测数据。
8.根据权利要求7所述的方法,其特征在于,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:
从所述待检测数据中提取备份数据内容特征;
将所述备份数据内容特征输入预设的备份数据内容检测模型,以得到所述检测结果。
9.根据权利要求1所述的方法,其特征在于,在确定所述数据存储***为所述OSS***时;
所述方法还包括:从所述控制器获取主机访问所述数据存储***所产生的IO操作的信息,所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的对象标识,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述IO操作对应的对象为风险对象;
所述从所述存储器获取待检测数据,包括:根据所述IO操作对应的对象从所述存储器获取待检测数据。
10.根据权利要求9所述的方法,其特征在于,所述对所述待检测数据进行勒索病毒检测,以得到检测结果,包括:
从所述待检测数据中提取所述IO操作对应的对象的数据内容特征;
将所述IO操作对应的对象的数据内容特征输入预设的对象数据内容检测模型,以得到所述检测结果。
11.一种勒索病毒检测装置,其特征在于,所述勒索病毒检测装置通过硬件接口和数据存储***连接,所述数据存储***包括控制器和存储器;
所述勒索病毒检测装置,包括:处理模块、勒索病毒检测模块和收发模块,其中,
所述处理模块,用于确定所述数据存储***的类型,所述数据存储***的类型为网络附加存储NAS***、存储区域网络SAN***、备份存储***或者对象存储服务OSS***中的任意一种;
所述处理模块,还用于从所述存储器获取待检测数据;
所述勒索病毒检测模块,用于对所述待检测数据进行勒索病毒检测,以得到检测结果;
所述收发模块,用于向所述控制器发送所述检测结果。
12.根据权利要求11所述的装置,其特征在于,
所述处理模块,还用于从所述控制器获取主机访问所述数据存储***所产生的输入输出IO操作的信息;所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的数据的起始地址,所述IO操作对应的数据的长度,所述IO操作的类型;
所述勒索病毒检测模块,还用于根据所述IO操作的信息进行风险筛查,以确定所述存储器中的风险存储位置。
13.根据权利要求12所述的装置,其特征在于,在确定所述数据存储***为所述NAS***时;
所述IO操作对应的数据的起始地址包括:所述IO操作对应的文件的路径和所述IO操作对应的文件的数据内容起始地址offset;
所述IO操作的信息还包括:所述IO操作对应的文件类型和执行所述IO操作的主机的地址;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作对应的文件为风险文件或者确定所述IO操作为风险操作时,根据所述IO操作对应的文件的路径确定所述风险存储位置。
14.根据权利要求12所述的装置,其特征在于,在确定所述数据存储***为所述SAN***时:
所述IO操作对应的数据的起始地址包括:所述IO操作访问的逻辑块地址LBA;
所述勒索病毒检测模块,还用于在根据所述IO操作的信息确定所述IO操作为风险操作时,根据所述IO操作访问的逻辑块地址确定所述风险存储位置。
15.根据权利要求11所述的装置,其特征在于,在确定所述数据存储***为所述备份存储***时;
所述处理模块,具体用于扫描所述存储器中的备份数据,以得到所述待检测数据。
16.根据权利要求11所述的装置,其特征在于,在确定所述数据存储***为所述OSS***时;
所述勒索病毒检测模块,还用于从所述控制器获取主机访问所述数据存储***所产生的IO操作的信息,所述IO操作的信息包括如下一种或多种:所述IO操作的时间,所述IO操作对应的对象标识,所述IO操作的类型;根据所述IO操作的信息进行风险筛查,以确定所述IO操作对应的对象为风险对象;
所述处理模块,具体用于根据所述IO操作对应的对象从所述存储器获取待检测数据。
17.一种勒索病毒检测***,其特征在于,所述勒索病毒检测***包括:数据存储***和勒索病毒检测装置;其中,所述勒索病毒检测装置通过硬件接口和所述数据存储***连接;
所述数据存储***包括:控制器和存储器;
所述勒索病毒检测装置,用于执行前述如权利要求1至10中任一项所述的方法。
18.一种勒索病毒检测装置,其特征在于,所述勒索病毒检测装置包括:处理器,存储器;所述处理器、所述存储器之间进行相互的通信;
所述存储器用于存储指令;
所述处理器用于执行所述存储器中的所述指令,执行如权利要求1至10中任一项所述的方法。
19.一种计算机可读存储介质,包括指令,当其在计算机上运行时,使得计算机执行如权利要求1-10任意一项所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211731341.7A CN118277999A (zh) | 2022-12-30 | 2022-12-30 | 一种勒索病毒检测方法和装置以及*** |
| PCT/CN2023/112250 WO2024139233A1 (zh) | 2022-12-30 | 2023-08-10 | 一种勒索病毒检测方法和装置以及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211731341.7A CN118277999A (zh) | 2022-12-30 | 2022-12-30 | 一种勒索病毒检测方法和装置以及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN118277999A true CN118277999A (zh) | 2024-07-02 |
Family
ID=91634993
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211731341.7A Pending CN118277999A (zh) | 2022-12-30 | 2022-12-30 | 一种勒索病毒检测方法和装置以及*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN118277999A (zh) |
| WO (1) | WO2024139233A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102573921B1 (ko) * | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
| US10078459B1 (en) * | 2016-09-26 | 2018-09-18 | EMC IP Holding Company LLC | Ransomware detection using I/O patterns |
| US10733290B2 (en) * | 2017-10-26 | 2020-08-04 | Western Digital Technologies, Inc. | Device-based anti-malware |
| KR102262099B1 (ko) * | 2019-09-24 | 2021-06-09 | 주식회사 드림디엔에스 | 랜섬웨어 차단 방법 및 이를 위한 장치 |
| CN110851833A (zh) * | 2019-11-18 | 2020-02-28 | 深信服科技股份有限公司 | 一种勒索病毒检测方法、装置及其相关设备 |
-
2022
- 2022-12-30 CN CN202211731341.7A patent/CN118277999A/zh active Pending
-
2023
- 2023-08-10 WO PCT/CN2023/112250 patent/WO2024139233A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024139233A1 (zh) | 2024-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US10387648B2 (en) | Ransomware key extractor and recovery system | |
| US9418227B2 (en) | Detecting malicious software | |
| US7870394B2 (en) | Method and system to scan firmware for malware | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN105718825B (zh) | 一种恶意usb设备的检测方法及装置 | |
| US8640233B2 (en) | Environmental imaging | |
| US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
| KR101816751B1 (ko) | 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법 | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| US20180341769A1 (en) | Threat detection method and threat detection device | |
| CN108898012B (zh) | 检测非法程序的方法和装置 | |
| CN109997138A (zh) | 用于检测计算设备上的恶意进程的***和方法 | |
| US10360371B1 (en) | Systems and methods for protecting automated execution environments against enumeration attacks | |
| CN111597553A (zh) | 病毒查杀中的进程处理方法、装置、设备及存储介质 | |
| CN112149115A (zh) | 一种病毒库的更新方法、装置、电子装置和存储介质 | |
| CN112069499A (zh) | 一种检测方法、装置、存储介质及电子设备 | |
| CN118277999A (zh) | 一种勒索病毒检测方法和装置以及*** | |
| CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
| KR101880689B1 (ko) | 악성코드 진단장치 및 방법 | |
| WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN103632086B (zh) | 修复基本输入输出***bios恶意程序的方法和装置 | |
| US20090133124A1 (en) | A method for detecting the operation behavior of the program and a method for detecting and clearing the virus program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination |