CN106484570A - 一种针对防御勒索软件文件数据的备份保护方法和系统 - Google Patents
一种针对防御勒索软件文件数据的备份保护方法和系统 Download PDFInfo
- Publication number
- CN106484570A CN106484570A CN201610969423.3A CN201610969423A CN106484570A CN 106484570 A CN106484570 A CN 106484570A CN 201610969423 A CN201610969423 A CN 201610969423A CN 106484570 A CN106484570 A CN 106484570A
- Authority
- CN
- China
- Prior art keywords
- file
- backup
- default
- operation requests
- case
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1461—Backup scheduling policy
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种针对防御勒索软件文件数据的备份保护方法和系统。其中方法包括:接收对文件的操作请求;确定文件的大小是否小于预设上限值;在文件的大小小于预设上限值的情况下,确定文件是否属于预设文件备份类型;在文件属于预设文件备份类型的情况下,在存储介质中对文件进行备份后,执行对文件的操作请求;在文件不属于预设文件备份类型的情况下,直接执行对文件的操作请求。本发明不仅能够避免文件遭受勒索软件的加密威胁,还能够进一步节省存储介质的备份存储空间。
Description
技术领域
本发明涉及信息安全领域,尤其涉及一种针对防御勒索软件文件数据的备份保护方法和系统。
背景技术
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作,使之不可用,或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低,然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
已知的文件数据备份方案有主要有四种:一、副本备份,二、完全备份,三、差异备份,四、增量备份。以上四种备份方案在真实应用中的备份时间选择上又分为时时备份和非时时备份。时时备份指的是当前用户对欲备份的文件数据的操作马上就反馈备份数据中。中间没有间隔,或间隔时间可以忽略不计。非时时备份指的是每天或每日选择一个特定的时间对数据进行备份操作。由于非时时备份多用于服务器数据操作,每次备份都要专门发费一些时间,普通用户并不具备这样专业的数据备份习惯,因此本发明描述的所有备份时间选择,指的是都是时时备份。
已知的文件数据保护方案有文件操作权限保护,主要是指禁止或允许程序对要保护的文件数据进行指定操作(例如读、写、删除、重命名,创建等)。
副本备份是把当下对文件数据修改实时的反馈到备份存储介质中去,备份相当于现在使用的文件数据的一个复本。对现在文件数据的读、写、创建、删除、重命名等操作都直接体现在备份存储介质中。此备份方案主要是为了防止硬盘物理损坏或丢失时,数据可以从副本备份存储介质中找回,但要无法恢复数据内容改变的数据。
完全备份指的是对某个文件数据进行的任何写、删除、重命名,都会将进行这些操作的文件备份一次。这样无论数据出现何种改变,都能找回改变之前原数据。这个优点是时时备份所不具备的,主要用在服务器数据备份,并且一定是非时时备份,否则将由于占用巨量的存储介质空间而导致各种不可预知的问题。采用这种方式进行备份时,要恢复某一次数据时,只要有那一次数据的完全备份数据即可。
差异备份指的是,以第一次的完全备份做标准,以后每次都记录下与第一次完全备份时的数据差异内容,并将这些差异内容作为备份数据。和完全备份相比,差异备份可以大大节省占用的备份介质存储空间。要把数据恢复到第N次时,需要第一次完全备份,以及第N次差异备份差异数据,就可以恢复到那一次的数据内容。
增量备份指的是,以第一次的完全备份做标准,以后每次都记录下与上一次备份时的数据差异内容,并记录下这些差异内容作为备份数据。与差异备份相比,增量备份可以进一步的节省占用的备份介质存储空间。但是要把数据恢复到第N次时,除了需要第一次的完全备份,还需要N-1次所有的备份数据差异,只要其中某一次备份数据丢失或损坏,都无法恢复到第N次数据状态。
文件操作权限保护指的是通过设置,禁止或允许程序对要保护的文件数据进行指定操作(例如读、写、删除、重命名,创建等)。
以上文件数据备份方案和文件数据保护方案存在以下缺点:
缺点一、副本备份由于不具备被更改后的数据恢复功能,因此无法抵挡勒索软件攻击。
缺点二、完全备份由于备份时需要占用海量的备份存储空间,因此也不适用于对抗勒索软件。
缺点三、差异备份和增量备份主要是定期备份而设计的备份方式,并不适用于时时备份,因此也不适用于对抗勒索软件(因为如果不具备时时备份的属性的话,那么在中了勒索软件加密之后,那么在定期备份到被加密这个时间间隔内所有变动过的数据都是被加密的)。而如果要把差异备份和增量备份强行改成时时备份的话,会因为算法复杂度太高,改成时时备份的话至少在每次检测到改动时,都要去搜索已知的备份表,匹配出原备份文件信息,然后再根据原备份文件信息找到原备份文件与差异文件(或差异数据),再根据这些文件(数据)计算出新的改变数据(甚至需要构造新的文件保存格式),然后再进行保存,操作过于复杂,如果发生在多个文件并发需要备份时,那对系统资源的占用率将是大到不可预知的,由此将导致的系统运行缓慢、卡顿等一系列问题。如果把完全备份、差异备份与增量备份强行改成时时备份模式,则要面对下述缺点四到缺点八的缺点。
缺点四、在面对勒索软件攻击时,从备份逻辑上,有以下缺陷:
1、如果不设置单一备份文件大小的备份上限,那么勒索软件就会反复写入大的不同数据的垃圾文件。而备份系统就会不停的备份,当这些垃圾文件填满备份存储介质的最大值时,就将导致备份瘫痪。而瘫痪掉以后,用户正常对文件进行修改数据你就无法实现备份了。
2、如果设置了单一文件备份备份大小上限,那么就无法对超过的上限的文件进行备份。这样超过上限的文件就相当于处在了易受威胁的状态。
缺点五、上述备份方法在实际应用时,基本属于通用型备份(对所有类型的文件都进行备份),用户并不能选择例如只备份bmp、doc文件之类。在面对勒索软件时,对用户来说,有些类型的文件是有价值的需要备份,有些是没价值的,不需要备份。而如果没有给用户文件备份类型添加、删除等选择权只使用通用型备份的话,那么将导致占用不必要的备份存储空间。
缺点六、文件备份数据保留方式的处理问题。因为备份存储空间的大小是有限的,而备份数据所占用的空间大小总是随着时间的增加而增加,最后将触及备份存储空间的上限值。因此必需设计手动或者自动的去清除过期的备份数据好腾出新的备份空间来备份新的数据。而在选择自动清除过期的备份数据时,有两种方法可供选择:第一种是设置备份文件的保留时间。如果备份数据超过了保留时间,就把这些备份数据清除,这样好腾出空间容纳新的备份数据。第二种是当备份数据大小达到存储介质最大值时,把最早的备份数据认定为是过期数据清除掉,以此来腾出空间。在面对勒索软件时,如果选择第二种清除过期备份数据的话,在抵挡勒索软件攻击时就会出现逻辑漏洞,此时勒索软件可以生成大量垃圾数据让其去备份,直到覆盖掉所有的有用的已备份数据,然后在对数据进行加密,这样用户想恢复数据时,就会发现备份系统中备份全是垃圾数据,有用的数据早已被覆盖掉了。而如果选择用设置备份文件保留时间的话,保留时间不能太短,因为太短的话,勒索软件进行一次全文件加密之后,下次在间隔超过文件保留时间时再做一次加密的话,就会引发由于有用的备份数据超过保留时间被清除而无法恢复了。
缺点七、在对面勒索软件威胁时,现有的文件备份方案都存在自我防护的问题。所谓自我防护,指的是杜绝备份程序遭受到非人为的修改。勒索软件完全有可能远线程注入,关闭进程等等一系列的操作来破坏备份系统的正常运作,甚至模拟人的手工操作来删除有效的备份文件。目前已知的备份系统并没有有效的自我保护机制。
缺点八、上述的四种时时通用型备份,在面对勒索软件威胁时,还将面对一个问题,那就是在勒索软件开始对全磁盘文件进行加密时,必需保证存储介质的容量可以容纳目前所有磁盘中可以被勒索软件加密的所有文件大小的总和,一旦小于这个值。通用型备份方案就会由于存储介质容量已满而导致备份系统瘫痪不工作。
缺点九、如果放弃对文件的备份,只使用文件保护方案,禁止程序对要所有保护的文件进行写入、删除、和重命名的操作结果就是非常不便。因为普通用户要修改文件时就得把欲修改的文件从保护列表中去除,修改保存完后还要再次加回去。对用户来讲,这么繁琐的做法是不可接受的。
综上所述,目前已知的备份方案,并不适合抵御目前勒索软件的威胁,其本质原因就是因为这些备份方案都不是针对抵御勒索软件特殊行为而设计的备份技术方案。因此,目前并没有能有效针对防御勒索软件文件数据的备份与保护方案。
发明内容
本发明所要解决的技术问题是针对现有技术的不足,提供一种针对防御勒索软件文件数据的备份保护方法和系统。
本发明解决上述技术问题的技术方案如下:一种针对防御勒索软件文件数据的备份保护方法,包括:
接收对文件的操作请求;
确定文件的大小是否小于预设上限值;
在文件的大小小于预设上限值的情况下,确定文件是否属于预设文件备份类型;
在文件属于预设文件备份类型的情况下,在存储介质中对文件进行备份后,执行对文件的操作请求;在文件不属于预设文件备份类型的情况下,直接执行对文件的操作请求。
本发明解决上述技术问题的另一种技术方案如下:一种针对防御勒索软件文件数据的备份保护系统,包括:
接收模块,用于接收对文件的操作请求;
第一确定模块,用于确定文件的大小是否小于预设上限值;
第二确定模块,用于在文件的大小小于预设上限值的情况下,确定文件是否属于预设文件备份类型;
处理模块,用于在文件属于预设文件备份类型的情况下,在存储介质中对文件进行备份后,执行对文件的操作请求;在文件不属于预设文件备份类型的情况下,直接执行对文件的操作请求。
本发明的有益效果是:本发明采用对属于预设保护范围的文件进行保护,对不属于预设保护范围但属于预设文件备份类型的文件进行备份的方式,不仅能够有效避免文件遭受勒索软件的加密威胁,还能够进一步节省存储介质的备份存储空间。
本发明附加的方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明实践了解到。
附图说明
图1为本发明实施例1的针对防御勒索软件文件数据的备份保护方法流程图一;
图2为本发明实施例2的针对防御勒索软件文件数据的备份保护系统结构图一;
图3为本发明实施例2的针对防御勒索软件文件数据的备份保护系统结构图二;
图4为本发明实施例2的针对防御勒索软件文件数据的备份保护系统结构图三。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
实施例1
图1为本发明实施例1的针对防御勒索软件文件数据的备份保护方法流程图一。
如图1所示,一种针对防御勒索软件文件数据的备份保护方法,包括:
步骤S100,接收对文件的操作请求。
具体的,这里的文件也可以包括文件夹,对文件的操作请求包括但不限于以下操作请求:对文件的读、写、重命名、删除和创建等操作。
步骤S102,确定文件的大小是否小于预设上限值。
具体的,预设上限值可以根据实际情况由用户进行自行调节,本发明对预设上限值的具体大小不做限定。
步骤S104,在文件的大小小于预设上限值的情况下,确定文件是否属于预设文件备份类型。
具体的,可以预先构建一个文件类型表来记录欲备份的文件类型,也就是预设备份类型,预设文件备份类型可以由用户自行决定,用户可以自行添加或删除欲备份的文件类型,例如想备份doc类型的文件就doc添加到文件类型表中,想取消备份doc类型就把它从文件类型表中删除。通过预设文件备份类型,可以避免对不必要的文件进行备份,能够节省存储介质的存储空间。
具体的,确定文件是否属于预设文件备份类型时,包括但不仅限于通过文件的后缀名和文件格式等来判断是否属于预设文件备份类型。
步骤S106,在文件属于预设文件备份类型的情况下,在存储介质中对文件进行备份后,执行对文件的操作请求;在文件不属于预设文件备份类型的情况下,直接执行对文件的操作请求。
具体的,如果文件不属于预设文件备份类型,那么对文件进行任何操作实际上都不是用户关心的内容,因此可以直接执行对文件的操作请求;如果文件属于预设文件备份类型,在文件的大小也符合备份要求的前提下,可以对文件进行备份,然后执行对文件的操作请求。
具体的,在存储介质中对文件进行的备份可以是全备份、差异备份或增量备份。
通过上述步骤S100-步骤S106,本发明采用对属于预设保护范围的文件进行保护,对不属于预设保护范围但属于预设文件备份类型的文件进行备份的方式,不仅能够有效避免文件遭受勒索软件的加密威胁,还能够进一步节省存储介质的备份存储空间。
在一种可选的实施例中,确定文件的大小是否小于预设上限值的步骤之后包括:在文件的大小大于等于预设上限值的情况下,确定文件是否属于预设文件保护列表中的文件;其中,预设文件保护列表用于记录大小大于等于预设上限值的文件,记录在预设文件保护列表中的文件被禁止执行以下至少之一的操作:写入、删除和重命名;在文件不属于预设文件保护列表中的文件的情况下,执行对文件的操作请求;在文件属于预设文件保护列表中的文件的情况下,确定操作请求是否为只读请求。
具体的,预设文件保护列表中记录的是需要保护的文件的文件名称和/或文件路径,对普通用户来讲,在实际操作中,大部分需要经常修改的文件都不是大文件,例如从事文字工作的人经常更改文件后缀类型如.doc、.docx、.ppt之类,例如c++程序员经常更改的文件类型通常都是文件后缀类型如.h、.c、.cpp,这些通常修改操作的文件都不大。而一些大文件,如视频影音文件如.avi、.mp4以及ghost备份文件如.gho等大文件,大多数都是对其进行读操作,很少进行写、删除或重名操作。因此本发明中设置预设文件保护列表,通过预设文件保护列表将大型文件和小文件筛选出来,对大型文件只进行保护,对小文件进行备份,不仅避免掉了无法备份大文件而导致遭受勒索软件加密威胁的问题,还能限制完全备份时对大文件进行反复备份的问题,进一步节省备份存储空间。
具体的,预设文件保护列表中的文件可以由用户自行决定,用户可以自行添加需要保护的文件到预设文件保护列表中,也可以把想要取消保护的文件从预设文件保护列表中清除。
具体的,可以对预设文件保护列表中的文件只赋予读操作的权力,即禁止对文件执行以下至少之一的操作:写入、删除和重命名。因此,需要对操作请求进行确定,确定操作请求是否为读请求。
在一种可选的实施例中,如果采用的是设置预设文件保护列表的方式,确定操作请求是否为只读请求的步骤之后,包括:在操作请求是只读请求的情况下,执行对文件的操作请求;在操作请求不是只读请求的情况下,拒绝对文件的操作请求。
具体的,在操作请求是只读请求的情况下,确定操作请求是合法的操作请求,因此可以对文件进行读的操作,在操作请求不是只读请求的情况下,确定操作请求是非法的操作请求,因此拒绝对文件的操作请求,来实现对文件的保护。
在一种可选的实施例中,确定文件的大小是否小于预设上限值的步骤之后包括:在文件的大小大于等于预设上限值且小于预设下限值的情况下,执行对文件的操作请求;其中,预设下限值大于预设上限值;在文件的大小大于等于预设下限值的情况下,确定文件是否属于预设文件放行列表中的文件;其中预设文件放行列表用于记录大小大于等于预设下限值的文件,记录在预设文件放行列表中的文件允许被执行任何操作;在文件属于预设文件放行列表中的文件的情况下,执行对文件的操作请求;在文件不属于预设文件放行列表中的文件的情况下,确定操作请求是否为只读请求。
具体的,预设下限值可以根据实际情况由用户自行设定,本发明对预设下限值的具体大小不做限定。
具体的,预设文件放行列表中的文件可以由用户自行决定,用户可以自行添加需要放行的文件到预设文件放行列表中,也可以把想要取消放行的文件从预设文件放行列表中清除。
具体的,通过设置预设文件放行列表,最终,小于预设上限值且符合预设文件备份类型的文件都被备份,并执行对文件的操作请求,小于预设上限值但不符合预设文件备份类型的文件不被备份,直接执行对文件的操作请求,大于等于预设上限值小于预设下限值的文件都被直接执行操作请求,大于等于预设下限值且在预设文件放行列表中的文件被直接执行操作请求,大于等于预设下限值但是不在预设文件放行列表中的文件可以被执行读的操作请求,不能被执行其他操作请求。通过设定预设文件放行列表,与设定预设文件保护列表的方式相比,当需要用户手动添加需要进行保护的文件进入预设文件保护列表时,就不需要一个一个勾选,能够简化用户操作。
在一种可选的实施例中,如果采用的是预设文件放行列表的方式,确定操作请求是否为只读请求的步骤之后,包括:在操作请求是只读请求的情况下,执行对文件的操作请求;在操作请求不是只读请求的情况下,拒绝对文件的操作请求。
具体的,在操作请求是只读请求的情况下,确定操作请求是合法的操作请求,因此可以对文件进行读的操作,在操作请求不是只读请求的情况下,确定操作请求是非法的操作请求,因此拒绝对文件的操作请求,来实现对文件的保护。
在一种可选的实施例中,在存储介质中对文件进行备份的步骤之后,还包括:在记录表中记录对文件的备份信息,其中,备份信息包括以下至少之一:文件的备份时间、原始位置路径、在存储介质中的存储位置、大小、哈希值。
具体的,记录表中包括许多条备份记录,每一个备份记录表示一个文件的备份信息,其中备份信息中文件在存储介质中的存储位置可以具体到存在于存储介质中的某个位置至某个位置,用户可以通过该记录表来恢复某一个文件的时候。
在一种可选的实施例中,用户想要恢复文件时,可以查看记录表,从记录表中选择想要恢复的文件,可以是一个或多个,并发出恢复请求,根据用户的发出的恢复请求,可以在记录表中找到用户想要恢复的文件在存储介质中的存储位置,然后把它们恢复到原目录下或者用户指定的目录下。
在一种可选的实施例中,在记录表中记录对文件的备份信息的步骤之后,还包括:按照预设第一时间间隔对记录表中文件的备份时间进行监控;清除存储介质中备份时间超过预设备份时间上限的文件。
具体的,存储介质的存储空间是有限的,因此需要定期的清理过期的备份文件,来腾出存储空间来容纳新的文件备份,因此可以按照预设第一时间间隔对记录表中文件的备份时间进行监控,如果有备份时间超过预设备份时间上限的文件,则将该文件从存储介质中清除,然后再将清楚地文件的备份信息从记录表中清除,其中,预设第一时间间隔可以由用户自定义设置,可以是几分钟、十几分钟、几个小时或者一两天等,同样的,预设备份时间上限也可以由用户自定义设置。通过设置可以调节的预设备份时间上限,可以实现根据存储介质的可存储空间的大小来调节预设备份时间上限,例如,如果存储介质的可存储空间不多的时候,可以缩短预设备份时间上限,加快对备份文件的清除,进一步节省存储介质的存储空间。
在一种可选的实施例中,可以通过禁止对备份服务进程的内存读写、禁止远线程注入、对父进程检测、调用函数校验、注册表启动项保护等方式来实现自我防护,自我防护机制在各大安全厂商都在普遍使用,但是在文件备份与保护领域还没有被使用,在对抗勒索软件的过程中,需要建立自我防护机制来预防勒索软件的针对性攻击。
在一种可选的实施例中,在存储介质中对文件进行备份的步骤之后,还包括:
按照预设第二时间间隔计算预设时间段中备份的文件数目;
确认文件数目是否超过预设文件数目阈值;
在文件数目超过预设文件数目阈值的情况下,生成并显示是否为人为操作的询问信息。
具体的,如果打开一个文件然后每改动一个字节(或多个字节)就备份一次话,那么勒索软件将有可能利用这个特性进行攻击,通过打开一个文件,然后写入,删除,再写入,再删除,因此占满备份存储空间致备份瘫痪。如果打开一个文件,只有在文件发生改动的情况下才备份,还是会出现勒索软件每次创建一个符合备份类型的新文件,写入符合备份长度垃圾数据,然后关闭,这样这个垃圾文件就会被备份了,如此循环不断,将备份存储空间占满让备份瘫痪。因此,为了避免上述两种情况,可以采用上述实施例的方式,每隔预设第二时间间隔计算预设时间段中用户备份的文件数目,这里的预设第二时间间隔和预设时间段可以由用户自定义设置,可以是几个小时到几天之内,如果这个数目大于预设文件数目阈值,此时可以询问用户:是否为人为操作?如果收到用户的反馈确定不是人为操作,则确定为勒索软件的恶意操作,可以对勒索软件的恶意操作进行查找和清除,如果收到用户的反馈确认是人为操作,则不作任何处理。其中,预设文件数目阈值可以是通过计算得出的用户备份文件的平均数,也可以是一个可以根据实际情况进行用户自定义设置的值。
在一个可选的实施例中,在存储介质中对文件进行备份的步骤之后,还包括:在存储介质的可存储空间低于预设存储空间阈值的情况下,生成并显示是否为人为操作的询问信息,和/或生成并显示是否需要调低存储介质中对文件的预设备份时间上限的询问信息。
具体的,同样为了避免上述提到的两种导致备份瘫痪的情况,可以通过实时监控存储介质的可存储空间来进行预防,在存储介质的可存储空间低于预设存储空间阈值的情况下,可以询问用户:是否为人为操作?如果收到用户的反馈确定不是人为操作,则确定为勒索软件的恶意操作,可以对勒索软件的恶意操作进行查找和清除,如果收到用户的反馈确认是人为操作,则不作任何处理。其中,预设存储空间阈值可以由用户自定义设置。除了询问是否为人为操作,也可以询问用户:是否需要调低存储介质中对文件的预设备份时间上限,上面已经论述过,通过设置可以调节的预设备份时间上限,可以实现根据存储介质的可存储空间的大小来调节预设备份时间上限,例如,如果存储介质的可存储空间不多的时候,可以缩短预设备份时间上限,加快对备份文件的清除,进一步节省存储介质的存储空间。
在一个可选的实施例中,通常存储介质的存储空间是在一个磁盘或某个文件夹中,当一个存储介质的存储空间快要被占满时,可以检测是否还有别的磁盘有多余的空间,然后把新的备份文件存到多余的空间中,当所有空间都快被占满时,再询问用户:是否为人为操作,或是否需要调低存储介质中对文件的预设备份时间上限?
在一个可选的实施例中,执行对文件的操作请求的步骤包括:
若操作请求为写、删除或重命名,则在打开文件时,检测文件的大小,若文件的大小不为0,则对文件进行一次备份,在倒数第二次检测到对文件的写、删除或重命名操作时对文件进行一次备份,在最后一次检测到对文件的写、删除或重命名操作时对文件进行一次备份,或者,在打开文件时,检测文件的大小,若文件的大小不为0,则对文件进行一次备份,在之后检测到对文件的写、删除或重命名时保留两次备份,两次备份满足两次备份的时间差超过预设时间值。
若操作请求为读,则在打开文件时,检测文件的大小,若文件的大小不为0,则对文件进行一次备份,在执行对文件的读操作后,不对文件进行备份。
具体的,如果只在文件打开时判定文件大小,如果大小大于零的话做一次备份,存在以下缺陷:如果在这个过程中,遭受勒索软件加密文件,那么在打开时备份一次到被加密文件攻击这个时间段内,对文件改动的数据将有可能丢失掉。例如一个人打开一个文档在那里写,写了五小时,那么如果只作第一次备份的话,那么此人这五小时所产生的数据就有可能会丢失。因此,优选的,本发明中若操作请求为写,则在打开文件时,对文件进行一次备份,在倒数第二次检测到对文件的写操作时对文件进行一次备份,在最后一次检测到对文件的写操作时对文件进行一次备份,这样如果最后一次备份出现错误,那么有倒数第二次的备份可以为了用户挽回一定的数据损失,如果用户最后一次写入后,刚好这时文件被勒索软件加密,如果没有倒数第二次备份的话,那么数据损失就会很大,因此可以最大限度为用户挽回损失,通过本实施例的方式可以避免数据丢失的问题。
具体的,可以采用两种方式来避免上述情况发生。其中第一种方式为,若操作请求为写、删除或重命名,则在打开文件时,可以先去存储介质中或记录表中查找该文件是否已经备份,若未备份,并且文件的大小不为0,则对文件进行一次备份,如果文件的大小为0,也就是说明文件时新建的或者是一个空文件夹,没有必要对文件进行备份,在倒数第二次检测到对文件的写、删除或重命名操作时对文件进行一次备份,在最后一次检测到对文件的写、删除或重命名操作时对文件进行一次备份;其中,在一种具体的实施例中,例如,假设一个文件大小不为0,则在打开文件时对文件进行第一次备份,第一次检测到写、删除或重命名操作时对文件进行第二次备份,第二次检测到写、删除或重命名操作时对文件进行第三次备份,第三次检测到写、删除或重命名操作时对文件进行第四次备份,则此时第二次备份会被删除,保留第三次备份和第四次备份。
采用上述第一种方式能够有效避免用户文件数据的丢失,但是如果被勒索软件逆向分析得出备份规则后,如果勒索软件对同一文件的数据改变两次,那么上述实施例中的最后一次和倒数第二次的备份数据就会覆盖掉。因此,最后两次备份的数据也就是被勒索软件篡改的数据,还是会导致用户文件数据的丢失。
为了避免上述情况的发生,优选的,可以采用第二种方式,即在打开文件时,可以先去存储介质中或记录表中查找该文件是否已经备份,若未备份,并且文件的大小不为0,则对文件进行一次备份,如果文件的大小为0,也就是说明文件时新建的或者是一个空文件夹,没有必要对文件进行备份,在之后检测到对文件的写、删除或重命名时保留两次备份,两次备份满足两次备份的时间差超过预设时间值。
具体的,第二种方式中对大小不是0的文件的备份次数也是三次,但不是简单的按次数来备份,而是结合时间来备份,第一次备份的方法和第一方式是一样的,第二次和第三次备份的规则发生了改变。具体变化为,预设一个时间值,预设时间值的大小可以根据需要自行设置,可以是几个小时或几天,本发明对预设时间值的大小不做具体限定,当第三次备份要覆盖掉第二次备份时,需要做一个时间判断,只有当第三次备份和第二次备份的时间差大于预设时间值时,才进行覆盖操作,否则不进行覆盖,直接删除第三次备份就可以了,新的备份只覆盖掉被删除第三次备份的位置,采用第二种方式能够把数据丢失降低到一定范围。
以下结合具体实施例对上述第二种方式进行解释:
假如一个用户在某月10号创建了一个文档,并且花了6个小时编辑此文档写入数据保存并关闭,假设文件备份保留时间为10天,上述预设时间值为24小时,此时该文件的备份文档内容即为:第一次写入数据时的备份、第二次写入数据时的备份和关闭时文档的所有数据。然后在同月15号时,又对这个文件做了8小时的文字编辑并保存。此时备份文档的内容即为:10号第一次写入数据时的备份、15号打开时的文档内容(因为超过24小时,属于覆盖范围,所以覆盖掉,此时保存的内容就是10号时关闭文档时的所有内容)和15号关闭文档时的所有数据内容。然后在同月19号时再次打开这个文档做了6小时文字编辑后,还没关闭文档就感染了勒索软件,数据被加密,那么在未被勒索软件加密前的备份文档的内容为:10号第一次写入数据时的备份、15号关闭文档时的数据内容和19号最新的数据内容。
由上可知,如果勒索软件只对文件进行一次加密,该文档的第三次备份即为勒索软件加密前的内容,这样还是可以挽回19号这天6小时的数据。但如果勒索软件对该文档进行了多次加密,那么虽然无法挽回这6小时的数据,但是可以挽回15号最后保存的数据。而如果用第一种方式的话只能挽回10号第一次写入的数据。
具体的,根据以上实施例,若操作请求为写、删除或重命名,则在打开文件时,检测文件的大小,若文件的大小不为0,那么在文件被打开时,进行一次备份,如果该文件在关闭之前只进行了一次写、删除或重命名操作,那么就只有两次备份,如果在关闭之前做了超过一次的写、删除或重命名操作,那么对其进行三次备份,也就是上述实施例采用的方式。
可选的,上述有关备份次数的实施例,是为了节省存储介质存储空间的最少的备份次数,也是最优的备份次数,也可以在上述实施例的基础上,增加备份的次数。
实施例2
图2为本发明实施例2的针对防御勒索软件文件数据的备份保护系统结构图一。
根据上述方法,本发明还提出了如图3的一种针对防御勒索软件文件数据的备份保护系统,包括:
接收模块,用于接收对文件的操作请求。
第一确定模块,用于确定文件的大小是否小于预设上限值。
第二确定模块,用于在文件的大小小于预设上限值的情况下,确定文件是否属于预设文件备份类型。
处理模块,用于在文件属于预设文件备份类型的情况下,在存储介质中对文件进行备份后,执行对文件的操作请求;在文件不属于预设文件备份类型的情况下,直接执行对文件的操作请求。
在一种可选的实施例中,上述系统还包括第三确定模块,与第一确定模块连接,用于在在文件的大小大于等于预设上限值的情况下,确定文件是否属于预设文件保护列表中的文件;其中,预设文件保护列表用于记录大小大于等于预设上限值的文件,记录在预设文件保护列表中的文件被禁止执行以下至少之一的操作:写入、删除和重命名;在文件不属于预设文件保护列表中的文件的情况下,执行对文件的操作请求;在文件属于预设文件保护列表中的文件的情况下,确定操作请求是否为只读请求。
在一种可选的实施例中,上述系统还可以包括第四确定模块,与第一确定模块连接,用于在文件的大小大于等于预设下限值的情况下,确定文件是否属于预设文件放行列表中的文件,其中,预设下限值大于预设上限值,预设文件放行列表用于记录大小大于等于预设下限值的文件,记录在预设文件放行列表中的文件允许被执行任何操作;在文件属于预设文件放行列表中的文件的情况下,执行对文件的操作请求;在文件不属于预设文件放行列表中的文件的情况下,确定操作请求是否为只读请求,并且在文件的大小大于等于预设上限值且小于预设下限值的情况下,执行对文件的操作请求。
每一个模块的具体实施可以参照方法的论述,这里不做赘述。
在一种可选的实施例中,如图3所示,现有技术中操作系统在接收应用程序或系统程序发送的文件操作请求时,由系统默认的或其他的文件操作响应模块接受或拒绝文件操作请求,如接受,则改变存储介质上的文件数据内容;如图4所示,如果本发明的系统通过文件过滤驱动或者hook技术等方法接管对文件的所有操作,则会对文件操作请求的合法性进行判断,如果文件操作请求合法,则放行该文件操作请求,把它转发给自己的下层(即系统默认的或其他的文件操作响应模块),这样如果系统默认的或其他的文件操作响应模块接受文件操作请求,则到最后该文件的操作请求就会影响存储介质上的数据格式,如果文件操作请求不合法,则拒绝文件请求操作使其无效。
在本说明书的描述中,参考术语“实施例一”、“实施例二”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体方法、装置或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、方法、装置或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种针对防御勒索软件文件数据的备份保护方法,其特征在于,包括:
接收对文件的操作请求;
确定所述文件的大小是否小于预设上限值;
在所述文件的大小小于所述预设上限值的情况下,确定所述文件是否属于预设文件备份类型;
在所述文件属于所述预设文件备份类型的情况下,在存储介质中对所述文件进行备份后,执行对所述文件的操作请求;在所述文件不属于所述预设文件备份类型的情况下,直接执行对所述文件的操作请求。
2.根据权利要求1所述的方法,其特征在于,所述确定所述文件的大小是否小于预设上限值的步骤之后包括:
在所述文件的大小大于等于所述预设上限值的情况下,确定所述文件是否属于预设文件保护列表中的文件;其中,所述预设文件保护列表用于记录大小大于等于所述预设上限值的文件,记录在所述预设文件保护列表中的文件被禁止执行以下至少之一的操作:写入、删除和重命名;
在所述文件不属于所述预设文件保护列表中的文件的情况下,执行对所述文件的操作请求;
在所述文件属于所述预设文件保护列表中的文件的情况下,确定所述操作请求是否为只读请求。
3.根据权利要求2所述的方法,其特征在于,所述确定所述操作请求是否为只读请求的步骤之后,包括:
在所述操作请求是只读请求的情况下,执行对所述文件的操作请求;
在所述操作请求不是只读请求的情况下,拒绝对所述文件的操作请求。
4.根据权利要求1所述的方法,其特征在于,所述确定所述文件的大小是否小于预设上限值的步骤之后包括:
在所述文件的大小大于等于所述预设上限值且小于预设下限值的情况下,执行对所述文件的操作请求;其中,所述预设下限值大于所述预设上限值;
在所述文件的大小大于等于所述预设下限值的情况下,确定所述文件是否属于预设文件放行列表中的文件;其中所述预设文件放行列表用于记录大小大于等于所述预设下限值的文件,记录在所述预设文件放行列表中的文件允许被执行任何操作;
在所述文件属于所述预设文件放行列表中的文件的情况下,执行对所述文件的操作请求;
在所述文件不属于所述预设文件放行列表中的文件的情况下,确定所述操作请求是否为只读请求。
5.根据权利要求4所述的方法,其特征在于,所述确定所述操作请求是否为只读请求的步骤之后,包括:
在所述操作请求是只读请求的情况下,执行对所述文件的操作请求;
在所述操作请求不是只读请求的情况下,拒绝对所述文件的操作请求。
6.根据权利要求1所述的方法,其特征在于,所述在存储介质中对所述文件进行备份的步骤之后,还包括:
在记录表中记录对所述文件的备份信息,其中,所述备份信息包括以下至少之一:所述文件的备份时间、原始位置路径、在所述存储介质中的存储位置、大小、哈希值。
7.根据权利要求6所述的方法,其特征在于,所述在记录表中记录对所述文件的备份信息的步骤之后,还包括:
按照预设第一时间间隔对所述记录表中所述文件的备份时间进行监控;
清除所述存储介质中备份时间超过预设备份时间上限的文件。
8.根据权利要求1所述的方法,其特征在于,所述在存储介质中对所述文件进行备份的步骤之后,还包括:
按照预设第二时间间隔计算预设时间段中备份的文件数目;
确认所述文件数目是否超过预设文件数目阈值;
在所述文件数目超过所述预设文件数目阈值的情况下,生成并显示是否为人为操作的询问信息。
9.根据权利要求1所述的方法,其特征在于,所述在存储介质中对所述文件进行备份的步骤之后,还包括:
在所述存储介质的可存储空间低于预设存储空间阈值的情况下,生成并显示是否为人为操作的询问信息,和/或生成并显示是否需要调低所述存储介质中对文件的预设备份时间上限的询问信息。
10.根据权利要求1所述的方法,其特征在于,所述执行对所述文件的操作请求的步骤包括:
若所述操作请求为写、删除或重命名,则在打开所述文件时,检测所述文件的大小,若所述文件的大小不为0,则对所述文件进行一次备份,在倒数第二次检测到对所述文件的写、删除或重命名操作时对所述文件进行一次备份,在最后一次检测到对所述文件的写、删除或重命名操作时对所述文件进行一次备份,或者,在打开所述文件时,检测所述文件的大小,若所述文件的大小不为0,则对所述文件进行一次备份,在之后检测到对所述文件的写、删除或重命名时保留两次备份,所述两次备份满足所述两次备份的时间差超过预设时间值;
若所述操作请求为读,则在打开所述文件时,检测所述文件的大小,若所述文件的大小不为0,则对所述文件进行一次备份,在执行对所述文件的读操作后,不对所述文件进行备份。
11.一种针对防御勒索软件文件数据的备份保护系统,其特征在于,包括:
接收模块,用于接收对文件的操作请求;
第一确定模块,用于确定所述文件的大小是否小于预设上限值;
第二确定模块,用于在所述文件的大小小于所述预设上限值的情况下,确定所述文件是否属于预设文件备份类型;
处理模块,用于在所述文件属于所述预设文件备份类型的情况下,在存储介质中对所述文件进行备份后,执行对所述文件的操作请求;在所述文件不属于所述预设文件备份类型的情况下,直接执行对所述文件的操作请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610969423.3A CN106484570B (zh) | 2016-10-28 | 2016-10-28 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610969423.3A CN106484570B (zh) | 2016-10-28 | 2016-10-28 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106484570A true CN106484570A (zh) | 2017-03-08 |
| CN106484570B CN106484570B (zh) | 2019-02-26 |
Family
ID=58271493
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610969423.3A Active CN106484570B (zh) | 2016-10-28 | 2016-10-28 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106484570B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
| CN108459927A (zh) * | 2018-02-28 | 2018-08-28 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
| CN108932428A (zh) * | 2017-05-25 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
| CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
| CN110287061A (zh) * | 2019-06-25 | 2019-09-27 | 重庆城市职业学院 | 基于计算机的信息维护系统 |
| CN110414258A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 文件处理方法和系统、数据处理方法 |
| CN110515767A (zh) * | 2019-08-09 | 2019-11-29 | 济南浪潮数据技术有限公司 | 快照数据备份方法、装置、设备及可读存储介质 |
| CN111090857A (zh) * | 2018-10-23 | 2020-05-01 | 财团法人工业技术研究院 | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 |
| CN112651023A (zh) * | 2020-12-29 | 2021-04-13 | 南京联成科技发展股份有限公司 | 一种用于检测和阻止恶意勒索软件攻击的方法 |
| CN113360909A (zh) * | 2021-06-17 | 2021-09-07 | 深圳融安网络科技有限公司 | 勒索病毒防御方法、勒索病毒防御设备及可读存储介质 |
| CN117725630A (zh) * | 2024-02-08 | 2024-03-19 | 深信服科技股份有限公司 | 安全防护方法、设备、存储介质和计算机程序产品 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629222A (zh) * | 2011-11-28 | 2012-08-08 | 江苏奇异点网络有限公司 | 基于类型可定义的可编辑文档自适应备份方法 |
| CN103389925A (zh) * | 2012-05-09 | 2013-11-13 | 南京壹进制信息技术有限公司 | 一种基于进程名识别的实时备份方法 |
| HK1214378A1 (zh) * | 2012-10-01 | 2016-07-22 | Western Digital Tech Inc | 優化用於去重的數據塊大小 |
-
2016
- 2016-10-28 CN CN201610969423.3A patent/CN106484570B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102629222A (zh) * | 2011-11-28 | 2012-08-08 | 江苏奇异点网络有限公司 | 基于类型可定义的可编辑文档自适应备份方法 |
| CN103389925A (zh) * | 2012-05-09 | 2013-11-13 | 南京壹进制信息技术有限公司 | 一种基于进程名识别的实时备份方法 |
| HK1214378A1 (zh) * | 2012-10-01 | 2016-07-22 | Western Digital Tech Inc | 優化用於去重的數據塊大小 |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
| CN108932428A (zh) * | 2017-05-25 | 2018-12-04 | 腾讯科技(深圳)有限公司 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
| CN108932428B (zh) * | 2017-05-25 | 2022-11-11 | 腾讯科技(深圳)有限公司 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
| CN108459927A (zh) * | 2018-02-28 | 2018-08-28 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
| CN110414258A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 文件处理方法和系统、数据处理方法 |
| CN109145604A (zh) * | 2018-08-21 | 2019-01-04 | 成都网思科平科技有限公司 | 一种勒索软件智能检测方法及系统 |
| CN111090857A (zh) * | 2018-10-23 | 2020-05-01 | 财团法人工业技术研究院 | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 |
| CN111090857B (zh) * | 2018-10-23 | 2022-05-31 | 财团法人工业技术研究院 | 防御恶意软件攻击文件的方法、计算机系统以及记录介质 |
| CN110287061A (zh) * | 2019-06-25 | 2019-09-27 | 重庆城市职业学院 | 基于计算机的信息维护系统 |
| CN110515767A (zh) * | 2019-08-09 | 2019-11-29 | 济南浪潮数据技术有限公司 | 快照数据备份方法、装置、设备及可读存储介质 |
| CN112651023A (zh) * | 2020-12-29 | 2021-04-13 | 南京联成科技发展股份有限公司 | 一种用于检测和阻止恶意勒索软件攻击的方法 |
| CN113360909A (zh) * | 2021-06-17 | 2021-09-07 | 深圳融安网络科技有限公司 | 勒索病毒防御方法、勒索病毒防御设备及可读存储介质 |
| CN113360909B (zh) * | 2021-06-17 | 2022-10-28 | 深圳融安网络科技有限公司 | 勒索病毒防御方法、勒索病毒防御设备及可读存储介质 |
| CN117725630A (zh) * | 2024-02-08 | 2024-03-19 | 深信服科技股份有限公司 | 安全防护方法、设备、存储介质和计算机程序产品 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106484570B (zh) | 2019-02-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106484570A (zh) | 一种针对防御勒索软件文件数据的备份保护方法和系统 | |
| Thomas et al. | Improving backup system evaluations in information security risk assessments to combat ransomware | |
| CN102254124B (zh) | 一种移动终端信息安全防护系统和方法 | |
| US20080083037A1 (en) | Data loss and theft protection method | |
| CN106951781A (zh) | 勒索软件防御方法和装置 | |
| CN107563199A (zh) | 一种基于文件请求监控的勒索软件实时检测与防御方法 | |
| US10783041B2 (en) | Backup and recovery of data files using hard links | |
| CN103218575A (zh) | 一种主机文件安全监控方法 | |
| CN104572762B (zh) | 删除及恢复录像文件的方法和装置 | |
| CN107563192A (zh) | 一种勒索软件的防护方法、装置、电子设备及存储介质 | |
| CN103632107A (zh) | 一种移动终端信息安全防护系统和方法 | |
| CN106548070A (zh) | 一种在待机时间防御勒索者病毒的方法及系统 | |
| CN106971120A (zh) | 一种实现文件保护的方法、装置和计算设备 | |
| JP5334739B2 (ja) | ログ監視プログラム、ログ監視システム | |
| US8108935B1 (en) | Methods and systems for protecting active copies of data | |
| CN102708335A (zh) | 一种涉密文件的保护方法 | |
| CN104580083A (zh) | 一种财务系统提供安全防护的系统和方法 | |
| US11113391B2 (en) | Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium | |
| CN106203130B (zh) | 一种基于智能动态驱动层的透明加解密方法 | |
| JP2008052390A (ja) | 監査用ログ記録制御方法および情報漏洩監視プログラム | |
| JP2004139292A (ja) | アクセス制御のポリシー診断システム | |
| JP4690226B2 (ja) | 情報処理装置、機密データ監視方法およびプログラム | |
| CN106951797A (zh) | 文件加锁方法、装置及终端 | |
| CN115964712A (zh) | 一种基于权限阻止勒索攻击的方法、装置、介质及设备 | |
| US20240086532A1 (en) | Autonomous machine learning methods for detecting and thwarting ransomware attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |