CN109074452B - 用于生成绊网文件的系统和方法 - Google Patents

Abstract

本发明公开了一种用于生成绊网文件的计算机实现的方法，所述计算机实现的方法可包括(1)根据初始绊网生成计算来生成初始绊网文件，所述初始绊网文件被配置为使得所述初始绊网文件的修改触发安全漏洞的调查；(2)根据后续绊网生成计算来生成后续绊网文件，所述后续绊网生成计算沿至少一个维度不同于所述初始绊网生成计算；(3)接收指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现安全威胁的检测的自动化反馈；以及(4)基于指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法检测所述安全威胁的所述自动化反馈来调整第三绊网文件的自动生成。本发明还公开了各种其他方法、系统和计算机可读介质。

Description

用于生成绊网文件的系统和方法

背景技术

个人和组织通常寻求保护其计算资源免受对应的安全威胁的影响。例如，企业组织可在其计算设备上安装客户端侧杀毒产品以保护这些设备免受这些安全威胁的影响。类似地，企业组织可安装网关侧防火墙以滤除不期望的网络流量，防止其进入这些组织的计算网络。

对计算资源产生安全威胁的攻击者变得越来越复杂且越来越具攻击性。例如，一些攻击者已开发了一种称为勒索软件的新型安全威胁。勒索软件可锁定来自用户的一个或多个计算资源，同时要求用户执行某项任务(诸如支付费用)，作为从该锁定释放计算资源的交换。例如，勒索软件可锁定用户备份到基于云的存储系统的备份文件中的一个或多个备份文件直到用户支付对应赎金。可能无法通过优化传统安全机制(诸如常规杀毒产品和防火墙产品)来保护用户免受新安全威胁(包括如上所概述的勒索软件)的影响。因此，本公开识别并解决了对用于保护用户免受勒索软件和其他安全威胁的影响的另外且改进的系统和方法的需求。

发明内容

如将在下文更详细地描述，本公开整体涉及通过例如以下方式生成绊网文件的系统和方法：创建用于生成绊网文件的算法的不同多态版本；使用算法的每个相应多态版本生成对应绊网文件；在可控模拟环境中和/或在现场评估各种绊网文件的性能；和/或根据基于前一组绊网文件的性能的评估所接收到的自动反馈来调整算法的一个或多个版本以便生成未来绊网文件，如下文进一步讨论。在一个示例中，用于生成绊网文件的计算机实现的方法可包括(1)根据初始绊网生成计算来生成初始绊网文件，该初始绊网文件被配置为使得初始绊网文件的修改触发安全漏洞的调查；(2)根据后续绊网生成计算来生成后续绊网文件，该后续绊网生成计算沿至少一个维度不同于初始绊网生成计算；(3)接收自动化反馈，该自动化反馈指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测；以及(4)基于指示初始绊网文件和后续绊网文件中的至少一者是否无法检测安全威胁的自动化反馈来调整第三绊网文件的自动生成。

在一个实施方案中，安全威胁可包括勒索软件漏洞利用。在另一个实施方案中，后续绊网生成计算不同于初始绊网生成计算所沿的维度可包括(1)用于命名对应绊网文件的命名约定、(2)对应绊网文件的大小、(3)对应绊网文件的文件格式、和/或(4)用于从底层内容项目生成对应绊网文件的算法。

在一些示例中，接收指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测的自动化反馈可包括在备份操作期间检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的相同绊网文件的此前计算的指纹。在一些示例中，检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的相同绊网文件的此前计算的指纹可包括确定客户端设备上的对应绊网文件的指纹与存储于备份服务器上的相同绊网文件的此前计算的指纹并无不同。另外，计算机实现的方法还可包括检测客户端设备处的安全威胁并且确定对应绊网文件无法实现安全威胁的检测。

在另外的示例中，检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的相同绊网文件的此前计算的指纹可包括确定客户端设备上的对应绊网文件的指纹确实不同于存储于备份服务器上的相同绊网文件的此前计算的指纹。在一个实施方案中，计算机实现的方法还可包括(1)响应于确定客户端设备上的对应绊网文件的指纹确实不同于存储于备份服务器上的相同绊网文件的此前计算的指纹，而检测客户端设备处的安全威胁的存在；(2)检测客户端设备处的安全威胁；以及(3)确定对应绊网文件实现了安全威胁的检测。

在一些示例中，检测客户端设备处的安全威胁可包括在客户端设备处提示用户确认客户端设备处的安全威胁的存在。在另外的示例中，接收指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测的自动化反馈可包括评估初始绊网文件和后续绊网文件中的至少一者在安全厂商服务器处的可控模拟环境内实现安全威胁的检测方面的性能。

在一个实施方案中，用于实现上述方法的系统可包括(1)存储于存储器中的生成模块，该生成模块(A)根据初始绊网生成计算来生成初始绊网文件，该初始绊网文件被配置为使得初始绊网文件的修改触发安全漏洞的调查，以及(B)根据后续绊网生成计算来生成后续绊网文件，该后续绊网生成计算沿至少一个维度不同于初始绊网生成计算；(2)存储于存储器中的接收模块，该接收模块接收自动化反馈，该自动化反馈指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测；(3)存储于存储器中的调整模块，该调整模块基于指示初始绊网文件和后续绊网文件中的至少一者是否无法检测安全威胁的自动化反馈来调整第三绊网文件的自动生成；以及(4)至少一个物理处理器，所述至少一个物理处理器被配置为执行生成模块、接收模块和调整模块。

在一些示例中，可将上述方法编码为非暂态计算机可读介质上的计算机可读指令。例如，计算机可读介质可包括一个或多个计算机可执行指令，所述一个或多个计算机可执行指令在被计算设备的至少一个处理器执行时，可使计算设备(1)根据初始绊网生成计算来生成初始绊网文件，该初始绊网文件被配置为使得初始绊网文件的修改触发安全漏洞的调查；(2)根据后续绊网生成计算来生成后续绊网文件，该后续绊网生成计算沿至少一个维度不同于初始绊网生成计算；(3)接收指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测的自动化反馈；以及(4)基于指示初始绊网文件和后续绊网文件中的至少一者是否无法检测安全威胁的自动化反馈来调整第三绊网文件的自动生成。

来自上述实施方案中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述，将会更充分地理解这些和其他实施方案、特征和优点。

附图说明

附图示出了多个示例性实施方案并且为说明书的一部分。这些附图结合下面的描述展示并且说明本公开的各种原理。

图1是用于生成绊网文件的示例性系统的框图。

图2是用于生成绊网文件的附加示例性系统的框图。

图3是用于生成绊网文件的示例性方法的流程图。

图4是与本文所描述的系统和方法的实施方案相关的示例性图形用户界面的框图。

图5是与本文所描述的系统和方法的实施方案相关的示例性图形用户界面的框图。

图6为能够实现本文所描述和/或例示的一个或多个实施方案的示例性计算系统的框图。

图7为能够实现本文所描述和/或例示的一个或多个实施方案的示例性计算网络的框图。

在全部附图中，相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施方案可以接受进行各种修改和替代形式，但在附图中以举例的方式示出了特定实施方案并且将在本文详细描述这些实施方案。然而，本文所述的示例性实施方案并非旨在限于所公开的特定形式。相反，本发明涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。

具体实施方式

本公开整体涉及用于生成绊网文件的系统和方法。如将在下文更详细地解释，所公开的系统和方法可涉及多态进化过程以识别优于其他属性和算法的绊网文件生成属性和算法。通过迭代地选择产生优越性能的属性和算法，所公开的系统和方法可逐渐改善绊网文件的一般性能和生成，并且更有效地检测对应安全威胁。

下面将参照图1至图2提供对用于生成绊网文件的示例性系统的详细描述。也将结合图3至图5提供对相应计算机实现的方法的详细描述。此外，将分别结合图6和图7提供能够实现本文所述实施方案中的一个或多个的示例性计算系统和网络体系结构的详细描述。

图1是用于生成绊网文件的示例性系统100的框图。如该图所示，示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如，并且如将在下文更详细地解释，示例性系统100还可包括生成模块104，该生成模块可根据初始绊网生成计算来生成初始绊网文件。初始绊网文件可被配置为使得初始绊网文件的修改触发安全漏洞的调查。生成模块104还可根据后续绊网生成计算来生成后续绊网文件。后续绊网生成计算可沿一个或多个维度不同于初始绊网生成计算。

示例性系统100可另外包括接收模块106，该接收模块可接收自动化反馈，该自动化反馈指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测。示例性系统100还可包括调整模块108，该调整模块可基于指示初始绊网文件和后续绊网文件中的至少一者是否无法检测安全威胁的自动化反馈来调整第三绊网文件的自动生成。尽管被示为独立元件，但图1中的模块102中的一者或多者可表示单个模块或应用程序的部分。

在某些实施方案中，图1中的模块102中的一者或多者可表示一个或多个软件应用程序或程序，所述软件应用程序或程序在被计算设备执行时，可使计算设备执行一个或多个任务。例如，并且如将在下文更详细地描述，模块102中的一个或多个可表示存储在一个或多个计算设备上并且被配置为在一个或多个计算设备上运行的软件模块，所述计算设备诸如为图2中示出的设备(例如，计算设备202和/或服务器206)、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分。图1中的模块102中的一者或多者还可表示被配置为执行一个或多个任务的一台或多台专用计算机的全部或部分。

如图1所示，示例性系统100还可包括一个或多个数据库，诸如数据库120。在一个示例中，数据库120可被配置为存储生成算法122，该生成算法可对应于用于生成绊网文件的生成算法的各种多态版本。生成算法的各种多态版本可各自沿一个或多个维度不同(例如，随机地或拟随机地不同)，从而实现用于生成绊网文件的生成算法的多态进化和改进，如下文进一步讨论。数据库120还可被配置为存储绊网指纹124。如本文所用，术语“指纹”通常是指唯一识别对应文件的确切内容的任何数据项，使得两个文件之间的指纹差异指示其底层内容的差异。一般而言，指纹往往小于其对应文件。在一个示例性实施方案中，指纹对应于散列。另外，数据库120可被配置为存储备份文件126，这些备份文件可对应于被配置用于自动和定期备份到备份服务器(诸如由存储厂商提供的基于云的存储服务器)的文件。在示例性实施方案中，所公开的系统和方法可在自动化备份程序的背景中操作，如下文进一步讨论。

数据库120可表示单个数据库或计算设备的组成部分或者多个数据库或计算设备。例如，数据库120可表示图2中的服务器206的一部分、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。作为另外一种选择，图1中的数据库120可表示能够通过计算设备访问的一个或多个物理独立设备，诸如图2中的服务器206、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。

图1中的示例性系统100可用多种方式来实现。例如，示例性系统100的全部或一部分可表示图2中的示例性系统200的部分。如图2所示，系统200可包括经由网络204与服务器206通信的计算设备202。在一个示例中，计算设备202可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。除此之外或作为另外一种选择，服务器206可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。

在一个实施方案中，图1的模块102中的一个或多个在通过计算设备202的至少一个处理器和/或通过服务器206执行时，使计算设备202和/或服务器206能够生成绊网文件。例如，并且如将在下文更详细地描述，生成模块104可根据初始绊网生成计算218来生成初始绊网文件210。初始绊网文件210可被配置为使得初始绊网文件210的修改触发安全漏洞的调查。生成模块104还可根据后续绊网生成计算220来生成后续绊网文件212。后续绊网生成计算220可沿至少一个维度不同于初始绊网生成计算218。接收模块106可接收自动化反馈，该自动化反馈指示初始绊网文件210和后续绊网文件212中的至少一者是否无法实现安全威胁216的检测。调整模块108可基于指示初始绊网文件210和后续绊网文件212中的至少一者是否无法检测安全威胁216的自动化反馈来调整第三绊网文件214的自动生成。

计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的示例包括而不限于笔记本电脑、平板电脑、台式机、服务器、蜂窝电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如，智能手表、智能眼镜等)、游戏控制台、这些设备中一个或多个的组合、图6中的示例性计算系统610或任何其他合适的计算设备。

服务器206通常表示能够促进绊网文件的生成和/或管理的任何类型或形式的计算设备。服务器206的示例包括但不限于被配置为提供各种数据库服务和/或运行某些软件应用程序的应用程序服务器和数据库服务器。

网络204通常表示能够促进通信或数据传输的任何介质或体系结构。网络204的示例包括而不限于内联网、广域网(WAN)、局域网(LAN)、个域网(PAN)、互联网、电力线通信(PLC)、蜂窝网络(例如，全球移动通信系统(GSM)网络)、图7中的示例性网络体系结构700等等。网络204可使用无线或有线连接来促进通信或数据传输。在一个实施方案中，网络204可促进计算设备202与服务器206之间的通信。

图3是用于生成绊网文件的示例性计算机实现的方法300的流程图。图3中示出的步骤可通过任何合适的计算机可执行代码和/或计算系统来执行。在一些实施方案中，图3中示出的步骤可通过图1中的系统100、图2中的系统200、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分的组件中的一个或多个执行。

如图3所示，在步骤302处，本文所述的系统中的一者或多者可根据初始绊网生成计算来生成初始绊网文件。初始绊网文件可被配置为使得初始绊网文件的修改触发安全漏洞的调查。例如，生成模块104可作为图2中的服务器206的一部分，根据初始绊网生成计算218来生成初始绊网文件210。

如本文所用，术语“绊网文件”通常是指这样的文件，该文件通过其内部配置或通过其在较大安全系统背景内的布置，被配置为使得绊网文件的修改触发潜在安全漏洞的调查。例如，软件安全系统可将绊网文件插入在用户文件系统中的文件夹内。软件安全系统可向用户通知绊网文件并非旨在进行修改。除此之外或作为另外一种选择，软件安全系统可将绊网文件配置为使得绊网文件名、扩展名、输出和/或底层内容(例如，文本或多媒体内容)指示该文件并非旨在由用户进行修改。例如，绊网文件可包括安全厂商水印，并且该水印可包括指示用户不应修改该文件的用户警告。除此之外或作为另外一种选择，软件安全系统可将该文件插入在隐蔽或不醒目的位置中，诸如对于安装在用户客户端设备上的对应软件安全产品而言或对于客户端设备的操作系统而言较大文件夹内的新生成的文件夹。一般而言，软件安全系统可将该文件插入在文件夹内，该文件夹是新生成的和/或不可能由用户进行访问或修改。

随后，在绊网文件的生成和插入之后，软件安全系统可诸如通过检查绊网文件的新计算的指纹是否匹配此前计算的指纹，来检查绊网文件是否已被修改。如本文所用，短语“绊网文件已被修改”通常是指绊网文件内容已被改变，绊网文件已被加密，和/或绊网文件已被删除。软件安全系统可根据预定义的时间表常规地或定期地执行该检查，作为正在进行的数据备份操作的一部分。如果指纹不匹配，则绊网文件已“跳闸”并且这可触发软件安全系统调查潜在安全漏洞，如下文进一步讨论。

如本文所用，术语“绊网生成计算”通常是指用于生成绊网文件的任何公式、算法和/或计算。每个绊网生成计算可指定：(1)用于获得用作生成绊网文件的基础的底层内容的一个或多个源、(2)指示如何修改从这些源获得的底层内容的一个或多个项目的一个或多个算法、和/或(3)用于插入所生成的绊网文件的一个或多个目的地。用于获得底层内容的源可包括来自安全厂商和/或用户客户端设备上的固定和/或随机或拟随机源，诸如与绊网文件的目的地相同的机器、磁盘、卷、父文件夹和/或文件夹。指示如何修改底层内容的所述一个或多个项目的所述一个或多个算法可进一步指定(1)用于修改底层内容的一个或多个项目的方法、(2)用于命名所得的绊网文件的文件名约定、(3)用于所得的绊网文件的文件格式(例如，MICROSOFT WORD文档或PORTABLE DOCUMENT FORMAT文档)、和/或(4)所得的绊网文件的大小。用于插入所生成的绊网文件的目的地可包括单个客户端设备上的单个或多个目的地，和/或获得底层内容的一个或多个项目的相同位置或文件夹，如上文进一步讨论。

生成模块104可按多种方式生成初始绊网文件。一般而言，生成模块104可根据初始绊网生成计算来生成初始绊网文件。初始绊网生成计算可对应于用于生成绊网文件的多个多态计算或算法之一。多态计算或算法可为多态的，意即各种多态计算的一个或多个指令、特征、方面和/或属性可改变(例如，随机地或半随机地)，从而实现绊网文件的性能和生成的选择、进化和改进，如下文进一步讨论。

在步骤304处，本文所述的系统中的一者或多者可根据后续绊网生成计算来生成后续绊网文件。后续绊网生成计算可沿至少一个维度不同于初始绊网生成计算。例如，生成模块104可作为图2中的服务器206的一部分，根据后续绊网生成计算220来生成后续绊网文件212。

如本文所用，短语“沿至少一个维度不同于初始绊网生成计算”通常是指初始绊网生成计算和后续绊网生成计算是底层绊网生成计算的两种不同多态变型或版本，使得这两种不同计算按不同方式生成对应绊网文件。例如，这些不同计算可从不同源获得所得的绊网文件的底层内容，可按不同方式修改底层内容，可生成具有不同大小的绊网文件，可生成具有不同文件格式的绊网文件，可生成具有不同文件名或命名约定的绊网文件，和/或可将所得的绊网文件放入或插入在对应客户端设备内的不同文件夹或位置中。一般而言，一个多态绊网生成计算变型的任何规则、指令、属性、修改、值和/或步骤可根据固定、随机或拟随机修改模式而不同于另一个多态绊网生成计算变型。在另外的示例中，生成模块104可在一个或多个变量(例如，源位置、大小、命名约定、文件格式、目的地位置等)的不同值(例如，随机或拟随机值)之间迭代，以系统地生成绊网文件的多态变型(例如，从而执行嵌套循环，其在每个变量的不同值之间循环，同时在绊网生成计算中所使用的不同变量之间循环)。

此外，如本文所用，术语或形容词“多态的”通常是指变型绊网生成计算的生成，使得这些变型计算沿一个或多个维度不同(如上所讨论)，以试图根据随机或拟随机变异和选择来实现沿一个或多个度量表现最佳的计算和对应绊网文件的选择以及底层绊网生成计算的对应进化。因此，绊网生成计算的变异、选择和进化可改善绊网文件的性能和生成，如下文进一步讨论。

在步骤306处，本文所述的系统中的一者或多者可接收自动化反馈，该自动化反馈指示初始绊网文件和后续绊网文件中的至少一者是否无法实现安全威胁的检测。例如，接收模块106可作为图2中的服务器206的一部分，接收自动化反馈，该自动化反馈指示初始绊网文件210和后续绊网文件212中的至少一者是否无法实现安全威胁216的检测。

如本文所用，术语“安全威胁”通常是指任何恶意软件、漏洞利用、侵入和/或计算或网络安全的其他损害。在一个实施方案中，安全威胁可包括勒索软件漏洞利用。一般而言，步骤306的安全威胁可对应于步骤302的潜在安全漏洞。

如本文所用，短语“实现安全威胁的检测”通常是指绊网文件在已放置了绊网文件的整个安全系统的背景内发挥作用，使得绊网文件的变化触发潜在安全威胁的调查，进而引起实际安全威胁的检测，如下文进一步讨论(例如，“真阳性”结果)。

如本文所用，术语“自动化反馈”通常是指软件安全系统在用于部署和评估根据如上所概述的步骤302和304生成的绊网文件的过程中自动地接收或收集的反馈。例如，软件安全系统可定期扫描绊网文件以检测绊网文件是否已改变(例如，其指纹是否已改变)。与此同时，软件安全系统(诸如系统100和200)可系统地或连续地监视安全威胁的检测，诸如接收由客户端侧杀毒和恶意软件保护系统在对应企业客户端设备处检测到的所检测安全威胁的指示。另外，软件安全系统可响应于检测到一个或多个绊网文件已被修改而触发潜在安全漏洞的调查。

一般而言，软件安全系统可通过检查是否有如下情况来评估多态绊网生成计算变型和所得的绊网文件的性能：(A)由于对应客户端设备处的安全威胁的实际存在，绊网文件被检测为已改变(即，真阳性)；(B)尽管对应客户端设备处的安全威胁的实际存在，但绊网文件却未改变(即，假阴性)；(C)由于对应客户端设备处的安全威胁的实际不存在，绊网文件未改变(即，真阴性)；和/或(D)尽管对应客户端设备处的安全威胁的实际不存在，但绊网文件却改变(即，假阳性，这是由于尽管用户或其他实体并不构成安全威胁，但用户或其他实体修改了绊网文件)。一般而言，真阳性或真阴性可指示比假阳性或假阴性更高的性能水平。因此，调整模块108可诸如通过以下方式基于所接收到的自动化反馈来调整一个或多个绊网生成计算：调整绊网生成计算以更接近地类似于产生真阳性或真阴性的绊网生成计算，和/或调整绊网生成计算以不太类似于产生假阳性或假阴性的绊网生成计算。

更一般地讲，接收模块106可基于所检测到的真阳性、假阳性、真阴性和/或假阴性的数量或比例来评估多态绊网生成计算变型。接收模块106可接收对应于大量绊网文件变型和/或客户端设备(例如，已被部署到数十、数百、数千、数万、和/或数百万、或任何其他任意数的客户端设备的数十、数百、数千、数万、和/或数百万、或任何其他任意数的绊网文件，其中每个客户端设备接收一个或多个相应绊网文件变型的一个或多个实例)的这些各种指示作为自动反馈。

例如，一个绊网生成计算变型可用于生成相同绊网文件的10个不同实例，这些实例可插入在相同客户端设备上的10个不同位置内。类似地，第二绊网生成计算可用于生成第二绊网文件的五个不同实例，这些实例可插入在相同客户端设备上的五个不同或重叠位置内。以类似的方式，单个副本或多个副本形式的各种相同或不同绊网文件变型可部署到整个网络、地区、国家和/或世界中的许多其他客户端设备。在这些客户端设备的每一者中，服务器侧产品或模块(诸如接收模块106)可系统地或连续地监视真阳性、假阳性、真阴性和/或假阴性的检测。随后接收模块106可对这些指示的数量或比例进行计数以进一步计算或指定对应绊网生成计算变型的性能评分(例如，沿着1至10标度的十进制评分)。除此之外或作为另外一种选择，一些或所有绊网文件变型可在由对应安全厂商管理的可控模拟环境中评估，而不是在现场评估。在评估一个或多个绊网生成计算变型的性能之后，调整模块108可调整绊网生成计算以更接近地类似于表现好于另一个绊网生成计算变型的绊网生成计算变型，如上文进一步讨论。

图4提供了各种绊网文件变型的图示，这些绊网文件变型对应于用于进一步解释本文所公开的系统和方法的有用示例。如该图所示，四种不同图形用户界面(“GUI”)GUI402、GUI 404、GUI 406和GUI 408可对应于不同客户端设备，其中已插入各种绊网文件变型的实例以促进安全威胁的检测。GUI 402显示第一绊网文件变型tripwire1.pdf的两个实例已插入在该客户端设备上，第二绊网文件变型tripwire2.doc的一个实例也已插入在该客户端设备上。另外，已在该客户端设备处检测到勒索软件漏洞利用(即，ransomware1.exe)。该客户端设备处的绊网文件变型的所有实例已被检测为已改变(例如，接收模块106已检测到其指纹已改变)，从而进一步指示真阳性。

GUI 404显示第一绊网文件变型的两个实例和第三绊网文件变型tripwire3.pdf的两个实例已插入在该客户端设备处。如GUI 404所示，虽然该计算设备处不存在勒索软件或其他漏洞利用，但第一绊网文件变型的一个实例和第三绊网文件变型的两个实例已被检测为已改变，从而指示假阳性。第一绊网文件变型的一个实例未改变，从而指示真阴性。

此外，GUI 406显示第一绊网文件变型的两个实例、第二绊网文件变型的一个实例和第三绊网文件变型的一个实例已插入在该客户端设备处。另外，GUI 406显示已在该客户端设备处检测到相同ransomware1.exe。此外，第一绊网文件变型的两个实例和第二绊网文件变型的一个实例已被检测为已改变，从而指示真阳性。第三绊网文件变型的单个实例未改变，从而指示假阴性。

GUI 408显示第一绊网文件变型的两个实例已插入在该客户端设备处，第三绊网文件变型的一个实例也已插入在该客户端设备处。另外，GUI 408还显示该客户端设备处不存在勒索软件或其他漏洞利用。第三绊网文件变型的单个实例已被检测为已改变，从而指示假阳性。第一绊网文件变型的其余两个实例未改变，从而指示真阴性。

更一般地讲，接收模块106可接收自动化反馈，该自动化反馈通过在备份操作期间检查客户端设备上的对应绊网文件(例如，tripwire1.pdf和/或tripwire3.pdf)的指纹是否不同于存储于备份服务器上的相同绊网文件的此前计算的指纹，来指示初始绊网文件(例如，tripwire1.pdf)和后续绊网文件(例如，tripwire3.txt)中的至少一者是否无法实现安全威胁的检测。如图4所示，接收模块106可检查一个或多个绊网文件变型是否已改变。接收模块106可检查绊网文件变型中的一者或多者是否已按如下任一方式改变：(1)响应于检测到安全威胁(例如，ransomware1.exe)的存在而改变，和/或(2)根据软件安全时间表或数据备份时间表抢先地、系统地和/或连续地改变。

值得注意的是，安全威胁的检测可触发检查对应绊网文件是否已改变且反之亦然(即，绊网文件变化的检测可触发通过用户提示或通过客户端侧杀毒产品来检查客户端设备处是否存在安全威胁)。因此，获得一个信息项(例如，是否存在安全威胁)可触发另一个信息项(例如，绊网文件是否已改变)的获得，且反之亦然，从而使接收模块106能够确定这两个信息项是否指示真阳性、假阳性、真阴性和/或假阴性。另外，在一些示例中，完全恢复程序的检测可触发调查，该调查引出安全威胁(诸如勒索软件攻击)的确认。每当用户尝试执行从现有备份中的完全恢复时，接收模块106都可任选地检查(例如，在服务器侧和/或客户端侧)用户是否正恢复到相同机器和/或相同磁盘。如果是这种情况，则用户可能是漏洞利用(诸如勒索软件攻击)的受害者。随后接收模块106可发起安全调查，以诸如通过提示用户进行确认和/或运行杀毒扫描(这可指示假阴性)来检查该恢复是否是由于漏洞利用(例如，勒索软件攻击)。此外，在一些示例中，接收模块106可不考虑真阴性，因为没有触发真阴性计算的对应安全事件(例如，安全威胁的检测或改变的绊网文件的检测)。

在另外的示例中，接收模块106可通过确定客户端设备上的对应绊网文件的指纹与存储于备份服务器上的相同绊网文件的此前计算的指纹(即，该指纹存储在服务器上)并无不同，来检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的相同绊网文件的此前计算的指纹。例如，接收模块106可确定tripwire1.pdf的一个实例在GUI404处未改变，tripwire3.txt的一个实例在GUI 406处未改变，并且tripwire1.pdf的两个实例在GUI 408处均未改变。

在另外的实施方案中，接收模块106可(1)检测客户端设备处的安全威胁并且(2)确定对应绊网文件无法实现安全威胁的检测。例如，接收模块106可检测GUI 406处的安全威胁(即，ransomware1.exe)并且还确定tripwire3.txt未改变，从而指示假阴性。

在其他示例中，接收模块106可确定客户端设备上的对应绊网文件的指纹确实不同于存储于备份服务器上的相同绊网文件的此前计算的指纹。例如，接收模块106可确定绊网文件变型的实例已改变，如GUI 402、GUI 404、GUI 406和GUI 408中的“[已改变]”标记的实例所示。在另外的示例中，接收模块106可响应于确定客户端设备上的对应绊网文件的指纹确实不同于存储于备份服务器上的相同绊网文件的此前计算的指纹，而检查客户端设备处的安全威胁的存在。例如，响应于检测到绊网文件变型(例如，tripwire1.pdf)在GUI 402处已改变，接收模块106可调查客户端设备处是否存在安全威胁。例如，接收模块106可在客户端设备处(例如，通过相同或不同客户端设备处的电话、文本消息、电子邮件和/或安全产品警报)提示用户验证客户端设备处的安全威胁、漏洞利用和/或恶意软件的存在。除此之外或作为另外一种选择，接收模块106可触发软件安全扫描，诸如由杀毒或反恶意软件产品进行的病毒扫描，从而可进一步检测客户端设备处的安全威胁。在检测到客户端设备处的安全威胁(例如，GUI 402处的ransomware1.exe)后，接收模块106可确定对应绊网文件(例如，tripwire1.pdf或tripwire2.doc)实现了安全威胁的检测，从而指示真阳性。

值得注意的是，图5示出了GUI 402和GUI 408的更多细节。在该示例中，GUI 402还可包括弹出窗口502，该弹出窗口还包括ransomware1.exe发出的索要赎金文本。如该图进一步所示，该文本写明“您的计算机已被劫持！要解锁您的计算机，请通过PAYPAL向RANSOM@GMAIL.COM发送$100[。]”另外，图5进一步示出了GUI 408中列出的两个文件userfile2.txt和tripwire1.pdf的内容。在该示例中，tripwire1.pdf可由生成模块104使用userfi1e2.txt作为底层内容来生成。具体地讲，生成模块104可将userfile2.txt的第一部分摘录到第二文本文档中，然后将该文本文档转换成PORTABLE DOCUMENT FORMAT，从而生成tripwire1.pdf，其内容进一步在该图中示出。

在一些示例中，生成模块104可以以使绊网文件作为普通非绊网文件的伪装最大化的方式生成绊网文件。例如，生成模块104可不在绊网文件内容或元数据内包括指示用户不应修改绊网文件的任何警告。在一些示例中，生成模块104甚至可不在文件名中提供文件是绊网文件的指示(例如，生成模块104可将文件命名为“grocery list.pdf”而非“tripwire1.pdf”)。在其他示例中，生成模块104可任选地在绊网文件内容和/或元数据内插入文件是绊网文件的一个或多个指示。

在步骤308处，本文所述的系统中的一者或多者可基于指示初始绊网文件和后续绊网文件中的至少一者是否无法检测安全威胁的自动化反馈来调整第三绊网文件的自动生成。例如，调整模块108可作为图2中的服务器206的一部分，基于指示初始绊网文件210和后续绊网文件212中的至少一者是否无法检测安全威胁216的自动化反馈来调整第三绊网文件214的自动生成。

一般而言，调整模块108可调整第三绊网文件的生成，使得第三绊网文件以更接近地类似于沿一个或多个性能度量表现好于另一个绊网生成计算的绊网生成计算的方式生成。这些性能度量可包括沿第二底层性能度量的更高等级、真阳性和/或真阴性的比例的更高数量、和/或假阳性和/或假阴性的更低数量或比例。例如，接收模块106和/或调整模块108可使用一个或多个启发法(其可基于所接收到的真阳性、真阴性、假阳性和/或假阴性的指示)评估大量不同绊网生成计算，从而生成所得的性能度量评分(例如，沿着1至10标度的十进制评分)。然后调整模块108可选择满足一个或多个定义阈值(例如，根据性能度量评分的所评估计算的前20％、大于2.0的真阳性/假阳性等)的一个或多个绊网生成计算。

一般而言，调整模块108可使用以下各项中的任何一者或多者作为评估绊网生成计算的性能的整体评估计算的输入：(1)根据底层性能度量评分的在其他等级之中的计算的等级、(2)真阳性的数量、(3)假阳性的数量、(4)真阴性的数量和/或(5)假阴性的数量。更一般地讲，调整模块108可通过以下方式实现或促进绊网生成计算属性的变异、选择和进化：识别哪些属性表现好于其他属性，然后在新创建的绊网文件的后续生成或批次中促进这些优越属性，如上文进一步讨论。

在图4的示例中，产生tripwire3.txt的绊网生成计算明显不如其他绊网生成计算，因为tripwire3.txt产生了假阳性(在GUI 404和GUI 408处)和假阴性(在GUI 406处)。在其余两个绊网文件中，tripwire1.pdf可被认为表现略差于tripwire2.doc，因为tripwire1.pdf产生了假阳性(在GUI 404处)。然而tripwire1.pdf的所部署实例的数量不同于tripwire2.doc的所部署实例的数量，并且该事实可改变或影响所得的等级和性能度量。更一般地讲，用于评估绊网文件的性能的不同启发法可产生不同等级和/或性能评分。

如上文结合图3中的方法300所解释，所公开的系统和方法可涉及多态进化过程以识别优于其他属性和算法的绊网文件生成属性和算法。通过迭代地选择产生优越性能的属性和算法，所公开的系统和方法可逐渐改善绊网文件的一般性能和生成，并且更有效地检测对应安全威胁。

下面提供了所公开的系统和方法的实施方案的更具体解释。勒索软件攻击在过去几年里已大幅增加。这些攻击的范围从简单地将用户锁定在设备之外到加密用户的整个磁盘。密码锁定是一种加密用户的文件系统并索要赎金作为解密密钥的交换的勒索软件形式。加密算法在最近攻击中已变得更复杂，没有简单的方式可以在无解密密钥的情况下解密用户的文件。

放入关键位置中的绊网文件可用于在任何绊网文件被窜改(例如，修改、删除或加密)时检测密码锁定攻击。然而，如果这些绊网文件未正确生成(静态内容、太小、遵循命名模式等)，它们可易被勒索软件漏洞利用检测并绕过。勒索软件漏洞利用继续进化，并且这些漏洞利用的作者不断寻找漏洞利用不被检测到的方式。挑战是生成有效绊网文件，使得绊网文件无法被勒索软件漏洞利用检测并绕过。

所公开的系统和方法通过众包和预测分析来解决生成有效绊网文件以检测密码锁定攻击的问题。有效绊网文件在勒索软件看来似乎是正常文件，因此它们在密码锁定攻击期间不会被绕过。最初，可基于每个文件夹(例如，由备份系统备份的每个文件夹)中的内容来随机地生成绊网文件，在算法和其他文件属性(如文件大小和文件名)方面有所改变。每个生成的绊网文件和生成算法可进一步连同关于端点计算设备的信息一起存储在云中。例如，以下各项中的每一者可对应于用于生成绊网文件的变型算法：(1)插入静态安全厂商徽标图像文件作为绊网文件；(2)从图像库选择随机图片；(3)随机地裁剪指定位置处的用户现有图像的小部分；(4)从当前目录选择现有图像并将安全厂商徽标水印添加到该图像；和/或(5)基于用户指定的视频，通过随机地选择剪辑并添加安全厂商徽标水印来创建小视频。可将所有这些生成的绊网文件上传到基于云的模拟环境，并且针对已知的勒索软件漏洞利用来测试其有效性。可将该结果馈送到预测模型中以细化未来绊网生成算法。

另外，所公开的系统和方法可在备份过程期间收集有关这些绊网文件的有效性的统计数据。当识别潜在密码锁定攻击时，可停止用户的备份过程并且软件安全产品可向用户发出警报。然后可提示用户确认安全威胁的存在或相反确认假阳性。例如，可向用户呈现所有修改的文件(例如，当天所有修改的文件)，然后用户确认是用户修改了这些文件而不是安全威胁，诸如勒索软件漏洞利用。客户端设备可向安全厂商后端服务器报告真阳性和假阳性两者，以及识别触发该识别的端点的信息。

当用户被密码锁定(例如，由于绊网文件无效)并且需要通过从最近未受影响的备份中恢复而从密码锁定攻击中复原时，备份客户端可请求用户确认该恢复是最近密码锁定攻击的结果。可将关于无效绊网文件的信息以及识别相关端点的信息传输到安全厂商后端服务器。基于自动接收到的有效和无效绊网文件及其生成算法的反馈，所公开的系统和方法可细化预测模型以识别最有效的文件类型及其对应算法，从而生成置于用户的客户端设备上的最有效的绊网文件。作为一个示例性示例，该模型可确定最有效的文件类型是MICROSOFT WORD文档，并且用于生成绊网文件的最有效的方法是采用现有WORD文档并在添加水印时对其进行复制。所公开的系统和方法可继续基于在现场从客户端设备获得的细节使绊网文件的生成进化，从而有效地对绊网生成计算的变异、选择和进化进行众包以改善绊网文件的性能。

图6为能够实现本文描述和/或例示的实施方案中的一个或多个的示例性计算系统610的框图。例如，计算系统610的全部或一部分可单独地或与其他元件结合来执行本文所述的步骤中的一个或多个(诸如图3所示的步骤中的一个或多个)和/或作为用于执行的装置。计算系统610的全部或一部分也可执行本文描述和/或例示的任何其他步骤、方法或过程和/或作为用于执行的装置。

计算系统610在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统610的示例包括而不限于：工作站、笔记本电脑、客户端方终端、服务器、分布式计算系统、手持设备或任何其他计算系统或设备。在其最基本的配置中，计算系统610可包括至少一个处理器614和系统存储器616。

处理器614通常表示能够处理数据或解译和执行指令的任何类型或形式的物理处理单元(例如，硬件实现的中央处理单元)。在某些实施方案中，处理器614可接收来自软件应用程序或模块的指令。这些指令可使处理器614执行本文描述和/或例示的一个或多个示例性实施方案的功能。

系统存储器616通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器616的示例包括而不限于：随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器或任何其他合适的存储器设备。尽管不是必需的，但在某些实施方案中，计算系统610可包括易失性存储器单元(诸如，例如，系统存储器616)和非易失性存储设备(诸如，例如，主存储设备632，如下详述)两者。在一个示例中，图1的模块102中的一个或多个可加载到系统存储器616中。

在某些实施方案中，除处理器614和系统存储器616之外，示例性计算系统610还可包括一个或多个组件或元件。例如，如图6所示，计算系统610可包括存储器控制器618、输入/输出(I/O)控制器620和通信接口622，它们中的每一个都可经由通信基础结构612互连。通信基础结构612通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础结构。通信基础结构612的示例包括而不限于：通信总线(诸如工业标准体系结构(ISA)、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。

存储器控制器618通常表示能够处理存储器或数据或者控制计算系统610的一个或多个组件之间的通信的任何类型或形式的设备。例如，在某些实施方案中，存储器控制器618可经由通信基础结构612来控制处理器614、系统存储器616和I/O控制器620之间的通信。

I/O控制器620通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如，在某些实施方案中，I/O控制器620可控制或促进计算系统610的一个或多个元件之间的数据传输，这些元件是诸如处理器614、系统存储器616、通信接口622、显示适配器626、输入接口630和存储接口634。

通信接口622在广义上表示能够促进示例性计算系统610与一个或多个另外设备之间的通信的任何类型或形式的通信设备或适配器。例如，在某些实施方案中，通信接口622可促进计算系统610与包括另外计算系统的专用或公共网络之间的通信。通信接口622的示例包括而不限于：有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器和任何其他合适的接口。在至少一个实施方案中，通信接口622可经由与网络，诸如互联网的直接链路来提供与远程服务器的直接连接。通信接口622也可通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其他合适的连接来间接提供此类连接。

在某些实施方案中，通信接口622还可表示主机适配器，该主机适配器被配置为经由外部总线或通信信道来促进计算系统610与一个或多个另外网络或存储设备之间的通信。主机适配器的示例包括但不限于：小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤通道接口适配器、以太网适配器等。通信接口622还可允许计算系统610参与分布式或远程计算。例如，通信接口622可接收来自远程设备的指令或将指令发送到远程设备以供执行。

如图6所示，计算系统610也可包括至少一个显示设备624，该显示设备经由显示适配器626联接到通信基础结构612。显示设备624通常表示能够以可视方式显示由显示适配器626转发的信息的任何类型或形式的设备。类似地，显示适配器626通常表示被配置为转发来自通信基础结构612(或来自帧缓冲器，如本领域中已知)的图形、文本和其他数据以在显示设备624上显示的任何类型或形式的设备。

如图6所示，示例性计算系统610还可包括经由输入接口630联接到通信基础结构612的至少一个输入设备628。输入设备628通常表示能够向示例性计算系统610提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备628的示例包括而不限于：键盘、指示设备、语音识别设备或任何其他输入设备。

如图6所示，示例性计算系统610还可包括主存储设备632和经由存储接口634联接到通信基础结构612的备份存储设备633。存储设备632和633通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如，存储设备632和633可为磁盘驱动器(例如，所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口634通常表示用于在存储设备632和633与计算系统610的其他组件之间传输数据的任何类型或形式的接口或设备。在一个示例中，图1的数据库120可存储在主要存储设备632中。

在某些实施方案中，存储设备632和633可被配置为对被配置为存储计算机软件、数据或其他计算机可读信息的可移除存储单元执行读取和/或写入。合适的可移除存储单元的示例包括但不限于：软盘、磁带、光盘、闪存存储器设备等。存储设备632和633还可包括允许将计算机软件、数据或其他计算机可读指令加载到计算系统610内的其他类似结构或设备。例如，存储设备632和633可被配置为读取和写入软件、数据或其他计算机可读信息。存储设备632和633还可为计算系统610的一部分，或者可为通过其他接口系统进行访问的独立设备。

可将许多其他设备或子系统连接到计算系统610。相反地，无需图6中示出的所有组件和设备都存在，亦可实践本文描述和/或例示的实施方案。上文提及的设备和子系统也可通过不同于图6所示的方式互连。计算系统610也可采用任何数量的软件、固件和/或硬件配置。例如，本文所公开的一个或多个示例性实施方案可被编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。如本文所用，短语“计算机可读介质”通常指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读介质的示例包括而不限于：传输型介质(诸如载波)和非暂态型介质(诸如磁存储介质，例如，硬盘驱动器、带驱动器和软盘)、光存储介质(例如，光盘(CD)、数字视频盘(DVD)和蓝光光盘)、电子存储介质(例如，固态驱动器和闪存介质)和其他分配系统。

可将包含计算机程序的计算机可读介质加载到计算系统610中。然后可将计算机可读介质上存储的全部或部分计算机程序存储在系统存储器616和/或存储设备632和633的各个部分中。当由处理器614执行时，加载到计算系统610中的计算机程序可使处理器614执行本文描述和/或例示的示例性实施方案中的一个或多个的功能和/或作为用于执行其的装置。除此之外或作为另外一种选择，可在固件和/或硬件中实现本文描述和/或例示的示例性实施方案中的一者或多者。例如，计算系统610可被配置为用于实现本文所公开的示例性实施方案中的一个或多个的专用集成电路(ASIC)。

图7为示例性网络体系结构700的框图，其中客户端系统710、720和730以及服务器740和745可联接到网络750。如上所详述，网络体系结构700的全部或一部分可单独地或与其他元件结合来执行本文所公开的步骤中的一个或多个(诸如图3所示的步骤中的一个或多个)和/或作为用于执行其的装置。网络体系结构700的全部或一部分还可用于执行本公开中阐述的其他步骤和特征和/或作为用于执行其的装置。

客户端系统710、720和730通常表示任何类型或形式的计算设备或系统，诸如图6中的示例性计算系统610。类似地，服务器740和745通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统，诸如应用程序服务器或数据库服务器。网络750通常表示任何电信或计算机网络包括，例如，内联网、WAN、LAN、PAN或互连网。在一个示例中，客户端系统710、720和/或730和/或服务器740和/或745可包括图1的系统100的全部或一部分。

如图7所示，一个或多个存储设备760(1)-(N)可直接附接到服务器740。类似地，一个或多个存储设备770(1)-(N)可直接附接到服务器745。存储设备760(1)-(N)和存储设备770(1)-(N)通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。在某些实施方案中，存储设备760(1)-(N)和存储设备770(1)-(N)可表示被配置为使用各种协议(诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS))与服务器740和745进行通信的网络附接存储(NAS)设备。

服务器740和745也可连接到存储区域网络(SAN)架构780。SAN架构780通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。SAN架构780可促进服务器740和745与多个存储设备790(1)-(N)和/或智能存储阵列795之间的通信。SAN架构780还可通过网络750以及服务器740和745以这样的方式促进客户端系统710，720和730与存储设备790(1)-(N)和/或智能存储阵列795之间的通信：设备790(1)-(N)和阵列795呈现为客户端系统710，720和730的本地附接设备。与存储设备760(1)-(N)和存储设备770(1)-(N)相同，存储设备790(1)-(N)和智能存储阵列795通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。

在某些实施方案中，并参照图6的示例性计算系统610，通信接口(诸如图6中的通信接口622)可用于在每个客户端系统710、720和730与网络750之间提供连接性。客户端系统710、720和730可能能够使用例如网页浏览器或其他客户端软件来访问服务器740或745上的信息。此类软件可允许客户端系统710、720和730访问由服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)或智能存储阵列795托管的数据。尽管图7示出了使用网络(诸如互联网)来交换数据，但本文描述和/或例示的实施方案并非仅限于互联网或任何特定的基于网络的环境。

在至少一个实施方案中，本文所公开的一个或多个示例性实施方案中的全部或一部分可被编码为计算机程序并加载到服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)、智能存储阵列795或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施方案中的全部或一部分也可被编码为计算机程序，存储在服务器740中，由服务器745运行，以及通过网络750分配到客户端系统710、720和730。

如上所详述，计算系统610和/或网络架构700的一个或多个部件可单独或与其他元件结合来执行用于生成绊网文件的示例性方法的一个或多个步骤，或为执行其的装置。

虽然上述公开内容使用特定框图、流程图和示例阐述了各种实施方案，但每个框图组件、流程图步骤、操作和/或本文描述和/或例示的组件可使用多种硬件、软件或固件(或其任何组合)配置单独和/或共同地实现。此外，包含在其他组件内的组件的任何公开内容应当被视为在本质上是示例性的，因为可实施许多其他体系结构来实现相同功能。

在一些示例中，图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可通过互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务、平台即服务、基础结构即服务等)可通过网页浏览器或其他远程接口进行访问。本文所述的各种功能可通过远程桌面环境或任何其他基于云的计算环境提供。

在各种实施方案中，图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户应用。换句话讲，本文所述的软件模块可配置计算系统(例如，服务器)以促进本文所述功能中的一个或多个的多租户应用。例如，本文所述软件模块中的一个或多个可对服务器进行编程以允许两个或更多个客户端(例如，顾客)共享正在服务器上运行的应用程序。以这种方式编程的服务器可在多个顾客(即，租户)之间共享应用程序、操作系统、处理系统和/或存储系统。本文所述模块中的一个或多个还可为每个顾客分割多租户应用程序的数据和/或配置信息使得一个顾客不能访问另一个顾客的数据和/或配置信息。

根据各种实施方案，图1中的示例性系统100的全部或一部分可在虚拟环境内实现。例如，本文所述模块和/或数据可在虚拟机内驻留和/或执行。如本文所用，短语“虚拟机”通常指由虚拟机管理器(例如，超级管理程序)从计算硬件中抽象出来的任何操作系统环境。除此之外或作为另外一种选择，本文所述的模块和/或数据可在虚拟化层内驻留和/或执行。如本文所用，短语“虚拟化层”通常指覆盖操作系统环境和/或从操作系统环境中抽象出来的任何数据层和/或应用层。虚拟化层可由软件虚拟化解决方案(例如，文件系统过滤器)管理，软件虚拟化解决方案将虚拟化层呈现为就好像它是底层基本操作系统的一部分。例如，软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。

在一些示例中，图1中的示例性系统100的全部或一部分可表示移动计算环境的部分。移动计算环境可由多种移动计算设备来实现，这些设备包括移动电话、平板电脑、电子书阅读器、个人数字助理、可穿戴计算设备(例如，具有头戴式显示器的计算设备、智能手表等)，等等。在一些示例中，移动计算环境可具有一个或多个区别特征，包括例如对电池供电的依赖、在任何给定时间只呈现一个前台应用程序、远程管理特征、触摸屏特征、(例如，由全球定位系统、陀螺仪、加速度计等提供的)位置和移动数据、限制对系统级配置的修改和/或限制第三方软件检查其他应用程序的行为的能力的受限平台、限制应用程序的安装的控制装置(例如，仅安装来源于经批准的应用程序商店的应用程序)等等。本文所述的各种功能可被提供用于移动计算环境和/或可与移动计算环境交互。

此外，图1中的示例性系统100的全部或一部分可表示一个或多个信息管理系统的部分，与一个或多个信息管理系统交互，使用由一个或多个信息管理系统产生的数据和/或产生被一个或多个信息管理系统使用的数据。如本文所用，短语“信息管理”可以指数据的保护、组织和/或存储。信息管理系统的示例可包括但不限于：存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、虚拟化系统等。

在一些实施方案中，图1中的示例性系统100的全部或一部分可表示一个或多个信息安全系统的部分，产生受一个或多个信息安全系统保护的数据和/或与一个或多个信息安全系统通信。如本文所用，短语“信息安全”可以指对受保护数据的访问控制。信息安全系统的示例可包括而不限于：提供受管理的安全服务的系统、数据丢失防护系统、身份认证系统、访问控制系统、加密系统、策略遵循系统、入侵检测与防护系统、电子发现系统等等。

根据一些示例，图1中的示例性系统100的全部或一部分可表示一个或多个端点安全系统的部分、与一个或多个端点安全系统通信和/或受一个或多个端点安全系统保护。如本文所用，短语“端点安全”可以指保护端点系统以避免未授权和/或不合法的使用、访问和/或控制。端点保护系统的示例可包括而不限于：反恶意软件系统、用户认证系统、加密系统、保密系统、垃圾邮件过滤服务，等等。

本文描述和/或例示的过程参数和步骤序列仅通过举例的方式给出并且可根据需要改变。例如，虽然本文示出和/或描述的步骤可以特定顺序示出或讨论，但这些步骤不一定需要按例示或讨论的顺序来执行。本文描述和/或例示的各种示例性方法也可省略本文描述或例示的步骤中的一个或多个，或除了所公开的那些步骤之外还包括另外步骤。

虽然在全功能计算系统的背景中描述和/或例示了各种实施方案，但这些示例性实施方案中的一个或多个可作为各种形式的程序产品来分配，而不顾及用于实际执行分配的计算机可读介质的特定类型。本文所公开的实施方案也可使用执行某些任务的软件模块来实现。这些软件模块可包括脚本、批文件或可存储在计算机可读存储介质上或计算系统中的其他可执行文件。在一些实施方案中，这些软件模块可将计算系统配置为执行本文所公开的示例性实施方案中的一个或多个。

此外，本文所述的模块中的一个或多个可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。除此之外或作为另外一种选择，本文所述模块中的一个或多个可通过在计算设备上执行、在计算设备上存储数据和/或以其他方式与计算设备交互，来将处理器、易失性存储器、非易失性存储器、和/或物理计算设备的任何其他部分从一种形式转换为另一种形式。

提供前面描述的目的是使本领域的其他技术人员能够最好地利用本文所公开的示例性实施方案的各种方面。该示例性描述并非旨在是详尽的或局限于所公开的任何精确形式。在不脱离本发明精神和范围的前提下，可进行许多修改和变化。本文所公开的实施方案在所有方面均应被视为示例性的而非限制性的。应当参考所附权利要求及其等同形式来确定本发明的范围。

除非另有说明，否则在本说明书和权利要求中使用的术语“连接到”和“联接到”(以及其衍生形式)应该理解为允许直接和间接(即，经由其他元件或组件)连接。此外，在本说明书和权利要求中使用的术语“一”或“一个”应当理解为表示“...中的至少一者”。最后，为了易于使用，在本说明书和权利要求中使用的术语“包括”和“具有”(以及其衍生形式)与词语“包含”可互换并且与词语“包含”具有相同含义。

Claims (20)

1.一种用于生成绊网文件的计算机实现的方法，所述方法的至少一部分由包括至少一个处理器的计算设备执行，所述方法包括：

根据绊网生成算法的初始变型来生成初始绊网文件，所述初始绊网文件被配置为使得所述初始绊网文件的修改触发安全漏洞的调查；

根据所述绊网生成算法的后续变型来生成后续绊网文件，所述绊网生成算法的所述后续变型沿至少一个维度随机地不同于所述绊网生成算法的所述初始变型；

接收自动化反馈，所述自动化反馈至少部分地通过如下指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现安全威胁的检测：

备份客户端，所述备份客户端从用户接收执行恢复操作的指示；并且

所述备份客户端响应于从所述用户接收执行所述恢复操作的所述指示，询问所述用户，所述恢复操作是否是最近密码锁定攻击的结果；以及

至少部分地通过选择所述绊网生成算法的哪种变体在防止已知的勒索软件漏洞利用方面更有效，基于指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法检测所述安全威胁的所述自动化反馈来调整第三绊网文件的自动生成。

2.根据权利要求1所述的计算机实现的方法，其中所述绊网生成算法的所述初始变型和所述绊网生成算法的所述后续变型是多态的。

3.根据权利要求1所述的计算机实现的方法，其中所述绊网生成算法的所述后续变型不同于所述绊网生成算法的所述初始变型所沿的所述维度包括以下至少一者：

用于命名对应绊网文件的命名约定；

所述对应绊网文件的大小；以及

所述对应绊网文件的文件格式。

4.根据权利要求1所述的计算机实现的方法，其中接收指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现所述安全威胁的检测的自动化反馈包括在备份操作期间检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的所述相同绊网文件的此前计算的指纹。

5.根据权利要求4所述的计算机实现的方法，其中检查所述客户端设备上的所述对应绊网文件的所述指纹是否不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹包括确定所述客户端设备上的所述对应绊网文件的所述指纹与存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹并无不同。

6.根据权利要求5所述的计算机实现的方法，还包括：

检测所述客户端设备处的所述安全威胁；以及

确定所述对应绊网文件无法实现所述安全威胁的检测。

7.根据权利要求4所述的计算机实现的方法，其中检查所述客户端设备上的所述对应绊网文件的所述指纹是否不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹包括确定所述客户端设备上的所述对应绊网文件的所述指纹确实不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹。

8.根据权利要求7所述的计算机实现的方法，还包括：

响应于确定所述客户端设备上的所述对应绊网文件的所述指纹确实不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹，而检查所述客户端设备处的所述安全威胁的存在；

检测所述客户端设备处的所述安全威胁；以及

确定所述对应绊网文件实现了所述安全威胁的检测。

9.根据权利要求8所述的计算机实现的方法，其中检测所述客户端设备处的所述安全威胁包括在所述客户端设备处提示所述用户确认所述客户端设备处的所述安全威胁的存在。

10.根据权利要求1所述的计算机实现的方法，其中生成所述初始绊网文件和所述后续绊网文件包括执行嵌套循环，所述嵌套循环在每个变量的不同值之间循环，同时在所述绊网生成算法中所使用的不同变量之间循环。

11.一种用于生成绊网文件的系统，所述系统包括：

存储于存储器中的生成模块，所述生成模块：

根据绊网生成算法的初始变型来生成初始绊网文件，所述初始绊网文件被配置为使得所述初始绊网文件的修改触发安全漏洞的调查；以及

根据所述绊网生成算法的后续变型来生成后续绊网文件，所述绊网生成算法的所述后续变型沿至少一个随机地维度不同于所述绊网生成算法的所述初始变型；

存储于存储器中的接收模块，所述接收模块接收自动化反馈，所述自动化反馈至少部分地通过如下指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现安全威胁的检测：

备份客户端，所述备份客户端从用户接收执行恢复操作的指示；并且

所述备份客户端响应于从所述用户接收执行所述恢复操作的所述指示，询问所述用户，所述恢复操作是否是最近密码锁定攻击的结果；以及

存储于存储器中的调整模块，所述调整模块至少部分地通过选择所述绊网生成算法的哪种变体在防止已知的勒索软件漏洞利用方面更有效，基于指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法检测所述安全威胁的所述自动化反馈来调整第三绊网文件的自动生成；

至少一个物理处理器，所述至少一个物理处理器被配置为执行所述生成模块、所述接收模块和所述调整模块。

12.根据权利要求11所述的系统，其中所述绊网生成算法的所述初始变型和所述绊网生成算法的所述后续变型是多态的。

13.根据权利要求11所述的系统，其中所述绊网生成算法的所述后续变型不同于所述绊网生成算法的所述初始变型所沿的所述维度包括以下至少一者：

用于命名对应绊网文件的命名约定；

所述对应绊网文件的大小；以及

所述对应绊网文件的文件格式。

14.根据权利要求11所述的系统，其中所述接收模块接收自动化反馈，所述自动化反馈通过在备份操作期间检查客户端设备上的对应绊网文件的指纹是否不同于存储于备份服务器上的所述相同绊网文件的此前计算的指纹，来指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现所述安全威胁的检测。

15.根据权利要求14所述的系统，其中所述接收模块通过确定所述客户端设备上的所述对应绊网文件的所述指纹与存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹并无不同，来检查所述客户端设备上的所述对应绊网文件的所述指纹是否不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹。

16.根据权利要求15所述的系统，其中所述接收模块进一步：

检测所述客户端设备处的所述安全威胁；以及

确定所述对应绊网文件无法实现所述安全威胁的检测。

17.根据权利要求14所述的系统，其中所述接收模块通过确定所述客户端设备上的所述对应绊网文件的所述指纹确实不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹，来检查所述客户端设备上的所述对应绊网文件的所述指纹是否不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹。

18.根据权利要求17所述的系统，其中所述接收模块：

响应于确定所述客户端设备上的所述对应绊网文件的所述指纹确实不同于存储于所述备份服务器上的所述相同绊网文件的所述此前计算的指纹，而检查所述客户端设备处的所述安全威胁的存在；

检测所述客户端设备处的所述安全威胁；以及

确定所述对应绊网文件实现了所述安全威胁的检测。

19.根据权利要求18所述的系统，其中所述接收模块通过在所述客户端设备处提示所述用户确认所述客户端设备处的所述安全威胁的存在，来检测所述客户端设备处的所述安全威胁。

20.一种非暂态计算机可读介质，其包括一个或多个计算机可读指令，所述计算机可读指令在由计算设备的至少一个处理器执行时，使所述计算设备：

根据绊网生成算法的初始变型来生成初始绊网文件，所述初始绊网文件被配置为使得所述初始绊网文件的修改触发安全漏洞的调查；

根据所述绊网生成算法的后续变型来生成后续绊网文件，所述绊网生成算法的所述后续变型沿至少一个维度随机地不同于所述绊网生成算法的所述初始变型；

接收自动化反馈，所述自动化反馈至少部分地通过如下指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法实现安全威胁的检测：

备份客户端，所述备份客户端从用户接收执行恢复操作的指示；并且

所述备份客户端响应于从所述用户接收执行所述恢复操作的所述指示，询问所述用户，所述恢复操作是否是最近密码锁定攻击的结果；以及

至少部分地通过选择所述绊网生成算法的哪种变体在防止已知的勒索软件漏洞利用方面更有效，基于指示所述初始绊网文件和所述后续绊网文件中的至少一者是否无法检测所述安全威胁的所述自动化反馈来调整第三绊网文件的自动生成。

Images