CN110709843A - 加密勒索软件损害检测 - Google Patents
加密勒索软件损害检测 Download PDFInfo
- Publication number
- CN110709843A CN110709843A CN201880037095.0A CN201880037095A CN110709843A CN 110709843 A CN110709843 A CN 110709843A CN 201880037095 A CN201880037095 A CN 201880037095A CN 110709843 A CN110709843 A CN 110709843A
- Authority
- CN
- China
- Prior art keywords
- files
- memory medium
- memory
- honeypot
- randomly distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Human Computer Interaction (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种存储器系统和一种操作所述存储器系统的方法,所述存储器系统包含具有处理器的控制器及一或多个存储器媒体。主机产生蜜罐文件且所述处理器经配置以将所述蜜罐文件写入到所述存储器媒体上的随机位置处。所述控制器针对存取监视所述随机分布的蜜罐文件的所述位置。所述主机可设置关于所述存储器媒体上随机分布的所述蜜罐文件的存取的操作模式。在严格操作模式中,所述控制器可在存取单个蜜罐文件时暂停对所述存储器媒体的存取或要求认证。在适度操作模式中,所述控制器可在存取单个蜜罐文件时分析所述存储器媒体以确定是否遭受攻击。在轻度操作模式中,所述控制器可不采取任何行动,直到存取预定数目个蜜罐文件。
Description
技术领域
本文揭示的实施例涉及防止固态装置(SSD)存储器装置上的加密勒索软件对文件的恶意加密。
背景技术
勒索软件是用于感染电子装置(例如计算机、笔记本电脑、平板计算机和智能电话)从而限制对所述装置的存取,直到用户支付赎金以使所述装置解锁而允许再次存取的一种类型的恶意软件。存在用于恶意感染装置以试图获得赎金支付的各种类型的勒索软件。一种此类型的勒索软件是加密勒索软件。
加密勒索软件加密存储在电子装置上的文件。用户仍能够存取所述装置,但所述装置上的文件或文件的部分经加密使得用户及/或电子装置其自身无法读取所述文件。需要特定解密密钥以译出或解密所述文件,但解密密钥不定位在所述电子装置上。在恶意加密文件或文件的部分之后,显示向用户提供必需的解密密钥以得到特定数量的金钱的勒索要求。在一些例子中,勒索要求可向用户提供有限的时间段,在所述时间段之前满足勒索要求否则文件将保持永久加密。加密勒索软件的前提是用户在面对失去对其文件的一些或全部的可用存取的可能性时将自愿支付一些钱。
加密勒索软件可通过各种手段恶意下载到电子装置上。例如,恶意软件可在访问远程网站时被意外地下载,可嵌入到邮件的附件中,或可为其它恶意软件的有效负载的部分(例如,特洛伊木马下载或漏洞利用套件)。一旦加密勒索软件位于所述装置上,勒索软件便可有系统地开始加密文件。一些版本的加密勒索软件可搜出特定类型的文件来进行加密。在完成所需的加密之后,勒索软件在电子装置的显示器上显示含有勒索要求的消息。加密勒索软件可能具有额外缺点。
附图说明
图1是根据本发明的用于检测加密勒索软件的系统的实施例的框图。
图2是根据本发明的用于检测加密勒索软件的系统的图形用户接口(GUI)的实施例的示意图。
图3是根据本发明的用于检测加密勒索软件的方法的实施例的流程图。
图4是根据本发明的保护固态装置(SSD)存储器装置免受加密勒索软件之害的方法的实施例的流程图。
虽然本发明容易以各种修改及替代形式呈现,但特定实施例已经通过附图中的实例展示且将在本文中详细描述。但是,应理解,本发明不希望限于所揭示的特定形式。而是,本发明将涵盖落入由所附权利要求书定义的本发明的范围内的所有修改、等效物和替代例。
具体实施方式
图1是用于检测加密勒索软件的系统300的实施例的框图。系统包含经由接口205与主机200通信的SSD控制器100。主机200可为电子装置的部分,所述电子装置例如但不限于计算机、笔记本电脑、平板计算机或智能电话。接口205可为任何类型的接口,主机通过所述接口连接到固态存储装置(例如,SATA、SAS、PCIe、SB、eMMC和类似者)。在操作中,主机200通过接口205将数据和命令发送到SSD控制器100。命令可包含将数据读取及/或写入到连接到SSD控制器100的存储器媒体的指示,如本文描述。主机200经配置以将蜜罐(honeypot)文件提供到SSD控制器100以存储在存储器媒体中,如本文论述。主机200也经配置以设置操作模式或检测模式,且分配将用蜜罐文件填充的存储器媒体的某一百分比的存储区。蜜罐是可用于捕获关于获得对存储器媒体的未授权存取的意图的信息的机制。蜜罐文件是可分布到系统上且在存取蜜罐文件时用作“陷阱”的文件。蜜罐文件可使用随机数据产生。产生蜜罐文件,使得文件看似是系统或装置上的“正常”文件,但将在存在对蜜罐文件的未授权存取时触发保护。主机200可经配置以产生多个蜜罐文件且将蜜罐文件分布到SSD存储器装置上。主机200可经配置以产生包括随机数据的多个蜜罐文件且可经配置以将蜜罐文件随机分布到SSD存储器装置上,如本文论述。
SSD控制器100可与至少一个存储器媒体装置通信。如在图1中展示,SSD控制器100经由接口165与存储器媒体160A、存储器媒体160B、存储器媒体160C和存储器媒体160D(统称为存储器媒体160)通信。存储器媒体160A、160B、160C、160D中的每一者可经由双向总线165A、165B、165C、165D与接口165通信,如在图1中展示。接口165可为用于在SSD控制器100与存储器媒体160之间传送数据及/或命令的任何类型的接口,包含例如ONFI。存储器媒体160A、160B、160C、160D可包括各种存储器装置和技术。例如,存储器媒体160可包括NAND快闪存储器装置、NOR快闪存储器装置或任何其它类型的易失性或非易失性存储器技术和其任何组合。另外,存储器媒体160可包括单个存储器装置或裸片的逻辑或物理单元,例如,NAND快闪存储器裸片的块或页。获益于本发明的所属领域的一般技术人员将了解,存储器媒体160A、160B、160C、160D的数目和配置是出于说明性目的展示且可取决于应用变化。
SSD控制器100包含处理器110、媒体控制器120、主机接口块130和静态随机存取存储器(SRAM)140。SSD控制器100可连接到动态随机存取存储器(DRAM)150。媒体控制器120经由接口165控制存储器媒体160A、160B、160C、160D的操作且媒体控制器120经由总线125与处理器110通信。SRAM 140经由总线145与处理器110通信,且DRAM 150经由总线155与处理器110通信。主机接口块130经由总线135与处理器110通信,且主机接口块130在处理器110与主机200之间介接。
由主机200产生的多个蜜罐文件可经由主机接口块130传送到处理器110。处理器110包含经配置以操作处理器110的固件。当提供蜜罐文件时,主机200可引导在存储器媒体160上的何处存储蜜罐文件,或替代地,处理器110可确定在存储器媒体160上的何处存储蜜罐文件。例如,处理器110可使媒体控制器120随机分布蜜罐文件到由媒体控制器120控制的存储器媒体160A、160B、160C、160D。处理器110可将对将蜜罐文件写入到存储器媒体160A、160B、160C、160D的确认提供到主机200。处理器110也可经由主机接口块130接收由主机200指示的操作模式或检测模式。替代地,可由处理器110基于经存储的配置信息及/或固件确定操作模式(也称为检测模式)。由处理器110记录蜜罐文件在存储器媒体160上的分布位置。作为实例,处理器110可维持存储器媒体160的文件位置信息的表且表可包含蜜罐文件的位置。如本文论述,加密勒索软件尝试存取装置上的文件,以便加密文件且要求用户进行勒索支付以得到解密加密文件所需的密钥。处理器110经配置以监视从主机200到随机分布蜜罐在存储器媒体160上的记录位置的读取及/或写入请求以确定是否存取记录位置中的任一者,且如果存取,那么基于所指示的操作模式采取行动,如本文论述。SSD控制器100可为ASIC、FGPA或其它逻辑装置。虽然已经参考固态驱动器硬件环境描述系统300,但所属领域的一般技术人员将了解,其它系统及/或硬件环境在本发明的概念内,包含(例如)USB和其它快闪存储器驱动器、eMMC/UFS驱动器和类似者。另外,虽然特定功能和数据生成已经归于主机200,但所属领域的一般技术人员将了解,此类功能及/或数据生成可由SSD控制器100及/或相关联固件执行。
图2是可由主机200(或SSD控制器100)产生以用于检测加密勒索软件的GUI 400的实施例的示意图。GUI 400包含关于用户将可能用蜜罐文件填充的驱动器或存储器媒体160的存储区的百分比的用户的输入410。用户在GUI 400的字段415中输入所需百分比。图2展示字段415中的20%的条目。理论上,所需百分比的范围可在1%到100%,但选择100%将不允许任何额外字段存储在存储器媒体160上,虽然存储器媒体160可用于检测未授权的存取尝试。包括蜜罐文件的存储器媒体160上的文件的百分比随着用户填充存储器媒体160改变。例如,当存储器媒体160在分布蜜罐文件之前是空的时,那么在分布之后存储器媒体160上的100%的文件将为蜜罐文件。在用户选择填充20%的存储器媒体160的例子中,那么20%的存储器媒体160将含有蜜罐文件,且80%将为空的。当主机200将足够的额外文件写入到存储器媒体160以将存储器媒体160填充到40%时,那么存储器媒体160上的50%的文件将为蜜罐文件。当主机200写入足够的额外文件以将存储器媒体160填充到60%时,那么存储器媒体160上的1/3的文件将为蜜罐文件。仅当存储器媒体160被完全填充时,存储器媒体160上的20%的文件将包括蜜罐文件。用于确定存储器媒体的存储区的其它例程是可能的。
在实施例中,当用来自主机200的其它有效数据填充存储器媒体160时,蜜罐文件的随机分布按比例缩放到存储器媒体160上。例如,使用20%作为选定百分比,如果存储器媒体160的存储区仅用文件填充50%,那么存储器媒体160上的文件的10%将为蜜罐且另40%将为有效数据文件。在存储器媒体160的存取区的75%用有效数据文件填充的例子中,那么存储器媒体160上的总文件的15%将为蜜罐文件。在此实施例中,当填充存储器媒体160时,蜜罐文件将产生且分布到存储器媒体160上。GUI 400允许用户动态改变存储器媒体160上含有的蜜罐文件的百分比。GUI 400允许用户从存储器媒体160移除第一多个蜜罐,且接着将第二多个蜜罐加载到存储器媒体160上,此可填充不同百分比的存储器媒体160(如果由用户选择)。
GUI 400包含关于检测等级(又称为操作模式)的用户的输入420,其可由用户从下拉菜单或类似者选择。系统300可在多个不同操作模式中的一者中操作。出于说明性目的,图2展示三个不同操作模式,即,轻度检测模式421、适度检测模式422和严格检测模式423。
在正常授权操作期间,主机200不应该读取或写入到存储器媒体160中的蜜罐位置,因为这些不是有效数据文件。因此,来自主机200的存取存储器媒体160中的蜜罐位置的请求可指示由用户的未授权存取尝试。在严格检测模式423(又称为第一操作模式)中,处理器110可在来自主机200的存取存储器媒体160中的蜜罐位置的未授权单个请求之后暂停对存储器媒体160的存取。如果在存储器媒体160上存取单个蜜罐的位置,那么处理器110可暂停对由处理器110控制的所有存储器媒体160的存取。处理器110也可在允许存取存储器媒体160上的任何额外文件之前在存取蜜罐的单个位置之后请求来自主机200的认证,此时主机200可要求提出请求的用户使用主机200可用的任何认证方法来认证其自身。在一些例子中,处理器110可在等待认证时暂停对所有存储器媒体160的存取。
在适度检测模式422(又称为第二操作模式)中,处理器110可分析存储器媒体160以在对存储器媒体160上的随机分布蜜罐的单个记录位置的未授权存取之后确定存储器媒体160是否遭受攻击。处理器110可使用各种分析技术来试图确定存储器媒体160是否遭受攻击。例如,处理器110可分析任何传入输入/输出(I/O)命令,且基于I/O命令,处理器110可确定第三方是否看似正反复读取大块文件且接着将大块写入到存储器媒体160上。基于分析,处理器110可在对任何受控存储器媒体160上的任何额外文件的存取之前暂停对存储器媒体160的存取,暂停对所有受控制SSD存储器媒体160的存取或请求认证。但是,如果分析指示存储器媒体160未遭受攻击,那么处理器110可允许继续对存储器媒体160进行存取。
在轻度检测模式421(也称为第三操作模式)中,处理器110可延迟采取进一步行动,直到已经存取随机分布的蜜罐文件的存储器媒体160上的多个位置。例如,处理器110可经配置以在采取任何行动之前允许存取预定数目个随机分布的蜜罐位置。一旦已经存取预定数目个蜜罐位置,处理器110便可采取各种行动,例如,分析存储器媒体160以确定存储器媒体160是否遭受攻击。基于分析,处理器110可在任何受控存储器媒体160上的任何额外文件的存取之前暂停对存储器媒体160的存取,暂停对所有受控制存储器媒体160的存取或请求认证。替代地,在轻度检测模式421中,一旦已经存取预定数目个随机分布的蜜罐位置,处理器110便可在对任何受控存储器媒体160上的任何额外文件的存取之前暂停对存储器媒体160的存取,暂停对所有受控制存储器媒体160的存取或请求认证。其它操作模式、前述模式的组合或类似者也是可能的。
GUI 400包含关于可作为蜜罐产生的文件类型的用户的输入430。GUI 400包含下拉菜单,其允许用户选择改变作为蜜罐产生的文件类型的各种设置。例如,下拉菜单可包含家庭/个人433、商务/公司432和自定义431。图2中展示的设置是出于说明性目的且可变化,如获益于本发明的所属领域的一般技术人员了解。作为蜜罐产生的文件的类型可取决应用而变化。例如,可预期,家庭或个人装置中的系统300可通常包含不同于商务或公司装置中的系统300的类型的文件。
产生蜜罐文件以造成蜜罐文件是实际有效数据文件而非陷阱或蜜罐文件的假像,陷阱或蜜罐文件实际上含有随机信息。例如,蜜罐文件可表现为但不限于.sql、.mp4、.7z、.rar、.m4a、.wma、.avi、.wmv、.csv、.zip、.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpeg、.jpg、.txt、.pdf、.mp3、.tiff、.wav、.bmp和.png文件,如在字段435中展示。获益于本发明的所属领域的一般技术人员将了解,蜜罐文件可呈现为额外文件类型。自定义设置431可使用户指定蜜罐文件应经产生而呈现为的文件类型。基于应用使用文件类型可降低恶意软件或恶意软件的提供商可在尝试使用加密勒索软件加密存储器媒体160上的文件之前发现存储器媒体160含有蜜罐文件的可能性。
GUI 400包含具有对应字段445的用户名输入440和具有对应字段455的密码输入450。一旦用户已经核实他/她的凭证且选择将填充的百分比410、检测模式或操作模式420和文件类型430,蜜罐便可由选择按钮460产生。GUI 400允许用户动态改变将用蜜罐文件填充的存储器媒体160的百分比、操作模式和用作蜜罐文件的文件类型。在改变用户输入中的任何一者之后,可从存储器媒体160移除第一多个蜜罐,且可用新的选择输入将第二多个蜜罐存储在存储器媒体160上。
图3是操作存储器装置的方法500的一个实施例的流程图,其包含检测加密勒索软件。在步骤505,方法500包含将第一多个文件写入到存储器媒体上。第一多个文件可为随机分布到存储器媒体的位置的蜜罐文件。第一多个文件可包括随机类型的文件,且包括具有随机大小的文件。方法500包含在步骤510记录存储器媒体的操作模式。操作模式或检测模式可确定在存取随机分布文件中的一者时采取的行动,如本文论述。如先前论述,操作模式的确定可包含从用户接收选择或参考控制器中已经存储的配置设置(例如,存储在寄存器中或存储器媒体的配置区域中的设置)。方法500包含在步骤515,记录随机分布的第一多个文件中的每一者在存储器媒体上的每一位置。方法500包含在步骤520监视是否存取随机分布的第一多个文件中的任一者。如先前论述,此监视可包含控制器评估来自主机的读/写或其它存取请求以确定蜜罐文件的地址是否对应于经请求地址。如果存取随机分布的多个文件中的一者,那么方法包含在步骤525基于所记录的操作模式采取行动。或者,方法500可不采取行动,直到存取多个随机分布的文件中的一者以上。
所采取的行动可为在任选步骤550停止对存储器媒体的存取,在任选步骤555请求认证,或在任选步骤560分析存储器媒体以确定存储器媒体是否遭受攻击。如果存储器媒体遭受攻击,那么方法可进一步采取步骤:在步骤550暂停对存储器媒体的存取或在步骤555请求认证。
方法500可包含在步骤505将第一多个文件写入到存储器媒体之前,在步骤530在将第一多个文件分布在存储器媒体上之前分配存储器媒体的将用随机分布的第一多个文件填充的第一百分比的存储区。存储器媒体的第一百分比的存储区的分配可对应于用户选择的变量。在实施例中,第一多个随机分布文件的随机分布在存储器媒体被填充时按比例缩放到存储器媒体上。方法500可包含在步骤535,从存储器媒体移除随机分布的第一多个文件(例如,擦除或编程与蜜罐文件相关联的地址),且分配将用随机分布文件填充的存储器媒体的第二百分比的存储区,所述第二百分比不同于存储器媒体的存储区的第一百分比。方法545可包含将第二多个文件写入到存储器媒体。
图4是操作存储器装置(例如,保护存储器媒体免受加密勒索软件之害)的方法600的一个实施例的流程图。虽然在图4中循序展示方法600的步骤,但不需要以所展示的顺序完成所述步骤中的每一者。例如,可在步骤610及615或类似者之前执行针对加密勒索软件监视的等级接收用户可选择输入的步骤620。方法包含在步骤605,产生接受针对将填充的存储器媒体存储区的百分比以及加密勒索软件监视的等级的用户可选择输入的GUI。加密勒索软件的等级可选自严格检测模式、适度检测模式和轻度检测模式,如本文论述。但是,获益于本发明的所属领域的一般技术人员将了解,加密勒索软件的等级可取决于应用而变化。方法包含在步骤610针对将填充的存储器媒体存储区的百分比接收用户可选择输入,且作为响应,在步骤615,产生具有随机文件名称、随机大小及/或随机文件类型的多个蜜罐文件。所产生的多个蜜罐文件的总大小等于将填充的存储器媒体存储区的百分比的用户可选择输入。
方法600包含在步骤620中,针对加密勒索软件监视的等级接收用户可选择输入,且作为响应,在步骤625中,产生存储器媒体的控制器的操作模式命令。操作模式命令对应于加密勒索软件监视的等级的经接收输入。方法600包含在步骤630,将操作模式命令发送到存储器媒体的控制器,且在步骤635,将命令发送到存储器媒体的控制器以将所产生的多个蜜罐文件写入到存储器媒体存储区中的随机位置。写入蜜罐文件的命令可包含控制器自身选择蜜罐文件的随机位置的地址的命令或其可包含由主机确定的随机位置的实际地址。方法600包含在步骤640,从SSD存储器控制器接收对将发生蜜罐文件的写入和已经设置SSD存储器控制器的操作模式的确认。方法600包含在步骤645,将待存储在存储器媒体存储区中的随机位置的蜜罐文件传送到控制器。
GUI可接受将在产生多个蜜罐文件的随机文件类型时使用的文件类型的用户可选择输入。方法600可包含在步骤650,接收在产生多个蜜罐文件的随机文件类型时使用的文件类型的用户可选择输入。方法600可包含在步骤655,产生具有用户选择的文件类型的多个蜜罐文件。虽然本发明中的文件名称、文件类型、位置及/或内容已经描述为“随机的”,但文件名称、文件类型、位置及/或内容可不必在数学意义上完全是“随机的”,如获益于本发明的所属领域的一般技术人员将了解。例如,可使用预定文件名称、文件类型、位置及/或内容来产生文件名称、文件类型、位置及/或内容,使得文件名称、文件类型、位置及/或内容对第三方表现为是统计随机的或“随机的”。在另一实例中,算法和明确的程序可产生文件名称、文件类型、位置及/或内容,使得文件名称、文件类型、位置及/或内容对第三方表现为是统计随机的或“随机的”。可使用各种其它技术来产生表现为“随机”的文件名称、文件类型、位置及/或内容,但其各自可在数学意义上仅是伪随机、准随机或并不完全随机的,如获益于本发明的所属领域的一般技术人员中的一者将了解。本文使用的术语“随机”涵盖这些技术中的每一者和类似者。
虽然已经就特定实施例描述本发明,但所属领域的一般技术人员了解的其它实施例(包含并不提供本文陈述的所有特征和优势的实施例)也在本发明的范围内。因此,仅参考所附权利要求书和其等效物定义本发明的范围。
Claims (25)
1.一种操作存储器系统的方法,其包括:
将第一多个文件写入到存储器媒体上,其中所述第一多个文件随机分布到所述存储器媒体的位置;
记录所述存储器媒体的操作模式;
记录所述随机分布的第一多个文件中的每一者在所述存储器媒体上的每一位置;
针对存取监视所述随机分布的第一多个文件;及
在存取所述随机分布的多个文件中的一者时,基于所述经记录的操作模式采取行动。
2.根据权利要求1所述的方法,其进一步包括在将所述第一多个文件写入到所述存储器媒体之前,分配所述存储器媒体的将用所述随机分布的第一多个文件填充的第一百分比的存储区。
3.根据权利要求2所述的方法,其中所述分配将用所述随机分布的第一多个文件填充的所述第一百分比的所述存储器媒体包含接收将填充的所述存储器媒体的所述第一百分比的存储区的用户选择变量。
4.根据权利要求2所述的方法,其进一步包括:
从所述存储器媒体移除所述随机分布的第一多个文件;
分配所述存储器媒体的将用随机分布的文件填充的第二百分比的所述存储区,所述第二百分比不同于所述第一百分比;及
将第二多个文件写入到所述存储器媒体上,其中所述第二多个文件基于所述第二百分比随机分布到所述存储器媒体上。
5.根据权利要求1所述的方法,其中所述随机分布的第一多个文件包括随机类型的文件。
6.根据权利要求1所述的方法,其中所述操作模式包括第一操作模式且所述行动包括请求认证。
7.根据权利要求1所述的方法,其中所述操作模式包括第一操作模式且所述行动包括暂停对所述存储器媒体的存取。
8.根据权利要求1所述的方法,其中所述操作模式包括第二操作模式且所述行动包括分析所述存储器媒体。
9.根据权利要求8所述的方法,其进一步包括在所述分析指示所述存储器媒体遭受攻击时请求认证。
10.根据权利要求8所述的方法,其进一步包括在所述分析指示所述存储器媒体遭受攻击时暂停对所述存储器媒体的存取。
11.根据权利要求1所述的方法,其中在所述操作模式中包括第三操作模式,且不采取所述行动直到存取所述第一多个随机分布文件中的一者以上。
12.根据权利要求11所述的方法,其进一步包括在存取所述第一多个随机分布文件中的一者以上时分析所述存储器媒体。
13.根据权利要求12所述的方法,其进一步包括在所述分析确定所述存储器媒体遭受攻击时请求认证。
14.根据权利要求12所述的方法,其进一步包括在存取所述第一多个随机分布文件中的一者以上时暂停对所述存储器媒体的存取。
15.一种存储器系统,其包括:
控制器,其包含处理器;及
一或多个存储器媒体装置,其中所述处理器经配置以将多个蜜罐文件随机分布在所述存储器媒体装置上,经配置以设置检测模式,经配置以记录所述存储器媒体装置上的每一蜜罐文件的位置,经配置以监视对所述随机分布的多个蜜罐文件中的任一者的存取,且经配置以用所述多个随机分布蜜罐文件填充预定存储百分比的所述存储器媒体装置。
16.根据权利要求15所述的系统,其中在严格检测模式中,所述处理器经配置以在对所述蜜罐文件中的任一者的第一存取之后暂停对所述存储器媒体装置的存取或请求认证。
17.根据权利要求15所述的系统,其中在适度检测模式中,所述处理器经配置以分析所述存储器媒体装置以确定是否遭受攻击,且如果遭受攻击,那么所述处理器经配置以暂停对所述存储器媒体装置的存取或请求认证。
18.根据权利要求15所述的系统,其中在轻度检测模式中,所述处理器经配置以在已经存取预定数目个随机分布蜜罐文件之后暂停对所述存储器媒体装置的存取或请求认证。
19.根据权利要求15所述的系统,其中所述存储器媒体装置进一步包括NAND快闪存储器装置。
20.根据权利要求15所述的系统,其中所述多个随机分布蜜罐文件进一步包括含有随机文件名称和随机大小的多个文件,其中所述蜜罐文件各自含有随机信息。
21.一种用于检测加密勒索软件的系统,其包括:
存储器媒体;
主机,其经配置以产生多个蜜罐文件;及
控制器,其包含处理器,所述控制器与所述存储器媒体通信且经配置以控制所述存储器媒体的操作,
其中所述控制器经配置以将由所述主机产生的多个蜜罐文件随机分布到所述存储器媒体上,且其中所述控制器经配置以监视所述随机分布的多个蜜罐文件中的每一者的存取。
22.根据权利要求21所述的系统,其中所述主机包含用户选择的检测模式、所述存储器媒体的将用所述随机分布的多个文件填充的用户选择百分比的所述存储区以及将随机分布的文件的用户选择类型。
23.根据权利要求22所述的系统,其中所述主机经配置以产生图形用户接口GUI,其中所述GUI实现所述检测模式的用户选择的所述输入、将填充的所述存储器媒体的所述存储区的所述百分比以及将随机分布的所述文件类型。
24.一种保护存储器媒体免受加密勒索软件之害的方法,其包括:
产生接受针对将填充的存储器媒体的存储区的百分比和加密勒索软件监视的等级的用户可选择输入的图形用户接口GUI;
接收将填充的所述存储器媒体的所述存储区的所述百分比的所述用户可选择输入,且作为响应,产生具有随机文件名称、随机大小和随机文件类型的多个蜜罐文件,其中所述所产生的多个蜜罐文件的总大小等于将填充的所述存储器媒体的所述存储区的所述百分比的所述用户可选择输入;
接收加密勒索软件监视的所述等级的所述用户可选择输入,且作为响应,产生对应于加密勒索软件监视的所述等级的所述经接收输入的针对所述存储器媒体的控制器的操作模式命令;
将所述操作模式命令发送到所述存储器媒体的所述控制器,且将命令发送到所述存储器媒体的所述控制器以起始将所述所产生的多个蜜罐文件传送到所述存储器媒体的所述存储区中的随机位置;
从所述存储器媒体的所述控制器接收将发生所述蜜罐文件的所述传送且已经记录所述存储器媒体的所述控制器的所述操作模式的确认;及
将待存储在所述存储器媒体的所述存储区中的随机位置处的所述蜜罐文件传送到所述控制器。
25.根据权利要求24所述的方法,其中所述GUI接受将在产生所述多个蜜罐文件的所述随机文件类型时使用的文件类型的用户可选择输入,所述方法进一步包括:
接收将在产生所述多个蜜罐文件的所述随机文件类型时使用的所述文件类型的所述用户可选择输入,且作为响应,产生具有随机文件类型的所述多个蜜罐文件,其中所述随机文件类型选自所述用户选择的文件类型。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/589,532 US10599838B2 (en) | 2017-05-08 | 2017-05-08 | Crypto-ransomware compromise detection |
| US15/589,532 | 2017-05-08 | ||
| PCT/US2018/030647 WO2018208555A1 (en) | 2017-05-08 | 2018-05-02 | Crypto-ransomware compromise detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110709843A true CN110709843A (zh) | 2020-01-17 |
| CN110709843B CN110709843B (zh) | 2023-08-25 |
Family
ID=64015060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880037095.0A Active CN110709843B (zh) | 2017-05-08 | 2018-05-02 | 加密勒索软件损害检测 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10599838B2 (zh) |
| EP (1) | EP3622431B1 (zh) |
| KR (1) | KR102352094B1 (zh) |
| CN (1) | CN110709843B (zh) |
| WO (1) | WO2018208555A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10938854B2 (en) | 2017-09-22 | 2021-03-02 | Acronis International Gmbh | Systems and methods for preventive ransomware detection using file honeypots |
| US10831888B2 (en) * | 2018-01-19 | 2020-11-10 | International Business Machines Corporation | Data recovery enhancement system |
| US11144656B1 (en) * | 2019-03-25 | 2021-10-12 | Ca, Inc. | Systems and methods for protection of storage systems using decoy data |
| US11782790B2 (en) * | 2019-07-10 | 2023-10-10 | Centurion Holdings I, Llc | Methods and systems for recognizing unintended file system changes |
| US11714907B2 (en) * | 2021-03-09 | 2023-08-01 | WatchPoint Data, Inc. | System, method, and apparatus for preventing ransomware |
| CN112988630A (zh) * | 2021-03-22 | 2021-06-18 | 湖南大学 | 一种基于微过滤器的移动存储设备的读写控制方法及系统 |
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| CN113609483B (zh) * | 2021-07-16 | 2024-05-03 | 山东云海国创云计算装备产业创新中心有限公司 | 一种服务器病毒处理的方法、装置、设备及可读介质 |
| US20230060606A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Filesystem object protection from ransomware attacks |
| US11349855B1 (en) * | 2022-02-04 | 2022-05-31 | Ten Root Cyber Security Ltd. | System and method for detecting encrypted ransom-type attacks |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020157021A1 (en) * | 2000-07-14 | 2002-10-24 | Stephen Sorkin | System and method for computer security using multiple cages |
| CN1725759A (zh) * | 2004-07-21 | 2006-01-25 | 微软公司 | 蠕虫遏制 |
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| US20130185492A1 (en) * | 2012-01-13 | 2013-07-18 | Lenovo (Singapore) Pte. Ltd. | Memory Watch |
| US9037608B1 (en) * | 2008-03-21 | 2015-05-19 | Symantec Corporation | Monitoring application behavior by detecting file access category changes |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| US20150295943A1 (en) * | 2014-04-14 | 2015-10-15 | Cyber Sense Ltd. | System and method for cyber threats detection |
| CN105706066A (zh) * | 2013-12-05 | 2016-06-22 | 英特尔公司 | 存储器完整性 |
| US20160180087A1 (en) * | 2014-12-23 | 2016-06-23 | Jonathan L. Edwards | Systems and methods for malware detection and remediation |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8141159B2 (en) | 2002-12-31 | 2012-03-20 | Portauthority Technologies Inc. | Method and system for protecting confidential information |
| US7324804B2 (en) * | 2003-04-21 | 2008-01-29 | Airdefense, Inc. | Systems and methods for dynamic sensor discovery and selection |
| MX2007013025A (es) | 2005-04-18 | 2008-01-11 | Univ Columbia | Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas. |
| US20070199070A1 (en) | 2006-02-17 | 2007-08-23 | Hughes William A | Systems and methods for intelligent monitoring and response to network threats |
| US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| US7873635B2 (en) * | 2007-05-31 | 2011-01-18 | Microsoft Corporation | Search ranger system and double-funnel model for search spam analyses and browser protection |
| JP5216463B2 (ja) * | 2008-07-30 | 2013-06-19 | 株式会社日立製作所 | ストレージ装置、その記憶領域管理方法及びフラッシュメモリパッケージ |
| US8893280B2 (en) * | 2009-12-15 | 2014-11-18 | Intel Corporation | Sensitive data tracking using dynamic taint analysis |
| US9274908B2 (en) * | 2013-02-26 | 2016-03-01 | International Business Machines Corporation | Resolving write conflicts in a dispersed storage network |
| US9807115B2 (en) * | 2014-09-05 | 2017-10-31 | Topspin Security Ltd | System and a method for identifying the presence of malware and ransomware using mini-traps set at network endpoints |
| US10122752B1 (en) * | 2016-06-10 | 2018-11-06 | Vmware, Inc. | Detecting and preventing crypto-ransomware attacks against data |
| US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
| US10387648B2 (en) * | 2016-10-26 | 2019-08-20 | Cisco Technology, Inc. | Ransomware key extractor and recovery system |
| US20180146009A1 (en) * | 2016-11-18 | 2018-05-24 | Brad Austin Primm | Computer network security system for protecting against malicious software |
-
2017
- 2017-05-08 US US15/589,532 patent/US10599838B2/en active Active
-
2018
- 2018-05-02 EP EP18797814.3A patent/EP3622431B1/en active Active
- 2018-05-02 CN CN201880037095.0A patent/CN110709843B/zh active Active
- 2018-05-02 WO PCT/US2018/030647 patent/WO2018208555A1/en unknown
- 2018-05-02 KR KR1020197035933A patent/KR102352094B1/ko active IP Right Grant
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020157021A1 (en) * | 2000-07-14 | 2002-10-24 | Stephen Sorkin | System and method for computer security using multiple cages |
| CN1725759A (zh) * | 2004-07-21 | 2006-01-25 | 微软公司 | 蠕虫遏制 |
| US9037608B1 (en) * | 2008-03-21 | 2015-05-19 | Symantec Corporation | Monitoring application behavior by detecting file access category changes |
| US20090328216A1 (en) * | 2008-06-30 | 2009-12-31 | Microsoft Corporation | Personalized honeypot for detecting information leaks and security breaches |
| US20130185492A1 (en) * | 2012-01-13 | 2013-07-18 | Lenovo (Singapore) Pte. Ltd. | Memory Watch |
| CN105706066A (zh) * | 2013-12-05 | 2016-06-22 | 英特尔公司 | 存储器完整性 |
| US20150295943A1 (en) * | 2014-04-14 | 2015-10-15 | Cyber Sense Ltd. | System and method for cyber threats detection |
| CN104978519A (zh) * | 2014-10-31 | 2015-10-14 | 哈尔滨安天科技股份有限公司 | 一种应用型蜜罐的实现方法及装置 |
| US20160180087A1 (en) * | 2014-12-23 | 2016-06-23 | Jonathan L. Edwards | Systems and methods for malware detection and remediation |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 诸葛建伟等: "蜜罐技术研究与应用进展", 软件学报, vol. 24, no. 4, pages 825 - 842 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180324214A1 (en) | 2018-11-08 |
| EP3622431A4 (en) | 2021-01-13 |
| EP3622431A1 (en) | 2020-03-18 |
| EP3622431B1 (en) | 2022-08-10 |
| KR102352094B1 (ko) | 2022-01-17 |
| KR20190138701A (ko) | 2019-12-13 |
| CN110709843B (zh) | 2023-08-25 |
| US10599838B2 (en) | 2020-03-24 |
| WO2018208555A1 (en) | 2018-11-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110709843B (zh) | 加密勒索软件损害检测 | |
| EP1946238B1 (en) | Operating system independent data management | |
| CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
| US11329814B2 (en) | Self-encryption drive (SED) | |
| US20080184035A1 (en) | System and Method of Storage Device Data Encryption and Data Access | |
| US20100229004A1 (en) | Protection of security parameters in storage devices | |
| EP2161673A1 (en) | Method and system for protecting data | |
| KR20140093716A (ko) | 컴퓨팅 장치를 보안화하는 방법 | |
| US20090208002A1 (en) | Preventing replay attacks in encrypted file systems | |
| CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
| US8898807B2 (en) | Data protecting method, mobile communication device, and memory storage device | |
| US20150227755A1 (en) | Encryption and decryption methods of a mobile storage on a file-by-file basis | |
| KR20200063535A (ko) | 서버 및 이를 이용한 어플리케이션의 무결성 판단 방법 | |
| KR101156102B1 (ko) | 보안기능이 구비된 메모리 카드 리더기 및 이를 이용한 데이터 암호화 방법 | |
| KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
| JP2023081374A (ja) | データ記憶システムに対するセッションベースのセキュアなアクセス制御のための方法およびシステム | |
| US12058259B2 (en) | Data storage device encryption | |
| US11995223B2 (en) | Data storage device encryption | |
| EP3346414A1 (en) | Data filing method and system | |
| KR101629740B1 (ko) | 독립적 메모리 운영 체제를 갖는 정보 저장 장치 및 그 방법 | |
| KR101469803B1 (ko) | 데이터 보안장치, 이를 구비하는 단말기 및 데이터 보안 방법과 컴퓨터로 읽을 수 있는 기록매체 | |
| CN111639353A (zh) | 一种数据管理方法、装置、嵌入式设备及存储介质 | |
| JP2009064126A (ja) | Icカードシステム、その端末装置、プログラム | |
| CN101763319A (zh) | 一种磁盘全盘加密系统及方法 | |
| EP2930607A1 (en) | Method and apparatus for increasing available portable memory storage space |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |