CN114297645A - 在云备份系统中识别勒索家族的方法、装置和系统 - Google Patents
在云备份系统中识别勒索家族的方法、装置和系统 Download PDFInfo
- Publication number
- CN114297645A CN114297645A CN202111463703.4A CN202111463703A CN114297645A CN 114297645 A CN114297645 A CN 114297645A CN 202111463703 A CN202111463703 A CN 202111463703A CN 114297645 A CN114297645 A CN 114297645A
- Authority
- CN
- China
- Prior art keywords
- identified
- data
- family
- data block
- backup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种在云备份系统中识别勒索家族的方法、装置和系统。其中,该方法包括:获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒。本发明解决了当前针对勒索病毒还缺乏有效的检测方法的技术问题,具有精确地检测出勒索病毒的有益效果。
Description
技术领域
本发明涉及云存储领域,具体而言,涉及一种在云备份系统中识别勒索家族的方法、装置和系统。
背景技术
勒索家族是近年来黑客组织牟取暴利的绝佳手段,也是发展最快的网络安全威胁之一。勒索家族携带着日趋成熟的手段革新和愈发隐蔽、复杂的″进化″能力,促进了勒索即服务(RaaS)的商业模式日渐成熟。
随着虚拟化、云原生等技术的发展,可将网络、服务器、操作系统等基础架构层高度抽象化,降低计算成本、提升迭代效率,大幅降低云计算使用门槛、拓展技术应用边界。但也使得云系统面临的安全威胁进一步加剧,由于虚拟化平台的资源集约化程度高,攻击者一旦攻击成功,可能造成更多的受害者数量和更大的损失规模。目前,针对勒索软件的攻击,安全的备份是最后一道防御手段,云备份系统的防勒索方案将成为数据安全的重要手段。
目前,针对勒索家族的防御,主流的方法有如下三类:
基于误用检测的技术,是大部分防病毒工具采用的方法,主要分析勒索软件的版本,以提取加密原语、可疑脚本、内置函数、受感染文件的路径和扩展名等,可在轻量级性能上达到中等的检测精度。该方法主要依赖于记录了勒索漏洞及行为的黑名单或正常应用软件特征的白名单,只能检测已知的勒索家族,不能检测未知的新版本的病毒;该方法不具有检测的实时性,常常需要对黑名单和白名单的进行更新,而这个过程非常消耗人力和计算资源来跟踪这些勒索软件利用的漏洞和感染行为。
基于异常检测的技术,主要跟踪勒索软件运行时活动、计算机进程、CPU和内存使用情况、服务器操作和控制等,以有效地检测勒索软件版本。该方法可以静态和/或动态地分析勒索软件的正常行为和通用过程,具有一定的实时性,但可以被更先进的加密编码家族的勒索软件所绕过。
基于机器学习的检测技术,应用各种机器学习算法对勒索软件和正常软件实例的训练集进行训练,以便在测试集中进行分类。生成的分类模型描述了通用勒索及未知勒索软件的版本,具有高的检测精度、低的错误警报和错误分类率。该方法的鉴别能力依赖于各种不同的决策函数、归纳参数、设计、类别属性等,如朴素贝叶斯、支持向量机、决策树、逻辑回归、循环神经网络、随机森林等。但依然存在检测结果对训练样本的依赖性,以及不适用于大数据流和多平台的学习等不足。
综上所述,勒索防护目前没有完全有效的方法,备份是数据保护的最后一道防护措施;针对备份系统的勒索识别和防护目前还没有具体的方法。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种在云备份系统中识别勒索家族的方法、装置和系统,以至少解决当前针对勒索病毒还缺乏有效的检测方法的技术问题。
根据本发明实施例的一个方面,提供了一种在云备份系统中识别勒索病毒的方法,包括:获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒。
根据本发明实施例的另一方面,还提供了一种在云备份系统中识别勒索病毒的装置,包括:信息获取模块,被配置为获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;识别模块,被配置为基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒。
根据本发明实施例的另一方面,还提供了一种分布式云备份系统,包括:勒索识别服务器,包括如上所述的识别勒索病毒的装置;备份服务器,被配置为将所述识别勒索病毒的装置识别出的未被感染的数据备份到存储服务器;所述存储服务器,被配置为存储所述未被感染的数据。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,其上存储有程序,在所述程序被运行时,使得计算机执行如上所述的方法。
在本发明实施例中,获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;并基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒,从而解决了当前针对勒索病毒还缺乏有效的检测方法的技术问题,具有提高勒索病毒的检测准确度的问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种在云备份系统中识别勒索病毒的方法的流程图;
图2A是根据本发明实施例的一种分布式云备份系统的结构示意图;
图2B是根据本发明实施例的一种分布式云备份系统和生产云系统的结构示意图
图3是根据本发明实施例的在云备份系统中识别勒索病毒的装置的结构示意图;
图4A是根据本申请实施例的云备份方法的流程图;
图4B是根据本申请实施例的检测与识别勒索病毒的方法的流程图;
图5A是根据本申请实施例的检测与识别勒索病毒的另一种方法的流程图;
图5B是根据本申请实施例的训练分类器的方法的流程图;
图6A是根据本申请实施例的另一种检测和识别勒索病毒的方法的流程图;
图6B是根据本申请实施例的利用机器学习方法训练勒索识别模型的方法的流程图;
图7A是根据本申请实施例的又一种能够识别勒索家族的云备份方法的流程图;
图7B是根据本申请实施例的对未感染病毒的数据进行存储的方法的流程图;
图8是根据本申请实施例的识别出勒索家族后灰复数据的流程图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
术语解释
云备份:是通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储备份和业务访问的功能服务。
勒索家族:又称为勒索软件或勒索病毒,是一种流行的计算机木马程序,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。一般来说,勒索软件的作者还会设定一个支付时限,有时赎金数目也会随着时间的推移而上涨;有时,即使用户支付了赎金,最终也还是无法正常使用系统,无法还原被加密的文件。
概述
相关技术中,在识别勒索病毒时,主要存在以下问题:比较消耗计算资源;存在识别和检测精度问题;对未知的新型勒索病毒难以识别和检测;为了保护备份数据的不被病毒感染,主要采用了不可见存储,多因素交叉认证的访问控制方法等,对于已感染了病毒的数据备份会引起备份系统的感染;
为了解决上述问题,本申请采用静态特征+动态特征+机器学习的方法,总体上提高了云备份系统的勒索软件的识别速率和系统整体安全性。
在本申请中,主要采用勒索软件的静态特征与动态特征融合的方式,集成多种机器学习算法,智能化地对海量数据云备份系统进行勒索检测与识别,提高了云备份系统的安全性;利用分布式云的部署方式提供的算力和存储资源优越性,实现了海量数据的快速安全检测与备份;采用直接挂载的方式,可在系统检测到勒索家族时,实现快速的系统恢复。
本申请解决了当前针对勒索家族还缺乏有效的检测方法的技术问题,避免勒索家族对备份系统的感染并由此带来的巨大损失。可应用于大规模虚拟化和云数据中心的防勒索备份和恢复,以及连续的数据保护。
实施例1
根据本发明实施例,提供了一种在云备份系统中识别勒索病毒的方法的流程图,如图1所示,该方法包括:
步骤S102,获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;
步骤S104,基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒。
在一个示例性实施例中,基于勒索识别模型,对所述待识别信息进行检测和识别包括:从所述待识别信息中获取预设的时间窗口内的多个待识别数据块,形成待检测和识别的数据集;针对所述多个待识别数据块中的每一个待识别数据块:从该待识别数据块中提取出静态特征和动态特征,形成特征向量;基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
在一个示例性实施例中,从该待识别数据块中提取出静态特征和动态特征,形成特征向量,包括:对所述时间窗口终止时刻点的该待识别数据块的运行环境和状态进行检测,得到所述动态特征;获取与该待识别数据块相关的数据块静态信息作为所述静态特征;将所述静态特征与所述动态特征组合形成该待识别数据块的特征向量。
在一个示例性实施例中,基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别,包括:计算所述已知勒索家族的特征向量与所形成的特征向量的距离;如果所计算出的距离小于距离阈值,则表示所形成的特征向量与已知勒索家族的特征向量相匹配或者近似匹配,否则,则表示所形成的特征向量与已知勒索家族的特征向量不匹配。
在一个示例性实施例中,基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别,包括:采用不同算法中的每一种算法,执行以下:采用不同算法中的每一种算法,执行以下:分别针对从原始样本集中抽取的多个训练集中的每一个训练集,计算特征向量误差;基于所述特征向量误差计算投票数最多的分类预测结果,并将投票数最多的分类预测结果添加入最佳算法;计算所述最佳算法的投票计数的最大值,并将所述最佳算法的投票计数的最大值对应的分类算法作为最优分类算法,以所述最优分类算法的分类结果作为勒索识别模型的分类结果,基于所述分类结果,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
在一个实施例性实施例中,在以对该待识别数据块进行检测和识别之后,所述方法还包括:在识别出该待识别数据块不包含所述勒索家族的情况下,对该待识别数据块进行备份;在识别出该待识别数据块包含所述勒索家族的情况下,基于当前时间戳对该待识别数据块相关的数据进行恢复。
在一个实施例性实施例中,所述勒索识别模型是通过以下训练生成的:读取预设的时间窗口内的每一条训练数据集中的数据;分别提取训练数据集中每一条数据的静态特征和动态特征,形成特征向量;如果所形成的特征向量与已知特征库中的勒索家族的特征向量匹配,则判断所形成的特征向量是已知特征,不需要存入特征库;如果所形成的特征向量与已知特征库中的勒索家族的特征向量不匹配,则判定不是已知特征,并采用分类方法判断所形成的特征向量是否能够分类到某一勒索家族;如果能够分类到某一勒索家族,则进行该勒索家族的特征向量的更新;如果不能,则判定为新的勒索家族的特征,将所形成的特征向量作为新的勒索家族的特征向量存入特征库。
本申请实施例具有以下有益效果:
1)采用勒索软件的静态特征与动态特征融合的方式,提高了勒索软件的检测准确率;
2)集成多种机器学习算法,智能化的对海量数据云备份系统进行勒索检测与识别,提高了云备份系统的安全性;
3)进一步的特征库增加其他恶意代码的特征,则可进行其他恶意代码的快速检测和识别;
4)基于云方式提供的算力和存储资源优越性,实现了海量数据的快速安全检测与备份;
5)采用直接挂载的方式,可在系统检测到勒索家族时,实现快速的系统恢复;
6)具有未知勒索软件的检测能力。
实施例2
根据本发明实施例,还提供了一种分布式云备份系统。图2A是根据本发明实施例的分布式备份系统的结构示意图,如图2A所示,该分布式备份系统可以包括备份服务器20、勒索识别服务器22和存储服务器24。
勒索识别服务器22,包括识别勒索病毒的装置,该装置将在下文详细描述,此处不再赘述。
备份服务器20,被配置为将所述识别勒索病毒的装置识别出的未被感染的数据备份到存储服务器24。
所述存储服务器24,被配置为存储所述未被感染的数据。
在另外一个实施例中,分布式云备份系统还可以与生产云系统协作操作。如图2B所示,生产云系统100上设置有多个虚拟机,并被配置为将数据流分块。分布式存储系统300中包括多个存储设备,用于存储数据。
每台服务器上,部署有专用分布式重删存储文件系统的存储卷服务SV和数据块读写服务(BS)。其中,SV可以挂载存储入口到服务器上,形成mpt。在每个备份服务器上都会形成一个挂载入口点(mpt)。所有写入挂载入口的数据都会自动通过底层的分布式重删存储文件系统复制到其他备份节点。BS通过网络或本地函数接口接收从各台服务器(或自身)发送过来的读写请求,写入数据到磁盘,或者从磁盘读写数据。
每台备份服务器20都内置同样的备份系统,提供包括从虚拟化平台中备份数据、恢复数据到虚拟化平台、克隆备份数据到虚拟化平台中、从备份服务器存储(包括从挂载入口mpt)中读写取备份的数据、跨节点复制数据等功能。备份服务器20可以是一个或多个。
勒索识别服务器22,用于对待备份数据块进行勒索家族的检测和识别,检测的结果发送给备份服务器20,备份服务器20根据不同的检测结果执行不同的备份策略。
每台备份服务器20都内置了同样的任务管理、调度(TS),与任务执行、监控引擎(TE),通过分布式任务管理和调度执行引擎,可以从任何一台服务器上发起备份、恢复、克隆、监控、复制等任务。
其中,任务执行、监控引擎用于获取备份任务信息及虚拟机备份数据,向备份服务器20的数据备份模块发送调用请求;数据备份模块用于将所述虚拟机备份数据写入到分布式重删存储文件系统的挂载点,形成虚拟机备份数据的文件集合;分布式重删存储文件系统用于将文件集合复制到其他备份服务。
实施例3
根据本发明实施例,提供了一种在云备份系统中识别勒索病毒的装置,如图3所示,包括:信息获取模块30和识别模块32。
信息获取模块30,被配置为获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;
识别模块32,被配置为基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒。
在一个示例性实施例中,识别模块32还被配置为从所述待识别信息中获取预设的时间窗口内的多个待识别数据块,形成待检测和识别的数据集;针对所述多个待识别数据块中的每一个待识别数据块:从该待识别数据块中提取出静态特征和动态特征,形成特征向量;基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
在一个示例性实施例中,识别模块32还被配置为:对所述时间窗口终止时刻点的该待识别数据块的运行环境和状态进行检测,得到所述动态特征;获取与该待识别数据块相关的数据块静态信息作为所述静态特征;将所述静态特征与所述动态特征组合形成该待识别数据块的特征向量。
在一个示例性实施例中,识别模块32还被配置为:计算所述已知勒索家族的特征向量与所形成的特征向量的距离;如果所计算出的距离小于距离阈值,则表示所形成的特征向量与已知勒索家族的特征向量相匹配或者近似匹配,否则,则表示所形成的特征向量与已知勒索家族的特征向量不匹配。
在一个示例性实施例中,识别模块32还被配置为:基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别,包括:采用不同算法中的每一种算法,执行以下:分别针对从原始样本集中抽取的多个训练集中的每一个训练集,计算特征向量误差;基于所述特征向量误差计算投票数最多的分类预测结果,并将投票数最多的分类预测结果添加入最佳算法;计算所述最佳算法的投票计数的最大值,并将所述最佳算法的投票计数的最大值对应的分类算法作为最优分类算法,以所述最优分类算法的分类结果作为勒索识别模型的分类结果,基于所述分类结果,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
在一个示例性实施例中,该装置还可以包括备份模块,被配置为:在已对该待识别数据块进行检测和识别之后,在识别出该待识别数据块不包含所述勒索家族的情况下,对该待识别数据块进行备份;在识别出该待识别数据块包含所述勒索家族的情况下,基于当前时间戳对该待识别数据块相关的数据进行恢复。
在一个示例性实施例中,所述勒索识别模型是通过以下训练生成的:读取预设的时间窗口内的每一条训练数据集中的数据;分别提取训练数据集中每一条数据的静态特征和动态特征,形成特征向量;如果所形成的特征向量与已知特征库中的勒索家族的特征向量匹配,则判断所形成的特征向量是已知特征,不需要存入特征库;如果所形成的特征向量与已知特征库中的勒索家族的特征向量不匹配,则判定不是已知特征,并采用分类方法判断所形成的特征向量是否能够分类到某一勒索家族;如果能够分类到某一勒索家族,则进行该勒索家族的特征向量的更新;如果不能,则判定为新的勒索家族的特征,将所形成的特征向量作为新的勒索家族的特征向量存入特征库。
本申请实施例采用勒索软件的静态特征与动态特征融合的方式,提高了勒索软件的检测准确率;同时,集成了多种机器学习算法,智能化的对海量数据云备份系统进行勒索检测与识别,提高了云备份系统的安全性;此外,进一步的特征库可以增加其他恶意代码的特征,则可进行其他恶意代码的快速检测和识别;并且,基于云方式提供的算力和存储资源优越性,实现了海量数据的快速安全检测与备份;另外,采用直接挂载的方式,可在系统检测到勒索家族时,实现快速的系统恢复;并且具有未知勒索软件的检测能力。
实施例4
根据本申请实施例,提供了一种云备份方法,在该云备份方法中,能够识别待备份的数据中是否包括勒索病毒。
图4A是根据本申请实施例的云备份方法的流程图,如图4A所示,该方法包括以下步骤:
步骤S402,备份服务器获取备份任务。
备份服务器的任务引擎获取备份任务及虚拟机待备份数据(待识别数据),调用勒索服务器上的勒索识别模块,以对待备份数据进行检测和识别,然后,等待勒索识别服务器的检测结果。
具体地,任务引擎调用勒索识别服务器上的勒索识别模块,并发送待备份数据至勒索识别模块,要求勒索识别模块对待备份数据进行勒索检测和识别。
步骤S404,勒索识别服务器发起待备份块数据的检测与识别。
步骤S404可以包括如图4B所示的以下子步骤S4041至S4046。
步骤S4041,输入待识别信息。
勒索识别模块提取备份任务中的识别指令所包含的待识别信息,其中,待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征。例如,静态特征可以主要包括待识别数据块的大小、偏移量、内容及前后关联数据块序列等,文件path、size、ACL details、UIDs、GIDs、Attributes、数量等;动态特征可以包括待识别数据的运行时环境与状态信息,例如,网络、注册、文件系统、内存使用率、cpu使用率、备份的重复数据删除率(陡然下降表明待备份数据已被加密)、数据更改速率(大于50%)、对文件执行的读取、写入和重命名操作、每个用户对文件执行的写入和重命名活动次数、增量数据的增长速度(不超过150%)、虚拟磁盘写I/O等。
步骤S4042,调用勒索识别模型。
勒索识别模块调用勒索识别模型,将待识别信息传送给勒索识别模型,等待勒索识别模型的识别结果。
步骤S4043,判断是否是勒索病毒。
勒索识别模型对待识别信息进行检测和识别,并将识别结果返回给勒索识别模块;勒索识别模型具体检测和识别勒索家族的方法将在下文的实施例5中详细阐述,此处不再赘述。
勒索识别模块根据勒索识别模型的返回结果进行相应处理。如果检测到待识别数据中包括勒索病毒,则执行步骤S4044,向备份模块发送终止数据备份指令,否则,执行步骤S4045,向备份模块发送允许备份指令。
步骤S4044,发送终止备份指令。
备份模块接收到终止数据备份指令之后,终止备份,并记录日志信息;记录的日志信息包括当前时间戳,该时间戳是系统恢复时刻点的重要信息,表示了这个时刻点检测到系统被勒索软件入侵。结束流程。
步骤S4045,发送允许备份指令。
如果不包括勒索病毒,则表示待备份数据为安全数据,向备份模块发送允许备份指令。
步骤S4046,备份模块进行备份操作。
执行完步骤S404中的子步骤S4041至S4046之后,进一步执行步骤S404之后的步骤S406。
步骤S406,存储服务器对未感染病毒的数据进行存储。
备份服务器的任务引擎接收到勒索识别模块返回的识别结果后,基于该识别结果进行相应的处理。例如,如果该识别结果指示待识别数据包含勒索病毒,则终止数据备份操作。否则,将待识别数据存储到存储服务器中。
在相关技术中,识别勒索病毒的方法比较消耗计算资源、并存在识别和检测精度低的问题,而通过本实施例,在识别勒索病毒时,消耗的资源比较少,并且识别和检测精度比较高。
此外,本实施通过上述备份方式,还具有以下有益效果:
可扩展节约成本:企业使用云备份后,可以依靠第三方云提供商的无限扩展能力,而不需担心投资问题。事实上,边使用边付费的模式减少了备份的采购和实施带来的烦恼。这种方式使得我们能够预测并管理容量增长和运营费用。
高效可靠:云提供商通常会提供最先进的技术,比如基于磁盘的备份、压缩、加密、重复数据删除、服务器虚拟化、存储虚拟化、应用优化数据保护等等。除了认证要求的安全性之外,多数提供商还能提供7x24的监控、管理和报表,这些能力可能一般的公司原本都无力负担。
可用性:对无力负担灾难恢复架构的公司,或者能负担得起,但是意识到通过外包可以提高效率并降低成本的公司来说,云备份可能会很有吸引力。离站数据副本能通过任何的因特网连接或设备来访问,在发生区域性灾难时增加了保险系数。
实施例5
根据本发明实施例,还提供了一种检测和识别勒索病毒的方法,如图5A所示,该方法包括:
步骤S502,设定时间窗口。
设定时间窗口大小T,比如1分钟或10分钟等;并接收时间窗口内的待识别数据,成为待检测和识别的数据集;窗口越小,每次处理的数据量越小;识别处理后的数据集存入训练数据集。
步骤S504,特征提取。
识别模型中的机器学习引擎读取时间窗口内的每一条待识别数据,进行特征提取;分别提取待识别数据的待识别信息中的静态特征和动态特征,形成特征向量并缓存起来。每个特征都需要有相应的检测模块或工具软件进行检测,其中,动态特征需要通过代理程序对时间窗口终止时刻点的运行环境和状态进行检测。这里的运行时环境和状态信息也可以合并到待识别数据的块数据信息中,形成完整的每条数据。针对每项特征,如果检测到该项特征中包含勒索病毒,则将该项特征值置1,如未检测到该项特征中包含勒索病毒,则特征值置0;按照静态特征与动态特征组合的方式,每个特征项的特征值组合形成该条待检测数据的特征向量。
在一个示例中,所述静态特征可以包括:文件扩展、文件名称、便携式可执行头、嵌入式资源、打包器、熵、加密器、数字签名、内置脚本、哈希值。
在一个示例中,所述动态特征可以包括:windows API调用、windows加解密API、注册表key、系统文件进程、目录操作、应用程序文件夹、控制面板设置、系统文件位置、付费加载器/下载器、命令和控制服务器、windows卷影(vssadmin.exe和WMIC.exe)、文件指纹、目录清单查询、windows安全模式引导(bcdedit.exe)、备份的重复数据删除率、数据更改速率、用户对文件执行的写入和重命名活动次数、增量数据的增长速度。
步骤S506,基于提取的特征进行分类。
机器学习引擎读取缓存的待识别数据的特征向量,采用机器学习的分类算法进行勒索软件家族分类;分类过程中需要已知归档的勒索软件家族的特征库的支持,计算待识别数据的特征向量与已知家族的勒索软件的特征向量进行比较和匹配。
所述机器学习的分类算法可以为欧氏距离分类算法、神经网络分类算法、朴素贝叶斯分类算法、以及多种分类算法的集成学习算法,可采用多种算法的集成算法,如Bagging算法(Bootstrap aggregating,引导聚集算法),集成支持向量机、神经网络、朴素贝叶斯、决策数、随机森林等常规机器分类算法,选择最优的分类结果。
在一个示例中,按照欧氏距离的分类算法,计算如下:
已知勒索家族的特征向量:X1=(x11,x12,...,x1n),
待识别数据的特征向量:X2=(x21,x22,...,x2n);
采用欧氏距离作为类间距离进行分类,计算公式:d(x1,x2)=||x1-x2||=(sum(x1i-x2i}2)1/2,计算上述两个特征向量的距离,如果距离d(x1,x2)=0,则表示两个特征向量匹配;如果距离d(x1,x2)<设定的阈值m(如m=2,表示最多两个特性值不同),则表示可以分到该特征向量的勒索家族,否则,如果距离d(x1,x2)>设定的阈值m,则不能分到该类勒索家族。
在另一个示例中,采用Bagging算法进行分类。Bagging分类方法的训练过程如图5B所示,包括以下步骤。
1)从原始样本集中抽取训练集。每轮从原始样本集中使用Bootstraping的方法抽取n个训练样本(在训练集中,有些样本可能被多次抽取到,而有些样本可能一次都没有被抽中)。共进行m轮抽取,得到m个训练子集,其中,k个训练子集之间是相互独立的。
2)每次使用一个子训练集进行训练,得到一个模型,m个训练子集共得到m个模型。这里并没有具体的分类算法或回归方法,可以根据具体问题采用不同的分类或回归方法,如决策树、感知器等。
3)对分类问题:将上步得到的m个模型采用投票的方式得到分类结果;对回归问题,计算上述模型的均值作为最后的结果。其中,所有模型的重要性都是相同的。
本申请实施例中采用多种算法的Bagging集成算法,计算过程如下:
输入:勒索软件训练集D=(x1,x2,...,xn);
学习算法集L={支持向量机SVM,决策树DT,朴素贝叶斯NB,随机森林RF,神经网络NN,......};集成的算法可扩展。
训练轮数N;
输出:最佳的算法R(x)
计算过程:
(1)每种算法循环:for L∈{SVM,DT,NB,RF,NN,......}
(2)每轮循环:for n=1,2,...,N,分别计算:
(3)类间特征向量误差hn=L(D,Dbs),其中,hn表示第n轮的类间特征向量误差,L表示多种算法中循环的算法,D表示训练数据集,Dbs表示自主采样产生的样本分布;
(4)结束每轮循环
(5)计算投票数最多的分类预测值
其中,H(x)表示分类预测结果,即投票数最多的分类预测标记,若有多个标记获得最高票,则随机选择一个。C表示多数投票计数。N表示循环轮数,diff表示差和近似求导,hn(x)表示样本x的分类结果,y表示类标志,1表示属于该类或-1不属于该类,x表示样本数据,γ表示类标志集{-1,1}。当分类算法为神经网络算法NN时,可采用包外样本类辅助早起停止以减少过拟合风险。
(6)将投票数最大值对应的分类预测结果H(x)添加入最佳算法R(x)。
(7)结束每种算法循环。
(8)计算最佳算法R(x)的投票结果的最大值,
对应最优的分类算法,其中,L表示算法数量,Rt表示最佳算法的分类预测结果。
(9)结束
步骤S508,根据分类结果进行是否是勒索病毒的判定。
如果待识别数据的特征向量与已知特征库中的勒索家族的特征向量匹配,或可分到某一类,则判断是勒索软件,待识别数据为感染了勒索软件的数据;如果判定结果是勒索软件,则进一步判断特征向量是否是新特征,如果是,则将该特征存入特征库中,更新相应勒索家族的特征向量。如果待识别数据的特征向量与已知特征库中的勒索家族的特征向量不匹配,或者根据分类算法不能分到任何一类,则判定不是勒索软件,待识别数据为干净数据。
实施例6
根据本申请实施例,提供了又一种检测和识别勒索病毒的方法,如图6A所示,该方法包括以下步骤:
S602,利用机器学习方法训练勒索识别模型。
在一个示例性实施例中,如图6B所示,该机器学习的训练过程包括以下步骤:
步骤S6021,读取训练数据集。
勒索识别模型中的机器学习引擎读取时间窗口内的每一条训练数据集中的数据;训练数据集中的数据一方面是通过识别处理后存入的数据,另一方面是已知的带有勒索家族或不带有勒索家族标记的样本数据,便于提高检测的精度。
步骤S6022,特征提取。
分别提取训练数据集中每一条数据的静态特征和动态特征,形成特征向量并归档存储。同样针对每项特征,如果检测到含有勒索病毒,则该项特征值置1,如未检测到含有勒索病毒,则特征值置0;按照静态特征与动态特征组合的方式,每个特征项的特征值组合形成该条待检测信息数据的特征向量。
步骤S6023,归档特征是否是已知特征的判定。
读取归档的训练数据的特征向量,如果训练数据的特征向量与已知特征库中的勒索家族的特征向量匹配,则判断是已知特征,不需要存入特征库,结束训练过程;
如果训练数据的特征向量与已知特征库中的勒索家族的特征向量不匹配,则判定不是已知特征,执行步骤S6024。
步骤S6024,勒索病毒分类。
采用分类算法判断是否可分类到某一勒索家族的特征,并进行该家族的特征向量的更新;如果不能将该特征向量分类到某一家族,则判定该特征为新的勒索家族的特征,并将该特征向量作为新的勒索家族的特征向量存入特征库。
S604,利用训练好的勒索识别模型识别待识别数据是否包含勒索病毒。
实施例7
云备份是通过集群应用、网格技术或分布式文件系统等功能,将网络中大量各种不同类型的存储设备通过应用软件集合起来协同工作,共同对外提供数据存储备份和业务访问的功能服务。
云备份基于云平台,不受空间和设备限制,备份数据更加安全,并支持多平台管理,且数据传输加密更放心。
图7A是根据本申请实施例的另一种能够识别勒索家族的云备份方法的流程图,如图7A所示,该方法包括以下步骤:
步骤S702,获取备份任务。
同步骤S402,此处不再赘述。
步骤S704,对待备份数据的检测与识别。
同步骤S404,此处不再赘述。
步骤S706,对未感染病毒的数据进行存储。
在备份模块接收到勒索识别模块的允许备份的结果后,启动备份流程;本方法的备份过程采用第一次全量备份+增量备份+重删的方式,以支持海量大数据的快速备份。具体备份流程请参考2021年10月19日提交的申请号为202111213821X、发明名称为虚拟机持续数据保护方法、装置及数据恢复方法、装置的专利申请文件,其全文被纳入到本申请中。
对未感染病毒的数据进行存储的方法可以如图7B所示,包括以下步骤:
步骤S7062,将备份数据写入到挂载点。
备份模块将所述虚拟机备份数据写入到所述分布式重删存储文件系统的挂载点,形成虚拟机备份数据的文件集合。
所述虚拟机备份数据的文件集合可以包括带有路径的备份文件、文件属性集合、备份数据块索引和备份数据块。
步骤S7064,将文件集合写入到备份服务器。
所述分布式重删存储文件系统将所述文件集合写入所述本地文件系统以及复制到其他备份服务器。在写入过程中,第一次备份采用全量备份的方式,具体如下:
分布式重删存储文件系统可以通过存储卷服务将带有路径的备份文件写入所述本地文件系统。分布式重删存储文件系统可以通过所述数据备份模块将所述文件属性集合、备份数据块索引或备份数据块写入所述本地文件系统。
写入带有路径的备份文件的方式可以采用包括以下两种方式:根据数据块哈希值判断在其他所述备份服务器中是否存在对应的符合副本要求的数据块,如果不存在,通过所述存储卷服务将所述带有路径的备份文件写入所述本地文件系统,如果存在,则不写入;或者通过所述存储卷服务网络读写接口将所述带有路径的备份文件写入到其他备份服务器的数据块读写服务接口,由所述数据块读写服务接口将所述带有路径的备份文件写入对应的本地文件系统。
写入文件属性集合、备份数据块索引或备份数据块的方式可以包括以下两种:通过所述数据备份模块的本地接口,将所述文件属性集合、备份数据块索引或备份数据块写入所述本地文件系统;或者通过所述数据备份模块的网络读写接口,将所述文件属性集合、备份数据块索引或备份数据块写入其他备份服务器的本地文件系统。
分布式重删存储文件系统将所述文件集合写入所述本地文件系统后,可以将写入的文件集合复制到其他备份服务器。
在第一次备份任务执行完毕后,第二次以后的备份可以包括以下步骤:
所述数据备份模块复制前一次成功备份后的所述文件集合中的带有路径的备份文件、文件属性集合和备份数据块索引至指定存储位置,得到新的备份文件;
将所述文件集合中的备份数据块的增量部分读取到所述第一备份服务器的内存后,所述增量部分包括所述备份数据块的偏移和大小;
基于所述备份数据块的偏移和大小,将包括所述增量部分的所述文件集合中的备份数据块写入所述第一备份服务器的分布式重删存储文件系统的挂载点下所述指定存储位置对应的偏移。
步骤S7066,进行重删操作。
所述分布式重删存储文件系统执行备份数据的重复删除操作。包括:数据分片、指纹计算、指纹存储与查询等功能。在每次数据备份时,检查数据块的变化,根据重删策略和步骤,对重复数据进行删除,只保留变化了的数据块。
本实施例中,通过上述存储方式,不仅可以识别出勒索病毒,且可大大减少备份的重复数据量,节省存储空间和提高处理效率。此外,本实施例能够实现分布式快速备份处理,支持PB级数据处理,并且,大规模虚拟机能够根据勒索检测结果制定备份策略。
在相关技术中,从磁带恢复时,管理员需要找到磁带,将其加载,找到数据的位置再恢复数据。而本申请实施例,从云中恢复数据速度要快得多;它不需要从磁带存放点运送磁带,处置及寻找的时间。需要恢复的数据被找到后通过广域网(WAN)进行传输,节省时间并无需建设本地磁带设备。
实施例8
图8是根据本申请实施例的识别出勒索家族后恢复数据的流程图,如图8所示,该方法包括以下步骤:
步骤S802,接收用户确认恢复的指令。
任务引擎得到勒索识别模块检测到勒索软件的返回结果后,向用户发起感染勒索的告警,并发起是否允许系统恢复的信息,待用户确认。
用户确认恢复后,发送确认恢复的指令,任务引擎接收到确认恢复的指令。
步骤S804,发送调用请求。
任务引擎得到用户确认恢复的指令,触发恢复任务,向对应的数据备份模块发送调用请求。
步骤S806,执行恢复任务。
接收到所述调用请求的数据备份模块执行所述恢复任务。
首先根据任务引擎返回结果,读取勒索识别模块在检测和识别过程中记录的日志信息,提取记录的日志信息中检测到勒索软件对应的时间戳;该时间戳对应系统感染了勒索软件的时刻。
以该时间戳为基准,基于时间回退策略,确定备份数据的恢复时刻点。例如,回退1分钟,或回退15分钟,根据经验而定;该回退策略保证能退到系统没有被感染的安全状态的时刻。
任务引擎根据确定的恢复时刻点,使得数据备份模块提取相应备份数据版本信息,执行恢复任务;具体恢复过程请参考2021年10月19日提交的申请号为202111213821X、发明名称为虚拟机持续数据保护方法、装置及数据恢复方法、装置的专利申请文件。
通过本实施,能够在检测到勒索病毒的情况下,秒级恢复未被感染的备份数据。
实施例9
本发明的实施例还提供了一种计算机可读存储介质,其上存储有程序,在该程序被执行时,能够执行上述实施例提供的方法。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本申请提供的上述实施例可以应用在以下场景中:
场景一,大规模虚拟化和云数据中心的防勒索备份和恢复
目前大规模虚拟化与云数据中心系统的应用越来越广泛,但大多数系统在进行备份和恢复时基本还不具备勒索家族的检测能力;备份系统是勒索家族的最后一道防线,如果备份系统被勒索家族感染,则可能面临业务系统无法恢复的可能,带来巨大的损失。
由于本方案采用的集群并行架构,静态特征+动态特征融合,以及机器学习多种算法的融合,全增量模型,数据的全局去重保存,在并行备份时,可以精确的检测和识别勒索家族,并有效减少数据传输和存储量,大大提高的数据保护的规模化能力;同时,底层每台服务器都可以支持恢复任意的虚拟机的任意备份版本,可以有效提高并行恢复效率,保障业务数据的安全性。
场景二、大规模虚拟化和云数据中心的防勒索连续数据保护
同样,在云系统的连续数据保护场景,需要进行有效和准确的勒索家族的检测、识别和防护,达到保证数据副本的安全性,以及业务数据的安全性。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
上述实施例中的集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在上述计算机可读取的存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在存储介质中,包括若干指令用以使得一台或多台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的客户端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种在云备份系统中识别勒索病毒的方法,其特征在于,包括:
获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;
基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒;
其中,所述勒索识别模型是采用机器学习方法训练出的用于检测和识别所述勒索病毒的模型。
2.根据权利要求1所述的方法,其特征在于,基于勒索识别模型,对所述待识别信息进行检测和识别包括:
从所述待识别信息中获取预设的时间窗口内的多个待识别数据块,形成待检测和识别的数据集;
针对所述多个待识别数据块中的每一个待识别数据块:
从该待识别数据块中提取出静态特征和动态特征,形成特征向量;
基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
3.根据权利要求2所述的方法,其特征在于,从该待识别数据块中提取出静态特征和动态特征,形成特征向量,包括:
对所述时间窗口终止时刻点的该待识别数据块的运行环境和状态进行检测,得到所述动态特征;
获取与该待识别数据块相关的数据块静态信息作为所述静态特征;
将所述静态特征与所述动态特征组合形成该待识别数据块的特征向量。
4.根据权利要求2或3所述的方法,其特征在于,基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别,包括:
计算所述已知勒索家族的特征向量与所形成的特征向量的距离;
如果所计算出的距离小于距离阈值,则表示所形成的特征向量与已知勒索家族的特征向量相匹配或者近似匹配,否则,则表示所形成的特征向量与已知勒索家族的特征向量不匹配。
5.根据权利要求2或3所述的方法,其特征在于,基于勒索识别模型中的分类方法,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别,包括:
采用不同算法中的每一种算法,执行以下:
分别针对从原始样本集中抽取的多个训练集中的每一个训练集,计算特征向量误差;
基于所述特征向量误差计算投票数最多的分类预测结果,并将投票数最多的分类预测结果添加入最佳算法;
计算所述最佳算法的投票计数的最大值,并将所述最佳算法的投票计数的最大值对应的分类算法作为最优分类算法,以所述最优分类算法的分类结果作为勒索识别模型的分类结果,基于所述分类结果,将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配,以对该待识别数据块进行检测和识别。
6.根据权利要求2所述的方法,其特征在于,在以对该待识别数据块进行检测和识别之后,所述方法还包括:
在识别出该待识别数据块不包含所述勒索家族的情况下,对该待识别数据块进行备份;
在识别出该待识别数据块包含所述勒索家族的情况下,基于当前时间戳对该待识别数据块相关的数据进行恢复。
7.根据权利要求1所述的方法,其特征在于,所述勒索识别模型是通过以下训练生成的:
读取预设的时间窗口内的每一条训练数据集中的数据;
分别提取训练数据集中每一条数据的静态特征和动态特征,形成特征向量;
如果所形成的特征向量与已知特征库中的勒索家族的特征向量匹配,则判断所形成的特征向量是已知特征,不需要存入特征库;如果所形成的特征向量与已知特征库中的勒索家族的特征向量不匹配,则判定不是已知特征,并采用分类方法判断所形成的特征向量是否能够分类到某一勒索家族;如果能够分类到某一勒索家族,则进行该勒索家族的特征向量的更新;如果不能,则判定为新的勒索家族的特征,将所形成的特征向量作为新的勒索家族的特征向量存入特征库。
8.一种在云备份系统中识别勒索病毒的装置,其特征在于,包括:
信息获取模块,被配置为获取待识别数据的待识别信息,所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征;
识别模块,被配置为基于勒索识别模型,对所述待识别信息进行检测和识别,以识别所述待识别数据是否包含所述勒索病毒;
其中,所述勒索识别模型是采用机器学习方法训练出的用于检测和识别所述勒索病毒的模型。
9.一种分布式云备份系统,其特征在于,包括:
勒索识别服务器,包括如权利要求8所述的识别勒索病毒的装置;
备份服务器,被配置为将所述识别勒索病毒的装置识别出的未被感染的数据备份到存储服务器;
所述存储服务器,被配置为存储所述未被感染的数据。
10.一种计算机可读存储介质,其上存储有程序,在所述程序被运行时,使得计算机执行如权利要求1至7中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111463703.4A CN114297645B (zh) | 2021-12-03 | 2021-12-03 | 在云备份系统中识别勒索家族的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111463703.4A CN114297645B (zh) | 2021-12-03 | 2021-12-03 | 在云备份系统中识别勒索家族的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114297645A true CN114297645A (zh) | 2022-04-08 |
| CN114297645B CN114297645B (zh) | 2022-09-27 |
Family
ID=80966032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111463703.4A Active CN114297645B (zh) | 2021-12-03 | 2021-12-03 | 在云备份系统中识别勒索家族的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297645B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117421733A (zh) * | 2023-12-19 | 2024-01-19 | 浪潮电子信息产业股份有限公司 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004061812A (ja) * | 2002-07-29 | 2004-02-26 | Toppan Forms Co Ltd | 電子写真方式用トナー、電子写真方式用現像剤、シート |
| CN101571998A (zh) * | 2009-05-18 | 2009-11-04 | 中国科学技术大学 | 基于病毒进化算法的选择性集成行人检测方法 |
| CN108334781A (zh) * | 2018-03-07 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、计算机可读存储介质和计算机设备 |
| CN110276369A (zh) * | 2019-04-24 | 2019-09-24 | 武汉众邦银行股份有限公司 | 基于机器学习的特征选择方法、装置、设备及存储介质 |
| CN111414754A (zh) * | 2020-03-19 | 2020-07-14 | 中国建设银行股份有限公司 | 一种事件的情感分析方法、装置、服务器及存储介质 |
| CN112395612A (zh) * | 2019-08-15 | 2021-02-23 | 中兴通讯股份有限公司 | 一种恶意文件检测方法、装置、电子设备及存储介质 |
| CN112463848A (zh) * | 2020-11-05 | 2021-03-09 | 中国建设银行股份有限公司 | 检测用户异常行为的检测方法、系统、装置和存储介质 |
-
2021
- 2021-12-03 CN CN202111463703.4A patent/CN114297645B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004061812A (ja) * | 2002-07-29 | 2004-02-26 | Toppan Forms Co Ltd | 電子写真方式用トナー、電子写真方式用現像剤、シート |
| CN101571998A (zh) * | 2009-05-18 | 2009-11-04 | 中国科学技术大学 | 基于病毒进化算法的选择性集成行人检测方法 |
| CN108334781A (zh) * | 2018-03-07 | 2018-07-27 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、计算机可读存储介质和计算机设备 |
| CN110276369A (zh) * | 2019-04-24 | 2019-09-24 | 武汉众邦银行股份有限公司 | 基于机器学习的特征选择方法、装置、设备及存储介质 |
| CN112395612A (zh) * | 2019-08-15 | 2021-02-23 | 中兴通讯股份有限公司 | 一种恶意文件检测方法、装置、电子设备及存储介质 |
| CN111414754A (zh) * | 2020-03-19 | 2020-07-14 | 中国建设银行股份有限公司 | 一种事件的情感分析方法、装置、服务器及存储介质 |
| CN112463848A (zh) * | 2020-11-05 | 2021-03-09 | 中国建设银行股份有限公司 | 检测用户异常行为的检测方法、系统、装置和存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117421733A (zh) * | 2023-12-19 | 2024-01-19 | 浪潮电子信息产业股份有限公司 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114297645B (zh) | 2022-09-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chakraborty et al. | Ec2: Ensemble clustering and classification for predicting android malware families | |
| Stiborek et al. | Multiple instance learning for malware classification | |
| EP2248062B1 (en) | Automated forensic document signatures | |
| US9571509B1 (en) | Systems and methods for identifying variants of samples based on similarity analysis | |
| US8108931B1 (en) | Method and apparatus for identifying invariants to detect software tampering | |
| US8280905B2 (en) | Automated forensic document signatures | |
| US10339304B2 (en) | Systems and methods for generating tripwire files | |
| Baek et al. | SSD-assisted ransomware detection and data recovery techniques | |
| Gül et al. | A survey on anti-forensics techniques | |
| Xiao et al. | Identifying Android malware with system call co‐occurrence matrices | |
| WO2017193036A1 (en) | Machine learning model for malware dynamic analysis | |
| Xie et al. | P-gaussian: provenance-based gaussian distribution for detecting intrusion behavior variants using high efficient and real time memory databases | |
| CN114297645B (zh) | 在云备份系统中识别勒索家族的方法、装置和系统 | |
| Casolare et al. | On the resilience of shallow machine learning classification in image-based malware detection | |
| Sallam et al. | Efficient implementation of image representation, visual geometry group with 19 layers and residual network with 152 layers for intrusion detection from UNSW‐NB15 dataset | |
| US11562069B2 (en) | Block-based anomaly detection | |
| CN111988327B (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
| US20230315855A1 (en) | Exact restoration of a computing system to the state prior to infection | |
| CN113778826B (zh) | 一种日志处理方法及装置 | |
| AbuAlghanam et al. | Android Malware Detection System Based on Ensemble Learning | |
| Deepserish et al. | PET-Droid: Android Malware Detection Using Static Analysis | |
| CN109472140B (zh) | 基于窗体标题校验阻止勒索软件加密的方法及系统 | |
| Bhattarai et al. | Prov2vec: Learning Provenance Graph Representation for Unsupervised APT Detection | |
| Kayabaş et al. | Cyber wars and cyber threats against mobile devices: Analysis of mobile devices | |
| Alnajjar et al. | The Enhanced Forensic Examination and Analysis for Mobile Cloud Platform by Applying Data Mining Methods. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |