CN116964562A - 用于检测文件目录中的勒索软件的数据处理装置和方法 - Google Patents

用于检测文件目录中的勒索软件的数据处理装置和方法 Download PDF

Info

Publication number
CN116964562A
CN116964562A CN202180095511.4A CN202180095511A CN116964562A CN 116964562 A CN116964562 A CN 116964562A CN 202180095511 A CN202180095511 A CN 202180095511A CN 116964562 A CN116964562 A CN 116964562A
Authority
CN
China
Prior art keywords
data
file
data processing
processing apparatus
data file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180095511.4A
Other languages
English (en)
Inventor
大卫·西格尔
阿萨夫·耶格尔
阿萨夫·纳塔逊
迈克尔·古特曼
施莫利克·约苏布
沙哈尔·萨尔兹曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of CN116964562A publication Critical patent/CN116964562A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3034Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a storage system, e.g. DASD based or network based
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • G06F11/3062Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations where the monitored property is the power consumption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

提供了一种数据处理装置(100、200、300、400),该数据处理装置与数据存储器装置(102)耦合并配置为生成文件目录,文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息。文件目录被定期更新,使得文件目录提供所述信息的时间记录。数据处理装置配置为确定指示所述信息中的时间趋势或模式的行为简档(404),并在给定的数据文件的所述信息在时间上以偏离给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。

Description

用于检测文件目录中的勒索软件的数据处理装置和方法
技术领域
本公开大体上涉及辅助存储系统和智能数据管理;具体而言,本公开涉及一种数据处理装置,该数据处理装置与数据存储器装置耦合并配置为生成文件目录以检测勒索软件攻击。此外,本发明涉及一种用于运行数据处理装置的方法,该数据处理装置与数据存储器装置耦合,用于生成用于检测系统中的勒索软件攻击的文件目录。
背景技术
辅助存储器是非易失性的长期存储器。辅助存储用于长期,例如,几十年,保存程序和数据。如果没有辅助存储器,则当计算设备关闭时,所有程序和数据都会丢失。对于辅助存储器,商业和企业通常备份到磁带或备份到附网存储(network-attached storage,NAS)或存储区域网络(storage area network,SAN)设备形式的磁盘。文件和对象(例如,简单存储服务(Simple Storage Service,S3)对象)通常分布在位于不同主机、主机类型(例如,虚拟机软件、Hyper-V等)和不同数据中心上的不同物理机和虚拟机之间。数据中心是集中位置,计算和网络设备在这里集中以收集、存储、处理、分布或访问大量数据。数据中心存储器是指在数据中心存储器中实现数据和应用存储的设备、装备和软件技术。根据辅助存储器的可扩展性和数据中心的大小,可能需要一个以上辅助存储器群集来保护一个数据中心。此外,辅助存储器可用作用于访问数据中心的所有元数据(例如,文件和系统扫描)的单点,并用于存储系统及其元数据的备份副本,以能够基于所收集的数据进行搜索和报告。
勒索软件攻击是一种恶意软件,该恶意软件威胁要发布受害者的数据或阻止访问受害者数据,除非支付赎金。一些用户使用先进技术对受害者的数据/文件进行加密。大多数现有的物理机和虚拟机(virtual machine,VM)都会受到勒索软件或其它恶意软件的攻击/污染。当虚拟机VM被污染时,很难检测到针对已经被污染的虚拟机的勒索软件攻击。此外,在上述数据中心中,勒索软件攻击/污染可能是针对许多虚拟机/物理机,以增加对系统和数据可用性的影响。此外,很难阻止勒索软件攻击传播和污染更多系统,也很难从这些系统中恢复数据。
已知的方法主要使用防火墙、防病毒软件等在预防级别保护数据中心,并定期备份物理机/虚拟机。在物理机/虚拟机已被污染后,需要执行手动步骤将特定物理机/虚拟机与其它物理机/虚拟机隔离开来,负责的IT管理员可能必须反复检查其它物理机/虚拟机(即一个系统接一个系统)的污染。已知方法的缺点是这些方法增加了从勒索软件污染或攻击开始到被检测到为止所经过的时间段。发现勒索软件污染或攻击的这段经过的时间,即时间延迟,使得勒索威胁能够持续并传播到给定企业中的更多系统。
因此,需要解决在随着时间的推移检测每个系统/计算机/数据源上的勒索软件攻击时已知方法中的上述技术问题/缺点。
发明内容
本发明的一个目的是提供:一种改进的数据处理装置,该数据处理装置与数据存储器装置耦合并配置为生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息,用于检测系统/机器中的勒索软件攻击;以及,一种改进的用于运行数据处理装置的方法,该数据处理装置与数据存储器装置耦合,以生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息,用于检测勒索软件攻击,同时避免现有技术方法的一个或多个缺点。
该目的通过独立权利要求的特征来实现。此外,根据从属权利要求、说明书和附图,实现方式是显而易见的。
本公开提供了:一种数据处理装置,该数据处理装置与数据存储器装置耦合并配置为生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息,用于检测系统/机器中的勒索软件攻击;以及一种用于运行数据处理装置的方法,该数据处理装置与数据存储器装置耦合,以生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息,用于检测勒索软件攻击。
根据第一方面,提供了一种与数据存储器装置耦合的数据处理装置。数据处理装置配置为生成文件目录,所述文件目录包括描述存储在所述数据存储器装置内的数据文件的特征的信息。所述文件目录被定期更新,使得所述文件目录提供所述信息的时间记录。所述数据处理装置配置为确定指示所述信息中的时间趋势或模式的行为简档,并在给定的数据文件的所述信息在时间上以偏离所述给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
数据处理装置能够将给定的数据文件的时间趋势或模式与企业中特定文件、数据块和去重段中常见的固定趋势或模式进行比较,以检测给定的数据文件中的突然变化。数据处理装置使用自动检测策略来改善勒索软件攻击的检测时间,该自动检测策略是基于数据处理装置收集的任何附加信息来激活的。为数据处理装置实现更快的检测时间,减少勒索软件向企业中其它系统的传播。数据处理装置在一个中心可见点为企业中的任何系统故障提供警告指示/警报,这进一步缩短了信息技术(information technology,IT)管理员的响应时间。数据处理装置消除了IT管理员反复检查企业中每个系统/数据源的污染的必要性。
数据处理装置为所有数据中心提供企业存储,并提供整个企业的广泛包容性视图。数据处理装置为企业提供非结构化数据管理服务。数据处理装置为企业存储提供中心视点和单个管理控制台。此外,数据处理装置使用通用和特定的数据收集,以便构建企业中每个系统/设备随时间推移的行为的描述(即行为简档)。
所述预期时间趋势或模式的模型可以是根据所述给定的数据文件先前在数据处理装置、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定的。给定的数据文件可以是包括可执行程序代码或配置数据或两者的操作系统文件。
可选地,数据处理装置配置为使用包括自适应神经网络装置的机器学习装置,以确定所述时间趋势或模式,并检测以偏离超过所述阈值量的方式改变的所述时间趋势或模式的出现。以偏离超过所述阈值量的方式改变的所述时间趋势或模式的出现可能指示勒索软件。
可选地,数据处理装置配置为向数据处理装置的用户提供目录服务。目录服务可以向用户提供文件目录的概述。可选地,数据处理装置配置为使用一个或多个人工智能算法分析从所述数据文件获得的非结构化数据,以生成所述文件目录的所述概述。
用于生成所述文件目录的所述信息可以包括以下一项或多项:(i)与所述数据文件相关联的数据资源消耗的时间变化;(ii)与所述数据文件相关联的压缩或非压缩数据的数据块段的时间变化;iii)与所述数据文件相关联的随机化模式的时间变化;(iv)所述数据文件的卷分散的时间变化以及与之相关联的大小变化;(v)增量文件系统扫描中关于所述数据文件的大小和访问所述数据文件的时间的时间变化;(vi)所述数据文件的大小的时间变化;(vii)所述数据文件的特征的时间变化率;(viii)所述数据文件的输入/输出温度的时间变化,所述时间变化是根据在给定持续时间内执行的所述数据文件的读取来计算的。
可选地,用于生成所述文件目录的所述信息包括以下一项或多项:(i)针对给定系统或给定一组系统的所述数据文件的去重率的时间变化;(ii)所述数据文件的扫描模式的历史;(iii)所述数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;(iv)中央处理器(central processing unit,CPU)功耗、数据存储器装置功耗、所述数据文件的备份数据、所述数据文件的元数据的时间变化;(v)根据用于检测偏差或欺诈的Bedford定律的所述数据文件的随机化的时间变化;(vi)与从所述数据存储器装置的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围;(vii)指示勒索软件对所述数据文件进行了压缩(例如,流氓压缩软件)的经压缩或加密的数据中的时间输入输出熵变化。可选地,数据处理装置的文件管理系统可以配置为扫描所述数据文件,并配置为记录所述数据文件的创建日期。所述时间变化可以指示所述数据文件的可能勒索软件分段。
可选地,数据处理装置配置为响应于所述数据存储器装置、所述文件目录、用表征所述数据文件的数据对所述文件目录进行填充的持续时间中的一个或多个的结构,动态调整所述阈值量。
根据第二方面,提供了一种用于运行与数据存储器装置耦合的数据处理装置的方法。该方法包括配置数据处理装置生成文件目录,所述文件目录包括描述存储在所述数据存储器装置内的数据文件的特征的信息。所述文件目录被定期更新,使得所述文件目录提供所述信息的时间记录。该方法包括配置所述数据处理装置确定指示所述信息中的时间趋势或模式的行为简档,并在给定的数据文件的所述信息在时间上以偏离所述给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
该方法能够将给定的数据文件的时间趋势或模式与企业中特定文件、数据块和去重段中常见的固定趋势或模式进行比较,以检测给定的数据文件中的突然变化。该方法使用自动检测策略来改善勒索软件攻击的检测时间,该自动检测策略是基于数据处理装置收集的任何附加信息来激活的。更快的检测时间减少勒索软件向企业中其它系统的传播。该方法在一个中心可见点为企业中的任何系统故障提供警告指示/警报,这进一步缩短了信息技术(IT)管理员的响应时间。该方法消除了IT管理员反复检查企业中每个系统/数据源的污染的必要性。
该方法为企业存储提供中心视点和单个管理控制台。此外,数据处理装置使用通用和特定的数据收集,以便构建企业中每个系统/设备随时间推移的行为的描述(即行为简档)。
可选地,该方法包括根据所述给定的数据文件先前在数据处理装置、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定所述预期时间趋势或模式的模型。给定的数据文件可以是包括可执行程序代码或配置数据或两者的操作系统文件。
可选地,该方法包括配置所述数据处理装置使用包括自适应神经网络装置的机器学习装置,以确定所述时间趋势或模式,并检测以偏离超过所述阈值量的方式改变的所述时间趋势或模式的出现。
可选地,该方法包括计算以偏离超过所述阈值量的方式改变的所述时间趋势或模式的所述出现,以指示勒索软件。可选地,该方法包括配置所述数据处理装置向数据处理装置的用户提供目录服务。目录服务可以向用户提供文件目录的概述。可选地,该方法包括配置所述数据处理装置使用一个或多个人工智能算法分析从所述数据文件获得的非结构化数据,以生成所述文件目录的所述概述。
可选地,该方法包括将用于生成所述文件目录的所述信息设置为包括以下一项或多项:(i)与所述数据文件相关联的数据资源消耗的时间变化;(ii)与所述数据文件相关联的压缩或非压缩数据的数据块段的时间变化;iii)与所述数据文件相关联的随机化模式的时间变化;(iv)所述数据文件的卷分散的时间变化以及与之相关联的大小变化;(v)增量文件系统扫描中关于所述数据文件的大小和访问所述数据文件的时间的时间变化;(vi)所述数据文件的大小的时间变化;(vii)所述数据文件的特征的时间变化率;(viii)所述数据文件的输入/输出温度的时间变化,所述时间变化是根据在给定持续时间内执行的所述数据文件的读取来计算的。
可选地,该方法包括将用于生成所述文件目录的所述信息设置为包括以下一项或多项:(i)针对给定系统或给定一组系统的所述数据文件的去重率的时间变化;(ii)所述数据文件的扫描模式的历史;(iii)所述数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;(iv)中央处理器(CPU)功耗、数据存储器装置功耗、所述数据文件的备份数据、所述数据文件的元数据的时间变化;(v)根据用于检测偏差或欺诈的Bedford定律的所述数据文件的随机化的时间变化;(vi)与从所述数据存储器装置的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围;(vii)指示勒索软件对所述数据文件进行了压缩(例如,流氓压缩软件)的经压缩或加密的数据中的时间输入输出熵变化。可选地,所述数据处理装置的文件管理系统可以配置为扫描所述数据文件,并配置为记录所述数据文件的创建日期。所述时间变化可以指示所述数据文件的可能勒索软件分段。
可选地,该方法包括配置所述数据处理装置响应于所述数据存储器装置、所述文件目录、用表征所述数据文件的数据对所述文件目录进行填充的持续时间中的一个或多个的结构,动态调整所述阈值量。
根据第三方面,提供了一种包括计算机可执行指令的软件产品。这些指令在数据处理硬件上可执行,以实现上述方法。
解决了现有技术中的技术问题,其中,技术问题是随着时间的推移检测每个特定系统/数据源上的勒索软件攻击。
因此,与现有技术不同,根据数据处理装置和用于运行数据处理装置的方法,该数据处理装置与数据存储器装置耦合,以生成包括描述存储在数据存储器装置内的数据文件的特征的信息的文件目录,以检测勒索软件,能够将给定的数据文件的时间趋势或模式与企业中特定文件、数据块和去重段中常见的固定趋势或模式进行比较,以检测给定的数据文件中的突然变化。数据处理装置使用自动检测策略来改善勒索软件攻击的检测时间,该自动检测策略是基于数据处理装置收集的任何附加信息来激活的。对勒索软件攻击的更快检测减少勒索软件向企业中其它系统的传播。
根据下文描述的一种或多种实现方式,本公开的这些和其它方面是显而易见的。
附图说明
现仅通过示例的方式结合附图对本公开的各实现方式进行说明,其中:
图1是根据本公开的实现方式的与数据存储器装置耦合以生成文件目录的数据处理装置的框图;
图2是根据本公开的实现方式的提供目录服务的数据处理装置的分解图;
图3是根据本公开的实现方式的从数据中心节点(例如,Windows OS系统32设备)收集文件系统扫描的数据处理装置的示例性视图的图示;
图4是根据本公开的实现方式的存储来自数据中心节点的文件系统扫描的行为简档的数据处理装置的示例性视图的图示;
图5是示出根据本公开的实现方式的用于运行数据处理装置的方法的流程图,该数据处理装置与数据存储器装置耦合以生成用于检测勒索软件攻击的文件目录;
图6是示例性数据处理装置或计算机系统的图示,其中,可以实现各种先前实现方式的各种架构和功能。
具体实施方式
本公开的实现方式提供了一种与数据存储器装置耦合的数据处理装置,其中,数据处理装置配置为生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息,以检测勒索软件攻击。此外,本公开还涉及一种用于运行数据处理装置的方法,该数据处理装置与数据存储器装置耦合以生成文件目录。
为了使本领域技术人员更容易理解本公开的方案,结合附图描述了本公开的以下实现方式。
本公开的发明内容、权利要求书及上述附图中的“第一”、“第二”、“第三”和“第四”(如果有)等术语用于区分相似的对象,而不一定用于描述特定的序列或顺序。应当理解,如此使用的术语在适当的情况下是可互换的,例如使得本文描述的本公开的实现方式能够以本文所示或所描述的顺序以外的顺序来实现。此外,术语“包括”和“具有”及其任何变体旨在涵盖非排他性包括。例如,包括一系列步骤或单元的过程、方法、系统、产品或设备不一定限于明确列出的步骤或单元,而是可以包括未明确列出的或此类过程、方法、产品或设备固有的其它步骤或单元。
定义:
“数据存储器装置”:这是用于描述数据存储单元或多个分组的数据存储单元的术语,网络使用该数据存储单元来通过高速连接存储数据的副本。数据存储器装置是灵活的,因为其使用户能够在需要时添加额外的存储。
“数据存储单元”:这些单元是必不可少的,因为这些单元将关键数据文件和其它数据备份到中心位置。然后,用户可以容易地访问这些数据文件。数据存储单元是能够为经授权的网络用户从中心位置存储和检索数据文件的数据存储设备。
图1是根据本公开的实现方式的与数据存储器装置102耦合以生成文件目录的数据处理装置100的框图。数据处理装置100配置为生成文件目录,该文件目录包括描述存储在数据存储器装置102内的数据文件的特征的信息。文件目录被定期更新,使得文件目录提供该信息的时间记录。数据处理装置100配置为确定指示该信息中的时间趋势或模式的行为简档,并在给定的数据文件的该信息在时间上以偏离给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
数据处理装置100能够将给定的数据文件的时间趋势或模式与企业中特定文件、数据块和去重段中常见的固定趋势或模式进行比较,以检测给定的数据文件中的突然变化。数据处理装置100使用自动检测策略来改善勒索软件攻击的检测时间,该自动检测策略是基于数据处理装置100收集的任何附加信息来激活的。数据处理装置100的更快检测时间减少勒索软件向企业中其它系统的传播。数据处理装置100在一个中心可见点对企业中的任何系统故障提供警告指示/警报,这进一步缩短了信息技术(IT)管理员的响应时间。数据处理装置100消除了IT管理员反复检查企业中每个系统/数据源的污染的必要性。
数据处理装置100为所有数据中心提供企业存储。数据处理装置100为企业提供非结构化数据管理服务。数据处理装置100为企业存储提供中心视点和单个管理控制台。此外,数据处理装置100使用通用和特定的数据收集,以便构建企业中每个系统/设备随时间推移的行为的描述(即行为简档)。数据处理装置100可以从企业存储中的所有类型的设备/数据源(例如,网络辅助存储器(NAS)、S3、虚拟机(VM)环境等)收集关于非结构化数据的信息。
可选地,数据处理装置100跟踪并记录由数据文件提供的信息中的时间趋势或模式,作为企业中的每个特定系统/数据源(例如,NAS、S3、VM环境、包括多个设备的数据中心节点)的时间函数。可选地,每个特定系统/数据源位于数据存储器装置102中。每个系统/数据源和被跟踪的节点(即数据中心中的节点)可以具有根据其特征的行为简档。行为简档可以描述每个系统/数据源的或来自每个系统或数据源(例如,设备源)的数据文件随时间推移的行为。可选地,数据处理装置100记录描述存储在数据存储器装置102内的数据文件的特征的信息,以生成文件目录。文件目录可以是存储辅助设备。文件目录是企业和一个或多个站点中的所有系统的中心点。文件目录可以评估行为趋势或模式的偏差。文件目录可以保存其它对象文件和元数据,作为目录的一部分。可选地,用于生成文件目录的信息包括以下一项或多项:(i)针对给定系统或给定一组系统的数据文件的去重率的时间变化;(ii)数据文件的扫描模式的历史;(iii)数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;(iv)中央处理器(CPU)功耗、数据存储器装置功耗、数据文件的备份数据、数据文件的元数据的时间变化;(v)根据用于检测偏差或欺诈的Bedford定律的数据文件的随机化的时间变化;(vi)与从数据存储器装置102的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围;(vii)指示勒索软件对数据文件进行了压缩的经压缩或加密的数据中的时间输入输出熵变化。可选地,数据处理装置100的文件管理系统配置为扫描数据文件,并配置为记录数据文件的创建日期。时间变化可以指示数据文件的可能勒索软件分段。可选地,勒索软件压缩括流氓压缩软件。
可选地,当每次数据处理装置100从现有系统/数据源收集新数据时,数据处理装置100将所有信息源作为用于生成文件目录的记录信息(即,收集的新数据)与行为简档的记录信息进行比较。行为简档可以存储在数据库中。可选地,数据处理装置100提供了所有企业的广泛包容性视图,并检查许多系统/设备共有的特定数据文件,以检测其中是否存在突然变化。可选地,数据处理装置100通过以预定义的时间间隔将特定数据文件与一个或多个系统中的行为简档进行比较,来检测突然变化或强偏差。数据处理装置100可以对可疑列表中的特定数据文件进行分类,并且可以向IT管理员提供警告指示/警报。
可选地,数据处理装置100配置为使用包括自适应神经网络装置的机器学习装置,以确定时间趋势或模式,并检测以偏离超过阈值量的方式改变的时间趋势或模式的出现。以偏离超过阈值量的方式改变的时间趋势或模式的出现可能指示勒索软件。
可选地,数据处理装置100配置为响应于数据存储器装置102、文件目录、用表征数据文件的数据对文件目录进行填充的持续时间中的一个或多个的结构,动态调整阈值量。
图2是根据本公开的实现方式的提供目录服务206的数据处理装置200的分解图。分解图包括数据处理装置200,该数据处理装置包括内部收集器202,并通信地连接到目录数据库(例如,ElasticSearch)204。可选地,数据处理装置200配置为向数据处理装置200的用户提供目录服务206。目录服务206向用户提供文件目录的概述。可选地,内部收集器202从企业中的所有类型的系统/数据源收集关于非结构化数据的信息。目录服务206可以是企业的非结构化数据管理服务。可选地,目录服务206向用户提供所有文件目录的完整概述。可选地,当每次数据处理装置200的内部收集器202从现有系统/数据源收集新数据时,数据处理装置200将所有信息源作为用于生成文件目录的记录信息(即,收集的新数据)与行为简档的记录信息进行比较。目录数据库204可以是任何类型的外部数据库(例如,ElasticSearch数据库)。
设备/数据源可以是附网存储(NAS)212A-N、简单存储服务(S3)214、虚拟机(VM)环境、生产ESX服务器216、微软SQL服务器(Microsoft SQL Server,MSSQL)218、生产Oracle220等。数据中心208A-N可以包括附网存储(NAS)212A-N、简单存储服务(S3)214、虚拟机(VM)环境、生产ESX服务器216、微软SQL服务器(MSSQL)218、生产Oracle 220等。NAS212A-N是连接到计算机网络的文件级计算机数据存储服务器,用于向一组用户/客户端提供数据访问。NAS212A-N可选地专门用于通过其硬件、软件或配置来服务于项目/文件。S3 214是为互联网提供存储的网络服务。S3 214在云中具有高度可扩展性和安全性。微软SQL服务器(MSSQL)218和生产Oracle 220都是企业广泛使用的数据库或存储单元。
可选地,系统/数据源包括收集器210。收集器210可以从相应的系统/数据源收集信息。可选地,可以通过内部收集器202周期性或实时地从所有类型的数据/设备源收集信息。内部收集器202可以在主机内或系统/数据源外部运行。内部收集器202可以从系统/数据源收集本地元数据和附加合成数据。数据处理装置200可以将数据文件(例如,文件或S3对象)在层之间或在内部移动(例如,在同一层中从NAS1 212A移动NAS2 212B)。目录服务206可以运行不同类型的查询,执行分析并提供对客户存储企业的见解。
可选地,数据处理装置200配置为使用一个或多个人工智能算法分析从数据文件获得的非结构化数据,以生成文件目录的概述。
可选地,用于生成文件目录的信息包括以下一项或多项:(i)与数据文件相关联的数据资源消耗的时间变化;(ii)与数据文件相关联的压缩或非压缩数据的数据块段的时间变化;iii)与数据文件相关联的随机化模式的时间变化;(iv)数据文件的卷分散的时间变化以及与之相关联的大小变化;(v)增量文件系统扫描中关于数据文件的大小和访问数据文件的时间的时间变化;(vi)数据文件的大小的时间变化;(vii)数据文件的特征的时间变化率;(viii)数据文件的输入/输出温度的时间变化,该时间变化是根据在给定持续时间内执行的数据文件的读取来计算的。
图3是根据本公开的实现方式的从数据中心节点302(例如,Windows OS系统32设备)收集文件系统扫描的数据处理装置300的示例性视图的图示。可选地,数据处理装置300包括内部收集器和数据库(例如,跨系统的去重的全局数据库)。数据中心节点302可以包括不同类型的系统/设备(例如,第一设备、第二设备等)。每个系统/设备可以具有系统32。系统32是计算机正常运行所需的基于微软Windows操作系统的计算机中的文件夹。系统32存在于安装了Windows的驱动器中。系统32目录包括Windows系统文件(即,数据文件)和软件程序文件,这些文件对Windows操作系统和Windows中运行的软件程序的运行至关重要。系统32目录中的常见文件类型可以是DLL(即,动态链接库)和EXE(即,可执行文件)文件。
可选地,预期时间趋势或模式的模型是根据给定的数据文件(例如,Windows系统文件)先前在数据处理装置300、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定的。给定的数据文件可以是包括可执行程序代码或配置数据或两者的操作系统文件。
可选地,数据处理装置300使用内部收集器从Windows OS系统32设备(即,从第二设备)收集文件系统扫描。数据处理装置300可以从文件系统扫描检测名为“Aphostservice.dll”的文件中的变化。该文件(即,“Aphostservice.dll”)可以是微软开发的帐户主机服务产品的一部分,在任何Windows 10确切版本类型中都应相同(即,Windows 10在操作系统中具有与其它计算机相同的文件)。
可选地,数据处理装置300在跨系统对照数据库(例如,去重的全局数据库)检查数据文件(例如,“Aphostservice.dll”)时,检测与其内部副本(该副本是具有相同OS版本的所有其它主机共有的)相比,数据文件的大小是否有变化。可选地,数据处理装置300向第二设备提供警告指示/警报,即数据文件(例如,“Aphostservice.dll”)的信息在时间上以偏离数据文件的存储在跨系统的数据库中的内部副本(例如,具有相同OS版本的所有其它系统共有的内部副本)超过阈值量的方式改变。
图4是根据本公开的实现方式的存储来自数据中心节点402的文件系统扫描的行为简档404的数据处理装置400的示例性视图的图示。数据中心节点402包括N个虚拟机(VM1-VMn)。数据处理装置400可以配置为确定指示与文件系统扫描相关联的信息中的时间趋势或模式的行为简档404。可选地,数据处理装置400周期性地从N个虚拟机接收元数据。行为简档404可以包括从N个虚拟机接收的元数据,并将关于N个虚拟机的元数据分别存储为VM 1行为简档、VM 2行为简档等。元数据可以包括系统扫描、备份和系统资源监控等。数据处理装置400可以将N个虚拟机(VM1-VMn)的所有元数据与存储在每个匹配的行为简档(例如,VM 1行为简档、VM 2行为简档等)中的元数据进行比较,并将N个虚拟机(VM1-VMn)的元数据不断更新到其相应的行为简档。示例性视图描绘了从虚拟机VM1-VMn到数据处理装置400的元数据(即,文件系统扫描)的持续流。可选地,数据处理装置400将行为模式的每次扫描与其现有的所记录的随时间的行为简档进行比较,并检测与其上次扫描是否存在偏差。例如,数据处理装置400检测到(i)与该虚拟机(即,VM2)的通常/上次扫描相比,VM2的扫描的变化百分比存在显著的跳跃,以及(ii)在设备VM2上存在属于该扫描的平均文件大小的偏差。平均文件大小的偏差可以是双向的,可以更小或更大。数据处理装置400可以触发对该虚拟机(即,虚拟机VM2)的警报。数据处理装置400为整个企业提供中心视图,并向IT管理员提供即时可见性,以便缩短信息技术(IT)管理员的响应时间。
图5是示出根据本公开的实现方式的用于运行数据处理装置的方法的流程图,该数据处理装置与数据存储器装置耦合,以生成用于检测勒索软件攻击的文件目录。在步骤502,数据处理装置配置为生成文件目录,该文件目录包括描述存储在数据存储器装置内的数据文件的特征的信息。文件目录被定期更新,使得文件目录提供该信息的时间记录。在步骤504,数据处理装置配置为确定指示该信息中的时间趋势或模式的行为简档,并在给定的数据文件的该信息在时间上以偏离给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
该方法能够将给定的数据文件的时间趋势或模式与企业中特定文件、数据块和去重段中常见的固定趋势或模式进行比较,以检测给定的数据文件中的突然变化。该方法使用自动检测策略来改善勒索软件攻击的检测时间,该自动检测策略是基于数据处理装置收集的任何附加信息来激活的。更快的检测时间减少勒索软件向企业中其它系统的传播。该方法在一个中心可见点为企业中的任何系统故障提供警告指示/警报,这进一步缩短了信息技术(IT)管理员的响应时间。该方法消除了IT管理员反复检查企业中每个系统/数据源的污染的必要性。
该方法为企业存储提供中心视点和单个管理控制台。此外,数据处理装置使用通用和特定的数据收集,以便构建企业中每个系统/设备随时间推移的行为的描述(即行为简档)。
可选地,该方法包括根据给定的数据文件先前在数据处理装置、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定预期时间趋势或模式的模型。给定的数据文件可以是包括可执行程序代码或配置数据或两者的操作系统文件。
可选地,该方法包括配置数据处理装置使用包括自适应神经网络装置的机器学习装置,以确定时间趋势或模式,并检测以偏离超过所述阈值量的方式改变的时间趋势或模式的出现。该方法可以包括计算以偏离超过阈值量的方式改变的时间趋势或模式的出现,以指示勒索软件。可选地,该方法包括配置数据处理装置向数据处理装置的用户提供目录服务。目录服务可以向用户提供文件目录的概述。该方法可以包括配置数据处理装置使用一个或多个人工智能算法分析从数据文件获得的非结构化数据,以生成文件目录的概述。
可选地,该方法包括将用于生成文件目录的信息设置为包括以下一项或多项:(i)与数据文件相关联的数据资源消耗的时间变化;(ii)与数据文件相关联的压缩或非压缩数据的数据块段的时间变化;iii)与数据文件相关联的随机化模式的时间变化;(iv)数据文件的卷分散的时间变化以及与之相关联的大小变化;(v)增量文件系统扫描中关于数据文件的大小和访问数据文件的时间的时间变化;(vi)数据文件的大小的时间变化;(vii)数据文件的特征的时间变化率;(viii)数据文件的输入/输出温度的时间变化,该时间变化是根据在给定持续时间内执行的数据文件的读取来计算的。
可选地,该方法包括将用于生成所述文件目录的信息设置为包括以下一项或多项:(i)针对给定系统或给定一组系统的数据文件的去重率的时间变化;(ii)数据文件的扫描模式的历史;(iii)数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;(iv)中央处理器(CPU)功耗、数据存储器装置功耗、数据文件的备份数据、数据文件的元数据的时间变化;(v)根据用于检测偏差或欺诈的Bedford定律的数据文件的随机化的时间变化;(vi)与从数据存储器装置的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围;(vii)指示勒索软件对数据文件进行了压缩(例如,流氓压缩软件)的经压缩或加密的数据中的时间输入输出熵变化。可选地,数据处理装置的文件管理系统配置为扫描数据文件,并配置为记录数据文件的创建日期。时间变化可以指示数据文件的可能勒索软件分段。
该方法可以包括配置数据处理装置响应于数据存储器装置、文件目录、用表征数据文件的数据对文件目录进行填充的持续时间中的一个或多个的结构,动态调整阈值量。
在一种实现方式中,一种软件产品包括在数据处理硬件上可执行的计算机可执行指令,以实现上述方法。
图6是示例性数据处理装置或计算机系统的图示,其中,可以实现各种先前实现方式的各种架构和功能。如图所示,计算机系统600包括连接到总线602的至少一个处理器604,其中,计算机系统600可以使用任何合适的协议来实现,例如,PCI(PeripheralComponent Interconnect,外围组件互连)、PCI-Express、AGP(Accelerated GraphicsPort,加速图形端口)、超传输或任何其它总线或点对点通信协议。计算机系统600还包括存储器606。
控制逻辑(软件)和数据存储在存储器606中,该存储器可以采取随机存取存储器(random-access memory,RAM)的形式。在本发明中,单个半导体平台可以指唯一的基于单一半导体的集成电路或芯片。应当注意,术语“单个半导体平台”还可以指具有更大连接性的多芯片模块,这些多芯片模块模拟具有更大连接性的片上模块,片上模块模拟片上运行,相比利用传统的中央处理器(CPU)和总线实现方式,实现了显著改进。当然,根据用户的需要,各种模块也可以单独存在或以半导体平台的各种组合的形式存在。
计算机系统600还可以包括辅助存储器610。辅助存储器610包括,例如,硬盘驱动器和可移动存储驱动器,代表软盘驱动器、磁带驱动器、压缩磁盘驱动器、数字多功能磁盘(digital versatiledisk,DVD)驱动器、记录设备、通用串行总线(universal serial bus,USB)闪存。可移动存储驱动器以众所周知的方式驱动从可移动存储单元读取和向可移动存储单元写入中的至少一者。
计算机程序或计算机控制逻辑算法可以存储在存储器606和辅助存储器610中的至少一个中。这些计算机程序当被执行时,使计算机系统600能够执行如上所述的各种功能。存储器606、辅助存储器610和任何其它存储器是计算机可读介质的可能示例。
在一种实现方式中,在各种先前附图中描述的架构和功能可以在处理器604、与通信接口612耦合的图形处理器、能够具有处理器604和图形处理器两者的至少部分能力的集成电路(未示出)和芯片组(即一组集成电路,被设计用于作为执行相关功能的单元工作和销售)的环境中实现。
此外,在各种先前描述的附图中描述的架构和功能可以在通用计算机系统、电路板系统、专用于娱乐目的的游戏机系统、专用系统的环境中实现。例如,计算机系统600可以采取台式计算机、笔记本电脑、服务器、工作站、游戏机、嵌入式系统的形式。
此外,计算机系统600可以采取各种其它设备的形式,包括但不限于个人数字助理(personal digital assistant,PDA)设备、移动电话设备、智能手机、电视等。此外,尽管未示出,但计算机系统600可以耦合到网络(例如,电信网络、局域网(local area network,LAN)、无线网络、广域网(wide area network,WAN),诸如,互联网、点对点网络、电缆网络等),以通过I/O接口608实现通信目的。
应当理解,在所描述的附图中示出的组件的布置是示例性的,并且其它布置也是可能的。还应理解,由权利要求定义的、下文描述的并在各种框图中示出的各种系统组件(和装置)代表根据本文公开的主题配置的一些系统中的组件。例如,这些系统组件(和装置)中的一个或多个系统组件(和装置)可以全部或部分地通过在所描述的附图中所示的布置中所示的至少一些组件实现。
此外,虽然这些组件中的至少一个至少部分地实现为电子硬件组件,并因此构成机器,但其它组件可以在软件中实现,当该软件包括在执行环境中时,构成机器、硬件或软件和硬件的组合。
虽然本发明及其优点已详细描述,但是应当理解,在不脱离所附权利要求书界定的本公开的精神和范围的情况下,可以作出各种改变、替代和更改。

Claims (21)

1.一种与数据存储器装置(102)耦合的数据处理装置(100、200、300、400),其中,所述数据处理装置(100、200、300、400)配置为生成文件目录,所述文件目录包括描述存储在所述数据存储器装置(102)内的数据文件的特征的信息,其中,所述文件目录被定期更新,使得所述文件目录提供所述信息的时间记录,
其中,所述数据处理装置(100、200、300、400)配置为确定指示所述信息中的时间趋势或模式的行为简档(404),并在给定的数据文件的所述信息在时间上以偏离所述给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
2.根据权利要求1所述的数据处理装置(100、200、300、400),其中,所述预期时间趋势或模式的模型是根据所述给定的数据文件先前在数据处理装置(100、200、300、400)、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定的。
3.根据权利要求2所述的数据处理装置(100、200、300、400),其中,所述给定的数据文件是包括可执行程序代码或配置数据或两者的操作系统文件。
4.根据权利要求1所述的数据处理装置(100、200、300、400),其中,所述数据处理装置(100、200、300、400)配置为使用包括自适应神经网络装置的机器学习装置,以确定所述时间趋势或模式,并检测以偏离超过所述阈值量的方式改变的所述时间趋势或模式的出现。
5.根据权利要求4所述的数据处理装置(100、200、300、400),其中,以偏离超过所述阈值量的方式改变的所述时间趋势或模式的所述出现指示勒索软件。
6.根据权利要求3、4或5所述的数据处理装置(100、200、300、400),其中,所述数据处理装置(100、200、300、400)配置为向所述数据处理装置(100、200、300、400)的用户提供目录服务(206),其中,所述目录服务(206)向所述用户提供所述文件目录的概述。
7.根据权利要求6所述的数据处理装置(100、200、300、400),其中,所述数据处理装置(100、200、300、400)配置为使用一个或多个人工智能算法分析从所述数据文件获得的非结构化数据,以生成所述文件目录的所述概述。
8.根据权利要求5、6或7所述的数据处理装置(100、200、300、400),其中,用于生成所述文件目录的所述信息包括以下一项或多项:
(i)与所述数据文件相关联的数据资源消耗的时间变化;
(ii)与所述数据文件相关联的压缩或非压缩数据的数据块段的时间变化;
(iii)与所述数据文件相关联的随机化模式的时间变化;
(iv)所述数据文件的卷分散的时间变化以及与之相关联的大小变化;
(v)增量文件系统扫描中关于所述数据文件的大小和访问所述数据文件的时间的时间变化;
(vi)所述数据文件的大小的时间变化;
(vii)所述数据文件的特征的时间变化率;
(viii)所述数据文件的输入/输出温度的时间变化,所述时间变化是根据在给定持续时间内执行的所述数据文件的读取计算的。
9.根据权利要求5、6或7所述的数据处理装置(100、200、300、400),其中,用于生成所述文件目录的所述信息包括以下一项或多项:
(i)针对给定系统或给定一组系统的所述数据文件的去重率的时间变化;
(ii)所述数据文件的扫描模式的历史,其中,所述数据处理装置(100、200、300、400)的文件管理系统配置为扫描所述数据文件,并配置为记录所述数据文件的创建日期;
(iii)所述数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;
(iv)中央处理器(CPU)功耗、数据存储器装置功耗、所述数据文件的备份数据、所述数据文件的元数据的时间变化;
(v)根据用于检测偏差或欺诈的Bedford定律的所述数据文件的随机化的时间变化;
(vi)与从所述数据存储器装置(102)的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围,其中,所述时间变化指示所述数据文件的可能勒索软件分段;
(vii)指示勒索软件对所述数据文件进行了压缩的经压缩或加密的数据中的时间输入输出熵变化。
10.根据前述权利要求中任一项所述的数据处理装置(100、200、300、400),其中,所述数据处理装置(100、200、300、400)配置为响应于所述数据存储器装置(102)、所述文件目录、用表征所述数据文件的数据对所述文件目录进行填充的持续时间中的一个或多个的结构,动态调整所述阈值量。
11.一种用于运行与数据存储器装置(102)耦合的数据处理装置(100、200、300、400)的方法,其中,所述方法包括:
配置所述数据处理装置(100、200、300、400)生成文件目录,所述文件目录包括描述存储在所述数据存储器装置(102)内的数据文件的特征的信息,其中,所述文件目录被定期更新,使得所述文件目录提供所述信息的时间记录,
配置所述数据处理装置(100、200、300、400)确定指示所述信息中的时间趋势或模式的行为简档(404),并在给定的数据文件的所述信息在时间上以偏离所述给定的数据文件的预期时间趋势或模式的模型超过阈值量的方式改变的情况下提供警告指示。
12.根据权利要求11所述的方法,其中,所述方法包括根据所述给定的数据文件先前在数据处理装置(100、200、300、400)、其它数据处理装置中的一个或多个数据处理装置中的表现方式确定所述预期时间趋势或模式的模型。
13.根据权利要求12所述的方法,其中,所述给定的数据文件是包括可执行程序代码或配置数据或两者的操作系统文件。
14.根据权利要求11所述的方法,其中,所述方法包括配置所述数据处理装置(100、200、300、400)使用包括自适应神经网络装置的机器学习装置,以确定所述时间趋势或模式,并检测以偏离超过所述阈值量的方式改变的所述时间趋势或模式的出现。
15.根据权利要求14所述的方法,其中,所述方法包括计算以偏离超过所述阈值量的方式改变的所述时间趋势或模式的所述出现,以指示勒索软件。
16.根据权利要求13、14或15所述的方法,其中,所述方法包括配置所述数据处理装置(100、200、300、400)向所述数据处理装置(100、200、300、400)的用户提供目录服务(206),其中,所述目录服务(206)向所述用户提供所述文件目录的概述。
17.根据权利要求16所述的方法,其中,所述方法包括配置所述数据处理装置(100、200、300、400)使用一个或多个人工智能算法分析从所述数据文件获得的非结构化数据,以生成所述文件目录的所述概述。
18.根据权利要求15、16或17所述的方法,其中,所述方法包括将用于生成所述文件目录的所述信息设置为包括以下一项或多项:
(i)与所述数据文件相关联的数据资源消耗的时间变化;
(ii)与所述数据文件相关联的压缩或非压缩数据的数据块段的时间变化;
(iii)与所述数据文件相关联的随机化模式的时间变化;
(iv)所述数据文件的卷分散的时间变化以及与之相关联的大小变化;
(v)增量文件系统扫描中关于所述数据文件的大小和访问所述数据文件的时间的时间变化;
(vi)所述数据文件的大小的时间变化;
(vii)所述数据文件的特征的时间变化率;
(viii)所述数据文件的输入/输出温度的时间变化,所述时间变化是根据在给定持续时间内执行的所述数据文件的读取计算的。
19.根据权利要求15、16或17所述的方法,其中,所述方法包括将用于生成所述文件目录的所述信息设置为包括以下一项或多项:
(i)针对给定系统或给定一组系统的所述数据文件的去重率的时间变化;
(ii)所述数据文件的扫描模式的历史,其中,所述数据处理装置(100、200、300、400)的文件管理系统配置为扫描所述数据文件,并配置为记录所述数据文件的创建日期;
(iii)所述数据文件的最小、平均和最大大小中的一个或多个大小的时间变化;
(iv)中央处理器(CPU)功耗、数据存储器装置功耗、所述数据文件的备份数据、所述数据文件的元数据的时间变化;
(v)根据用于检测偏差或欺诈的Bedford定律的所述数据文件的随机化的时间变化;
(vi)与从所述数据存储器装置(102)的磁盘存储器块备份和逐段完成备份相关的元数据中的输入-输出分散率的时间变化,以检测段的范围,其中,所述时间变化指示所述数据文件的可能勒索软件分段;
(vii)指示勒索软件对所述数据文件进行了压缩的经压缩或加密的数据中的时间输入输出熵变化。
20.根据权利要求11至19中任一项所述的方法,其中,所述方法包括配置所述数据处理装置(100、200、300、400)响应于所述数据存储器装置(102)、所述文件目录、用表征所述数据文件的数据对所述文件目录进行填充的持续时间中的一个或多个的结构,动态调整所述阈值量。
21.一种包括计算机可执行指令的软件产品,其中,所述指令在数据处理硬件上可执行,以实现根据权利要求11所述的方法。
CN202180095511.4A 2021-04-07 2021-04-07 用于检测文件目录中的勒索软件的数据处理装置和方法 Pending CN116964562A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2021/058985 WO2022214165A1 (en) 2021-04-07 2021-04-07 Data processing arrangement and method for detecting ransomware in a file catalog

Publications (1)

Publication Number Publication Date
CN116964562A true CN116964562A (zh) 2023-10-27

Family

ID=75438776

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180095511.4A Pending CN116964562A (zh) 2021-04-07 2021-04-07 用于检测文件目录中的勒索软件的数据处理装置和方法

Country Status (4)

Country Link
US (1) US20240028725A1 (zh)
EP (1) EP4302195A1 (zh)
CN (1) CN116964562A (zh)
WO (1) WO2022214165A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9935973B2 (en) * 2015-12-16 2018-04-03 Carbonite, Inc. Systems and methods for automatic detection of malicious activity via common files
US10476907B2 (en) * 2016-08-10 2019-11-12 Netskope, Inc. Systems and methods of detecting and responding to a data attack on a file system
US11113156B2 (en) * 2018-01-10 2021-09-07 Kaseya Us Llc Automated ransomware identification and recovery
US11120131B2 (en) * 2018-07-30 2021-09-14 Rubrik, Inc. Ransomware infection detection in filesystems
US20210044604A1 (en) * 2019-08-07 2021-02-11 Rubrik, Inc. Anomaly and ransomware detection

Also Published As

Publication number Publication date
US20240028725A1 (en) 2024-01-25
WO2022214165A1 (en) 2022-10-13
EP4302195A1 (en) 2024-01-10

Similar Documents

Publication Publication Date Title
US11113156B2 (en) Automated ransomware identification and recovery
US11783036B2 (en) Ransomware infection detection in filesystems
US11620524B2 (en) Issuing alerts for storage volumes using machine learning
US11137930B2 (en) Data protection using change-based measurements in block-based backup
US10437996B1 (en) Classifying software modules utilizing similarity-based queries
US20190236274A1 (en) Detection of and recovery from ransomware in backup data
US9813443B1 (en) Systems and methods for remediating the effects of malware
US9298561B1 (en) Systems and methods for prioritizing restoration speed with deduplicated backups
US10169595B2 (en) Detecting malicious data access in a distributed environment
US10574700B1 (en) Systems and methods for managing computer security of client computing machines
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US10466924B1 (en) Systems and methods for generating memory images of computing devices
US20240111870A1 (en) Systems and Methods For Protecting Against Malware Attacks
US10037276B1 (en) Systems and methods for accelerating access to data by pre-warming the cache for virtual machines
JP6677803B2 (ja) 頻繁に使用されるイメージセグメントをキャッシュからプロビジョニングするためのシステム及び方法
US20230325504A1 (en) Block-based protection from ransomware
US10366076B1 (en) Systems and methods for repairing corrupted data segments in deduplicated data systems
CN116964562A (zh) 用于检测文件目录中的勒索软件的数据处理装置和方法
US9436697B1 (en) Techniques for managing deduplication of data
US20210349748A1 (en) Virtual machine restoration for anomaly condition evaluation
KR20190064264A (ko) 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치
Hirano et al. Evaluation of a sector-hash based rapid file detection method for monitoring infrastructure-as-a-service cloud platforms
US11949710B2 (en) System and method for efficient early indication of ransomware attack for damage prevention and control
CN116917872A (zh) 用于项目的多源恢复的设备和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination