CN117421733A - 勒索病毒检测方法、装置、电子设备及可读存储介质 - Google Patents
勒索病毒检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN117421733A CN117421733A CN202311745270.0A CN202311745270A CN117421733A CN 117421733 A CN117421733 A CN 117421733A CN 202311745270 A CN202311745270 A CN 202311745270A CN 117421733 A CN117421733 A CN 117421733A
- Authority
- CN
- China
- Prior art keywords
- feature
- storage system
- sequence
- information
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 87
- 241000700605 Viruses Species 0.000 claims abstract description 150
- 238000000034 method Methods 0.000 claims abstract description 85
- 238000012545 processing Methods 0.000 claims abstract description 61
- 238000004364 calculation method Methods 0.000 claims abstract description 44
- 238000003062 neural network model Methods 0.000 claims abstract description 44
- 230000007246 mechanism Effects 0.000 claims abstract description 40
- 238000012544 monitoring process Methods 0.000 claims abstract description 32
- 239000013598 vector Substances 0.000 claims description 38
- 238000012549 training Methods 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 18
- 230000006403 short-term memory Effects 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000007787 long-term memory Effects 0.000 claims description 10
- 238000010606 normalization Methods 0.000 claims description 8
- 238000007781 pre-processing Methods 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 11
- 238000013528 artificial neural network Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000010801 machine learning Methods 0.000 description 5
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 239000000243 solution Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000003780 insertion Methods 0.000 description 3
- 230000037431 insertion Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 230000000306 recurrent effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Biophysics (AREA)
- Computer Hardware Design (AREA)
- Life Sciences & Earth Sciences (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Virology (AREA)
- Image Analysis (AREA)
Abstract
本发明公开了一种勒索病毒检测方法、装置、电子设备及可读存储介质,应用于信息安全技术领域,用于解决传统技术中基于SQL语句分析的勒索病毒检测方法无法直接应用于块存储系统中,导致无法对块存储系统进行勒索病毒检测的问题,其中,勒索病毒检测方法包括:对块存储系统进行监控,获得每一IO操作的IO信息;根据各IO信息进行特征计算,获得IO特征序列;利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态;隐藏状态表示IO特征与IO特征序列中上一相邻IO特征的依赖关系;利用自注意力机制对各隐藏状态进行处理,获得所有IO特征的加权和;根据加权和确定块存储系统是否存在勒索病毒。
Description
技术领域
本发明涉及信息安全领域,特别涉及一种勒索病毒检测方法,还涉及一种勒索病毒检测装置、电子设备以及计算机可读存储介质。
背景技术
在企业级数据库和分布式系统中,数据库勒索已经成为一个极其严重和紧迫的问题。随着数字化时代的快速发展,企业和组织中存储的重要数据不断增加,包括客户信息、财务数据、知识产权等敏感信息,这些数据对于企业的运营和发展至关重要。数据库作为企业存储和管理数据的核心系统,不可避免地成为攻击者的目标。攻击者常常利用SQL(Structured Query Language,结构化查询语言)注入等手段,成功获取目标数据库的执行权限,并将数据加密以勒索受害者支付赎金以恢复数据。这对企业造成了严重损失。
虽然数据库勒索问题已经引起了广泛关注,但目前研究主要集中在传统的单机数据库系统上,而很少有研究关注分布式块存储上的数据库勒索。然而,在块存储系统上,用户所产生的SQL语句在数据库系统上执行完毕后,块存储端只能获取到该SQL语句访问磁盘的I/O(Input/Output,输入/输出)序列,而无法完全还原SQL语句的具体内容,实际上,块存储系统中的数据库操作是以磁盘读写操作的形式进行的,这导致了传统的基于SQL语句分析的数据库勒索检测方法无法直接应用于块存储系统中。
因此,如何对块存储系统进行勒索病毒检测,以有效保证块存储系统的设备安全,进而保证存储信息安全是本领域技术人员亟待解决的问题。
发明内容
本发明的目的是提供一种勒索病毒检测方法,该勒索病毒检测方法可以对块存储系统进行勒索病毒检测,以有效保证块存储系统的设备安全,进而保证存储信息安全;本发明的另一目的是提供一种勒索病毒检测装置、电子设备及计算机可读存储介质,均具有上述有益效果。
第一方面,本发明提供了一种勒索病毒检测方法,方法包括:
对块存储系统进行监控,获得每一IO操作的IO信息;
根据各所述IO信息进行特征计算,获得IO特征序列;
利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态;所述隐藏状态表示所述IO特征与所述IO特征序列中上一相邻IO特征的依赖关系;
利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和;
根据所述加权和确定所述块存储系统是否存在勒索病毒。
可选地,所述根据各所述IO信息进行特征计算,获得IO特征序列,包括:
按照预设数量对各所述IO操作进行划分,获得各IO序列;其中,每一所述IO序列中包括所述预设数量个所述IO操作;
对于每一所述IO序列,根据所述IO序列中的各所述IO信息进行特征计算,获得所述IO序列对应的IO特征;
将所有所述IO序列对应的所述IO特征组成所述IO特征序列。
可选地,所述根据所述IO序列中的各所述IO信息进行特征计算,获得所述IO序列对应的IO特征,包括:
对所述IO序列中的所有所述IO信息进行均值计算,获得所述IO序列对应的IO特征。
可选地,所述预设神经网络模型为长短期记忆网络模型,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态,包括:
将所述IO特征序列输入至所述长短期记忆网络模型;
在所述长短期记忆网络模型中,对于所述IO特征序列中的每一所述IO特征,利用输入门参数计算得到所述IO特征的候选细胞状态;
利用遗忘门参数和前一IO特征的所述候选细胞状态计算得到所述IO特征的细胞状态;
利用输出门参数和所述IO特征的细胞状态计算得到所述IO特征的隐藏状态。
可选地,所述利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和,包括:
对于每一所述隐藏状态,计算所述隐藏状态的查询向量、键向量和值向量;
利用各所述查询向量和各所述键向量计算任意两个所述隐藏状态之间的相似度;
对于每一所述隐藏状态,根据所述相似度和所述值向量计算获得所述隐藏状态的注意力权重;
根据各所述隐藏状态的所述注意力权重和所述值向量进行加权计算,获得所述加权和。
可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒,包括:
判断所述加权和是否处于预设阈值范围内;
若所述加权和处于所述预设阈值范围内,则确定所述块存储系统存在所述勒索病毒;
若所述加权和未处于所述预设阈值范围内,则确定所述块存储系统不存在所述勒索病毒。
可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
统计预设时间段内的勒索病毒检测结果,以及各所述勒索病毒检测结果对应的IO特征序列;
根据各所述勒索病毒检测结果和各所述IO特征序列生成更新训练样本;
利用所述更新训练样本对所述预设神经网络模型进行更新处理,获得更新后的神经网络模型。
可选地,所述对块存储系统进行监控,获得每一IO操作的IO信息,包括:
对所述块存储系统进行监控,获得每一所述IO操作的IO信息;其中,所述IO信息包括IO大小、IO偏移、IO时间戳、IO标志位中的一种或多种的组合。
可选地,所述对块存储系统进行监控,获得每一IO操作的IO信息,包括:
利用hook机制对所述块存储系统的应用程序编程接口进行监控,获得每一所述IO操作的IO信息。
可选地,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态之前,还包括:
对所述IO特征序列中的各所述IO特征进行预处理;其中,所述预处理包括标准化处理和/或归一化处理。
可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
当确定所述块存储系统存在所述勒索病毒时,输出勒索病毒检测结果以及所述勒索病毒检测结果对应的各所述IO信息和所述IO特征序列。
可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
当确定所述块存储系统存在所述勒索病毒时,输出告警提示。
第二方面,本发明还公开了一种勒索病毒检测装置,包括:
监控模块,用于对块存储系统进行监控,获得每一IO操作的IO信息;
计算模块,用于根据各所述IO信息进行特征计算,获得IO特征序列;
第一处理模块,用于利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态;所述隐藏状态表示所述IO特征与所述IO特征序列中上一相邻IO特征的依赖关系;
第二处理模块,用于利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和;
确定模块,用于根据所述加权和确定所述块存储系统是否存在勒索病毒。
第三方面,本发明还公开了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述的任一种勒索病毒检测方法的步骤。
第四方面,本发明还公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的任一种勒索病毒检测方法的步骤。
本发明提供了一种勒索病毒检测方法,包括:对块存储系统进行监控,获得每一IO操作的IO信息;根据各所述IO信息进行特征计算,获得IO特征序列;利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态;利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和;根据所述加权和确定所述块存储系统是否存在勒索病毒。
应用本发明所提供的技术方案,预先将神经网络技术和自注意力机制相结合,通过对块存储系统上的批量IO操作数据进行学习和训练,构建完整的勒索病毒检测模型,由此,在对块存储系统进行勒索病毒检测的过程中,可以对其中发生的所有IO操作进行监控,得到每一IO操作的IO信息,并对其进行特征计算,得到相应的IO特征序列,在此基础上,即可利用上述预训练得到的预设神经网络模型和自注意力机制对IO特征序列进行分析处理,其中,预设神经网络模型用于计算IO特征序列中各IO特征的隐藏状态,自注意力机制用于计算IO特征序列中所有IO特征的加权和,从而得到最终的处理结果,即加权和,由此,即可根据该加权和确定勒索病毒检测结果,也就是确定块存储系统中是否存在勒索病毒,从而完成对于块存储系统的勒索病毒检测。可见,本技术方案实现了对块存储系统的勒索病毒检测,可以有效保证块存储系统的设备安全,进一步保证存储信息安全。
本发明所提供的勒索病毒检测装置、电子设备以及计算机可读存储介质,同样具有上述技术效果,本发明在此不再赘述。
附图说明
为了更清楚地说明现有技术和本发明实施例中的技术方案,下面将对现有技术和本发明实施例描述中需要使用的附图作简要的介绍。当然,下面有关本发明实施例的附图描述的仅仅是本发明中的一部分实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图,所获得的其他附图也属于本发明的保护范围。
图1为本发明所提供的一种勒索病毒检测方法的流程示意图;
图2为本发明所提供的一种勒索病毒检测方法的原理图;
图3为本发明所提供的一种块存储系统监控方法的原理图;
图4为本发明所提供的一种勒索病毒检测系统的结构示意图;
图5为本发明所提供的一种勒索病毒检测装置的结构示意图;
图6为本发明所提供的一种电子设备的结构示意图。
具体实施方式
本发明的核心是提供一种勒索病毒检测方法,该勒索病毒检测方法可以对块存储系统进行勒索病毒检测,以有效保证块存储系统的设备安全,进而保证存储信息安全;本发明的另一核心是提供一种勒索病毒检测装置、电子设备及计算机可读存储介质,均具有上述有益效果。
为了对本发明实施例中的技术方案进行更加清楚、完整地描述,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行介绍。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
可以理解的是,本发明所提供的勒索病毒检测方法可以应用于独立的勒索病毒检测设备,通过将该勒索病毒检测设备与块存储系统相连接,实现勒索病毒检测设备对于块存储系统的勒索病毒检测;或者,本发明所提供的勒索病毒检测方法可以应用于技术人员开发的勒索病毒检测组件,通过将该勒索病毒检测组件部署至块存储系统,实现通过勒索病毒检测组件对块存储系统进行勒索病毒检测。上述各类实现方案可以由技术人员根据实际情况进行设置,本发明对此不做限定。
本发明实施例提供了一种勒索病毒检测方法。
请参考图1,图1为本发明所提供的一种勒索病毒检测方法的流程示意图,该勒索病毒检测方法可以包括如下S101至S105。
S101:对块存储系统进行监控,获得每一IO操作的IO信息。
本步骤旨在实现块存储系统中IO操作的监控。具体而言,当需要对某一块存储系统进行勒索病毒检测时,可以由技术人员通过前端界面发起勒索病毒检测指令,由此,勒索病毒检测设备或勒索病毒检测组件即可响应该勒索病毒检测命令,对目标块存储系统(需要进行勒索病毒检测的块存储系统)中所发生的所有IO操作进行监控,并采集得到每一IO操作的IO信息。
其中,IO操作即读写操作,可以包括但不限于块存储系统上各项系统业务对块存储系统进行的插入、查询、截断等操作,相应的,IO操作的IO信息即可包括但不限于用户对块存储系统进行的插入、查询、截断等操作的底层磁盘读写信息。可以理解的是,底层磁盘读写信息可能来自于不同的底层磁盘,因此,可以根据磁盘号对采集得到的IO信息进行分类,并针对每一磁盘进行相应的勒索病毒检测,从而实现完整块存储系统的勒索病毒检测。
其中,IO信息的具体内容可以由技术人员根据实际情况进行选择设定,可以理解的是,IO信息的数据类型越丰富,越有助于训练得到具有更高检测精度的检测模型,进而越有助于保证勒索病毒检测结果的准确性。因此,在本发明的一个实施例中,上述对块存储系统进行监控,获得每一IO操作的IO信息,可以包括:对块存储系统进行监控,获得每一IO操作的IO信息;其中,IO信息可以包括IO大小、IO偏移、IO时间戳、IO标志位中的一种或多种的组合。
其中,IO大小即相应IO操作的数据块的大小,IO偏移即相应IO操作的数据块的偏移地址,IO时间戳即相应IO操作发生的时间节点,IO标志位即相应IO操作的操作类型(如上述插入、查询、截断等不同类型的IO操作)。
需要说明的是,基于预设神经网络和自注意力机制的数据处理流程是针对基于多个IO信息计算得到的IO特征序列进行数据处理,因此,在每采集得到一个IO操作的IO信息之后,并不直接对其进行后续处理,而是可以先将其记录至预设文件,待到预设文件中的IO信息的数量达到一定数量后,再对其进行后续处理。因此,在本发明的一个实施例中,上述对块存储系统进行监控,获得每一IO操作的IO信息之后,还可以包括:将所述IO信息记录至预设文件,直至预设文件中的IO信息数量达到设定数量。当然,设定数量的取值并不唯一,可以由技术人员根据实际情况进行设定,本发明对此不做限定。此外,在一种可能的实现方式中,上述预设文件具体可以为日志文件。
在本发明的一个实施例中,上述对块存储系统进行监控,获得每一IO操作的IO信息,可以包括:利用hook(钩子)机制对块存储系统的应用程序编程接口进行监控,获得每一IO操作的IO信息。
本发明实施例所提供的勒索病毒检测方法提供了一种块存储系统上关于IO操作监控方法。具体而言,可以使用Linux下so文件中的hook机制实现各IO操作的IO信息的采集,此外,由于系统业务运行过程中对于块存储系统的IO操作请求都是通过块存储系统的应用程序编程接口(API,ApplicatIOn Programming Interface)进行传输的,因此,具体可以利用hook机制对块存储系统的API接口进行监控,得到每一IO操作的IO信息。由此,实现各IO操作的IO信息采集。
S102:根据各IO信息进行特征计算,获得IO特征序列。
本步骤旨在实现对于IO信息的特征计算,从而提取得到块存储系统上的IO特征序列。如上所述,在采集得到块存储系统上每一IO操作的IO信息之后,将其记录至了预设文件,由此,即可读取预设文件中所有的IO信息,并对其进行特征计算,得到相应的IO特征序列。需要说明的是,IO特征序列中IO特征的特征类型并不唯一,主要由IO信息的数据类型所决定,一般为影响勒索病毒检测结果的主要特征因素,本发明对此不做限定。
在本发明的一个实施例中,上述根据各IO信息进行特征计算,获得IO特征序列,可以包括如下步骤:
按照预设数量对各IO操作进行划分,获得各IO序列;其中,每一IO序列中包括预设数量个IO操作;
对于每一IO序列,根据IO序列中的各IO信息进行特征计算,获得IO序列对应的IO特征;
将所有IO序列对应的IO特征组成IO特征序列。
本发明实施例所提供的勒索病毒检测方法提供了一种关于IO信息的特征计算方法。具体而言,对于块存储系统上所发生的各个IO操作,可以按照预设数量对其进行划分,得到多个IO序列,其中,每一IO序列均包含有预设数量个IO操作,由此,对于每一个IO序列,即可利用其中各IO操作的IO信息进行特征计算,得到每一IO序列的IO特征,由此,所有IO序列的IO特征组合为IO特征序列。当然,上述预设数量的取值并不唯一,可以由技术人员根据实际情况进行设定,本发明对此不做限定。其中,按照预设数量对各IO操作进行划分可以通过每间隔预设数量个IO操作插入一个空向量实现。
需要说明的是,上述实施方式仅为本发明所提供的一种实现方式,并不唯一,例如,在另一种可能的实现方式中,上述根据各IO信息进行特征计算,获得IO特征序列,可以包括如下步骤:按照预设数量对各IO信息进行划分,获得各IO信息序列;其中,每一IO信息序列中包括预设数量个IO信息;对于每一IO信息序列,根据IO信息序列中的各IO信息进行特征计算,获得IO信息序列对应的IO特征;将所有IO信息序列对应的IO特征组成IO特征序列。
在本发明的一个实施例中,上述根据IO序列中的各IO信息进行特征计算,获得IO序列对应的IO特征,可以包括:对IO序列中的所有IO信息进行均值计算,获得IO序列对应的IO特征。
本发明实施例所提供的勒索病毒检测方法提供了一种计算IO序列对应的IO特征的实现方法,即均值计算方法。具体而言,每一IO序列中包括有预设数量个IO操作,每一IO操作对应一个IO信息,由此,即可对该IO序列中所有IO操作的IO信息进行加和求平均值计算,得到该IO序列对应的IO特征。如上所述,IO信息可以包括IO大小和IO偏移,那么相对应的,IO特征即可包括预设数量个IO大小的平均IO大小和预设数量个IO偏移的平均IO偏移;IO信息可以包括IO时间戳,相对应的,IO特征还可以包括IO吞吐率。
S103:利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态;隐藏状态表示IO特征与IO特征序列中上一相邻IO特征的依赖关系。
本步骤旨在实现基于预设神经网络模型的IO特征处理,以获得各个IO特征的隐藏状态。具体而言,在获得IO特征序列之后,即可将其输入至预设神经网络模型进行处理,模型的输出结果即为IO序列中各IO特征的隐藏状态。其中,预设神经网络模型预先利用勒索病毒数据的正负样本进行训练得到,可以预存于相应的存储空间,在使用时直接调用即可。
其中,IO特征的隐藏状态表示该IO特征与其所在的IO特征序列中上一相邻IO特征的依赖关系。在一种可能的实现方式中,预设神经网络具体可以采用LSTM网络(Long ShortTerm Memory,长短期记忆网络),LSTM通过引入一种称为“门”的机制,可以选择性地保存和忘记信息,能够更好的捕捉各个特征之间的长期依赖关系,有助于实现更为精准的隐藏状态预测,进而有助于提高勒索病毒检测结果的准确性。
在本发明的一个实施例中,上述预设神经网络模型具体可以为长短期记忆网络模型,上述利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态,可以包括如下步骤:
将IO特征序列输入至长短期记忆网络模型;
在长短期记忆网络模型中,对于IO特征序列中的每一IO特征,利用输入门参数计算得到IO特征的候选细胞状态;
利用遗忘门参数和前一IO特征的候选细胞状态计算得到IO特征的细胞状态;
利用输出门参数和IO特征的细胞状态计算得到IO特征的隐藏状态。
本发明实施例所提供的IO特征处理可基于长短期记忆网络模型实现。具体而言,LSTM模型一种循环神经网络(RNN,Recurrent Neural Network)的变体,旨在解决传统RNN中的梯度消失和梯度爆炸问题,同时能够更好地捕捉长期依赖关系,其工作原理主要在于通过一系列的门和状态来控制信息的流动,主要包括输入门、(Input Gate)遗忘门(ForgetGate)和输出门(Output Gate)。其中,输入门用于控制当前输入对细胞状态的影响程度;遗忘门用于控制细胞状态中的遗忘程度;输出门用于决定输出细胞状态的哪一部分。
在实现过程中,在将IO特征序列输入至LSTM模型之后,对于IO特征序列中的每一个IO特征,LSTM模型都会首先通过输入门参数计算其对应的候选细胞状态,然后利用遗忘门参数和前一IO特征(以IO特征序列中各IO特征的排列顺序为准)的候选细胞状态计算其对应的细胞状态,最后利用输出门参数其对应的隐藏状态。由此,得到IO特征序列中每一IO特征的隐藏状态。
S104:利用自注意力机制对各隐藏状态进行处理,获得所有IO特征的加权和。
本步骤旨在实现基于自注意力机制的隐藏状态处理,以获得IO特征序列中所有IO特征的加权和。可以理解的是,自注意力机制是一种用于建模序列中元素之间关系的机制,其可以根据元素之间的相互作用程度自动学习并赋予不同元素的重要性权重,因此,通过将自注意力机制引入预设神经网络,可以综合考虑到各类IO特征对于勒索病毒检测结果的影响程度,有助于实现更为准确的勒索病毒检测。
在本发明的一个实施例中,上述利用自注意力机制对各隐藏状态进行处理,获得所有IO特征的加权和,可以包括如下步骤:
对于每一隐藏状态,计算隐藏状态的查询向量、键向量和值向量;
利用各查询向量和各键向量计算任意两个隐藏状态之间的相似度;
对于每一隐藏状态,根据相似度和值向量计算获得隐藏状态的注意力权重;
根据各隐藏状态的注意力权重和值向量进行加权计算,获得加权和。
在实现过程中,对于IO特征序列中每一IO特征的隐藏状态,可以利用自注意力机制中的相关参数计算其对应的查询向量(Query)、键向量(Key)和值向量(Value),其中,查询向量和键向量用于实现隐藏状态之间的相似度计算,然后结合值向量即可计算得到每一个隐藏状态的注意力权重,由此,通过加权计算即可得到所有隐藏状态的加权和。
S105:根据加权和确定块存储系统是否存在勒索病毒。
本步骤旨在实现勒索病毒的最终确定,即根据所有IO特征的加权和确定当前块存储系统中是否存在勒索病毒。在一种可能的实现方式中,上述根据加权和确定块存储系统是否存在勒索病毒,可以包括如下步骤:判断加权和是否处于预设阈值范围内;若加权和处于预设阈值范围内,则确定块存储系统存在勒索病毒;若加权和未处于预设阈值范围内,则确定块存储系统不存在勒索病毒。其中,预设阈值范围的具体取值并不影响本技术方案的实施,由即使人员根据实际经验进行设定即可,本发明对此不做限定。
可见,本发明实施例所提供的勒索病毒检测方法,预先将神经网络技术和自注意力机制相结合,通过对块存储系统上的批量IO操作数据进行学习和训练,构建完整的勒索病毒检测模型,由此,在对块存储系统进行勒索病毒检测的过程中,可以对其中发生的所有IO操作进行监控,得到每一IO操作的IO信息,并对其进行特征计算,得到相应的IO特征序列,在此基础上,即可利用上述预训练得到的预设神经网络模型和自注意力机制对IO特征序列进行分析处理,其中,预设神经网络模型用于计算IO特征序列中各IO特征的隐藏状态,自注意力机制用于计算IO特征序列中所有IO特征的加权和,从而得到最终的处理结果,即加权和,由此,即可根据该加权和确定勒索病毒检测结果,也就是确定块存储系统中是否存在勒索病毒,从而完成对于块存储系统的勒索病毒检测。可见,本技术方案实现了对块存储系统的勒索病毒检测,可以有效保证块存储系统的设备安全,进一步保证存储信息安全。
在上述实施例的基础上:
在本发明的一个实施例中,上述根据加权和确定块存储系统是否存在勒索病毒之后,还可以包括如下步骤:
统计预设时间段内的勒索病毒检测结果,以及各勒索病毒检测结果对应的IO特征序列;
根据各勒索病毒检测结果和各IO特征序列生成更新训练样本;
利用更新训练样本对预设神经网络模型进行更新处理,获得更新后的神经网络模型。
本发明实施例所提供的勒索病毒检测方法还可以进一步实现模型更新功能。为进一步提高模型精度,提高勒索病毒检测结果的准确性,可以每间隔预设时间段,统计该预设时间段内的勒索病毒检测结果以及各勒索病毒检测结果对应的IO特征序列,以生成用于实现预设神经网络模型更新的样本数据,即上述更新训练样本,由此,即可利用该更新训练样本对预设神经网络模型进行更新处理,得到更新后的神经网络模型。由此可见,本发明实施例所提供的勒索病毒检测方法进一步实现了预设神经网络模型的定时增量更新,使得该模型更加适用于相应的检测场景,具有更高的模型精度,有助于实现更为准确的勒索病毒检测。
在本发明的一个实施例中,上述利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态之前,还可以包括:对IO特征序列中的各IO特征进行预处理;其中,预处理包括标准化处理和/或归一化处理。
本发明实施例所提供的勒索病毒检测方法还可以进一步实现数据预测处理功能,即在根据各IO信息进行特征计算,获得IO特征序列之后,在利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态之前,可以先对IO特征序列中的各个IO特征进行预处理,该预处理操作包括但不限于标准化处理和归一化处理,以有效消除不同特征的数量级差异对检测结果造成的影响,进一步提高勒索病毒检测结果的准确性。
在本发明的一个实施例中,上述根据加权和确定块存储系统是否存在勒索病毒之后,还可以包括:当确定块存储系统存在勒索病毒时,输出勒索病毒检测结果以及勒索病毒检测结果对应的各IO信息和IO特征序列。
本发明实施例所提供的勒索病毒检测方法还可以进一步实现信息输出功能。具体而言,在确定块存储系统确实存储勒索病毒攻击时,可以进一步输出当前勒索病毒检测结果以及该勒索病毒检测结果对应的各IO信息和IO特征序列,以便于技术人员可以根据这些输出数据进行进一步分析处理,从而可以更为快速地进行攻击防护和异常恢复。当然,这些输出数据还可以用于实现上述模型更新处理。
在本发明的一个实施例中,上述根据加权和确定块存储系统是否存在勒索病毒之后,还可以包括:当确定块存储系统存在勒索病毒时,输出告警提示。
本发明实施例所提供的勒索病毒检测方法还可以进一步实现告警功能,即在确定块存储系统确实存储勒索病毒攻击时,即可输出告警提示,如邮件提醒、可视化界面展示、声音告警等,以提示技术人员当前块存储系统正在遭受勒索病毒攻击,便于技术人员及时进行攻击防护,以便及时有效地恢复块存储系统的设备安全,避免信息泄露问题。
在上述各实施例的基础上,本发明实施例提供了另一种勒索病毒检测方法。
首先,请参考图2,图2为本发明所提供的一种勒索病毒检测方法的原理图,本发明实施例以Ceph存储系统(统一分布式存储系统)中的RBD(RADOS Block Device,块存储)为例,其勒索病毒检测过程包括:
(1)主机端使用Tgt软件(一种开源软件)将块存储导出为协议,以便主机端操作系统可以通过远程映射技术(ISCSI,Internet Small Computer System Interface)连接存储系统。由此,即可将任意大小的一个RBD块当成一个磁盘使用。当主机端请求读写磁盘块时,ISCSI程序会向服务器发送请求,服务器则会根据开启的RBD模块来调用相应的函数实现块存储的读写操作。
(2)在块存储读写过程中,可以对API接口进行hook监控,收集IO操作的IO信息,如图3所示,图3为本发明所提供的一种块存储系统监控方法的原理图,在完成IO信息采集后可将其记录至日志文件中。
(3)在机器学习分类模块中,将LSTM网络与自注意力机制相结合,通过对IO信息进行分析处理,即可得到最终的勒索病毒检测结果。
进一步,机器学习分类模块中主要包含以下几个子模块:
(1)IO信息处理:用户在使用块存储系统时对磁盘的访问行为表现在服务提供端为一系列的读写请求,可以在API接口处对其进行截获,截获到的IO信息主要包括时间戳、读写块号、读写偏移、读写长度、读写标志等信息,利用这些信息,先对其进行特征工程和数据增强处理,即在间隔超过某一阈值(预设数量)的序列之间插入空的向量,以告知机器学习模型该处存在大量IO空闲,得到多个IO序列,然后根据以上IO信息进行特征计算,得到磁盘IOPS(IO吞吐率)、平均读写偏移、平均读写大小等IO特征。在此基础上,在将IO特征输入至机器学习模型之前,可以先对其进行归一化处理,以消除不同特征的数量级差异造成的影响。
(2)LSTM(长短期记忆网络):主要包括输入门、遗忘门以及输出门,其中,输入门用于控制当前输入对细胞状态的影响程度;遗忘门用于控制细胞状态中的遗忘程度;输出门用于决定输出细胞状态的哪一部分。通过将IO特征输入至LSTM模型,即可计算得到各IO特征的隐藏状态。
(3)Self-Attention(自注意力机制):一种用于建模序列中元素之间关系的机制,其可以根据元素之间的相互作用程度自动学习并赋予不同位置的重要性权重。通过自注意力机制对各IO特征的隐藏状态进行计算处理,即可获得所有IO特征的加权和。
基于上述3个子模块,请参照图4,图4为本发明所提供的一种勒索病毒检测系统的结构示意图,主要包括特征向量处理、输入层、LSTM层、Attention层、全连接层、输出层,通过该系统中各网络层对于IO信息的分析处理,即可获得最终的勒索病毒检测结果。
(4)增量学习机制:增量学习是一种机器学习的方法,其允许模型在已经学习过一部分数据后,通过进一步学习新的数据来更新模型参数,从而适应不断变化的环境和数据分布。在发明实施过程中,在模型上线后可以定期收集真实数据(包括勒索病毒检测结果及其对应的IO信息/IO特征等),并将这些真实数据用于模型参数的增量学习更新。可以理解的是,通过定期收集真实数据,可以不断积累和更新数据集,并在增量学习过程中使用这些新数据进行模型参数的更新,其优势在于,模型可以随着时间的推移适应数据分布的变化,并更好地应对真实环境,有助于提高模型的鲁棒性和泛化能力,使其能够更准确地适应真实环境中的数据分布,并持续提供准确的预测和决策支持。
可见,本发明实施例所提供的勒索病毒检测方法,预先将神经网络技术和自注意力机制相结合,通过对块存储系统上的批量IO操作数据进行学习和训练,构建完整的勒索病毒检测模型,由此,在对块存储系统进行勒索病毒检测的过程中,可以对其中发生的所有IO操作进行监控,得到每一IO操作的IO信息,并对其进行特征计算,得到相应的IO特征序列,在此基础上,即可利用上述预训练得到的预设神经网络模型和自注意力机制对IO特征序列进行分析处理,其中,预设神经网络模型用于计算IO特征序列中各IO特征的隐藏状态,自注意力机制用于计算IO特征序列中所有IO特征的加权和,从而得到最终的处理结果,即加权和,由此,即可根据该加权和确定勒索病毒检测结果,也就是确定块存储系统中是否存在勒索病毒,从而完成对于块存储系统的勒索病毒检测。可见,本技术方案实现了对块存储系统的勒索病毒检测,可以有效保证块存储系统的设备安全,进一步保证存储信息安全。
本发明实施例提供了一种勒索病毒检测装置。
请参考图5,图5为本发明所提供的一种勒索病毒检测装置的结构示意图,该勒索病毒检装置可以包括:
监控模块1,用于对块存储系统进行监控,获得每一IO操作的IO信息;
计算模块2,用于根据各IO信息进行特征计算,获得IO特征序列;
第一处理模块3,用于利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态;隐藏状态表示IO特征与IO特征序列中上一相邻IO特征的依赖关系;
第二处理模块4,用于利用自注意力机制对各隐藏状态进行处理,获得所有IO特征的加权和;
确定模块5,用于根据加权和确定块存储系统是否存在勒索病毒。
可见,本发明实施例所提供的勒索病毒检测装置,预先将神经网络技术和自注意力机制相结合,通过对块存储系统上的批量IO操作数据进行学习和训练,构建完整的勒索病毒检测模型,由此,在对块存储系统进行勒索病毒检测的过程中,可以对其中发生的所有IO操作进行监控,得到每一IO操作的IO信息,并对其进行特征计算,得到相应的IO特征序列,在此基础上,即可利用上述预训练得到的预设神经网络模型和自注意力机制对IO特征序列进行分析处理,其中,预设神经网络模型用于计算IO特征序列中各IO特征的隐藏状态,自注意力机制用于计算IO特征序列中所有IO特征的加权和,从而得到最终的处理结果,即加权和,由此,即可根据该加权和确定勒索病毒检测结果,也就是确定块存储系统中是否存在勒索病毒,从而完成对于块存储系统的勒索病毒检测。可见,本技术方案实现了对块存储系统的勒索病毒检测,可以有效保证块存储系统的设备安全,进一步保证存储信息安全。
在本发明的一个实施例中,上述计算模块2可以包括:
划分单元,用于按照预设数量对各IO操作进行划分,获得各IO序列;其中,每一IO序列中包括预设数量个IO操作;
计算单元,用于对于每一IO序列,根据IO序列中的各IO信息进行特征计算,获得IO序列对应的IO特征;
组合单元,用于将所有IO序列对应的IO特征组成IO特征序列。
在本发明的一个实施例中,上述计算单元可以具体用于对IO序列中的所有IO信息进行均值计算,获得IO序列对应的IO特征。
在本发明的一个实施例中,上述预设神经网络模型具体可以为长短期记忆网络模型,上述第一处理模块3可以包括:
输入单元,用于将IO特征序列输入至长短期记忆网络模型;
输入门计算单元,用于在长短期记忆网络模型中,对于IO特征序列中的每一IO特征,利用输入门参数计算得到IO特征的候选细胞状态;
遗忘门计算单元,用于利用遗忘门参数和前一IO特征的候选细胞状态计算得到IO特征的细胞状态;
输出门计算单元,用于利用输出门参数和IO特征的细胞状态计算得到IO特征的隐藏状态。
在本发明的一个实施例中,上述第二处理模块4可以包括:
向量计算单元,用于对于每一隐藏状态,计算隐藏状态的查询向量、键向量和值向量;
相似度计算单元,用于利用各查询向量和各键向量计算任意两个隐藏状态之间的相似度;
权重计算单元,用于对于每一隐藏状态,根据相似度和值向量计算获得隐藏状态的注意力权重;
加权计算单元,用于根据各隐藏状态的注意力权重和值向量进行加权计算,获得加权和。
在本发明的一个实施例中,上述确定模块5可以包括:
判断单元,用于判断加权和是否处于预设阈值范围内;
第一确定单元,用于若加权和处于预设阈值范围内,则确定块存储系统存在勒索病毒;
第二确定单元,用于若加权和未处于预设阈值范围内,则确定块存储系统不存在勒索病毒。
在本发明的一个实施例中,该勒索病毒检测装置还可以包括更新模块,用于在上述根据加权和确定块存储系统是否存在勒索病毒之后,之后,统计预设时间段内的勒索病毒检测结果,以及各勒索病毒检测结果对应的IO特征序列;根据各勒索病毒检测结果和各IO特征序列生成更新训练样本;利用更新训练样本对预设神经网络模型进行更新处理,获得更新后的神经网络模型。
在本发明的一个实施例中,上述监控模块1可具体用于对块存储系统进行监控,获得每一IO操作的IO信息;其中,IO信息包括IO大小、IO偏移、IO时间戳、IO标志位中的一种或多种的组合。
在本发明的一个实施例中,上述监控模块1可具体用于利用hook机制对块存储系统的应用程序编程接口进行监控,获得每一IO操作的IO信息。
在本发明的一个实施例中,该勒索病毒检测装置还可以包括预处理模块,用于在上述利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态之前,对IO特征序列中的各IO特征进行预处理;其中,预处理包括标准化处理和/或归一化处理。
在本发明的一个实施例中,该勒索病毒检测装置还可以包括输出模块,用于在上述根据加权和确定块存储系统是否存在勒索病毒之后,当确定块存储系统存在勒索病毒时,输出勒索病毒检测结果以及勒索病毒检测结果对应的各IO信息和IO特征序列。
在本发明的一个实施例中,该勒索病毒检测装置还可以包括告警模块,用于在上述根据加权和确定块存储系统是否存在勒索病毒之后,确定块存储系统存在勒索病毒时,输出告警提示。
对于本发明实施例提供的装置的介绍请参照上述方法实施例,本发明在此不做赘述。
本发明实施例提供了一种电子设备。
请参考图6,图6为本发明所提供的一种电子设备的结构示意图,该电子设备可包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时可实现如上述任意一种勒索病毒检测方法的步骤。
如图6所示,为电子设备的组成结构示意图,电子设备可以包括:处理器10、存储器11、通信接口12和通信总线13。处理器10、存储器11、通信接口12均通过通信总线13完成相互间的通信。
在本发明实施例中,处理器10可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件等。
处理器10可以调用存储器11中存储的程序,具体的,处理器10可以执行勒索病毒检测方法的实施例中的操作。
存储器11中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本发明实施例中,存储器11中至少存储有用于实现以下功能的程序:
对块存储系统进行监控,获得每一IO操作的IO信息;
根据各IO信息进行特征计算,获得IO特征序列;
利用预设神经网络模型对IO特征序列中的每一IO特征进行处理,获得各IO特征的隐藏状态;隐藏状态表示IO特征与IO特征序列中上一相邻IO特征的依赖关系;
利用自注意力机制对各隐藏状态进行处理,获得所有IO特征的加权和;
根据加权和确定块存储系统是否存在勒索病毒。
在一种可能的实现方式中,存储器11可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器11可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件或其他易失性固态存储器件。
通信接口12可以为通信模块的接口,用于与其他设备或者系统连接。
当然,需要说明的是,图6所示的结构并不构成对本发明实施例中电子设备的限定,在实际应用中电子设备可以包括比图6所示的更多或更少的部件,或者组合某些部件。
本发明实施例提供了一种计算机可读存储介质。
本发明实施例所提供的计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如上述任意一种勒索病毒检测方法的步骤。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明实施例提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的技术方案进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明的保护范围内。
Claims (15)
1.一种勒索病毒检测方法,其特征在于,包括:
对块存储系统进行监控,获得每一IO操作的IO信息;
根据各所述IO信息进行特征计算,获得IO特征序列;
利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态;所述隐藏状态表示所述IO特征与所述IO特征序列中上一相邻IO特征的依赖关系;
利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和;
根据所述加权和确定所述块存储系统是否存在勒索病毒。
2.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据各所述IO信息进行特征计算,获得IO特征序列,包括:
按照预设数量对各所述IO操作进行划分,获得各IO序列;其中,每一所述IO序列中包括所述预设数量个所述IO操作;
对于每一所述IO序列,根据所述IO序列中的各所述IO信息进行特征计算,获得所述IO序列对应的IO特征;
将所有所述IO序列对应的所述IO特征组成所述IO特征序列。
3.根据权利要求2所述的勒索病毒检测方法,其特征在于,所述根据所述IO序列中的各所述IO信息进行特征计算,获得所述IO序列对应的IO特征,包括:
对所述IO序列中的所有所述IO信息进行均值计算,获得所述IO序列对应的IO特征。
4.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述预设神经网络模型为长短期记忆网络模型,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态,包括:
将所述IO特征序列输入至所述长短期记忆网络模型;
在所述长短期记忆网络模型中,对于所述IO特征序列中的每一所述IO特征,利用输入门参数计算得到所述IO特征的候选细胞状态;
利用遗忘门参数和前一IO特征的所述候选细胞状态计算得到所述IO特征的细胞状态;
利用输出门参数和所述IO特征的细胞状态计算得到所述IO特征的隐藏状态。
5.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和,包括:
对于每一所述隐藏状态,计算所述隐藏状态的查询向量、键向量和值向量;
利用各所述查询向量和各所述键向量计算任意两个所述隐藏状态之间的相似度;
对于每一所述隐藏状态,根据所述相似度和所述值向量计算获得所述隐藏状态的注意力权重;
根据各所述隐藏状态的所述注意力权重和所述值向量进行加权计算,获得所述加权和。
6.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒,包括:
判断所述加权和是否处于预设阈值范围内;
若所述加权和处于所述预设阈值范围内,则确定所述块存储系统存在所述勒索病毒;
若所述加权和未处于所述预设阈值范围内,则确定所述块存储系统不存在所述勒索病毒。
7.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
统计预设时间段内的勒索病毒检测结果,以及各所述勒索病毒检测结果对应的IO特征序列;
根据各所述勒索病毒检测结果和各所述IO特征序列生成更新训练样本;
利用所述更新训练样本对所述预设神经网络模型进行更新处理,获得更新后的神经网络模型。
8.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述对块存储系统进行监控,获得每一IO操作的IO信息,包括:
对所述块存储系统进行监控,获得每一所述IO操作的IO信息;其中,所述IO信息包括IO大小、IO偏移、IO时间戳、IO标志位中的一种或多种的组合。
9.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述对块存储系统进行监控,获得每一IO操作的IO信息,包括:
利用hook机制对所述块存储系统的应用程序编程接口进行监控,获得每一所述IO操作的IO信息。
10.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态之前,还包括:
对所述IO特征序列中的各所述IO特征进行预处理;其中,所述预处理包括标准化处理和/或归一化处理。
11.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
当确定所述块存储系统存在所述勒索病毒时,输出勒索病毒检测结果以及所述勒索病毒检测结果对应的各所述IO信息和所述IO特征序列。
12.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
当确定所述块存储系统存在所述勒索病毒时,输出告警提示。
13.一种勒索病毒检测装置,其特征在于,包括:
监控模块,用于对块存储系统进行监控,获得每一IO操作的IO信息;
计算模块,用于根据各所述IO信息进行特征计算,获得IO特征序列;
第一处理模块,用于利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态;所述隐藏状态表示所述IO特征与所述IO特征序列中上一相邻IO特征的依赖关系;
第二处理模块,用于利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和;
确定模块,用于根据所述加权和确定所述块存储系统是否存在勒索病毒。
14.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至12任一项所述的勒索病毒检测方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至12任一项所述的勒索病毒检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311745270.0A CN117421733A (zh) | 2023-12-19 | 2023-12-19 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311745270.0A CN117421733A (zh) | 2023-12-19 | 2023-12-19 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117421733A true CN117421733A (zh) | 2024-01-19 |
Family
ID=89530640
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311745270.0A Pending CN117421733A (zh) | 2023-12-19 | 2023-12-19 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117421733A (zh) |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650434A (zh) * | 2016-12-27 | 2017-05-10 | 四川大学 | 一种基于io序列的虚拟机异常行为检测方法与系统 |
CN109388945A (zh) * | 2018-08-21 | 2019-02-26 | 中国科学院信息工程研究所 | 一种基于固态存储设备防范勒索软件攻击的方法和系统 |
CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
CN111723368A (zh) * | 2020-05-28 | 2020-09-29 | 中国人民解放军战略支援部队信息工程大学 | 基于Bi-LSTM和自注意力的恶意代码检测方法及系统 |
CN113505240A (zh) * | 2021-07-09 | 2021-10-15 | 吉林大学 | 一种基于注意力引导图lstm关系提取方法及装置 |
CN113743099A (zh) * | 2021-08-18 | 2021-12-03 | 重庆大学 | 基于自注意力机制方面术语提取系统、方法、介质、终端 |
CN114297645A (zh) * | 2021-12-03 | 2022-04-08 | 深圳市木浪云科技有限公司 | 在云备份系统中识别勒索家族的方法、装置和系统 |
CN116524419A (zh) * | 2023-07-03 | 2023-08-01 | 南京信息工程大学 | 基于时空解耦与自注意力差分lstm的视频预测方法、系统 |
-
2023
- 2023-12-19 CN CN202311745270.0A patent/CN117421733A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106650434A (zh) * | 2016-12-27 | 2017-05-10 | 四川大学 | 一种基于io序列的虚拟机异常行为检测方法与系统 |
CN109388945A (zh) * | 2018-08-21 | 2019-02-26 | 中国科学院信息工程研究所 | 一种基于固态存储设备防范勒索软件攻击的方法和系统 |
CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
CN111723368A (zh) * | 2020-05-28 | 2020-09-29 | 中国人民解放军战略支援部队信息工程大学 | 基于Bi-LSTM和自注意力的恶意代码检测方法及系统 |
CN113505240A (zh) * | 2021-07-09 | 2021-10-15 | 吉林大学 | 一种基于注意力引导图lstm关系提取方法及装置 |
CN113743099A (zh) * | 2021-08-18 | 2021-12-03 | 重庆大学 | 基于自注意力机制方面术语提取系统、方法、介质、终端 |
CN114297645A (zh) * | 2021-12-03 | 2022-04-08 | 深圳市木浪云科技有限公司 | 在云备份系统中识别勒索家族的方法、装置和系统 |
CN116524419A (zh) * | 2023-07-03 | 2023-08-01 | 南京信息工程大学 | 基于时空解耦与自注意力差分lstm的视频预测方法、系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11775637B2 (en) | Recurrent neural network based anomaly detection | |
US11190562B2 (en) | Generic event stream processing for machine learning | |
CN110417721B (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
US20230289665A1 (en) | Failure feedback system for enhancing machine learning accuracy by synthetic data generation | |
CN110602029B (zh) | 一种用于识别网络攻击的方法和系统 | |
EP3991099A1 (en) | Training a machine learning system for transaction data processing | |
CN107122669B (zh) | 一种评估数据泄露风险的方法和装置 | |
US20210092160A1 (en) | Data set creation with crowd-based reinforcement | |
US11886587B2 (en) | Malware detection by distributed telemetry data analysis | |
US20190340614A1 (en) | Cognitive methodology for sequence of events patterns in fraud detection using petri-net models | |
KR20210039231A (ko) | 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템 | |
CN115034596A (zh) | 一种风险传导预测方法、装置、设备和介质 | |
CN111160797A (zh) | 风控模型的构建方法、装置、存储介质及终端 | |
CN116340934A (zh) | 终端异常行为检测方法、装置、设备及存储介质 | |
CN114036531A (zh) | 一种基于多尺度代码度量的软件安全漏洞检测方法 | |
CN112866292A (zh) | 一种面向多样本组合攻击的攻击行为预测方法和装置 | |
CN114285587B (zh) | 域名鉴别方法和装置、域名分类模型的获取方法和装置 | |
Naidu et al. | Analysis of Hadoop log file in an environment for dynamic detection of threats using machine learning | |
WO2023246391A1 (zh) | 风险特征描述的提取 | |
US20210241279A1 (en) | Automatic fraud detection | |
CN117370548A (zh) | 用户行为风险识别方法、装置、电子设备及介质 | |
CN117421733A (zh) | 勒索病毒检测方法、装置、电子设备及可读存储介质 | |
Chaïri et al. | Intrusion detection based sample selection for imbalanced data distribution | |
CN114978474A (zh) | 一种用户聊天风险等级自动处置方法及系统 | |
CN114581086A (zh) | 基于动态时序网络的钓鱼账户检测方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |