CN117614713A - 勒索病毒的检测和防御方法、装置、设备及介质 - Google Patents
勒索病毒的检测和防御方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN117614713A CN117614713A CN202311621552.XA CN202311621552A CN117614713A CN 117614713 A CN117614713 A CN 117614713A CN 202311621552 A CN202311621552 A CN 202311621552A CN 117614713 A CN117614713 A CN 117614713A
- Authority
- CN
- China
- Prior art keywords
- internet
- things
- cloud platform
- virus
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 241000700605 Viruses Species 0.000 title claims abstract description 82
- 238000000034 method Methods 0.000 title claims abstract description 48
- 238000001514 detection method Methods 0.000 claims abstract description 70
- 208000015181 infectious disease Diseases 0.000 claims abstract description 15
- 238000002955 isolation Methods 0.000 claims description 26
- 230000006399 behavior Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 17
- 238000003860 storage Methods 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 11
- 230000006855 networking Effects 0.000 claims 1
- 230000007123 defense Effects 0.000 abstract description 6
- 238000009792 diffusion process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 7
- 230000004044 response Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 241000197861 Leucas Species 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000009776 industrial production Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000007482 viral spreading Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/302—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- Technology Law (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Virology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Bioinformatics & Computational Biology (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Evolutionary Biology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种勒索病毒的检测和防御方法、装置、设备及介质。该方法包括:对物联网终端设备传输的上下行报文进行分类得到文件类数据;若检测发现文件类数据存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对文件类数据进行告警和隔离查杀,同时根据文件类数据生成内部威胁情报;将内部威胁情报共享给物联网云平台和其它的边缘计算节点以进行威胁处置;若检测发现物联网云平台存在勒索病毒的感染特征时,则触发告警,并断开本身与物联网云平台以及其它的边缘计算节点与物联网云平台之间的连接。本申请实现了对勒索病毒的分散检测防御,保障了物联网终端设备和云端物联网云平台的安全,避免了勒索病毒威胁的蔓延和扩散。
Description
技术领域
本发明涉及物联网技术领域,尤其涉及一种勒索病毒的检测和防御方法、装置、设备及介质。
背景技术
万物互联时代,5G、大数据、人工智能等新技术为物联网(Internet ofThings,IoT)带来了创新活力,物联网与个人及家庭生活、工业生产深度融合,为全社会带来深刻变革。随着物联网的高速发展,物联网设备数量呈爆发性增长的同时,伴随而来的物联网安全威胁也是层出不穷。R4IoT是一种新型恶意软件,它的最终目标是利用暴露和易受攻击的物联网设备(例如IP摄像头)获得初步立足点,然后在IT(信息技术)网络中部署勒索软件,将IoT入口点和与勒索软件相关的横向移动和加密结合在一起,从而对IT和OT(运营技术)网络造成广泛影响。
当前针对勒索病毒的防范手段主要是通过防火墙和EDR(Endpoint Detectionand Response,端点检测与响应)产品对勒索病毒进行检测、阻断和查杀,但集中式的防护策略存在着不足,勒索病毒具有隐蔽、难以检测防御的特点,一旦突破安全产品的检测和防御,将容易发生横向传播,造成大面积的终端感染,尤其面对物联网场景下庞大的终端数量,风险尤为突出。
发明内容
本发明实施例提供了一种勒索病毒的检测和防御方法、装置、设备及介质,旨在保障物联网终端设备和物联网云平台的安全,避免勒索病毒威胁的蔓延和扩散。
第一方面,本发明实施例提供了一种勒索病毒的检测和防御方法,应用于物联网系统中的任一边缘计算节点,其包括:
对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;
对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;
将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;
对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
第二方面,本发明实施例还提供了一种勒索病毒的检测和防御装置,应用于物联网系统中的任一边缘计算节点,其包括:
分类单元,用于对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;
检测生成单元,用于对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;
共享单元,用于将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;
检测断开单元,用于对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
第三方面,本发明实施例还提供了一种边缘计算设备,所述边缘计算设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现上述方法。
本发明实施例提供了一种勒索病毒的检测和防御方法、装置、设备及介质。其中,所述方法包括:对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。本发明实施例的技术方案,通过在边缘计算节点对勒索病毒进行检测、防御以及处置,同时基于分布式边缘计算节点之间、边缘计算节点和物联网云平台间的联动,实现对勒索病毒的分散检测防御,保障了物联网终端设备和云端物联网云平台的安全,避免了勒索病毒威胁的蔓延和扩散。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种勒索病毒的检测和防御方法的流程示意图;
图2为本发明实施例提供的一种勒索病毒的检测和防御方法的流程简图;
图3为本发明实施例提供的一种勒索病毒的检测和防御系统的示意图;
图4为本发明实施例提供的一种勒索病毒的检测和防御装置的示意性框图;
图5为本发明实施例提供的一种边缘计算设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
请参阅图1,图1是本发明实施例提供的一种勒索病毒的检测和防御方法的流程示意图。本发明实施例的勒索病毒的检测和防御方法可应用于物联网系统中的任一边缘计算节点中,其中,边缘计算节点为边缘计算设备,例如可通过配置于边缘计算设备上的软件程序来实现该勒索病毒的检测和防御方法。需要说明的是,所述物联网系统包括物联网终端设备、边缘计算节点以及物联网云平台。所述勒索病毒的检测和防御方法包括以下步骤S110-S140。
S110、对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据。
本发明实施例中,鉴于恶意程序容易隐藏在文件中,因此对边缘计算节点中物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据和普通数据;对所述普通数据的数据类型和数据内容进行异常检测以得到异常检测结果;若所述异常检测结果中存在异常数据,则对所述异常数据进行拦截和告警;可理解地,若所述异常检测结果中不存在异常数据,则不对所述异常数据进行拦截和告警。需要说明的是,在本实施例中,所述边缘计算节点例如为物联网系统中的边缘计算网关。还需要说明的是,在本实施例中,通过预置的检测规则对所述普通数据的数据类型和数据内容进行异常检测以得到异常检测结果。
S120、对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报。
本发明实施例中,针对文件类数据,对所述文件类数据进行隔离检测,具体地,获取外部威胁情报,结合所述外部威胁情报、威胁特征分析、文件行为分析以及勒索病毒诱捕对所述文件类数据进行隔离检测,其中,所述外部威胁情报包括域名、IP地址等情报。若检测发现所述文件类数据中存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报。进一步地,根据所述文件类数据生成威胁情报,包括:提取所述文件类数据和所述文件类数据中勒索病毒模块的特征得到文件勒索病毒特征;记录所述文件类数据所在的所述物联网终端设备的信息得到终端设备信息;将所述文件勒索病毒特征和所述终端设备信息进行汇总以生成所述内部威胁情报。需要说明的是,在本实施例中,对所述文件类数据进行隔离检测判定时,需要结合所述外部威胁情报、所述威胁特征分析、所述文件行为分析以及所述勒索病毒诱捕进行综合性分析,以提高隔离检测的准确性。还需要说明的是,在本实施例中,对所述文件类数据进行隔离查杀,具体可为,终止相关进程、删除相关文件等查杀操作;在对所述文件类数据进行隔离查杀过程中,所述文件类数据会与所述物联网终端设备断开连接。
S130、将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置。
本发明实施例中,生成所述内部威胁情报之后,所述边缘计算节点将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置,具体地,是根据所述内部威胁情报对疑似勒索病毒恶意程序或者恶意代码进行处置和告警。
进一部地,将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点之后,还会根据所述内部威胁情报更新所述物联网云平台中的数据库,其中,所述数据库中存储有多种威胁情报,所述威胁情报包括勒索病毒特征信息、系统资产脆弱性识别、所述边缘计算节点生成的所述内部威胁情报以及恶意程序的终端设备信息。
S140、对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
本发明实施例中,对所述物联网云平台的关键核心文件和系统行为进行周期性检测,其中,所述关键核心文件包括核心文件和数据库文件;所述系统行为包括系统备份、系统业务以及端口扫描行为;具体地,若检测到所述核心文件和所述数据库文件被加密、所述系统备份被删除、所述系统业务被中断以及存在大量所述端口扫描行为,则判定所述物联网云平台存在所述勒索病毒的感染特征。可理解地,若检测发现所述物联网云平台中存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
进一步地,将本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接断开之后,将所述上下行报文进行缓存;所述边缘计算节点若检测到所述物联网云平台中的所述勒索病毒威胁解除,则将缓存的所述上下行报文上传至所述物联网云平台。
请参阅图2,图2为本发明实施例提供的一种勒索病毒的检测和防御方法的流程简图,在图2中,本发明实施例中的勒索病毒的检测和防御方法包括三个步骤,分别为报文分类检测、威胁隔离处置以及威胁情报同步,在报文分类检测时,会将物联网终端设备传输的上下行报文分为文件类数据和普通数据;威胁隔离处置是对疑似勒索病毒恶意程序或勒索病毒进行查杀,对于物联网终端设备断开连接;威胁情报同步,是将生成的内部威胁情报共享给其它的边缘计算节点以及物联网云平台。
为方便理解,现通过如下具体实施例对勒索病毒的检测和防御方法进行描述:
对通物联网终端设备传输的上下行报文进行分类检测,如图3所示,物联网终端设备类型选择功能较强的5GCPE设备,该物联网终端设备与物联网边缘计算节点B连接,同时还存在物联网边缘计算节点A,边缘计算节点A和边缘计算节点B之间互联,同时分别与物联网云平台进行连接。5GCPE设备的参数表如下表所示:
表1为5GCPE设备的参数表
参数名称 | 数据类型 | 参数名称 | 数据类型 |
CPE型号 | string | 网络时延 | double |
CPU | Int32 | 丢包 | double |
内存 | Int32 | 抖动 | double |
磁盘 | Int32 | 在线状态 | enum |
系统版本信息 | string | 在线时长 | float |
cpu利用率 | float | rsrp | float |
内存利用率 | float | rsrq | float |
上下行速率 | float | sinr | float |
磁盘利用率 | float | 小区信息 | string |
io使用情况 | double | 故障日志 | .log文件 |
边缘计算节点B对5GCPE设备上传的故障日志文件20230821.log.vir进行虚拟化隔离检测,通过文件后缀名检测、文件行为分析(磁盘遍历、进程终止、文件加密、回收站清空、端口扫描、漏洞利用)、释放诱饵文件等手段检测故障日志文件20230821.log.vir是否被恶意嵌入勒索病毒。经检测发现故障日志文件20230821.log.vir后缀名为非正常后缀,同时还释放新模块文件backdoor_virus,该模块文件backdoor_virus存在磁盘遍历、文件加密和端口扫描等行为,判断该故障日志文件20230821.log.vir被恶意嵌入勒索病毒程序backdoor_virus,边缘计算节点立即采取隔离查杀处置并进行告警。同时,边缘计算节点A和/或边缘计算节点B对物联网云平台的关键核心文件及系统行为进行周期性监测分析,发现物联网云平台的核心文件、数据库文件被加密、系统备份被删除、业务发生中断,探测到大量端口扫描行为,判定物联网云平台已感染勒索病毒,物联网系统已沦陷。边缘计算节点A和边缘计算节点B立即断开和云平台间的连接,保护终端设备安全,同时缓存终端设备上传的数据。
边缘计算节点B提取故障日志文件20230821.log.vir及模块文件backdoor_virus的特征,具体包括文件名、后缀名、文件大小、恶意进程名称以及磁盘遍历路径特征,同时记录终端设备5GCPE信息,具体包含设备类型、型号、操作系统、组件和中间件情况、IP地址以及开放端口等,将上述信息汇总生成内部威胁情报,并同步到边缘计算节点A和物联网云平台。边缘计算节点A和物联网云平台利用内部威胁情报对可疑文件进行检测,同时对同类型5GCPE设备进行重点监测,发现命中威胁情报特征的恶意文件直接进行隔离查杀。
需要说明的是,在本实施例中,物联网系统勒索病毒风险检测从传统的云端集中式检测下沉到网络边缘计算节点,有效阻断安全风险的扩散;边缘计算节点之间、边缘计算节点和物联网云平台间之间进行威胁情报同步,实现一点告警全局响应,高效快速遏制病毒蔓延;面对物联网云平台已经感染勒索病毒的极端场景时,所有边缘计算节点进行联动处置,断开和物联网云平台间的所有连接,保护物联网终端设备免受感染,遏制病毒蔓延传播,同时缓存物联网终端设备上报数据,降低业务数据丢失带来的损失。
图4是本发明实施例提供的一种勒索病毒的检测和防御装置200的示意性框图。如图4所示,对应于以上勒索病毒的检测和防御方法,本发明还提供一种勒索病毒的检测和防御装置200。该勒索病毒的检测和防御装置200包括用于执行上述勒索病毒的检测和防御方法的单元。具体地,请参阅图4,该勒索病毒的检测和防御装置200包括分类单元201、检测生成单元202、共享单元203以及检测断开单元204。
其中,所述分类单元201用于对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;所述检测生成单元202用于对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;所述共享单元203用于将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;所述检测断开单元204用于对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
在某些实施例,例如本实施例中,所述检测生成单元202包括获取检测单元、提取单元、记录单元以及汇总生成单元。
其中,所述获取检测单元用于获取外部威胁情报,结合所述外部威胁情报、威胁特征分析、文件行为分析以及勒索病毒诱捕对所述文件类数据进行隔离检测;所述提取单元用于提取所述文件类数据和所述文件类数据中勒索病毒模块的特征得到文件勒索病毒特征;所述记录单元用于记录所述文件类数据所在的所述物联网终端设备的信息得到终端设备信息;所述汇总生成单元用于将所述文件勒索病毒特征和所述终端设备信息进行汇总以生成所述内部威胁情报。
在某些实施例,例如本实施例中,所述检测断开单元204包括检测判定单元。
其中,所述检测判定单元用于若检测到所述核心文件和所述数据库文件被加密、所述系统备份被删除、所述系统业务被中断以及存在大量所述端口扫描行为,则判定所述物联网云平台存在所述勒索病毒的感染特征。
在某些实施例,例如本实施例中,所述勒索病毒的检测和防御装置200还包括异常检测单元、拦截告警单元、更新单元、缓存单元以及检测上传单元。
其中,所述异常检测单元用于对所述普通数据的数据类型和数据内容进行异常检测以得到异常检测结果;所述拦截告警单元用于若所述异常检测结果中存在异常数据,则对所述异常数据进行拦截和告警;所述更新单元用于根据所述内部威胁情报更新所述物联网云平台中的数据库,其中,所述数据库中存储有多种威胁情报,所述威胁情报包括勒索病毒特征信息、系统资产脆弱性识别、所述边缘计算节点生成的所述内部威胁情报以及恶意程序的终端设备信息;所述缓存单元用于将所述上下行报文进行缓存;所述检测上传单元用于若检测到所述物联网云平台中的所述勒索病毒威胁解除,则将缓存的所述上下行报文上传至所述物联网云平台。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述勒索病毒的检测和防御装置200和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述勒索病毒的检测和防御装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的边缘计算设备上运行。
请参阅图5,图5是本申请实施例提供的一种边缘计算设备的示意性框图。该边缘计算设备900为具有勒索病毒的检测和防御的设备。
参阅图5,该边缘计算设备900包括通过系统总线901连接的处理器902、存储器和接口907,其中,存储器可以包括存储介质903和内存储器904。
该存储介质903可存储操作系统9031和计算机程序9032。该计算机程序9032被执行时,可使得处理器902执行上述勒索病毒的检测和防御方法。
该处理器902用于提供计算和控制能力,以支撑整个边缘计算设备900的运行。
该内存储器904为存储介质903中的计算机程序9032的运行提供环境,该计算机程序9032被处理器902执行时,可使得处理器902执行一种勒索病毒的检测和防御方法。
该接口905用于与其它设备进行通信。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的边缘计算设备900的限定,具体的边缘计算设备900可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器902用于运行存储在存储器中的计算机程序9032,以实现上述方法的实施例的流程步骤。
应当理解,在本申请实施例中,处理器902可以是中央处理单元(CentralProcessing Unit,CPU),该处理器902还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该无线通信系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序被处理器执行时使处理器执行上述勒索病毒的检测和防御方法的任意实施例。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、无线通信软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该无线通信软件产品存储在一个存储介质中,包括若干指令用以使得一台边缘计算设备(可以是个人无线通信,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种勒索病毒的检测和防御方法,应用于物联网系统中的任一边缘计算节点,其特征在于,包括:
对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;
对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;
将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;
对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
2.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,所述报文分类结果包括普通数据,所述方法还包括:
对所述普通数据的数据类型和数据内容进行异常检测以得到异常检测结果;
若所述异常检测结果中存在异常数据,则对所述异常数据进行拦截和告警。
3.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,对所述文件类数据进行隔离检测,包括:
获取外部威胁情报,结合所述外部威胁情报、威胁特征分析、文件行为分析以及勒索病毒诱捕对所述文件类数据进行隔离检测。
4.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,所述根据所述文件类数据生成威胁情报,包括:
提取所述文件类数据和所述文件类数据中勒索病毒模块的特征得到文件勒索病毒特征;
记录所述文件类数据所在的所述物联网终端设备的信息得到终端设备信息;
将所述文件勒索病毒特征和所述终端设备信息进行汇总以生成所述内部威胁情报。
5.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,所述关键核心文件包括核心文件和数据库文件;所述系统行为包括系统备份、系统业务以及端口扫描行为;所述对所述物联网云平台的关键核心文件和系统行为进行周期性检测,包括:
若检测到所述核心文件和所述数据库文件被加密、所述系统备份被删除、所述系统业务被中断以及存在大量所述端口扫描行为,则判定所述物联网云平台存在所述勒索病毒的感染特征。
6.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,所述将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置之后,还包括:
根据所述内部威胁情报更新所述物联网云平台中的数据库,其中,所述数据库中存储有多种威胁情报,所述威胁情报包括勒索病毒特征信息、系统资产脆弱性识别、所述边缘计算节点生成的所述内部威胁情报以及恶意程序的终端设备信息。
7.根据权利要求1所述的勒索病毒的检测和防御方法,其特征在于,所述对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接之后,还包括:
将所述上下行报文进行缓存;
若检测到所述物联网云平台中的所述勒索病毒威胁解除,则将缓存的所述上下行报文上传至所述物联网云平台。
8.一种勒索病毒的检测和防御装置,应用于物联网系统中的任一边缘计算节点,其特征在于,包括:
分类单元,用于对物联网终端设备传输的上下行报文进行分类得到报文分类结果,其中,所述报文分类结果包括文件类数据;
检测生成单元,用于对所述文件类数据进行隔离检测,若检测发现存在疑似勒索病毒恶意程序或确认嵌入勒索病毒,则对所述文件类数据进行告警和隔离查杀,同时根据所述文件类数据生成内部威胁情报;
共享单元,用于将所述内部威胁情报共享给物联网云平台和所述物联网系统中其它的所述边缘计算节点,以使所述物联网云平台和其它的所述边缘计算节点根据所述内部威胁情报进行威胁处置;
检测断开单元,用于对所述物联网云平台的关键核心文件和系统行为进行周期性检测,若检测发现存在所述勒索病毒的感染特征时,则触发告警,并断开本身与所述物联网云平台之间的连接以及其它的所述边缘计算节点与所述物联网云平台之间的连接。
9.一种边缘计算设备,其特征在于,所述边缘计算设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311621552.XA CN117614713A (zh) | 2023-11-29 | 2023-11-29 | 勒索病毒的检测和防御方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311621552.XA CN117614713A (zh) | 2023-11-29 | 2023-11-29 | 勒索病毒的检测和防御方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117614713A true CN117614713A (zh) | 2024-02-27 |
Family
ID=89955963
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311621552.XA Pending CN117614713A (zh) | 2023-11-29 | 2023-11-29 | 勒索病毒的检测和防御方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117614713A (zh) |
-
2023
- 2023-11-29 CN CN202311621552.XA patent/CN117614713A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Ghafir et al. | Botdet: A system for real time botnet command and control traffic detection | |
JP6014280B2 (ja) | 情報処理装置、方法およびプログラム | |
US20190104136A1 (en) | Apparatus, system and method for identifying and mitigating malicious network threats | |
Chen et al. | Defending against TCP SYN flooding attacks under different types of IP spoofing | |
Othman et al. | Survey on intrusion detection system types | |
CN111193719A (zh) | 一种网络入侵防护系统 | |
US20180041521A1 (en) | Malware domain detection using passive dns | |
US7464407B2 (en) | Attack defending system and attack defending method | |
Bhatia et al. | Distributed denial of service attacks and defense mechanisms: current landscape and future directions | |
Shakil et al. | A novel dynamic framework to detect DDoS in SDN using metaheuristic clustering | |
US9124617B2 (en) | Social network protection system | |
JP2015528263A (ja) | ネットワークトラフィック処理システム | |
US20200358817A1 (en) | Systems and methods for automated intrusion detection | |
CN110266650B (zh) | Conpot工控蜜罐的识别方法 | |
US20200267170A1 (en) | System and method for detecting and classifying malware | |
US20210352104A1 (en) | Detecting malicious activity in a cluster | |
CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
Haddadi et al. | DoS-DDoS: taxonomies of attacks, countermeasures, and well-known defense mechanisms in cloud environment | |
CN106790189B (zh) | 一种基于响应报文的入侵检测方法和装置 | |
Lobato et al. | A fast and accurate threat detection and prevention architecture using stream processing | |
US20220263861A1 (en) | Detecting botnets | |
Keshri et al. | DoS attacks prevention using IDS and data mining | |
Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
US20230344863A1 (en) | Enhancement of device security using machine learning and set of rules | |
US20230208857A1 (en) | Techniques for detecting cyber-attack scanners |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |