一种针对防御勒索软件文件数据的备份保护方法和系统技术方案

本发明专利技术涉及一种针对防御勒索软件文件数据的备份保护方法和系统。其中方法包括：接收对文件的操作请求；确定文件的大小是否小于预设上限值；在文件的大小小于预设上限值的情况下，确定文件是否属于预设文件备份类型；在文件属于预设文件备份类型的情况下，在存储介质中对文件进行备份后，执行对文件的操作请求；在文件不属于预设文件备份类型的情况下，直接执行对文件的操作请求。本发明专利技术不仅能够避免文件遭受勒索软件的加密威胁，还能够进一步节省存储介质的备份存储空间。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，尤其涉及一种针对防御勒索软件文件数据的备份保护方法和系统。
技术介绍
勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。已知的文件数据备份方案有主要有四种：一、副本备份，二、完全备份，三、差异备份，四、增量备份。以上四种备份方案在真实应用中的备份时间选择上又分为时时备份和非时时备份。时时备份指的是当前用户对欲备份的文件数据的操作马上就反馈备份数据中。中间没有间隔，或间隔时间可以忽略不计。非时时备份指的是每天或每日选择一个特定的时间对数据进行备份操作。由于非时时备份多用于服务器数据操作，每次备份都要专门发费一些时间，普通用户并不具备这样专业的数据备份习惯，因此本专利技术描述的所有备份时间选择，指的是都是时时备份。已知的文件数据保护方案有文件操作权限保护，主要是指禁止或允许程序对要保护的文件数据进行指定操作(例如读、写、删除、重命名，创建等)。副本备份是把当下对文件数据修改实时的反馈到备份存储介质中去，备份相当于现在使用的文件数据的一个复本。对现在文件数据的读、写、创建、删除、重命名等操作都直接体现在备份存储介质中。此备份方案主要是为了防止硬盘物理损坏或丢失时，数据可以从副本备份存储介质中找回，但要无法恢复数据内容改变的数据。完全备份指的是对某个文件数据进行的任何写、删除、重命名，都会将进行这些操作的文件备份一次。这样无论数据出现何种改变，都能找回改变之前原数据。这个优点是时时备份所不具备的，主要用在服务器数据备份，并且一定是非时时备份，否则将由于占用巨量的存储介质空间而导致各种不可预知的问题。采用这种方式进行备份时，要恢复某一次数据时，只要有那一次数据的完全备份数据即可。差异备份指的是，以第一次的完全备份做标准，以后每次都记录下与第一次完全备份时的数据差异内容，并将这些差异内容作为备份数据。和完全备份相比，差异备份可以大大节省占用的备份介质存储空间。要把数据恢复到第N次时，需要第一次完全备份，以及第N次差异备份差异数据，就可以恢复到那一次的数据内容。增量备份指的是，以第一次的完全备份做标准，以后每次都记录下与上一次备份时的数据差异内容，并记录下这些差异内容作为备份数据。与差异备份相比，增量备份可以进一步的节省占用的备份介质存储空间。但是要把数据恢复到第N次时，除了需要第一次的完全备份，还需要N-1次所有的备份数据差异，只要其中某一次备份数据丢失或损坏，都无法恢复到第N次数据状态。文件操作权限保护指的是通过设置，禁止或允许程序对要保护的文件数据进行指定操作(例如读、写、删除、重命名，创建等)。以上文件数据备份方案和文件数据保护方案存在以下缺点：缺点一、副本备份由于不具备被更改后的数据恢复功能，因此无法抵挡勒索软件攻击。缺点二、完全备份由于备份时需要占用海量的备份存储空间，因此也不适用于对抗勒索软件。缺点三、差异备份和增量备份主要是定期备份而设计的备份方式，并不适用于时时备份，因此也不适用于对抗勒索软件(因为如果不具备时时备份的属性的话，那么在中了勒索软件加密之后，那么在定期备份到被加密这个时间间隔内所有变动过的数据都是被加密的)。而如果要把差异备份和增量备份强行改成时时备份的话，会因为算法复杂度太高，改成时时备份的话至少在每次检测到改动时，都要去搜索已知的备份表，匹配出原备份文件信息，然后再根据原备份文件信息找到原备份文件与差异文件(或差异数据)，再根据这些文件(数据)计算出新的改变数据(甚至需要构造新的文件保存格式)，然后再进行保存，操作过于复杂，如果发生在多个文件并发需要备份时，那对系统资源的占用率将是大到不可预知的，由此将导致的系统运行缓慢、卡顿等一系列问题。如果把完全备份、差异备份与增量备份强行改成时时备份模式，则要面对下述缺点四到缺点八的缺点。缺点四、在面对勒索软件攻击时，从备份逻辑上，有以下缺陷：1、如果不设置单一备份文件大小的备份上限，那么勒索软件就会反复写入大的不同数据的垃圾文件。而备份系统就会不停的备份，当这些垃圾文件填满备份存储介质的最大值时，就将导致备份瘫痪。而瘫痪掉以后，用户正常对文件进行修改数据你就无法实现备份了。2、如果设置了单一文件备份备份大小上限，那么就无法对超过的上限的文件进行备份。这样超过上限的文件就相当于处在了易受威胁的状态。缺点五、上述备份方法在实际应用时，基本属于通用型备份(对所有类型的文件都进行备份)，用户并不能选择例如只备份bmp、doc文件之类。在面对勒索软件时，对用户来说，有些类型的文件是有价值的需要备份，有些是没价值的，不需要备份。而如果没有给用户文件备份类型添加、删除等选择权只使用通用型备份的话，那么将导致占用不必要的备份存储空间。缺点六、文件备份数据保留方式的处理问题。因为备份存储空间的大小是有限的，而备份数据所占用的空间大小总是随着时间的增加而增加，最后将触及备份存储空间的上限值。因此必需设计手动或者自动的去清除过期的备份数据好腾出新的备份空间来备份新的数据。而在选择自动清除过期的备份数据时，有两种方法可供选择：第一种是设置备份文件的保留时间。如果备份数据超过了保留时间，就把这些备份数据清除，这样好腾出空间容纳新的备份数据。第二种是当备份数据大小达到存储介质最大值时，把最早的备份数据认定为是过期数据清除掉，以此来腾出空间。在面对勒索软件时，如果选择第二种清除过期备份数据的话，在抵挡勒索软件攻击时就会出现逻辑漏洞，此时勒索软件可以生成大量垃圾数据让其去备份，直到覆盖掉所有的有用的已备份数据，然后在对数据进行加密，这样用户想恢复数据时，就会发现备份系统中备份全是垃圾数据，有用的数据早已被覆盖掉了。而如果选择用设置备份文件保留时间的话，保留时间不能太短，因为太短的话，勒索软件进行一次全文件加密之后，下次在间隔超过文件保留时间时再做一次加密的话，就会引发由于有用的备份数据超过保留时间被清除而无法恢复了。缺点七、在对面勒索软件威胁时，现有的文件备份方案都存在自我防护的问题。所谓自我防护，指的是杜绝备份程序遭受到非人为的修改。勒索软件完全有可能远线程注入，关闭进程等等一系列的操作来破坏备份系统的正常运作，甚至模拟人的手工操作来删除有效的备份文件。目前已知的备份系统并没有有效的自我保护机制。缺点八、上述的四种时时通用型备份，在面对勒索软件威胁时，还将面对一个问题，那就是在勒索软件开始对全磁盘文件进行加密时，必需保证存储介质的容量可以容纳目前所有磁盘中可以被勒索软件加密的所有文件大小的总和，一旦小于这个值。通用型备份方案就会由于存储介质容量已满而导致备份系统瘫痪不工作。缺点九、如果放弃对文件的备份，只使用文件保护方案，禁止程序对要所有保护的文件进行写入、删除、和重命名的操作结果就是非常不便。因为普通用户要修改文件时就得把欲修改的文件从保护列表中去除，修改保存完后还要再次加回去。本文档来自技高网...

【技术保护点】
一种针对防御勒索软件文件数据的备份保护方法，其特征在于，包括：接收对文件的操作请求；确定所述文件的大小是否小于预设上限值；在所述文件的大小小于所述预设上限值的情况下，确定所述文件是否属于预设文件备份类型；在所述文件属于所述预设文件备份类型的情况下，在存储介质中对所述文件进行备份后，执行对所述文件的操作请求；在所述文件不属于所述预设文件备份类型的情况下，直接执行对所述文件的操作请求。

【技术特征摘要】
1.一种针对防御勒索软件文件数据的备份保护方法，其特征在于，包括：接收对文件的操作请求；确定所述文件的大小是否小于预设上限值；在所述文件的大小小于所述预设上限值的情况下，确定所述文件是否属于预设文件备份类型；在所述文件属于所述预设文件备份类型的情况下，在存储介质中对所述文件进行备份后，执行对所述文件的操作请求；在所述文件不属于所述预设文件备份类型的情况下，直接执行对所述文件的操作请求。2.根据权利要求1所述的方法，其特征在于，所述确定所述文件的大小是否小于预设上限值的步骤之后包括：在所述文件的大小大于等于所述预设上限值的情况下，确定所述文件是否属于预设文件保护列表中的文件；其中，所述预设文件保护列表用于记录大小大于等于所述预设上限值的文件，记录在所述预设文件保护列表中的文件被禁止执行以下至少之一的操作：写入、删除和重命名；在所述文件不属于所述预设文件保护列表中的文件的情况下，执行对所述文件的操作请求；在所述文件属于所述预设文件保护列表中的文件的情况下，确定所述操作请求是否为只读请求。3.根据权利要求2所述的方法，其特征在于，所述确定所述操作请求是否为只读请求的步骤之后，包括：在所述操作请求是只读请求的情况下，执行对所述文件的操作请求；在所述操作请求不是只读请求的情况下，拒绝对所述文件的操作请求。4.根据权利要求1所述的方法，其特征在于，所述确定所述文件的大小是否小于预设上限值的步骤之后包括：在所述文件的大小大于等于所述预设上限值且小于预设下限值的情况下，执行对所述文件的操作请求；其中，所述预设下限值大于所述预设上限值；在所述文件的大小大于等于所述预设下限值的情况下，确定所述文件是否属于预设文件放行列表中的文件；其中所述预设文件放行列表用于记录大小大于等于所述预设下限值的文件，记录在所述预设文件放行列表中的文件允许被执行任何操作；在所述文件属于所述预设文件放行列表中的文件的情况下，执行对所述文件的操作请求；在所述文件不属于所述预设文件放行列表中的文件的情况下，确定所述操作请求是否为只读请求。5.根据权利要求4所述的方法，其特征在于，所述确定所述操作请求是否为只读请求的步骤之后，包括：在所述操作请求是只读请求的情况下，执行对所述文件的操作请求；在所述操作请求不是只读请求的情况下，拒绝对所述文件的操作请求。6.根据权利要求1所述的方法，其特征在于，所述在存储介质中对所述文件进行备份的步骤之后，还包括：在记录表中记录对所述文件...

【专利技术属性】
技术研发人员：倪茂志，
申请(专利权)人：福建平实科技有限公司，
类型：发明
国别省市：福建;35