在云备份系统中识别勒索家族的方法、装置和系统制造方法及图纸

本发明专利技术公开了一种在云备份系统中识别勒索家族的方法、装置和系统。其中，该方法包括：获取待识别数据的待识别信息，所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征；基于勒索识别模型，对所述待识别信息进行检测和识别，以识别所述待识别数据是否包含所述勒索病毒。本发明专利技术解决了当前针对勒索病毒还缺乏有效的检测方法的技术问题，具有精确地检测出勒索病毒的有益效果。病毒的有益效果。病毒的有益效果。

【技术实现步骤摘要】
在云备份系统中识别勒索家族的方法、装置和系统


[0001]本专利技术涉及云存储领域，具体而言，涉及一种在云备份系统中识别勒索家族的方法、装置和系统。

技术介绍

[0002]勒索家族是近年来黑客组织牟取暴利的绝佳手段，也是发展最快的网络安全威胁之一。勒索家族携带着日趋成熟的手段革新和愈发隐蔽、复杂的
″
进化
″
能力，促进了勒索即服务(RaaS)的商业模式日渐成熟。
[0003]随着虚拟化、云原生等技术的发展，可将网络、服务器、操作系统等基础架构层高度抽象化，降低计算成本、提升迭代效率，大幅降低云计算使用门槛、拓展技术应用边界。但也使得云系统面临的安全威胁进一步加剧，由于虚拟化平台的资源集约化程度高，攻击者一旦攻击成功，可能造成更多的受害者数量和更大的损失规模。目前，针对勒索软件的攻击，安全的备份是最后一道防御手段，云备份系统的防勒索方案将成为数据安全的重要手段。
[0004]目前，针对勒索家族的防御，主流的方法有如下三类：
[0005]基于误用检测的技术，是大部分防病毒工具采用的方法，主要分析勒索软件的版本，以提取加密原语、可疑脚本、内置函数、受感染文件的路径和扩展名等，可在轻量级性能上达到中等的检测精度。该方法主要依赖于记录了勒索漏洞及行为的黑名单或正常应用软件特征的白名单，只能检测已知的勒索家族，不能检测未知的新版本的病毒；该方法不具有检测的实时性，常常需要对黑名单和白名单的进行更新，而这个过程非常消耗人力和计算资源来跟踪这些勒索软件利用的漏洞和感染行为。
[0006]基于异常检测的技术，主要跟踪勒索软件运行时活动、计算机进程、CPU和内存使用情况、服务器操作和控制等，以有效地检测勒索软件版本。该方法可以静态和/或动态地分析勒索软件的正常行为和通用过程，具有一定的实时性，但可以被更先进的加密编码家族的勒索软件所绕过。
[0007]基于机器学习的检测技术，应用各种机器学习算法对勒索软件和正常软件实例的训练集进行训练，以便在测试集中进行分类。生成的分类模型描述了通用勒索及未知勒索软件的版本，具有高的检测精度、低的错误警报和错误分类率。该方法的鉴别能力依赖于各种不同的决策函数、归纳参数、设计、类别属性等，如朴素贝叶斯、支持向量机、决策树、逻辑回归、循环神经网络、随机森林等。但依然存在检测结果对训练样本的依赖性，以及不适用于大数据流和多平台的学习等不足。
[0008]综上所述，勒索防护目前没有完全有效的方法，备份是数据保护的最后一道防护措施；针对备份系统的勒索识别和防护目前还没有具体的方法。
[0009]针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

[0010]本专利技术实施例提供了一种在云备份系统中识别勒索家族的方法、装置和系统，以至少解决当前针对勒索病毒还缺乏有效的检测方法的技术问题。
[0011]根据本专利技术实施例的一个方面，提供了一种在云备份系统中识别勒索病毒的方法，包括：获取待识别数据的待识别信息，所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征；基于勒索识别模型，对所述待识别信息进行检测和识别，以识别所述待识别数据是否包含所述勒索病毒。
[0012]根据本专利技术实施例的另一方面，还提供了一种在云备份系统中识别勒索病毒的装置，包括：信息获取模块，被配置为获取待识别数据的待识别信息，所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征；识别模块，被配置为基于勒索识别模型，对所述待识别信息进行检测和识别，以识别所述待识别数据是否包含所述勒索病毒。
[0013]根据本专利技术实施例的另一方面，还提供了一种分布式云备份系统，包括：勒索识别服务器，包括如上所述的识别勒索病毒的装置；备份服务器，被配置为将所述识别勒索病毒的装置识别出的未被感染的数据备份到存储服务器；所述存储服务器，被配置为存储所述未被感染的数据。
[0014]根据本专利技术实施例的另一方面，还提供了一种计算机可读存储介质，其上存储有程序，在所述程序被运行时，使得计算机执行如上所述的方法。
[0015]在本专利技术实施例中，获取待识别数据的待识别信息，所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征；并基于勒索识别模型，对所述待识别信息进行检测和识别，以识别所述待识别数据是否包含所述勒索病毒，从而解决了当前针对勒索病毒还缺乏有效的检测方法的技术问题，具有提高勒索病毒的检测准确度的问题。
附图说明
[0016]此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：
[0017]图1是根据本专利技术实施例的一种在云备份系统中识别勒索病毒的方法的流程图；
[0018]图2A是根据本专利技术实施例的一种分布式云备份系统的结构示意图；
[0019]图2B是根据本专利技术实施例的一种分布式云备份系统和生产云系统的结构示意图
[0020]图3是根据本专利技术实施例的在云备份系统中识别勒索病毒的装置的结构示意图；
[0021]图4A是根据本申请实施例的云备份方法的流程图；
[0022]图4B是根据本申请实施例的检测与识别勒索病毒的方法的流程图；
[0023]图5A是根据本申请实施例的检测与识别勒索病毒的另一种方法的流程图；
[0024]图5B是根据本申请实施例的训练分类器的方法的流程图；
[0025]图6A是根据本申请实施例的另一种检测和识别勒索病毒的方法的流程图；
[0026]图6B是根据本申请实施例的利用机器学习方法训练勒索识别模型的方法的流程图；
[0027]图7A是根据本申请实施例的又一种能够识别勒索家族的云备份方法的流程图；
[0028]图7B是根据本申请实施例的对未感染病毒的数据进行存储的方法的流程图；
[0029]图8是根据本申请实施例的识别出勒索家族后灰复数据的流程图。
具体实施方式
[0030]为了使本
的人员更好地理解本专利技术方案，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分的实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本专利技术保护的范围。
[0031]需要说明的是，本专利技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本专利技术的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在云备份系统中识别勒索病毒的方法，其特征在于，包括：获取待识别数据的待识别信息，所述待识别信息包括所述待识别数据中的数据块的非运行状态下的静态特征和运行状态下的动态特征；基于勒索识别模型，对所述待识别信息进行检测和识别，以识别所述待识别数据是否包含所述勒索病毒；其中，所述勒索识别模型是采用机器学习方法训练出的用于检测和识别所述勒索病毒的模型。2.根据权利要求1所述的方法，其特征在于，基于勒索识别模型，对所述待识别信息进行检测和识别包括：从所述待识别信息中获取预设的时间窗口内的多个待识别数据块，形成待检测和识别的数据集；针对所述多个待识别数据块中的每一个待识别数据块：从该待识别数据块中提取出静态特征和动态特征，形成特征向量；基于勒索识别模型中的分类方法，将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配，以对该待识别数据块进行检测和识别。3.根据权利要求2所述的方法，其特征在于，从该待识别数据块中提取出静态特征和动态特征，形成特征向量，包括：对所述时间窗口终止时刻点的该待识别数据块的运行环境和状态进行检测，得到所述动态特征；获取与该待识别数据块相关的数据块静态信息作为所述静态特征；将所述静态特征与所述动态特征组合形成该待识别数据块的特征向量。4.根据权利要求2或3所述的方法，其特征在于，基于勒索识别模型中的分类方法，将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配，以对该待识别数据块进行检测和识别，包括：计算所述已知勒索家族的特征向量与所形成的特征向量的距离；如果所计算出的距离小于距离阈值，则表示所形成的特征向量与已知勒索家族的特征向量相匹配或者近似匹配，否则，则表示所形成的特征向量与已知勒索家族的特征向量不匹配。5.根据权利要求2或3所述的方法，其特征在于，基于勒索识别模型中的分类方法，将所形成的特征向量与已知勒索家族的特征向量进行比较和匹配，以对该待识别数据块进行检测和识别，包括：采用不同算法中的每一种算法，执行以下：分别针对从原始样本集中抽取的多个训练集中的每一个训练集，计算特征向量误差；基于所述特征向量误差计算投票数最多的分类预测结果，并将投票数最多的分类预测结果添加入最佳算法；计算所述最佳算法的投票计数的最大值，并...

【专利技术属性】
技术研发人员：陈元强，蔡涛，
申请(专利权)人：深圳市木浪云科技有限公司，
类型：发明
国别省市：