【技术实现步骤摘要】
本专利技术涉及信息安全领域,特别涉及一种勒索病毒检测方法,还涉及一种勒索病毒检测装置、电子设备以及计算机可读存储介质。
技术介绍
1、在企业级数据库和分布式系统中,数据库勒索已经成为一个极其严重和紧迫的问题。随着数字化时代的快速发展,企业和组织中存储的重要数据不断增加,包括客户信息、财务数据、知识产权等敏感信息,这些数据对于企业的运营和发展至关重要。数据库作为企业存储和管理数据的核心系统,不可避免地成为攻击者的目标。攻击者常常利用sql(structured query language,结构化查询语言)注入等手段,成功获取目标数据库的执行权限,并将数据加密以勒索受害者支付赎金以恢复数据。这对企业造成了严重损失。
2、虽然数据库勒索问题已经引起了广泛关注,但目前研究主要集中在传统的单机数据库系统上,而很少有研究关注分布式块存储上的数据库勒索。然而,在块存储系统上,用户所产生的sql语句在数据库系统上执行完毕后,块存储端只能获取到该sql语句访问磁盘的i/o(input/output,输入/输出)序列,而无法完全还原sql语句的具体内容,实际上,块存储系统中的数据库操作是以磁盘读写操作的形式进行的,这导致了传统的基于sql语句分析的数据库勒索检测方法无法直接应用于块存储系统中。
3、因此,如何对块存储系统进行勒索病毒检测,以有效保证块存储系统的设备安全,进而保证存储信息安全是本领域技术人员亟待解决的问题。
技术实现思路
1、本专利技术的目的是提供一种勒索病毒检
2、第一方面,本专利技术提供了一种勒索病毒检测方法,方法包括:
3、对块存储系统进行监控,获得每一io操作的io信息;
4、根据各所述io信息进行特征计算,获得io特征序列;
5、利用预设神经网络模型对所述io特征序列中的每一io特征进行处理,获得各所述io特征的隐藏状态;所述隐藏状态表示所述io特征与所述io特征序列中上一相邻io特征的依赖关系;
6、利用自注意力机制对各所述隐藏状态进行处理,获得所有所述io特征的加权和;
7、根据所述加权和确定所述块存储系统是否存在勒索病毒。
8、可选地,所述根据各所述io信息进行特征计算,获得io特征序列,包括:
9、按照预设数量对各所述io操作进行划分,获得各io序列;其中,每一所述io序列中包括所述预设数量个所述io操作;
10、对于每一所述io序列,根据所述io序列中的各所述io信息进行特征计算,获得所述io序列对应的io特征;
11、将所有所述io序列对应的所述io特征组成所述io特征序列。
12、可选地,所述根据所述io序列中的各所述io信息进行特征计算,获得所述io序列对应的io特征,包括:
13、对所述io序列中的所有所述io信息进行均值计算,获得所述io序列对应的io特征。
14、可选地,所述预设神经网络模型为长短期记忆网络模型,所述利用预设神经网络模型对所述io特征序列中的每一io特征进行处理,获得各所述io特征的隐藏状态,包括:
15、将所述io特征序列输入至所述长短期记忆网络模型;
16、在所述长短期记忆网络模型中,对于所述io特征序列中的每一所述io特征,利用输入门参数计算得到所述io特征的候选细胞状态;
17、利用遗忘门参数和前一io特征的所述候选细胞状态计算得到所述io特征的细胞状态;
18、利用输出门参数和所述io特征的细胞状态计算得到所述io特征的隐藏状态。
19、可选地,所述利用自注意力机制对各所述隐藏状态进行处理,获得所有所述io特征的加权和,包括:
20、对于每一所述隐藏状态,计算所述隐藏状态的查询向量、键向量和值向量;
21、利用各所述查询向量和各所述键向量计算任意两个所述隐藏状态之间的相似度;
22、对于每一所述隐藏状态,根据所述相似度和所述值向量计算获得所述隐藏状态的注意力权重;
23、根据各所述隐藏状态的所述注意力权重和所述值向量进行加权计算,获得所述加权和。
24、可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒,包括:
25、判断所述加权和是否处于预设阈值范围内;
26、若所述加权和处于所述预设阈值范围内,则确定所述块存储系统存在所述勒索病毒;
27、若所述加权和未处于所述预设阈值范围内,则确定所述块存储系统不存在所述勒索病毒。
28、可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
29、统计预设时间段内的勒索病毒检测结果,以及各所述勒索病毒检测结果对应的io特征序列;
30、根据各所述勒索病毒检测结果和各所述io特征序列生成更新训练样本;
31、利用所述更新训练样本对所述预设神经网络模型进行更新处理,获得更新后的神经网络模型。
32、可选地,所述对块存储系统进行监控,获得每一io操作的io信息,包括:
33、对所述块存储系统进行监控,获得每一所述io操作的io信息;其中,所述io信息包括io大小、io偏移、io时间戳、io标志位中的一种或多种的组合。
34、可选地,所述对块存储系统进行监控,获得每一io操作的io信息,包括:
35、利用hook机制对所述块存储系统的应用程序编程接口进行监控,获得每一所述io操作的io信息。
36、可选地,所述利用预设神经网络模型对所述io特征序列中的每一io特征进行处理,获得各所述io特征的隐藏状态之前,还包括:
37、对所述io特征序列中的各所述io特征进行预处理;其中,所述预处理包括标准化处理和/或归一化处理。
38、可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
39、当确定所述块存储系统存在所述勒索病毒时,输出勒索病毒检测结果以及所述勒索病毒检测结果对应的各所述io信息和所述io特征序列。
40、可选地,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
41、当确定所述块存储系统存在所述勒索病毒时,输出告警提示。
42、第二方面,本专利技术还公开了一种勒索病毒检测装置,包括:
43、监控模块,用于对块存储系统进行监控,获得每一io操作的io信息;
44、计算模块,用于根据各所述io信息进行特征计算,获得io特征序列;
45、第一处理模块,用于利用预设神经网络模型对所述io特征序列中的每一io特征进行处理,获得本文档来自技高网...
【技术保护点】
1.一种勒索病毒检测方法,其特征在于,包括:
2.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据各所述IO信息进行特征计算,获得IO特征序列,包括:
3.根据权利要求2所述的勒索病毒检测方法,其特征在于,所述根据所述IO序列中的各所述IO信息进行特征计算,获得所述IO序列对应的IO特征,包括:
4.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述预设神经网络模型为长短期记忆网络模型,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态,包括:
5.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述利用自注意力机制对各所述隐藏状态进行处理,获得所有所述IO特征的加权和,包括:
6.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒,包括:
7.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
8.根据权利要求1所述的
9.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述对块存储系统进行监控,获得每一IO操作的IO信息,包括:
10.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述利用预设神经网络模型对所述IO特征序列中的每一IO特征进行处理,获得各所述IO特征的隐藏状态之前,还包括:
11.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
12.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
13.一种勒索病毒检测装置,其特征在于,包括:
14.一种电子设备,其特征在于,包括:
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至12任一项所述的勒索病毒检测方法的步骤。
...【技术特征摘要】
1.一种勒索病毒检测方法,其特征在于,包括:
2.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据各所述io信息进行特征计算,获得io特征序列,包括:
3.根据权利要求2所述的勒索病毒检测方法,其特征在于,所述根据所述io序列中的各所述io信息进行特征计算,获得所述io序列对应的io特征,包括:
4.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述预设神经网络模型为长短期记忆网络模型,所述利用预设神经网络模型对所述io特征序列中的每一io特征进行处理,获得各所述io特征的隐藏状态,包括:
5.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述利用自注意力机制对各所述隐藏状态进行处理,获得所有所述io特征的加权和,包括:
6.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒,包括:
7.根据权利要求1所述的勒索病毒检测方法,其特征在于,所述根据所述加权和确定所述块存储系统是否存在勒索病毒之后,还包括:
8.根据权...
【专利技术属性】
技术研发人员:李辉,谢雨来,苏楠,王帅,孙翊航,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。