本技術(shù)涉及存儲(chǔ)領(lǐng)域���,尤其涉及一種檢測(cè)方法���、裝置、介質(zhì)以及程序產(chǎn)品�����。
背景技術(shù):
1����、勒索軟件是一類在用戶計(jì)算機(jī)本地利用aes、rsa等強(qiáng)加密算法加密用戶數(shù)據(jù)��,使除了支付贖金以獲取密鑰外無(wú)法恢復(fù)和訪問(wèn)數(shù)據(jù)�,達(dá)到勒索錢財(cái)目的的惡意軟件。如果在指定時(shí)間內(nèi)未支付贖金�,這些文件數(shù)據(jù)將永久丟失。目前���,勒索軟件的攻擊頻次高�,且造成的經(jīng)濟(jì)損失高達(dá)數(shù)千億美元�����,因此���,針對(duì)勒索軟件產(chǎn)業(yè)呈現(xiàn)的爆發(fā)式增長(zhǎng)�����,為減少數(shù)據(jù)丟失以及帶來(lái)的經(jīng)濟(jì)損失����,亟需對(duì)勒索攻擊檢測(cè)進(jìn)行進(jìn)一步的研究。
2��、目前��,現(xiàn)有的勒索攻擊檢測(cè)方法極大程度上依賴文件的頭����、中、尾等結(jié)構(gòu)信息����,然而對(duì)于二進(jìn)制結(jié)構(gòu)體的備份文件,是由備份軟件對(duì)多個(gè)文件的堆疊形成的二進(jìn)制結(jié)構(gòu)體數(shù)據(jù)����,無(wú)常規(guī)意義的完整文件結(jié)構(gòu)信息,描述文件堆疊規(guī)律的數(shù)據(jù)存放在單獨(dú)的經(jīng)過(guò)加密的元數(shù)據(jù)文件中��,因此��,現(xiàn)有的勒索攻擊檢測(cè)方法無(wú)法準(zhǔn)確檢測(cè)備份數(shù)據(jù)的勒索攻擊���,只能針對(duì)常規(guī)文件進(jìn)行檢測(cè)�。
技術(shù)實(shí)現(xiàn)思路
1��、本技術(shù)提供了一種檢測(cè)方法����、裝置、介質(zhì)以及程序產(chǎn)品�����,用于對(duì)通用格式的備份文件進(jìn)行病毒加密檢測(cè)�����,從而提高備份存儲(chǔ)的安全性��。
2���、有鑒于此����,第一方面��,本技術(shù)提供一種檢測(cè)方法����,包括:首先�,獲取待檢測(cè)的第一備份文件�,該第一備份文件可以為任一格式的備份文件;在得到第一備份文件之后���,可以對(duì)第一備份文件的文件量進(jìn)行檢測(cè)���,得到第一檢測(cè)結(jié)果,該第一檢測(cè)結(jié)果指示第一備份文件的文件數(shù)量異常情況��;隨后���,根據(jù)第一檢測(cè)結(jié)果���,對(duì)第一備份文件進(jìn)行異常加密檢測(cè),得到第二檢測(cè)結(jié)果����。其中,異常加密檢測(cè)用于對(duì)通用格式的備份文件進(jìn)行病毒加密檢測(cè)�����,得到的第二檢測(cè)結(jié)果指示第一備份文件被病毒加密的情況。
3����、本技術(shù)實(shí)施例��,可以根據(jù)對(duì)備份文件的文件量的檢測(cè)情況��,對(duì)通用格式的備份文件進(jìn)行病毒加密檢測(cè)���,不僅能對(duì)解析后的被備份文件進(jìn)行檢測(cè)����,對(duì)于不可解析的備份文件也可以進(jìn)行檢測(cè)���,從而不再依賴對(duì)備份文件的解析�����,具備了對(duì)通用格式的備份文件內(nèi)部數(shù)據(jù)進(jìn)行病毒加密檢測(cè)的能力�。
4���、在一種可能的實(shí)施方式中��,前述的對(duì)第一備份文件進(jìn)行檢測(cè)��,得到第一檢測(cè)結(jié)果��,可以包括:通過(guò)文件量異常檢測(cè)模型對(duì)第一備份文件進(jìn)行檢測(cè)���,得到第一檢測(cè)結(jié)果���。
5、本技術(shù)實(shí)施例��,可以對(duì)備份文件的文件量進(jìn)行檢測(cè)���,通過(guò)檢測(cè)備份文件的文件量是否發(fā)生異常增加����,從而初步判斷該備份文件是否可能被病毒進(jìn)行加密攻擊����,為后續(xù)進(jìn)行異常加密檢測(cè)提供了依據(jù)。
6��、在一種可能的實(shí)施方式中�����,前述的根據(jù)第一檢測(cè)結(jié)果,對(duì)第一備份文件進(jìn)行異常加密檢測(cè)���,可以包括:若第一檢測(cè)結(jié)果為第一備份文件的數(shù)據(jù)量超過(guò)預(yù)設(shè)值�,則通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)第一備份文件中每一第二備份文件進(jìn)行異常加密檢測(cè)�����,第一備份文件中包括多個(gè)第二備份文件���;若第一檢測(cè)結(jié)果為第一備份文件的數(shù)據(jù)量未超過(guò)預(yù)設(shè)值,則通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)第一備份文件中x個(gè)第二備份文件進(jìn)行異常加密檢測(cè)�����,x為正整數(shù)�。
7、本技術(shù)實(shí)施例��,可以根據(jù)第一備份文件的文件量是否發(fā)生異常增加����,選擇對(duì)第一備份文件中的全部或者部分第二備份文件進(jìn)行異常加密檢測(cè),并且當(dāng)?shù)谝粋浞菸募奈募课窗l(fā)生異常增加時(shí),可以僅對(duì)部分第二備份文件進(jìn)行檢測(cè)�����,減少了待檢測(cè)的文件量����,從而提高了檢測(cè)效率。
8���、在一種可能的實(shí)施方式中�����,前述的對(duì)第一備份文件進(jìn)行異常加密檢測(cè)�,可以包括:根據(jù)第二備份文件���,生成第二備份文件的加密矩陣����,加密矩陣包括第二備份文件的加密狀態(tài)�;通過(guò)第一分類器對(duì)加密矩陣進(jìn)行分類,得到第一分類結(jié)果��,第一分類結(jié)果包括正常加密矩陣和異常加密矩陣;根據(jù)第一分類結(jié)果�����,計(jì)算得到第二備份文件的加密分?jǐn)?shù)����,加密分?jǐn)?shù)表示加密矩陣的異常情況;通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)時(shí)間序列進(jìn)行異常加密檢測(cè)���,得到第二檢測(cè)結(jié)果�,時(shí)間序列包括多個(gè)第二備份文件的加密分?jǐn)?shù)��。
9����、本技術(shù)實(shí)施例��,可以將對(duì)備份文件的檢測(cè)轉(zhuǎn)換為對(duì)備份文件的加密矩陣的檢測(cè)����,故不需要先對(duì)備份文件進(jìn)行解析,再對(duì)解析后的文件進(jìn)行檢測(cè)�����,對(duì)于不可解析和可解析的備份文件均可以進(jìn)行異常加密檢測(cè),且不再依賴對(duì)備份文件的解析���,從而實(shí)現(xiàn)對(duì)通用格式的備份文件進(jìn)行異常加密檢測(cè)��。
10��、在一種可能的實(shí)施方式中����,前述的根據(jù)第二備份文件��,生成第二備份文件的加密矩陣��,可以包括:根據(jù)第二備份文件的n個(gè)抽樣點(diǎn)�,對(duì)第二備份文件進(jìn)行特征提取,得到每一抽樣點(diǎn)的m字節(jié)的特征數(shù)據(jù)����,m和n為正整數(shù);計(jì)算m字節(jié)的特征數(shù)據(jù)的特征值��,特征值表示第二備份文件中特征數(shù)據(jù)的加密情況�;根據(jù)n個(gè)特征值��,生成加密矩陣���,加密矩陣包括n個(gè)特征值。
11�、在一種可能的實(shí)施方式中,前述的根據(jù)n個(gè)特征值��,生成加密矩陣�����,可以包括:根據(jù)升維公式���,計(jì)算得到特征值對(duì)應(yīng)的多維通道數(shù)值���;將第二備份文件映射為空間填充曲線�����,得到第二備份文件中每個(gè)字節(jié)的數(shù)據(jù)的坐標(biāo)��;根據(jù)n個(gè)多維通道數(shù)值以及坐標(biāo)�,生成加密矩陣����,加密矩陣中每一元素包括多維通道數(shù)值以及對(duì)應(yīng)的坐標(biāo)�。
12、本技術(shù)實(shí)施例��,可以將特征值根據(jù)升維公式轉(zhuǎn)換為多維通道數(shù)值����,結(jié)合空間填充曲線,將加密矩陣以圖片的形式展示出來(lái)�,從而能夠更直觀地展示加密矩陣的加密情況。
13���、在一種可能的實(shí)施方式中���,前述的根據(jù)第一分類結(jié)果,計(jì)算得到第二備份文件的加密分?jǐn)?shù)����,可以包括:若第一分類結(jié)果為異常加密矩陣,則將加密分?jǐn)?shù)的值設(shè)置為特定值�;若第一分類結(jié)果為正常加密矩陣,則將加密矩陣劃分為y個(gè)加密子矩陣,y為正整數(shù)�����;根據(jù)y個(gè)加密子矩陣���,計(jì)算得到加密分?jǐn)?shù)�����。
14�����、在一種可能的實(shí)施方式中���,前述的根據(jù)y個(gè)加密子矩陣,計(jì)算得到加密分?jǐn)?shù)���,可以包括:通過(guò)第二分類器對(duì)y個(gè)加密子矩陣進(jìn)行分類����,得到y(tǒng)個(gè)第二分類結(jié)果�;根據(jù)y個(gè)第二分類結(jié)果中正常加密子矩陣的個(gè)數(shù)以及異常加密子矩陣的個(gè)數(shù)�,計(jì)算得到子矩陣比率�;將子矩陣比率作為加密分?jǐn)?shù)���。
15�����、在一種可能的實(shí)施方式中����,前述的對(duì)時(shí)間序列進(jìn)行檢測(cè)���,得到第二檢測(cè)結(jié)果����,可以包括:將多個(gè)加密分?jǐn)?shù)進(jìn)行組合���,得到時(shí)間序列���;通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)時(shí)間序列進(jìn)行檢測(cè),得到第二檢測(cè)結(jié)果�。
16、第二方面,本技術(shù)提供一種檢測(cè)裝置���,包括:
17�����、第一檢測(cè)模塊��,用于對(duì)第一備份文件進(jìn)行檢測(cè)��,得到第一檢測(cè)結(jié)果�,第一檢測(cè)結(jié)果指示第一備份文件的文件數(shù)量異常情況�;
18、第二檢測(cè)模塊��,用于根據(jù)第一檢測(cè)結(jié)果���,對(duì)第一備份文件進(jìn)行異常加密檢測(cè)���,得到第二檢測(cè)結(jié)果,異常加密檢測(cè)用于對(duì)通用格式的備份文件進(jìn)行病毒加密檢測(cè)�,第二檢測(cè)結(jié)果指示第一備份文件被病毒加密的情況。
19�����、在一種可能的實(shí)施方式中��,上述第一檢測(cè)模塊�,具體用于:通過(guò)文件量異常檢測(cè)模型對(duì)第一備份文件進(jìn)行檢測(cè),得到第一檢測(cè)結(jié)果�。
20、在一種可能的實(shí)施方式中�����,上述第二檢測(cè)模塊�����,具體用于:若第一檢測(cè)結(jié)果為第一備份文件的數(shù)據(jù)量超過(guò)預(yù)設(shè)值����,則通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)第一備份文件中每一第二備份文件進(jìn)行異常加密檢測(cè),第一備份文件中包括多個(gè)第二備份文件����;若第一檢測(cè)結(jié)果為第一備份文件的數(shù)據(jù)量未超過(guò)預(yù)設(shè)值,則通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)第一備份文件中x個(gè)第二備份文件進(jìn)行異常加密檢測(cè)�����,x為正整數(shù)。
21��、在一種可能的實(shí)施方式中���,上述第二檢測(cè)模塊����,具體用于:根據(jù)第二備份文件�,生成第二備份文件的加密矩陣,加密矩陣包括第二備份文件的加密狀態(tài)���;通過(guò)第一分類器對(duì)加密矩陣進(jìn)行分類��,得到第一分類結(jié)果��,第一分類結(jié)果包括正常加密矩陣和異常加密矩陣��;根據(jù)第一分類結(jié)果����,計(jì)算得到第二備份文件的加密分?jǐn)?shù)��,加密分?jǐn)?shù)表示加密矩陣的異常情況;通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)時(shí)間序列進(jìn)行異常加密檢測(cè)����,得到第二檢測(cè)結(jié)果,時(shí)間序列包括多個(gè)第二備份文件的加密分?jǐn)?shù)��。
22����、在一種可能的實(shí)施方式中��,上述第二檢測(cè)模塊�,具體用于:根據(jù)第二備份文件的n個(gè)抽樣點(diǎn),對(duì)第二備份文件進(jìn)行特征提取����,得到每一抽樣點(diǎn)的m字節(jié)的特征數(shù)據(jù),m和n為正整數(shù)�����;計(jì)算m字節(jié)的特征數(shù)據(jù)的特征值����,特征值表示第二備份文件中特征數(shù)據(jù)的加密情況�����;根據(jù)n個(gè)特征值����,生成加密矩陣�,加密矩陣包括n個(gè)特征值。
23��、在一種可能的實(shí)施方式中���,上述第二檢測(cè)模塊����,具體用于:根據(jù)升維公式��,計(jì)算得到特征值對(duì)應(yīng)的多維通道數(shù)值��;將第二備份文件映射為空間填充曲線���,得到第二備份文件中每個(gè)字節(jié)的數(shù)據(jù)的坐標(biāo)���;根據(jù)n個(gè)多維通道數(shù)值以及坐標(biāo)��,生成加密矩陣��,加密矩陣中每一元素包括多維通道數(shù)值以及對(duì)應(yīng)的坐標(biāo)����。
24����、在一種可能的實(shí)施方式中�,上述第二檢測(cè)模塊,具體用于:若第一分類結(jié)果為異常加密矩陣����,則將加密分?jǐn)?shù)的值設(shè)置為特定值;若第一分類結(jié)果為正常加密矩陣���,則將加密矩陣劃分為y個(gè)加密子矩陣�,y為正整數(shù)���;根據(jù)y個(gè)加密子矩陣��,計(jì)算得到加密分?jǐn)?shù)�。
25、在一種可能的實(shí)施方式中���,上述第二檢測(cè)模塊��,具體用于:通過(guò)第二分類器對(duì)y個(gè)加密子矩陣進(jìn)行分類�,得到y(tǒng)個(gè)第二分類結(jié)果���;根據(jù)y個(gè)第二分類結(jié)果中正常加密子矩陣的個(gè)數(shù)以及異常加密子矩陣的個(gè)數(shù)��,計(jì)算得到子矩陣比率�����;將子矩陣比率作為加密分?jǐn)?shù)�����。
26��、在一種可能的實(shí)施方式中��,上述第二檢測(cè)模塊���,具體用于:將多個(gè)加密分?jǐn)?shù)進(jìn)行組合���,得到時(shí)間序列;通過(guò)時(shí)間序列異常檢測(cè)模型對(duì)時(shí)間序列進(jìn)行檢測(cè)�����,得到第二檢測(cè)結(jié)果�。
27、第三方面�����,本技術(shù)提供一種檢測(cè)裝置��,該檢測(cè)裝置包括:處理器���、存儲(chǔ)器、輸入輸出設(shè)備以及總線���;該存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)指令���;該處理器在執(zhí)行該存儲(chǔ)器中的計(jì)算機(jī)指令時(shí),該存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)指令;該處理器在執(zhí)行該存儲(chǔ)器中的計(jì)算機(jī)指令時(shí)���,用于實(shí)現(xiàn)如第一方面任意一種實(shí)現(xiàn)方式��。
28����、第四方面�,本技術(shù)實(shí)施例提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。該計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)指令����;當(dāng)該計(jì)算機(jī)指令在計(jì)算機(jī)上運(yùn)行時(shí),使得該計(jì)算機(jī)執(zhí)行如第一方面可能的實(shí)現(xiàn)方式所述的方法���。
29��、第五方面�,本技術(shù)實(shí)施例提供一種計(jì)算機(jī)程序產(chǎn)品�。該計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序或指令,當(dāng)該計(jì)算機(jī)程序或指令在計(jì)算機(jī)上運(yùn)行時(shí)��,使得該計(jì)算機(jī)執(zhí)行如第一方面可能的實(shí)現(xiàn)方式所述的方法�。