本技術涉及存儲領域,尤其涉及一種檢測方法、裝置、介質以及程序產品。
背景技術:
1、勒索軟件是一類在用戶計算機本地利用aes、rsa等強加密算法加密用戶數據,使除了支付贖金以獲取密鑰外無法恢復和訪問數據,達到勒索錢財目的的惡意軟件。如果在指定時間內未支付贖金,這些文件數據將永久丟失。目前,勒索軟件的攻擊頻次高,且造成的經濟損失高達數千億美元,因此,針對勒索軟件產業呈現的爆發式增長,為減少數據丟失以及帶來的經濟損失,亟需對勒索攻擊檢測進行進一步的研究。
2、目前,現有的勒索攻擊檢測方法極大程度上依賴文件的頭、中、尾等結構信息,然而對于二進制結構體的備份文件,是由備份軟件對多個文件的堆疊形成的二進制結構體數據,無常規意義的完整文件結構信息,描述文件堆疊規律的數據存放在單獨的經過加密的元數據文件中,因此,現有的勒索攻擊檢測方法無法準確檢測備份數據的勒索攻擊,只能針對常規文件進行檢測。
技術實現思路
1、本技術提供了一種檢測方法、裝置、介質以及程序產品,用于對通用格式的備份文件進行病毒加密檢測,從而提高備份存儲的安全性。
2、有鑒于此,第一方面,本技術提供一種檢測方法,包括:首先,獲取待檢測的第一備份文件,該第一備份文件可以為任一格式的備份文件;在得到第一備份文件之后,可以對第一備份文件的文件量進行檢測,得到第一檢測結果,該第一檢測結果指示第一備份文件的文件數量異常情況;隨后,根據第一檢測結果,對第一備份文件進行異常加密檢測,得到第二檢測結果。其中,異常加密檢測用于對通用格式的備份文件進行病毒加密檢測,得到的第二檢測結果指示第一備份文件被病毒加密的情況。
3、本技術實施例,可以根據對備份文件的文件量的檢測情況,對通用格式的備份文件進行病毒加密檢測,不僅能對解析后的被備份文件進行檢測,對于不可解析的備份文件也可以進行檢測,從而不再依賴對備份文件的解析,具備了對通用格式的備份文件內部數據進行病毒加密檢測的能力。
4、在一種可能的實施方式中,前述的對第一備份文件進行檢測,得到第一檢測結果,可以包括:通過文件量異常檢測模型對第一備份文件進行檢測,得到第一檢測結果。
5、本技術實施例,可以對備份文件的文件量進行檢測,通過檢測備份文件的文件量是否發生異常增加,從而初步判斷該備份文件是否可能被病毒進行加密攻擊,為后續進行異常加密檢測提供了依據。
6、在一種可能的實施方式中,前述的根據第一檢測結果,對第一備份文件進行異常加密檢測,可以包括:若第一檢測結果為第一備份文件的數據量超過預設值,則通過時間序列異常檢測模型對第一備份文件中每一第二備份文件進行異常加密檢測,第一備份文件中包括多個第二備份文件;若第一檢測結果為第一備份文件的數據量未超過預設值,則通過時間序列異常檢測模型對第一備份文件中x個第二備份文件進行異常加密檢測,x為正整數。
7、本技術實施例,可以根據第一備份文件的文件量是否發生異常增加,選擇對第一備份文件中的全部或者部分第二備份文件進行異常加密檢測,并且當第一備份文件的文件量未發生異常增加時,可以僅對部分第二備份文件進行檢測,減少了待檢測的文件量,從而提高了檢測效率。
8、在一種可能的實施方式中,前述的對第一備份文件進行異常加密檢測,可以包括:根據第二備份文件,生成第二備份文件的加密矩陣,加密矩陣包括第二備份文件的加密狀態;通過第一分類器對加密矩陣進行分類,得到第一分類結果,第一分類結果包括正常加密矩陣和異常加密矩陣;根據第一分類結果,計算得到第二備份文件的加密分數,加密分數表示加密矩陣的異常情況;通過時間序列異常檢測模型對時間序列進行異常加密檢測,得到第二檢測結果,時間序列包括多個第二備份文件的加密分數。
9、本技術實施例,可以將對備份文件的檢測轉換為對備份文件的加密矩陣的檢測,故不需要先對備份文件進行解析,再對解析后的文件進行檢測,對于不可解析和可解析的備份文件均可以進行異常加密檢測,且不再依賴對備份文件的解析,從而實現對通用格式的備份文件進行異常加密檢測。
10、在一種可能的實施方式中,前述的根據第二備份文件,生成第二備份文件的加密矩陣,可以包括:根據第二備份文件的n個抽樣點,對第二備份文件進行特征提取,得到每一抽樣點的m字節的特征數據,m和n為正整數;計算m字節的特征數據的特征值,特征值表示第二備份文件中特征數據的加密情況;根據n個特征值,生成加密矩陣,加密矩陣包括n個特征值。
11、在一種可能的實施方式中,前述的根據n個特征值,生成加密矩陣,可以包括:根據升維公式,計算得到特征值對應的多維通道數值;將第二備份文件映射為空間填充曲線,得到第二備份文件中每個字節的數據的坐標;根據n個多維通道數值以及坐標,生成加密矩陣,加密矩陣中每一元素包括多維通道數值以及對應的坐標。
12、本技術實施例,可以將特征值根據升維公式轉換為多維通道數值,結合空間填充曲線,將加密矩陣以圖片的形式展示出來,從而能夠更直觀地展示加密矩陣的加密情況。
13、在一種可能的實施方式中,前述的根據第一分類結果,計算得到第二備份文件的加密分數,可以包括:若第一分類結果為異常加密矩陣,則將加密分數的值設置為特定值;若第一分類結果為正常加密矩陣,則將加密矩陣劃分為y個加密子矩陣,y為正整數;根據y個加密子矩陣,計算得到加密分數。
14、在一種可能的實施方式中,前述的根據y個加密子矩陣,計算得到加密分數,可以包括:通過第二分類器對y個加密子矩陣進行分類,得到y個第二分類結果;根據y個第二分類結果中正常加密子矩陣的個數以及異常加密子矩陣的個數,計算得到子矩陣比率;將子矩陣比率作為加密分數。
15、在一種可能的實施方式中,前述的對時間序列進行檢測,得到第二檢測結果,可以包括:將多個加密分數進行組合,得到時間序列;通過時間序列異常檢測模型對時間序列進行檢測,得到第二檢測結果。
16、第二方面,本技術提供一種檢測裝置,包括:
17、第一檢測模塊,用于對第一備份文件進行檢測,得到第一檢測結果,第一檢測結果指示第一備份文件的文件數量異常情況;
18、第二檢測模塊,用于根據第一檢測結果,對第一備份文件進行異常加密檢測,得到第二檢測結果,異常加密檢測用于對通用格式的備份文件進行病毒加密檢測,第二檢測結果指示第一備份文件被病毒加密的情況。
19、在一種可能的實施方式中,上述第一檢測模塊,具體用于:通過文件量異常檢測模型對第一備份文件進行檢測,得到第一檢測結果。
20、在一種可能的實施方式中,上述第二檢測模塊,具體用于:若第一檢測結果為第一備份文件的數據量超過預設值,則通過時間序列異常檢測模型對第一備份文件中每一第二備份文件進行異常加密檢測,第一備份文件中包括多個第二備份文件;若第一檢測結果為第一備份文件的數據量未超過預設值,則通過時間序列異常檢測模型對第一備份文件中x個第二備份文件進行異常加密檢測,x為正整數。
21、在一種可能的實施方式中,上述第二檢測模塊,具體用于:根據第二備份文件,生成第二備份文件的加密矩陣,加密矩陣包括第二備份文件的加密狀態;通過第一分類器對加密矩陣進行分類,得到第一分類結果,第一分類結果包括正常加密矩陣和異常加密矩陣;根據第一分類結果,計算得到第二備份文件的加密分數,加密分數表示加密矩陣的異常情況;通過時間序列異常檢測模型對時間序列進行異常加密檢測,得到第二檢測結果,時間序列包括多個第二備份文件的加密分數。
22、在一種可能的實施方式中,上述第二檢測模塊,具體用于:根據第二備份文件的n個抽樣點,對第二備份文件進行特征提取,得到每一抽樣點的m字節的特征數據,m和n為正整數;計算m字節的特征數據的特征值,特征值表示第二備份文件中特征數據的加密情況;根據n個特征值,生成加密矩陣,加密矩陣包括n個特征值。
23、在一種可能的實施方式中,上述第二檢測模塊,具體用于:根據升維公式,計算得到特征值對應的多維通道數值;將第二備份文件映射為空間填充曲線,得到第二備份文件中每個字節的數據的坐標;根據n個多維通道數值以及坐標,生成加密矩陣,加密矩陣中每一元素包括多維通道數值以及對應的坐標。
24、在一種可能的實施方式中,上述第二檢測模塊,具體用于:若第一分類結果為異常加密矩陣,則將加密分數的值設置為特定值;若第一分類結果為正常加密矩陣,則將加密矩陣劃分為y個加密子矩陣,y為正整數;根據y個加密子矩陣,計算得到加密分數。
25、在一種可能的實施方式中,上述第二檢測模塊,具體用于:通過第二分類器對y個加密子矩陣進行分類,得到y個第二分類結果;根據y個第二分類結果中正常加密子矩陣的個數以及異常加密子矩陣的個數,計算得到子矩陣比率;將子矩陣比率作為加密分數。
26、在一種可能的實施方式中,上述第二檢測模塊,具體用于:將多個加密分數進行組合,得到時間序列;通過時間序列異常檢測模型對時間序列進行檢測,得到第二檢測結果。
27、第三方面,本技術提供一種檢測裝置,該檢測裝置包括:處理器、存儲器、輸入輸出設備以及總線;該存儲器中存儲有計算機指令;該處理器在執行該存儲器中的計算機指令時,該存儲器中存儲有計算機指令;該處理器在執行該存儲器中的計算機指令時,用于實現如第一方面任意一種實現方式。
28、第四方面,本技術實施例提供一種計算機可讀存儲介質。該計算機可讀存儲介質中存儲有計算機指令;當該計算機指令在計算機上運行時,使得該計算機執行如第一方面可能的實現方式所述的方法。
29、第五方面,本技術實施例提供一種計算機程序產品。該計算機程序產品包括計算機程序或指令,當該計算機程序或指令在計算機上運行時,使得該計算機執行如第一方面可能的實現方式所述的方法。