本公开涉及数据加密检测。在一些示例中,系统对存储装置中的数据的写入应用内联检测,该内联检测用于检测该数据的潜在数据加密。响应于该潜在数据加密的指示,该系统创建表示所述数据的第一版本的第一对象,并且应用进一步分析来确定该潜在数据加密是否构成未授权数据加密,该进一步分析基于该第一对象和第二对象,该第二对象表示在该所述数据的第一版本之前的所述数据的第二版本。前的所述数据的第二版本。前的所述数据的第二版本。
【技术实现步骤摘要】
数据加密检测
技术介绍
[0001]勒索软件攻击涉及对一台计算机或通过网络连接的多台计算机上的数据进行加密。在勒索软件攻击中,可以使用加密密钥对数据加密,这使得用户如果不支付赎金来获取加密密钥就无法访问数据。勒索软件攻击可能会对企业(包括商业公司、政府机构、教育组织、个体等)造成极大的破坏。
附图说明
[0002]关于以下附图描述了本公开的一些实施方式。
[0003]图1和图2是根据一些示例的包括用于检测未授权数据加密的各种部件的布置的框图。
[0004]图3是根据一些示例的存储机器可读指令的存储介质的框图。
[0005]图4是根据一些示例的系统的框图。
[0006]图5是根据一些示例的过程的流程图。
[0007]在所有附图中,相同的附图标记指代相似但不一定相同的要素。附图不一定是按比例绘制的,并且一些部分的大小可以被放大以更清楚地图示所示的示例。此外,附图提供了与描述一致的示例和/或实施方式;然而,描述不限于附图中提供的示例和/或实施方式。
具体实施方式
[0008]在本公开中,除非上下文另外明确指示,否则使用术语“一个/一种(a/an)”或“所述(the)”旨在同样包括复数形式。同样地,当在本公开中使用时,术语“包括(includes/including/comprises/comprising)”、“具有(have/having)”指明存在所述要素,但不排除存在或添加其他要素。
[0009]勒索软件攻击可能很难检测到。等到企业察觉到攻击时,大部分或全部数据都已被加密并因此无法访问。勒索软件攻击可能很难检测到,因为正常的计算机操作也可能会对数据加密,使得区分授权数据加密与未授权数据加密可能具有挑战性。
[0010]企业可能会试图通过将他们的数据备份到备份存储系统来保护自身免受勒索软件攻击。然而,勒索软件攻击通常会首先攻击备份存储系统以加密备份存储系统上的数据,然后再加密(多台)计算机上的数据,使得备份存储系统中和(多台)计算机上的数据都变得无法访问。
[0011]尽管在一些示例中提到了勒索软件攻击,但是应注意,在其他示例中可能存在由恶意软件或其他未授权实体(人、程序、或机器)引起的其他未授权数据加密来源。“未授权数据加密”是指数据已经由不被允许或不应该执行加密的任何实体加密的数据加密。
[0012]反恶意软件程序依靠恶意软件的签名来检测计算机中是否存在恶意软件。然而,反恶意软件程序可能会在恶意软件已感染计算机之后试图移除恶意软件。反恶意软件程序可能无法检测到勒索软件攻击的存在,或者可能在该过程中太晚检测到勒索软件攻击从而不能防止数据损坏和大量丢失。
[0013]根据本公开的一些实施方式,使用多级数据加密检测对未授权数据加密活动进行检测,该多级数据加密检测执行内联(inline)检测以对存储装置(例如,包含数据的记录或其他存储库)的写入中的潜在数据加密进行检测,并且响应于检测潜在数据加密,执行进一步分析以确认内联检测所检测到的潜在数据加密是否构成未授权数据加密。在一些示例中,该进一步分析包括对多个对象的对象分析,该多个对象包括响应于检测到潜在数据加密而创建的第一对象、以及在检测到潜在数据加密之前创建的第二对象,其中,该第一对象和该第二对象表示该数据的不同版本。在进一步示例中,该进一步分析包括对输入/输出(I/O)操作中的模式的模式分析。下面将进一步讨论对象分析和模式分析的细节。
[0014]图1是包括内联检测器102、模式分析器104和对象分析器106的示例布置的框图。尽管被描绘为三个独立的部件,但是应注意,在一些示例中,部件102、104和106中的任何两个或更多个可以组合成更少的部件,或者可以分离成额外的部件。
[0015]同样,在其他示例中,可以省去模式分析器104或对象分析器106。
[0016]部件102、104和106中的每一个可以使用一个硬件处理电路(或多个硬件处理电路)来实施,该硬件处理电路可以包括微处理器、多核微处理器的核、微控制器、可编程集成电路、可编程门阵列或其他硬件处理电路中的任一项或某种组合。可替代地,部件102、104和106中的每一个可以使用一个硬件处理电路(或多个硬件处理电路)和可在(多个)硬件处理电路上执行的机器可读指令(软件和/或固件)的组合来实施。
[0017]内联检测器102、模式分析器104和对象分析器106可以是同一计算机系统的一部分,或者可替代地,可以驻留在多个计算机系统上。在某些情况下,内联检测器102、模式分析器104和对象分析器106可以存在于不同的地理位置。
[0018]如图1所示,请求方108可以发出访问(读取或写入)存储装置130中数据的请求。如这里所使用的,“存储装置”可以使用存储设备的集合(该集合可以包括单个存储设备或多个存储设备)来实施。如这里所使用的,元件“集合”可以指单个元件或多个元件。
[0019]“存储设备”可以指基于磁盘的存储设备、固态驱动器、存储器设备、和/或能够存储数据的任何其他类型的部件。
[0020]请求方108可以指用户、程序、或机器(例如,计算机、智能手机、或任何其他类型的电子设备)。程序可以在电子设备中执行。用户可以使用电子设备。在一些示例中,请求方108可以包括虚拟机器(VM)。VM模拟物理机并在由虚拟机器监控程序(VMM)或管理程序提供的环境中执行。VMM或管理程序将物理计算机系统的物理硬件虚拟化,以供(多个)VM在物理计算机系统中使用。
[0021]请求方108可以向存储系统100发送读取请求和写入请求。存储系统100包括用于处理请求方(包括请求方108)发出的请求的请求处理引擎112。“引擎”可以指一个硬件处理电路(或多个硬件处理电路)、或一个硬件处理电路(或多个硬件处理电路)和机器可读指令的组合。
[0022]在一些示例中,请求处理引擎112可以包括存储控制器,该存储控制器可以通过管理对存储装置130的读取和写入访问来响应访问请求。作为另一示例,请求处理引擎112可以是服务器计算机(或服务器计算机的集合),其可以通过向存储控制器(比如通过网络,包括局域网(LAN)、广域网(WAN)、存储区域网(SAN)、或任何其他类型的网络)提交对应的请求来响应来自请求方的访问请求。在请求处理引擎112包括(多台)服务器计算机的示例中,请
求处理引擎112可以位于存储系统100之外。
[0023]响应于来自请求方108的读取请求,请求处理引擎112使得读取存储在存储装置130中的数据132。响应于来自请求方108的写入请求,请求处理引擎112使得将数据写入到存储装置130。
[0024]在一些示例中,请求处理引擎112可以包括用于保护请求方(比如请求方108)的数据的复制逻辑140。保护数据可以指保护数据避免因故障或另一错误而丢失,比如存储系统100的任何部分中(例如,存储装置130、或请求处理引擎112、或通信路径、或任何其他部件中)导致数据132(或数据132的部分)损毁或其他丢本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种非暂态机器可读存储介质,包括指令,所述指令在执行时使系统:对存储装置中的数据的写入应用内联检测,所述内联检测用于检测所述数据的潜在数据加密;响应于所述潜在数据加密的指示,创建表示所述数据的第一版本的第一对象;以及应用进一步分析以确定所述潜在数据加密是否构成未授权数据加密,所述进一步分析基于所述第一对象和第二对象,所述第二对象表示在所述数据的第一版本之前的所述数据的第二版本。2.如权利要求1所述的非暂态机器可读存储介质,其中,创建所述第一对象包括创建第一快照,并且所述第二对象包括在所述第一快照之前创建的第二快照。3.如权利要求1所述的非暂态机器可读存储介质,其中,所述内联检测被应用于对日志的写入,所述日志记录存储系统中的写入。4.如权利要求3所述的非暂态机器可读存储介质,其中,对所述日志的写入是通过数据路径进行的,所述数据路径与用于一个或多个请求方与所述存储系统之间的写入的数据路径是分开的。5.如权利要求3所述的非暂态机器可读存储介质,其中,所述日志包括复制的数据,所述复制的数据包括数据在不同时间点处的版本,并且其中,所述第一对象和所述第二对象基于所述日志中的所述复制的数据。6.如权利要求1所述的非暂态机器可读存储介质,其中,所述内联检测基于对写入数据的熵的计算。7.如权利要求6所述的非暂态机器可读存储介质,其中,所述熵包括绝对熵。8.如权利要求1所述的非暂态机器可读存储介质,其中,所述进一步分析基于对所述第一对象和所述第二对象的相对熵的计算。9.如权利要求1所述的非暂态机器可读存储介质,其中,所述进一步分析基于对所述第一对象和所述第二对象的哈希的计算。10.如权利要求1所述的非暂态机器可读存储介质,其中,所述进一步分析基于机器学习,所述机器学习基于所述第一对象和所述第二对象产生所述未授权数据加密的指示。11.如权利要求1所述的非暂态机器可读存储介质,其中,所述指令在执行时使所述系统:对包括所述写入在内的写入应用输入/输出(I/O)模式分析,以识别所述潜在数据加密是否构成未授权数据加密。12.如权利要求11所述的非暂态机器可读存储介质,其中,所述I/O模式分析将所述写入的模式与从历史写入操作中得到的基线写入I/O模式进行比较。13.如权利要求1所述的非暂态机器可读存储介质,其中,所述内联检测被应用于对日志的写入,所述日志记录存储系统中的写入,其中,所述日志包括与所述写入相关的写入元数据,并且其中,所述指令在执行时使所述系统:基于所述写入元数据得到写入I/O模式;以及基于所述写入I/O模式,识别所述...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。