【技术实现步骤摘要】
与实施例一致的装置和方法涉及对存储设备的保护,更具体地,涉及检测恶意勒索软件操作。
技术介绍
1、恶意软件(诸如恶意程序(malware))可以以多种形式出现。一种类型的越来越常见的恶意程序被称为勒索软件(ransomware)。勒索软件可以针对任何类型的计算机系统,例如可以使用操作系统(诸如microsoft windows和apple ios)的个人计算机、移动设备(诸如智能手机,其可以包括iphone和基于android的智能手机)、服务器和任何其他类型的设备。
2、一般地,勒索软件可以指拒绝用户访问存储在用户设备上的数据,并要求为恢复对数据的访问付款的恶意程序。例如,锁定(locker)勒索软件可以完全锁定用户的设备,并且只有在攻击者收到付款时才会解锁设备。加密勒索软件(cryptoransomware)可以加密用户设备上存储的部分或全部数据,攻击者可以向用户提供解密密钥以换取付款。其他类型的勒索软件可以从用户的设备中窃取数据,并威胁如果没有收到付款,则将公布数据。可以要求例如使用诸如paysafecard的预付费在线支付卡或诸如数字货币的加密货币来付款。
3、近来,加密勒索软件攻击的数量显著增加。加密勒索软件攻击可以分一个或多个阶段进行。例如,勒索软件攻击可以从分发活动开始,该分发活动可以使用例如社会工程技术或武器化网站来分发恶意程序的下载释放器(droper)。与勒索软件相关联的恶意代码然后可以例如通过下载可以安装勒索软件的可执行文件来感染用户的设备。随后可以出现恶意负载分阶段传送(malic
4、目标数据可以包括,例如,设备的所有数据、或者可以包括数据的更小子集。例如,勒索软件可以针对特定的文件扩展名(诸如“.doc”、“.jpg”、“.pdf”)或者包含文本文档、演示文稿、图像或任何其他个人数据的文件。目标数据可以包括大量的数据(诸如几千兆字节),并且加密过程可以快速进行,例如仅在几秒或几分钟内。
5、用于缓解勒索软件的策略可以包括两个主要部分:检测和恢复。一般地,主要集中于恢复的策略可能需要大的存储量和计算能力。主要集中于检测或检测和恢复相组合的策略可以减少缓解勒索软件攻击所需的存储量和计算能力。
6、此外,当前针对网络攻击的保护主要位于软件层,例如在防病毒或防火墙软件中,其可能不足以保护免受所有恶意攻击,诸如勒索软件攻击。
7、因此,需要对恶意攻击(诸如勒索软件攻击,其锁定、加密或以其他方式拒绝对受害者的存储设备上存储的数据的访问或控制)的改进的检测的技术。
技术实现思路
1、根据本公开的一个方面,一种存储系统包括主机设备;以及包括存储器和被配置为实现存储内部保护(storage internal protection,sip)模块的至少一个处理器的存储设备,其中该sip模块被配置为:从主机设备获得与存储器相对应的多个存储命令,过滤该多个存储命令以获得经过滤的多个存储命令,将关于经过滤的多个存储命令的信息应用于机器学习勒索软件检测算法,以及基于机器学习勒索软件检测算法指示检测到勒索软件操作,向主机设备提供通知。
2、根据本公开的一个方面,一种存储设备包括存储器;以及至少一个处理器,该至少一个处理器被配置为:获得与存储器相对应的多个存储命令,过滤该多个存储命令以获得经过滤的多个存储命令,将关于经过滤的多个存储命令的信息应用于机器学习勒索软件检测算法,以及基于机器学习勒索软件检测算法指示检测到勒索软件操作,向存储设备的用户提供通知。
3、根据本公开的一个方面,一种控制存储系统的方法,该方法是由存储系统的存储设备中包括的至少一个处理器实现的存储内部保护(sip)模块来执行的,并且包括:从存储系统中包括的主机设备获得与存储设备的存储器相对应的多个存储命令,过滤该多个存储命令以获得经过滤的多个存储命令,将关于经过滤的多个存储命令的信息应用于机器学习勒索软件检测算法,以及基于机器学习勒索软件检测算法指示检测到勒索软件操作,向主机设备提供通知。
4、根据本公开的一个方面,一种控制存储设备的方法,该方法是由至少一个处理器来执行的,并且包括:获得与存储设备中包括的存储器相对应的多个存储命令,过滤该多个存储命令以获得经过滤的多个存储命令,将关于经过滤的多个存储命令的信息应用于机器学习勒索软件检测算法,以及基于机器学习勒索软件检测算法指示检测到勒索软件操作,向存储设备的用户提供通知。
本文档来自技高网...【技术保护点】
1.一种存储系统,包括:
2.根据权利要求1所述的存储系统,其中,所述SIP模块还包括被配置为执行恶意程序保护固件代码以实现所述机器学习勒索软件检测算法的神经网络NN处理器,以及
3.根据权利要求1所述的存储系统,其中,所述存储设备包括固态驱动SSD,所述SSD包括SSD控制器,所述SSD控制器被配置为接收所述多个存储命令以及基于所述多个存储命令对所述存储器执行操作,
4.根据权利要求3所述的存储系统,其中,所述SSD控制器还包括主机接口,所述主机接口被配置为从所述主机设备接收所述多个存储命令,以及
5.根据权利要求1所述的存储系统,其中,所述经过滤的多个存储命令是通过将具有预定大小的滑动窗口应用于所述多个存储命令来获得的。
6.根据权利要求1所述的存储系统,其中,所述机器学习勒索软件检测算法被配置为基于与所述经过滤的多个存储命令相关联的模式来识别勒索软件操作,以及
7.根据权利要求1所述的存储系统,其中,所述机器学习勒索软件检测算法包括卷积神经网络、循环神经网络、主成分分析模型和随机森林模型中的至少一种。<...
【技术特征摘要】
1.一种存储系统,包括:
2.根据权利要求1所述的存储系统,其中,所述sip模块还包括被配置为执行恶意程序保护固件代码以实现所述机器学习勒索软件检测算法的神经网络nn处理器,以及
3.根据权利要求1所述的存储系统,其中,所述存储设备包括固态驱动ssd,所述ssd包括ssd控制器,所述ssd控制器被配置为接收所述多个存储命令以及基于所述多个存储命令对所述存储器执行操作,
4.根据权利要求3所述的存储系统,其中,所述ssd控制器还包括主机接口,所述主机接口被配置为从所述主机设备接收所述多个存储命令,以及
5.根据权利要求1所述的存储系统,其中,所述经过滤的多个存储命令是通过将具有预定大小的滑动窗口应用于所述多个存储命令来获得的。
6.根据权利要求1所述的存储系统,其中,所述机器学习勒索软件检测算法被配置为基于与所述经过滤的多个存储命令相关联的模式来识别勒索软件操作,以及
7.根据权利要求1所述的存储系统,其中,所述机器学习勒索软件检测算法包括卷积神经网络、循环神经网络、主成分分析模型和随机森林模型中的至少一种。
8.根据权利要求1所述的存储系统,其中,所述主机设备被配置为操作与所述sip模块相对应的sip应用sipa,
9.一种存储设备,包括:
10.根据权利要求9所述的存储设备,其中,所述存储设备包括固态驱动ssd,所述ssd包括ssd控制器,所述ssd控制器被配置为接收所述多个存储命令以及基于所述多个存储命令对所述存储器执行操作,
11.根据权利要求9所述的存储设备,其中,所述经过滤的多个存储命令是通过将具有预定大小的滑动窗口应用于所述多个存储命令来获得的。<...
【专利技术属性】
技术研发人员:A·伯曼,A·杜布切克,N·利文,
申请(专利权)人:三星电子株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。