【技术实现步骤摘要】
本申请涉及安全,尤其涉及一种勒索软件检测方法、分布式系统及计算机可读存储介质。
技术介绍
1、勒索软件,又称勒索病毒,是一种恶意软件,特别是加密型勒索软件,通过加密文件的方式劫持受害者的数据,并要求受害者支付高额赎金用以恢复数据。
2、防勒索攻击,是通过将业务系统中的业务数据在备份存储系统中进行快速检测和备份,当业务系统中的业务数据被勒索软件攻击和污染,以备份存储系统中的备份副本数据可以恢复出业务数据。但是,一旦备份副本数据被勒索软件加密和污染,将无法恢复出业务数据,影响业务连续性。因此,需要对备份存储系统中的备份数据进行勒索攻击检测,确认备份数据无勒索攻击后,再将备份数据转存到安全的隔离存储系统中。但是,备份数据在流转到隔离存储系统中,或者传送到业务系统中用以恢复数据的过程中,有可能遭受勒索病毒污染,导致业务数据恢复失败。
技术实现思路
1、本申请提供了一种勒索软件检测方法、装置及其他设备,基于签名验签,可以确保将未被勒索检测的备份数据存储至隔离存储系统中,以用于业务系统进行数据恢复,保证业务的连续性。
2、第一方面,提供了一种勒索软件检测方法,该方法应用于备份检测系统。该备份检测系统用于对备份存储系统中的备份数据进行勒索检测,其中,备份数据是业务数据的备份,该方法包括:备份检测系统获取该备份数据;备份检测系统对该备份数据进行勒索检测;备份检测系统基于私钥获取目标备份数据和该目标备份数据的标签信息的签名,目标备份数据的标签信息用于指示目标备份数据通过勒索检
3、在本实施例中,备份检测系统对备份存储系统中存储的备份数据进行勒索检测,为了避免备份存储系统中的备份数据被勒索软件攻击,除了在备份存储系统中进行备份存储,也可以建立一个单独的物理隔离区域,将通过备份检测系统勒索检测的目标备份数据存储至隔离存储系统中。备份检测系统进行勒索检测之后对通过勒索检测的目标备份数据利用签名私钥进行签名,隔离存储系统在对目标备份数据进行存储之前,利用本地预置的公钥进行签名验证,能够确保隔离存储系统存储的备份数据未被勒索软件攻击,以用于业务系统进行数据恢复,保证业务的连续性。
4、在一些可能的实现方式中,备份检测系统基于私钥获取目标备份数据和目标备份数据的标签信息的签名,包括:备份检测系统计算目标备份数据和其标签信息的第一哈希值。
5、在本实现方式中,备份检测系统在对目标备份数据和标签信息采用私钥进行签名之前,由备份检测系统先计算目标备份数据和其标签信息的第一哈希值,再将第一哈希值发送至密钥管理系统基于私钥进行签名,可以降低网络带宽和传输开销。
6、在一些可能的实现方式中,备份检测系统计算目标备份数据和标签信息的第一哈希值之后,包括:备份检测系统将第一哈希值发送至密钥管理系统,其中,密钥管理系统用于基于私钥对第一哈希值进行签名以及将签名发送至备份检测系统。
7、在本实现方式中,备份检测系统将第一哈希值发送至密钥管理系统,由密钥管理系统利用某种数字签名算法生成用于签名验签的私钥和公钥,私钥用于对目标备份数据和标签信息进行签名,公钥用于验签。
8、在一些可能的实现方式中,备份检测系统计算目标备份数据和标签信息的第一哈希值之后,包括:备份检测系统从密钥管理系统中获取私钥,备份检测系统基于私钥对第一哈希值进行签名。
9、在本实现方式中,备份检测系统计算目标备份数据和标签信息的第一哈希值之后,可以向密钥管理系统发起密钥获取请求,密钥管理系统可以生成用于签名验签的私钥和公钥,或将用户通过本地可信任的加密机并通过密钥管理系统的配置界面或应用程序接口(application programming interface,api)导入的私钥发送至备份检测系统。
10、在一些可能的实现方式中,签名用于隔离存储系统基于目标备份数据和标签信息计算得到的第二哈希值,与基于公钥对签名进行验证得到的第一哈希值相同时,存储目标备份数据。
11、在本实现方式中,隔离存储系统在对目标备份数据进行存储之前,基于公钥对目标备份数据和签名进行验签,从而验证该目标备份数据在从备份检测系统传输至隔离存储系统的过程中,是否被勒索软件攻击。基于公钥验证成功后,即确定目标备份数据未被勒索软件攻击,则将该目标备份数据存储于隔离存储系统,用于业务系统的业务数据被勒索攻击后,能够基于隔离存储系统的存储的目标备份数据进行恢复。通过签名验签的勒索检测方法,可以确保备份数据存储在隔离存储系统中的数据未被勒索软件攻击。
12、在一些可能的实现方式中,私钥由密钥管理系统生成,或私钥由用户导入至密钥管理系统。
13、在本实现方式中,密钥管理系统利用某种数字签名算法生成用于签名验签的私钥和公钥,私钥用于对目标备份数据和标签信息进行签名,公钥用于验签。或者,用户通过本地可信任的加密机生成用于签名验签的私钥和公钥,并通过密钥管理系统的配置界面或api导入本地加密机生成的私钥和公钥,私钥用于对目标备份数据和标签信息进行签名,公钥用于验签。
14、第二方面,提供了一种勒索软件检测方法,该方法应用于隔离存储系统,该方法包括:隔离存储系统接收目标备份数据、该目标备份数据的标签信息和该目标备份数据的签名,其中,标签信息用于指示目标备份数据通过备份检测系统的勒索检测,签名由备份检测系统基于私钥对目标备份数据和标签信息进行签名得到;隔离存储系统基于公钥对签名进行验证,公钥是与私钥相匹配的密钥对;若验证成功,隔离存储系统存储目标备份数据;隔离存储系统接收业务系统的恢复请求,恢复请求用于获取目标备份数据;隔离存储系统根据恢复请求,向业务系统发送目标备份数据、标签信息和签名,其中,签名用于业务系统基于公钥进行验证以及验证成功之后利用目标备份数据进行数据恢复。
15、在本实施例中,为了避免备份存储系统中的备份数据被勒索攻击,除了在备份存储系统进行备份存储,也可以建立一个单独的物理隔离区域存储备份数据。隔离存储系统接收备份检测系统发送的经过勒索软件检测后未被勒索攻击的目标备份数据和签名。隔离存储系统在对目标备份数据进行存储之前,基于公钥对目标备份数据和签名进行验签,并将验证通过的目标备份数据存储至隔离存储系统,用于业务系统的业务数据被勒索攻击后,能够基于目标备份数据进行恢复。业务系统在利用目标备份数据进行数据恢复之前,同样,也基于公钥对目标备份数据和签名进行验签,并确定目标备份数据未被勒索软件攻击后,则利用目标备份数据进行数据恢复,从而确保业务数据恢复成功。
16、在一些可能的实现方式中,隔离存储系统基于公钥对签名进行验证,包括:隔离存储系统计算目标备份数据和标签信息的第一哈希值。
17、在本实现方式中,位于物理隔离区域的隔离存储系统断开互联网的连接,由本文档来自技高网...
【技术保护点】
1.一种勒索软件检测方法,其特征在于,所述方法应用于备份检测系统,所述备份检测系统用于对备份存储系统中的备份数据进行勒索检测,所述备份数据是业务数据的备份,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述备份检测系统基于私钥获取目标备份数据和所述目标备份数据的标签信息的签名,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述备份检测系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述备份检测系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述签名用于所述隔离存储系统基于所述目标备份数据和所述标签信息计算得到的第二哈希值,与基于所述公钥对所述签名进行验证得到的所述第一哈希值相同时,存储所述目标备份数据。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
7.一种勒索软件检测方法,其特征在
8.根据权利要求7所述的方法,其特征在于,所述隔离存储系统基于公钥对所述签名进行验证,包括:
9.根据权利要求7或8所述的方法,其特征在于,所述隔离存储系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
10.根据权利要求7至9任一项所述的方法,其特征在于,所述若验证成功,所述隔离存储系统存储所述目标备份数据,包括:
11.根据权利要求7所述的方法,其特征在于,所述签名用于所述业务系统基于所述公钥进行验证得到的所述第二哈希值,与基于所述目标备份数据和所述标签信息计算得到的第三哈希值相同时,利用所述目标备份数据进行数据恢复。
12.根据权利要求7至10任一项所述的方法,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
13.一种勒索软件检测装置,其特征在于,所述装置应用于备份检测系统,所述备份检测系统用于对备份存储系统中的备份数据进行勒索检测,所述备份数据是业务数据的备份,所述装置包括:
14.根据权利要求13所述的装置,其特征在于,所述获取模块,具体用于:
15.根据权利要求13或14所述的装置,其特征在于,所述获取模块计算所述目标备份数据和所述标签信息的第一哈希值之后,所述发送模块,还用于:
16.根据权利要求13或14所述的装置,其特征在于,所述获取模块计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
17.根据权利要求13至16任一项所述的装置,其特征在于,所述签名用于所述隔离存储系统基于所述目标备份数据和所述标签信息计算得到的第二哈希值,与基于所述公钥对所述签名进行验证得到的所述第一哈希值相同时,存储所述目标备份数据。
18.根据权利要求13至17任一项所述的装置,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
19.一种勒索软件检测装置,其特征在于,所述方法应用于隔离存储系统,所述装置包括:
20.根据权利要求19所述的装置,其特征在于,所述处理模块,具体用于:
21.根据权利要求19或20所述的装置,其特征在于,所述处理模块计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
22.根据权利要求19至21任一项所述的装置,其特征在于,所述处理模块计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
23.根据权利要求19所述的装置,其特征在于,所述签名用于所述业务系统基于所述公钥进行验证得到的所述第二哈希值,与基于所述目标备份数据和所述标签信息计算得到的第三哈希值相同时,利用所述目标备份数据进行数据恢复。
24.根据权利要求19至23任一项所述的装置,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
25.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;
26.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;
27.一种包含指令的计算机程序产品,其特征在于,当所述指令被计算设备集群运行时,使得所述计算设备集群执行如权利要求1至6任一所述的方法。
28.一种包含指令的计算机程序产品,其特征在于,当所述指令被计算设备集群运行时,使得...
【技术特征摘要】
1.一种勒索软件检测方法,其特征在于,所述方法应用于备份检测系统,所述备份检测系统用于对备份存储系统中的备份数据进行勒索检测,所述备份数据是业务数据的备份,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述备份检测系统基于私钥获取目标备份数据和所述目标备份数据的标签信息的签名,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述备份检测系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
4.根据权利要求1或2所述的方法,其特征在于,所述备份检测系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
5.根据权利要求1至4任一项所述的方法,其特征在于,所述签名用于所述隔离存储系统基于所述目标备份数据和所述标签信息计算得到的第二哈希值,与基于所述公钥对所述签名进行验证得到的所述第一哈希值相同时,存储所述目标备份数据。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
7.一种勒索软件检测方法,其特征在于,所述方法应用于隔离存储系统,所述方法包括:
8.根据权利要求7所述的方法,其特征在于,所述隔离存储系统基于公钥对所述签名进行验证,包括:
9.根据权利要求7或8所述的方法,其特征在于,所述隔离存储系统计算所述目标备份数据和所述标签信息的第一哈希值之后,包括:
10.根据权利要求7至9任一项所述的方法,其特征在于,所述若验证成功,所述隔离存储系统存储所述目标备份数据,包括:
11.根据权利要求7所述的方法,其特征在于,所述签名用于所述业务系统基于所述公钥进行验证得到的所述第二哈希值,与基于所述目标备份数据和所述标签信息计算得到的第三哈希值相同时,利用所述目标备份数据进行数据恢复。
12.根据权利要求7至10任一项所述的方法,其特征在于,所述私钥由所述密钥管理系统生成,或所述私钥由用户导入至所述密钥管理系统。
13.一种勒索软件检测装置,其特征在于,所述装置应用于备份检测系统,所述备份检测系统用于对备份存储系统中的备份数据进行勒索检测,所述备份数据是业务数据的备份,所述装置包括:
14.根据权利要求13所述的装置,其特征在于,所述获取模块,具体用于:
15.根据权利要求13或14所述的装置,其特征在于,所述获取模块计算所述目标备份数据和所述标签信息的第一哈希值之后,所述发送模块,还用于:<...
【专利技术属性】
技术研发人员:欧锻灏,霍正聃,王伟,
申请(专利权)人:华为云计算技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。