勒索攻击和数据破坏攻击检测方法、系统、设备及介质与流程

本发明涉及网络安全，尤其是一种勒索攻击和数据破坏攻击检测方法、系统、设备及介质。

背景技术：

1、勒索攻击是一种针对数据可用性的计算机网络攻击，多数体现为计算机病毒类(含蠕虫、木马等)软件并自动扩散，也可由网络攻击者甚至是跨国网络攻击者针对目标网络主动发起。无论形式如何，成功攻击的结果通常都是攻击者利用加密算法锁定受害者(可以是个人，也可以是企业或团体等组织)的数据文件，并且向受害者索要赎金性质的钱财。通常，勒索攻击只使用安全的加密算法进行文件锁定，拿不到正确的密钥无论是谁都无法解密。因此，受害者通常无法解除攻击者对数据文件的锁定机制，在没有备份、数据变得不可用的情况下，就可能被迫按照攻击者要求的方式来支付赎金，尽管受害者“破财”后攻击者也未必遵守约定提供能恢复数据文件的相应密钥。由此可见，勒索攻击的具体目标通常是存储在服务器上的一个个文件，而不会是数据库系统。勒索攻击性质极其恶劣，近年来在危害数据安全方面可谓臭名昭著。

2、勒索攻击多数体现为计算机病毒，所以不少应对方案遵循传统的病毒检测技术路线，如病毒特征库+黑白名单机制。但这类机制通常只能检测已知的病毒，很难检测新出现的病毒。此外，这种技术路线过于关注“病毒”而未与“勒索”紧密结合。

3、现有技术中公开了一种应对方案，其对文件存储服务器的操作系统进行修改，使得其文件存储驱动具备一定的“智能”：当运行的文件驱动程序检测到文件系统遍历api被调用时，文件驱动程序向文件系统遍历api投放诱饵文件(也称蜜点文件等)；若刚投入的诱饵文件被执行了写入操作和/或重命名操作，则判定上述调用文件系统遍历api的进程为恶意进程、运行该进程的软件为勒索软件。现有技术方案存下以下缺陷：

4、首先，不同的勒索软件有不同的“口味”，有的专门攻击某一种或几种类型的文件(例如只攻击office文档)，有的则专门攻击创建时间位于某区间(例如最近一年)的文件；“聪明”的勒索软件甚至会去主动识别并避开诱饵文件(例如，不去触碰无端“冒出”的临时文件)。勒索软件做出这样的考虑，是为了能在被发现或被阻断前尽快找到其认为最有攻击价值的目标数据并进行最大范围的锁定，从而以最小的投入、最小的“动静”去达到最大的破坏效果。现有技术方案并没有考虑勒索软件的这类攻击策略，而是只要发现文件系统遍历api被调用就投放诱饵文件。很显然，一旦这样的诱饵文件不符合勒索攻击的“口味”，诱饵文件就会被无视，检测也就失效，从而导致现有技术方案存在较大的漏报率，且检测方法的通用性不高。

5、其次，现有技术方案易引起误报。例如，当合法用户(或其应用程序)对文件系统进行遍历时，文件驱动程序临时投放的诱饵文件往往会引起不知情用户的注意和好奇。此时，用户对诱饵文件的操作就很容易引发现有技术方案的误判了，从而导致现有技术方案存在相对较大的误报率。

6、最后，现有技术方案需要修改服务器上的文件存储驱动，而电信、互联网公司等企业网环境下，服务器动辄数以万计且经常需要扩容(即向idc部署新的服务器)，结果就是这些服务器都要重新安装驱动程序，运维成本较高。

7、术语解释：

8、idc：internet data center，即互联网数据中心，此外，电信领域的资源池也被视为一种idc。

技术实现思路

1、本发明的目的在于至少一定程度上解决现有技术中存在的技术问题之一。

2、为此，本发明实施例的一个目的在于提供一种勒索攻击和数据破坏攻击检测方法，该方法降低了勒索攻击和数据破坏攻击检测的漏报率和误报率，降低了运维成本，增强了网络安全性。

3、本发明实施例的另一个目的在于提供一种勒索攻击和数据破坏攻击检测系统。

4、为了达到上述技术目的，本发明实施例所采取的技术方案包括：

5、一方面，本发明实施例提供了一种勒索攻击和数据破坏攻击检测方法，包括以下步骤：

6、获取用户端创建的若干个第一真实文件，通过网关创建与所述第一真实文件对应的第一哨兵文件，并将所述第一真实文件和所述第一哨兵文件作为目标数据文件存储至服务器；

7、通过所述服务器监测各所述目标数据文件的文件状态，并将所述文件状态上报至所述网关；

8、通过所述网关根据所述文件状态判断所述第一哨兵文件是否发生改变；

9、当所述第一哨兵文件发生改变，判定所述服务器遭遇勒索攻击或数据破坏攻击，并生成告警信息；

10、其中，所述第一哨兵文件的哨兵文件清单由所述网关维护，使得所述用户端无法感知所述第一哨兵文件，且所述服务器无法区分所述目标数据文件中的所述第一真实文件与所述第一哨兵文件。

11、进一步地，在本发明的一个实施例中，所述获取用户端创建的若干个第一真实文件，通过网关创建与第一真实文件对应的第一哨兵文件，并将第一真实文件和第一哨兵文件作为目标数据文件存储至服务器这一步骤，其具体包括：

12、响应于所述用户端的文件创建操作，通过所述网关获取所述用户端创建的若干个所述第一真实文件；

13、通过所述网关检测所述第一真实文件的文件属性，根据所述文件属性和预设的哨兵文件配备策略生成与所述第一真实文件对应的所述第一哨兵文件，并将所述第一哨兵文件的文件信息加入所述哨兵文件清单；

14、通过所述网关将所述第一真实文件与所述第一哨兵文件作为所述目标数据文件发送至所述服务器，使得所述服务器对所述目标数据文件进行存储；

15、其中，所述文件属性包括文件类型和文件路径。

16、进一步地，在本发明的一个实施例中，所述根据所述文件属性和预设的哨兵文件配备策略生成与所述第一真实文件对应的所述第一哨兵文件这一步骤，其具体为：

17、根据所述文件类型从预设的哨兵文件样本库中随机获取一个同类型的哨兵文件样本，将所述哨兵文件样本作为所述第一哨兵文件，并根据所述文件路径确定所述第一哨兵文件的存储位置；

18、或，

19、获取所述文件类型对应的填充模板，通过特定内容对所述填充模板进行填充处理得到所述第一哨兵文件，并根据所述文件路径确定所述第一哨兵文件的存储位置。

20、进一步地，在本发明的一个实施例中，所述通过所述服务器监测各所述目标数据文件的文件状态，并将所述文件状态上报至所述网关这一步骤，其具体包括：

21、通过所述服务器实时/定时监测各所述目标数据文件的文件状态；

22、根据所述文件状态和监测时间生成文件状态日志，并将所述文件状态日志上报至所述网关。

23、进一步地，在本发明的一个实施例中，所述通过所述网关根据所述文件状态判断所述第一哨兵文件是否发生改变这一步骤，其具体包括：

24、通过所述网关根据所述哨兵文件清单和所述文件状态日志确定所述第一哨兵文件的文件状态；

25、根据确定的所述第一哨兵文件的文件状态判断所述第一哨兵文件是否发生改变。

26、进一步地，在本发明的一个实施例中，所述当所述第一哨兵文件发生改变，判定所述服务器遭遇勒索攻击或数据破坏攻击，并生成告警信息这一步骤，其具体包括：

27、当确定所述第一哨兵文件发生改变，判定所述服务器遭遇勒索攻击或数据破坏攻击，并根据所述文件状态日志的相应信息确定攻击发生时间；

28、根据所述攻击发生时间生成告警信息，并将所述告警信息发送至管理员。

29、进一步地，在本发明的一个实施例中，所述勒索攻击和数据破坏攻击检测方法还包括以下步骤：

30、当所述网关检测到所述用户端新创建的第二真实文件与所述服务器已存储的第二哨兵文件的文件路径和文件名均相同，对所述第二哨兵文件进行重命名，并根据重命名后的所述第二哨兵文件更新所述哨兵文件清单，或，通过所述第二真实文件覆盖所述第二哨兵文件，并将所述第二哨兵文件的文件信息从所述哨兵文件清单中移除。

31、另一方面，本发明实施例提供了一种勒索攻击和数据破坏攻击检测系统，包括：

32、哨兵文件创建模块，用于获取用户端创建的若干个第一真实文件，通过网关创建与所述第一真实文件对应的第一哨兵文件，并将所述第一真实文件和所述第一哨兵文件作为目标数据文件存储至服务器；

33、文件状态上报模块，用于通过所述服务器监测各所述目标数据文件的文件状态，并将所述文件状态上报至所述网关；

34、文件状态判断模块，用于通过所述网关根据所述文件状态判断所述第一哨兵文件是否发生改变；

35、告警信息生成模块，用于当所述第一哨兵文件发生改变，判定所述服务器遭遇勒索攻击或数据破坏攻击，并生成告警信息；

36、其中，所述第一哨兵文件的哨兵文件清单由所述网关维护，使得所述用户端无法感知所述第一哨兵文件，且所述服务器无法区分所述目标数据文件中的所述第一真实文件与所述第一哨兵文件。

37、另一方面，本发明实施例提供了一种电子设备，所述电子设备包括存储器、处理器、存储在所述存储器上并可在所述处理器上运行的程序以及用于实现所述处理器和所述存储器之间的连接通信的数据总线，所述程序被所述处理器执行时实现如前面所述的勒索攻击和数据破坏攻击检测方法。

38、另一方面，本发明实施例还提供了一种存储介质，所述存储介质为计算机可读存储介质，用于计算机可读存储，所述存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现如前面所述的勒索攻击和数据破坏攻击检测方法。

39、本发明的优点和有益效果将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到：

40、本发明实施例获取用户端创建的若干个第一真实文件，通过网关创建与第一真实文件对应的第一哨兵文件，并将第一真实文件和第一哨兵文件作为目标数据文件存储至服务器，通过服务器监测各目标数据文件的文件状态，并将文件状态上报至网关，通过网关根据文件状态判断第一哨兵文件是否发生改变，当第一哨兵文件发生改变，判定服务器遭遇勒索攻击或数据破坏攻击，并生成告警信息。本发明实施例通过网关创建与真实文件对应的哨兵文件，将该哨兵文件与真实文件一起存储至服务器，部署哨兵文件的哨兵文件清单仅由网关进行维护，使得用户端无法感知哨兵文件且服务器无法区分真实文件与哨兵文件，这样当服务器遭遇勒索攻击或数据破坏攻击时，哨兵文件受攻击影响会被改变，网关通过服务器上报的文件状态即可判断哨兵文件是否发生改变，从而可以判断出服务器是否遭遇勒索攻击或数据破坏攻击，降低了勒索攻击和数据破坏攻击检测的漏报率和误报率，降低了运维成本，增强了网络安全性。