基于硬盘存储芯片的病毒攻击行为处理方法及装置与流程

本发明涉及网络安全，尤其涉及一种基于硬盘存储芯片的病毒攻击行为处理方法及装置。

背景技术：

1、一直以来勒索病毒攻击的监控防护主要集中在网络安全和操作系统方面，主要通过安装杀毒软件、配置网络边界安全设备、封堵漏洞方式实现，但这一系列监控防护方法都具有一定的滞后型，例如杀毒软件若要识别勒索病毒，必须要基于已有的病毒特征库，一个新型勒索病毒从传播、发现到提取病毒特征更新杀毒软件特征库需要时间，封堵安全漏洞更是需要数天到数月的时间，在这些空白期内无法对新型勒索病毒或变种勒索病毒进行有效监控及防护。

技术实现思路

1、鉴于此，本发明提供一种基于硬盘存储芯片的病毒攻击行为处理方法及装置。

2、本发明公开了一种基于硬盘存储芯片的病毒攻击行为处理方法，其包括：

3、步骤1：根据病毒防护软件引导设置保护文件夹路径以及保护文件类型，根据硬盘内文件系统目录表，定位各类型文件格式的文件头和关键扇区所处lba地址，形成扇区位图并将其写入存储芯片供主控芯片调用，并和文件夹系统实时同步；关键扇区包括mbr扇区和dbr扇区；

4、步骤2：根据形成的扇区位图，得到文件头扇区所在lba扇区地址及在硬盘存储时使用的pba扇区地址；

5、步骤3：监测病毒防护软件的进程或者硬盘存储芯片内队列数据包，判断是否存在病毒的攻击行为；若存在病毒的攻击行为，则主控芯片中断与硬盘之间的连接。

6、进一步地，所述步骤1之前，还包括：

7、建立计算机中的pci-e硬件卡、主机和硬盘之间的连接关系；其中，pci-e硬件卡包括主控芯片和存储芯片；计算机的主机加载有病毒监控防护软件；主机分别与主控芯片和存储芯片连接；存储芯片分别与主控芯片和硬盘连接；硬盘中设置有硬盘存储芯片。

8、进一步地，所述步骤2包括：

9、扇区位图建立完成后，主控芯片向硬盘发送密钥，读取硬盘中的编译器模块，并将其写入存储芯片供主控芯片调用，以翻译文件头所处pba地址，即可得到该文件头对应的lba扇区地址。

10、进一步地，所述步骤3包括：

11、主控芯片实时监控与病毒防护软件的api握手，若黑客或病毒终止软件进程，主控芯片立即监测到api握手中断，并向硬盘发送休眠指令，使硬盘进入休眠状态，电机停转，磁头归位启停区；主控芯片关闭其与硬盘通信的通道。

12、进一步地，所述步骤3包括：

13、监控硬盘存储芯片内队列数据包的写入pba地址，主控芯片调用扇区位图，可得出该pba地址存放的类型文件格式的文件头扇区，主控芯片调用存储芯片内置的文件格式标准模板库比对，若该pba地址写入的数据与内置的文件格式标准不一致，则判定有攻击行为；当判定有攻击行为时，主控芯片向硬盘发送休眠指令，使硬盘进入休眠状态，电机停转，磁头归位启停区；主控芯片关闭其与硬盘通信的通道。

14、进一步地，所述步骤3之后，还包括：

15、将硬盘拆卸至硬盘复制机镜像整个硬盘，将镜像盘接入安全无毒孤网计算机查杀病毒后提取数据，或是接入取证硬件设备选择性提取数据。

16、本发明还公开了一种基于硬盘存储芯片的病毒攻击行为处理装置，其包括：硬盘、pci-e硬件卡和主机；主机通过pci-e硬件卡与硬盘连接；pci-e硬件卡包括主控芯片和存储芯片；硬盘中设置有硬盘存储芯片；

17、主机用于存储病毒监控防护软件，其分别通过主控芯片和存储芯片与硬盘连接；

18、主机中的病毒防护软件用于根据硬盘内文件系统目录表，定位每个文件头所在扇区以及文件系统关键表所在扇区，形成扇区位图，并写入存储芯片内供主控芯片调用；

19、主控芯片用于根据病毒监控防护软件的进程或者硬盘存储芯片内队列数据包，判断是否存在病毒的攻击行为；若存在病毒的攻击行为，则主控芯片中断与硬盘之间的连接。

20、进一步地，主控芯片用于实时监控与病毒防护软件的api握手，若黑客或病毒终止软件进程，主控芯片立即监测到api握手中断，并向硬盘发送休眠指令，使硬盘进入休眠状态，电机停转，磁头归位启停区；主控芯片关闭其与硬盘通信的通道。

21、进一步地，主控芯片与监控硬盘存储芯片的待写入队列，读取硬盘的编译器模块；同时存储芯片用于存储硬盘的编译器模块和病毒监控防护软件生成的扇区位图；

22、主控芯片用于根据编译器模块将待写入队列的数据包的pba扇区地址翻译为lba扇区地址，并与lba扇区地址对应的文件格式进行比较，判断是否有攻击行为；若不一致，则判定存在攻击行为，主控芯片用于向硬盘发送休眠指令，使硬盘进入休眠状态，电机停转，磁头归位启停区；主控芯片关闭其与硬盘通信的通道。

23、进一步地，在主控芯片关闭其与硬盘通信的通道之后，将硬盘拆卸至硬盘复制机镜像整个硬盘；将镜像盘接入安全无毒孤网计算机查杀病毒后提取数据，或是接入取证硬件设备选择性提取数据。

24、由于采用了上述技术方案，本发明具有如下的优点：能够对新型勒索病毒或变种勒索病毒进行有效监控及阻止。

技术特征：

1.一种基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，包括：

2.根据权利要求1所述的基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，所述步骤1之前，还包括：

3.根据权利要求1所述的基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，所述步骤2包括：

4.根据权利要求1所述的基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，所述步骤3包括：

5.根据权利要求1所述的基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，所述步骤3包括：

6.根据权利要求1所述的基于硬盘存储芯片的病毒攻击行为处理方法，其特征在于，所述步骤3之后，还包括：

7.一种基于硬盘存储芯片的病毒攻击行为处理装置，其特征在于，包括：硬盘、pci-e硬件卡和主机；主机通过pci-e硬件卡与硬盘连接；pci-e硬件卡包括主控芯片和存储芯片；硬盘中设置有硬盘存储芯片；

8.根据权利要求7所述的基于硬盘存储芯片的病毒攻击行为处理装置，其特征在于，主控芯片用于实时监控与病毒防护软件的api握手，若黑客或病毒终止软件进程，主控芯片立即监测到api握手中断，并向硬盘发送休眠指令，使硬盘进入休眠状态，电机停转，磁头归位启停区；主控芯片关闭其与硬盘通信的通道。

9.根据权利要求7所述的基于硬盘存储芯片的病毒攻击行为处理装置，其特征在于，主控芯片与监控硬盘存储芯片的待写入队列，读取硬盘的编译器模块；同时存储芯片用于存储硬盘的编译器模块和病毒监控防护软件生成的扇区位图；

10.根据权利要求8或9所述的基于硬盘存储芯片的病毒攻击行为处理装置，其特征在于，在主控芯片关闭其与硬盘通信的通道之后，将硬盘拆卸至硬盘复制机，以镜像整个硬盘；将镜像盘接入安全无毒孤网计算机查杀病毒后提取数据，或是接入取证硬件设备选择性提取数据。

技术总结本发明公开了一种基于硬盘存储芯片的病毒攻击行为处理方法及装置，该方法包括：根据勒索病毒防护软件引导设置保护文件夹路径以及保护文件类型，根据硬盘内文件系统目录表，定位各类型文件格式的文件头和关键扇区所处LBA地址，形成扇区位图并将其写入存储芯片供主控芯片调用，并和文件夹系统实时同步；根据形成的扇区位图，得到文件头扇区所在LBA扇区地址及在硬盘存储时使用的PBA扇区地址；监测勒索病毒防护软件的进程或者硬盘存储芯片内队列数据包，判断是否存在勒索病毒的攻击行为；若存在勒索病毒的攻击行为，则主控芯片中断与硬盘之间的连接。本发明能够有效监测和阻断病毒的攻击行为。技术研发人员：梁花,严华,李玮,万凌云,韩世海,陈妍霖,李洋,张颖,吴彬,刘圣龙,雷娟,石聪聪,陈咏涛,田庆宜,古军,高爽,杨峰,单松玲,王智慧,欧林,张森,赵长松,吴碧巧,周文,周政,张海兵,宫林,李俊杰,张逸,景钰文受保护的技术使用者：国网重庆市电力公司电力科学研究院技术研发日：技术公布日：2024/8/16