本發(fā)明大體上涉及數(shù)據(jù)安全領(lǐng)域，更具體地，涉及在計(jì)算機(jī)系統(tǒng)中運(yùn)行的保護(hù)控制器和方法，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。

背景技術(shù)：

1、當(dāng)提到數(shù)據(jù)安全時(shí)，惡意軟件(如勒索軟件、加密挖礦程序、間諜軟件、僵尸程序、特洛伊木馬程序、蠕蟲等)是對(duì)個(gè)人和組織最主要的網(wǎng)絡(luò)威脅。通常，惡意軟件是指設(shè)計(jì)來危害計(jì)算機(jī)系統(tǒng)的軟件，例如通過破壞計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)或限制用戶訪問計(jì)算機(jī)系統(tǒng)中存儲(chǔ)的數(shù)據(jù)。因此，這種惡意軟件攻擊會(huì)導(dǎo)致嚴(yán)重的金錢損失、數(shù)據(jù)丟失或系統(tǒng)故障。

2、目前，已經(jīng)進(jìn)行了某些嘗試，例如通過使用周期備份、防病毒軟件等，來降低惡意軟件攻擊的風(fēng)險(xiǎn)。但是，這種嘗試由于許多原因而失敗，例如由于在數(shù)據(jù)的周期備份期間或非瞬時(shí)惡意軟件檢測期間，在特定時(shí)間間隔之間發(fā)生數(shù)據(jù)累積和數(shù)據(jù)丟失。由于這些原因，傳統(tǒng)的惡意軟件檢測技術(shù)無法有效降低惡意軟件攻擊的風(fēng)險(xiǎn)，而惡意軟件攻擊會(huì)造成巨大的金錢損失和嚴(yán)重的數(shù)據(jù)丟失。因此，存在如下技術(shù)問題：如何高效準(zhǔn)確地消除惡意軟件的不利影響，以提高計(jì)算機(jī)系統(tǒng)的整體數(shù)據(jù)安全性，從而保護(hù)計(jì)算機(jī)系統(tǒng)免受惡意軟件攻擊。

3、因此，根據(jù)上述討論，需要克服與保護(hù)計(jì)算機(jī)系統(tǒng)免受惡意軟件攻擊的傳統(tǒng)方法相關(guān)的上述缺點(diǎn)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供了一種在計(jì)算機(jī)系統(tǒng)中運(yùn)行的保護(hù)控制器和方法，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。本發(fā)明提供了一種現(xiàn)有問題的方案，現(xiàn)有問題即：如何高效準(zhǔn)確地消除惡意軟件的不利影響，以提高計(jì)算機(jī)系統(tǒng)的整體數(shù)據(jù)安全性，從而保護(hù)計(jì)算機(jī)系統(tǒng)免受惡意軟件攻擊。本發(fā)明的目的是提供一種方案，該方案至少部分地克服現(xiàn)有技術(shù)中遇到的問題，并且例如通過提供無損資源優(yōu)化的勒索軟件保護(hù)，提供一種改進(jìn)的保護(hù)控制器和改進(jìn)的方法，以在計(jì)算機(jī)系統(tǒng)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。

2、本發(fā)明的一個(gè)或多個(gè)目的通過所附獨(dú)立權(quán)利要求中提供的方案來實(shí)現(xiàn)。在從屬權(quán)利要求中進(jìn)一步定義本發(fā)明的有利實(shí)現(xiàn)方式。

3、在一個(gè)方面，本發(fā)明提供了一種保護(hù)控制器，用于在計(jì)算機(jī)系統(tǒng)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。所述保護(hù)控制器用于：接收對(duì)文件的內(nèi)存盤請(qǐng)求；確定所述內(nèi)存盤請(qǐng)求是指示對(duì)所述文件的修改的寫請(qǐng)求，并作為響應(yīng)，在所述修改之前生成所述文件的備份副本；確定所述進(jìn)程包括勒索軟件，并作為響應(yīng)，基于所述備份副本恢復(fù)所述文件。

4、計(jì)算機(jī)系統(tǒng)的保護(hù)控制器用于：每當(dāng)保護(hù)控制器接收到指示寫請(qǐng)求的內(nèi)存盤請(qǐng)求時(shí)，在任何修改之前生成文件的備份副本。文件的備份副本還用于：每當(dāng)在進(jìn)程執(zhí)行期間檢測到勒索軟件時(shí)，恢復(fù)文件的原始副本以消除勒索軟件的不利影響。此外，保護(hù)控制器用于監(jiān)控進(jìn)程、操作系統(tǒng)和內(nèi)存盤請(qǐng)求的行為，以提供整體數(shù)據(jù)保護(hù)。此外，保護(hù)控制器用于檢測進(jìn)程中的勒索軟件，例如通過勒索軟件檢測方案。例如，如果在十(10)次寫入(占磁盤的2％)之后檢測到惡意軟件，則在這種情況下，保護(hù)控制器用于恢復(fù)受惡意軟件不利影響的文件。此外，保護(hù)控制器用于終止進(jìn)程，例如當(dāng)檢測到惡意軟件時(shí)、當(dāng)進(jìn)程超時(shí)或當(dāng)進(jìn)程被視為良性時(shí)終止進(jìn)程。此后，保護(hù)控制器用于：在進(jìn)程終止之后刪除文件的備份副本以改進(jìn)并降低資源利用，例如通過降低存儲(chǔ)器利用(即，通過最少的寫入文件和寫入字節(jié))。此外，保護(hù)控制器用于提供文件級(jí)和塊級(jí)保護(hù)，例如通過備份整個(gè)文件或通過備份內(nèi)存盤的已修改塊，以提供寫時(shí)備份和勒索軟件檢測機(jī)制。因此，保護(hù)控制器用于向計(jì)算機(jī)系統(tǒng)提供無損勒索軟件保護(hù)，并提高整體數(shù)據(jù)安全性。

5、在一種實(shí)現(xiàn)方式中，所述保護(hù)控制器還用于監(jiān)控接收所述內(nèi)存盤請(qǐng)求的所述進(jìn)程。

6、對(duì)進(jìn)程的監(jiān)控用于確定進(jìn)程的性質(zhì)，例如惡意進(jìn)程或非惡意進(jìn)程。

7、在另一種實(shí)現(xiàn)方式中，所述保護(hù)控制器還用于：通過用所述備份副本中的對(duì)應(yīng)塊替換所述已修改文件中的已修改塊來恢復(fù)所述文件。

8、在這種實(shí)現(xiàn)方式中，通過用備份副本中的對(duì)應(yīng)塊替換已修改文件中的已修改塊來恢復(fù)文件，可以消除勒索軟件攻擊的不利影響。

9、在另一種實(shí)現(xiàn)方式中，所述保護(hù)控制器還用于生成由所述已修改塊組成的所述備份副本。

10、有利地，生成文件的備份副本可以用于恢復(fù)文件，例如通過用備份副本替換已修改文件以消除勒索軟件的影響。

11、在另一種實(shí)現(xiàn)方式中，所述保護(hù)控制器還用于確定所述進(jìn)程不包括勒索軟件，并作為響應(yīng)，刪除所述備份副本。

12、刪除文件的備份副本降低了資源(例如，用于存儲(chǔ)備份副本的資源)的利用，并提高了整體數(shù)據(jù)安全性。

13、在另一個(gè)方面，本發(fā)明提供了一種用于保護(hù)控制器的方法，所述保護(hù)控制器用于在計(jì)算機(jī)系統(tǒng)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。所述方法包括：接收對(duì)文件的內(nèi)存盤請(qǐng)求；確定所述內(nèi)存盤請(qǐng)求是指示對(duì)所述文件的修改的寫請(qǐng)求，并作為響應(yīng)，在所述修改之前生成所述文件的備份副本；確定所述進(jìn)程包括勒索軟件，并作為響應(yīng)，基于所述備份副本恢復(fù)所述文件。

14、所述方法實(shí)現(xiàn)了本發(fā)明的保護(hù)控制器的所有優(yōu)點(diǎn)和技術(shù)效果。

15、應(yīng)當(dāng)理解，所有上述實(shí)現(xiàn)方式都可以組合。

16、需要說明的是，本申請(qǐng)中描述的所有設(shè)備、元件、電路、單元和模塊可以通過軟件或硬件元件或其任何類型的組合實(shí)現(xiàn)。本申請(qǐng)中描述的各種實(shí)體執(zhí)行的所有步驟以及所描述的將由各種實(shí)體執(zhí)行的功能旨在表明相應(yīng)的實(shí)體適于或用于執(zhí)行相應(yīng)的步驟和功能。雖然在以下具體實(shí)施例的描述中，由外部實(shí)體執(zhí)行的特定功能或步驟沒有在執(zhí)行該特定步驟或功能的該實(shí)體的具體詳述元件的描述中反映，但是技術(shù)人員應(yīng)該清楚，這些方法和功能可以在相應(yīng)的硬件或軟件元件或其任何組合中實(shí)現(xiàn)。應(yīng)當(dāng)理解，本發(fā)明的特征易于以各種組合進(jìn)行組合，而不偏離由所附權(quán)利要求書定義的本發(fā)明的范圍。

17、本發(fā)明的附加方面、優(yōu)點(diǎn)、特征和目的從附圖和結(jié)合以下所附權(quán)利要求書解釋的說明性實(shí)現(xiàn)方式的詳細(xì)描述中變得顯而易見。

技術(shù)特征：

1.一種保護(hù)控制器(102)，其特征在于，用于在計(jì)算機(jī)系統(tǒng)(104)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)(104)包括進(jìn)程、操作系統(tǒng)(106)和至少一個(gè)內(nèi)存盤(108)，其中，所述保護(hù)控制器(102)還用于：

2.根據(jù)權(quán)利要求1所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于監(jiān)控接收所述內(nèi)存盤請(qǐng)求的所述進(jìn)程。

3.根據(jù)權(quán)利要求1所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于監(jiān)控接收所述內(nèi)存盤請(qǐng)求的所述操作系統(tǒng)。

4.根據(jù)權(quán)利要求1所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于監(jiān)控接收所述內(nèi)存盤請(qǐng)求的所述至少一個(gè)內(nèi)存盤(108)。

5.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于通過利用操作系統(tǒng)服務(wù)來執(zhí)行文件活動(dòng)監(jiān)控，從而接收對(duì)所述文件的所述內(nèi)存盤請(qǐng)求。

6.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于通過用所述備份副本替換已修改文件來恢復(fù)所述文件。

7.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于通過用所述備份副本中的對(duì)應(yīng)塊替換所述已修改文件中的已修改塊來恢復(fù)所述文件。

8.根據(jù)權(quán)利要求7所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于生成由所述已修改塊組成的所述備份副本。

9.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于確定所述進(jìn)程已被終止，并作為響應(yīng)，刪除所述備份副本。

10.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于確定所述進(jìn)程不包括勒索軟件，并作為響應(yīng)，刪除所述備份副本。

11.根據(jù)權(quán)利要求10所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于通過接收所述進(jìn)程不包括勒索軟件的指示來確定所述進(jìn)程不包括勒索軟件。

12.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述保護(hù)控制器(102)還用于確定已發(fā)生超時(shí)，并作為響應(yīng)，刪除所述備份副本。

13.根據(jù)上述權(quán)利要求中任一項(xiàng)所述的保護(hù)控制器(102)，其特征在于，所述計(jì)算機(jī)系統(tǒng)(104)是虛擬機(jī)系統(tǒng)。

14.一種用于保護(hù)控制器(102)的方法(200)，其特征在于，所述保護(hù)控制器(102)用于在計(jì)算機(jī)系統(tǒng)(104)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)(104)包括進(jìn)程、操作系統(tǒng)(106)和至少一個(gè)內(nèi)存盤(108)，其中，所述方法(200)包括：

15.一種計(jì)算機(jī)程序產(chǎn)品，其特征在于，包括程序指令，所述程序指令用于在由虛擬機(jī)系統(tǒng)中的一個(gè)或多個(gè)處理器執(zhí)行時(shí)執(zhí)行根據(jù)權(quán)利要求14所述的方法(200)。

技術(shù)總結(jié)
提供了一種保護(hù)控制器，用于在計(jì)算機(jī)系統(tǒng)中運(yùn)行，所述計(jì)算機(jī)系統(tǒng)包括進(jìn)程、操作系統(tǒng)和至少一個(gè)內(nèi)存盤。所述保護(hù)控制器還用于：接收對(duì)文件的內(nèi)存盤請(qǐng)求，確定所述內(nèi)存盤請(qǐng)求是指示對(duì)所述文件的修改的寫請(qǐng)求，并作為響應(yīng)，在所述修改之前生成所述文件的備份副本。此外，所述保護(hù)控制器用于確定所述進(jìn)程包括勒索軟件，并作為響應(yīng)，基于所述備份副本恢復(fù)所述文件，從而為所述計(jì)算機(jī)系統(tǒng)提供無損勒索軟件保護(hù)，并提高整體數(shù)據(jù)安全性。

技術(shù)研發(fā)人員：奧馬爾·安森,雅尼·伯曼,阿維·查爾巴尼
受保護(hù)的技術(shù)使用者：華為云計(jì)算技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/11/3