保护数据文件的系统及方法与流程

本发明涉及一种用于保护从一系列的数据文件中所选的数据文件的系统及方法。

背景技术：

1、恶意软件是在现代计算领域中的持续威胁。由于越来越多计算设备通过无线或有线网络连接，恶意软件可以轻易地通过网络传播，其感染所有连线的计算设备。受感染的电脑会降低个人和组织的生产力，并且还可能造成无法挽回的损失。例如，受感染的电脑可能会有被破坏的操作系统或损毁的数据，从而使其运行速度变慢或使其完全无法运行。在最糟的情况下，有价值的数据及信息可能被盗用、劫持、滥用或被用于勒索。此外，此类受感染的系统可能会继续将恶意软件传播到网络之外的其它设备。

2、已知的防恶意软件可能会尝试通过侦测这些已知恶意软件的签名或找出与其它已知恶意软件相关的程序中的模式来识别和侦测已知恶意软件。此种反恶意软件方法根据基于签名的侦测系统，将执行方式及数据与已知恶意软件的识别特征相比较而运作。然而，零日攻击通常不符合任何已知恶意软件的识别特征。因此，现有的防恶意软件解决方案可能无法侦测零日攻击，这与已知恶意软件不同，并且该不同不可预测。

3、如同上文所提及的，有价值的数据及信息可能会被恶意软件盗用，并且此类数据通常是无可取代的。因此，通常会采取预防措施，例如经常备份数据、或对数据进行加密并将加密的数据储存在安全的环境中。

4、然而，此类措施仍面临许多问题，因为备份的数据可能被非法入侵或损毁、可能出现硬件故障、意外损坏、勒索软件或恶意软件感染、或被意外删除。在勒索软件的情形中，攻击者将会加密用户的文件并向受害者勒索赎金以恢复对数据的存取。此类问题中最常见的情况之一是网络钓鱼垃圾邮件。在网络钓鱼垃圾邮件中，毫无戒心的用户下载并执行了损坏的附件。一旦这些文件被执行，它们就会通过自行安装相关脚本以及破坏内含在其中的数据来控制受攻击设备的操作系统。

5、某些形式的恶意脚本不需要通过用户就能执行。此种脚本可能会使用操作系统中的安全漏洞来感染内含在其中的文件及数据，从而对计算设备造成损害。此外，还有称为泄漏软件以及隐私挟持软件的网络攻击。在此类攻击中，获得计算设备存取权限的恶意行为者会威胁将内含在所述计算设备储存介质中的敏感数据公诸于世。

6、恶意第三方还可能使用特洛伊木马程序攻击来破坏、损毁和窃取用户的数据。特洛伊木马程序还会产生病毒、蠕虫、间谍软件、僵尸、僵尸网络、逻辑炸弹和后门程序。一般而言，所有这些不同类型的恶意网络攻击的唯一目的都是损害用户数据的安全性。这些攻击通常会破坏操作系统、操作系统的核心层以及储存数据的位址指针，从而破坏所述数据本身。

7、基于以上原因，本领域技术人员不断努力提出一种能够通过识别和侦测可能包含恶意软件的数据文件来保护计算设备中的档案的系统和方法。

技术实现思路

1、根据本发明的实施例提供的系统和方法解决了上述及其它问题，并且在此项技术取得了进步。

2、根据本发明的系统及方法的实施例的第一优点是，所述系统被设置为保护所有类型的文件，而不论所述文件是可执行文件或非可执行文件。

3、根据本发明的系统及方法的实施例的第二优点是，所述系统被设置为，将数据文件存为非授权用户难以操控和重建的格式，即使主机计算设备的操作系统已经受损。

4、根据本发明的系统及方法的实施例的第三优点是，一旦文件根据本发明的实施例而被储存，所述系统能够通过被用来将所述rref矩阵映射至所述被储存的文件的映射函数，轻易且有效率地恢复损毁的文件。

5、根据本发明的系统及方法的实施例的第四优点是，所述系统被设置为在使用经训练的神经网络分析文件之前，在所述文件被转换为数值表达时，侦测内含在所述数据文件内的恶意软件，以及零日漏洞类型的恶意软件。

6、根据本发明的系统及方法的实施例的第五优点是，所述系统被设置为将被判断为包含恶意软件的文件储存在所述内存中的虚拟安全区域内，借此所述被储存的文件只能够被经授权的用户提取。

7、以上的优点由根据本发明用以下方式操作的系统及/或方法的实施例所提供。

8、根据第一方面，本发明提供一种用于保护一系列数据文件的系统，该系统包括转换模块及聚类模块。所述转换模块包括从所述一系列数据文件转换的简化列阶梯形(reduced row echelon form,rref)矩阵组，借此所述一系列数据文件被映射至所述rref矩阵组。所述转换模块被设置为：从所述系统提取更改的数据文件并且将所述更改的数据文件转换为更改的rref矩阵组、将所述更改的数据文件映射至所述更改的rref矩阵组，以及将所述更改的rref矩阵组提供至经训练的人工神经网络(ann)模块。所述经训练的ann模块被设置为：判断所述更改的rref矩阵组是否包括恶意活动。当判断出所述更改的rref矩阵组包括恶意活动时，将所述更改的rref矩阵组以及所述更改的数据文件移到所述系统的内存中的虚拟安全区域。所述聚类模块被设置为：使用反向传播模块从所述rref矩阵组提取所述rref矩阵组的变体、聚类所述更改的rref矩阵组的所提取的变体以及所述更改的rref矩阵组以识别包含恶意活动的rref矩阵组、将识别出的包含恶意活动的rref矩阵组提供至所述经训练的ann模块，从而所述经训练的ann模块被设置以识别与所述识别出的rref矩阵组相关的恶意活动的类型，以及根据与数据文件相关的、通过所述经训练的ann模块所识别的恶意活动的所述类型，保护被映射到所述识别出的、包含恶意活动的rref矩阵组的所述数据文件。

9、根据本发明第一方面的实施例，所述更改的数据文件通过所述转换模块的所述转换为所述更改的rref矩阵组包括所述转换模块被设置，以将所述更改的数据文件转换为中间数据框，其中所述中间数据框包括多媒体数据框或基于字符的数据框、使用第一线性函数将所述中间数据框转换为矩阵组，以及将所述矩阵组转换为所述更改的rref矩阵组。

10、根据本发明第一方面的实施例，所述聚类模块进一步被设置，以将不包含恶意活动的rref矩阵组提供至所述转换模块，从而所述转换模块被进一步设置为将所提供的rref矩阵组转换为数据文件，并且将所述数据文件映射至所提供的rref矩阵组。

11、根据本发明第一方面的实施例，所述更改的rref矩阵组的变体包括具有不同时间戳的相关的rref矩阵组。

12、根据本发明第一方面的实施例，所述一系列的数据文件至所述rref矩阵组的所述映射、以及所述更改的数据文件至所述更改的rref矩阵组的所述映射，是针对于每一个数据文件或每一个更改的数据文件完成的。其中所述映射通过将哈希函数应用于所述数据文件的位址以及所述数据文件的语境元数据层完成，以及通过使用此哈希函数的结果将每一个数据文件连结到每一个rref矩阵组完成。

13、根据本发明的第一方面的实施例，所述经训练的ann模块进一步被设置，以进一步根据所述识别出的、包含恶意活动的rref矩阵组，训练在所述ann模块中的所述神经网络。

14、根据本发明的第一方面的实施例，所述一系列的数据文件通过所述转换模块的所述转换为所述rref矩阵组包括，所述转换模块被设置，以将所述数据文件的每一个转换为一中间数据框，其中所述中间数据框包括多媒体数据框或基于字符的数据框、使用第一线性函数将所述中间数据框转换为一矩阵组，以及将所述矩阵组转换为rref矩阵组。

15、根据第二方面，本发明提供使用系统的、用于保护一系列数据文件的方法。该系统包括转换模块，所述转换模块包括从所述一系列的数据文件转换的简化列阶梯形(rref)矩阵组，其中所述一系列数据文件被映射至所述rref矩阵组，所述方法包括以下步骤：(1)使用所述转换模块来从所述系统提取更改的数据文件，以将所述更改的数据文件转换为更改的rref矩阵组；(2)使用所述转换模块将所述更改的数据文件映射至所述更改的rref矩阵组，以及提供所述更改的rref矩阵组至经训练的人工神经网络(ann)模块；(3)使用所述经训练的ann模块判断所述更改的rref矩阵组是否包括恶意活动，当判断出所述更改的rref矩阵组包括恶意活动时，将所述更改的rref矩阵组以及所述更改的数据文件移到所述系统的内存中的虚拟安全区域；(4)使用反向传播模块，从所述rref矩阵组提取更改的所述rref矩阵组的变体；(5)使用聚类模块聚类所述更改的rref矩阵组的所提取的变体以及所述更改的rref矩阵组，以识别包含恶意活动的rref矩阵组；(6)使用所述聚类模块将所述识别出的包含恶意活动的rref矩阵组提供至所述经训练的ann模块，其中所述经训练的ann模块被设置以识别与所述识别出的rref矩阵组相关的恶意活动的类型，以及(7)根据与数据文件相关的、通过所述经训练的ann模块所识别的恶意的活动的所述类型，并且使用所述聚类模块保护被映射到所述识别出的包含恶意的活动的rref矩阵组的所述数据文件。

16、根据本发明的第二方面的实施例，所述将更改的数据文件转换为所述更改的rref矩阵组的转换包括：使用所述转换模块将所述更改的数据文件转换为中间数据框，其中所述中间数据框包括多媒体数据框或基于字符的数据框、使用所述转换模块以使用第一线性函数将所述中间数据框转换为矩阵组，以及使用所述转换模块将所述矩阵组转换为所述更改的rref矩阵组。

17、根据本发明第二方面的实施例，所述方法进一步包括以下步骤：使用所述聚类模块将不包含恶意活动的rref矩阵组提供至所述转换模块，从而所述转换模块进一步被设置为将所提供的rref矩阵组转换为数据文件、以及将所述数据文件映射至所提供的rref矩阵组。

18、根据本发明第二方面的实施例，所述更改的rref矩阵组的所述变体包括具有不同时间戳的相关的rref矩阵组。

19、根据本发明第二方面的实施例，所述一系列数据文件至所述rref矩阵组的所述映射、以及所述更改的数据文件至所述更改的rref矩阵组的所述映射，是针对于每一个数据文件或每一个更改的数据文件完成的，其中所述映射通过将哈希函数应用于所述数据文件的位址以及应用于所述数据文件的语境元数据层完成，并且使用此哈希函数的结果将每一个数据文件连结至每一个rref矩阵组完成。

20、根据本发明的第二方面的实施例，所述方法进一步包括根据所述识别出的包含恶意活动的rref矩阵组训练在所述ann模块中的所述神经网络的步骤。

21、根据本发明第二方面的实施例，所述一系列的数据文件通过所述转换模块的所述转换为所述rref矩阵组包括以下的步骤：使用所述转换模块将所述数据文件的每一个转换为中间数据框，其中所述中间数据框包括多媒体数据框或基于字符的数据框、使用所述转换模块以使用第一线性函数来将所述中间数据框转换为矩阵组，以及使用所述转换模块将所述矩阵组转换为rref矩阵组。