瑞数数据安全检测与应急响应系统（River DDR），旨在解决企业面临越来越严重的数据安全威胁，特别是勒索软件攻击手段日趋成熟，一旦遭受勒索，数据和系统通常难以解锁。因此，DDR系统关注勒索软件的预防、威胁检测外，更加依赖应急的高效数据恢复。以数据安全底座为支撑，提供创新的离线智能深度检测技术、智能快速恢复技术，通过动态隔离、安全存储、变动追溯、数据沙箱和快速恢复构筑的纵深防御体系，通过“事前数据风险管理+事中智能威胁感知+事后快速应急响应”三道防线，有效对抗勒索软件攻击，建立数据安全风险检测体系，协助企业在数分钟内恢复系统的正常运行，防止数据恢复进程过于漫长，缩短业务中断时间，为企业的数据安全保驾护航。

1 核心技术

1.1纵深防护体系

· 事前数据健康体检：基于“深度内容检测”技术，通过事前健康体检，自动发现企业关键业务数据分布、数据类型、数据完整性等，全面掌控企业核心数据资产的管控现状。

· 事中智能威胁检测：基于创新的AI智能识别引擎，提供基于“数据访问行为模式”的智能分析与识别能力，实现全链路智能数据访问行为与数据内容变化追踪，及时发现勒索加密攻击行为。

· 事后快速响应恢复：基于创新的智能检测沙箱与溯源引擎，快速定位攻击事件根源，自动生成可直接挂载的干净磁盘镜像，达到分钟级的数据恢复，降低业务中断时间，打造数据安全和应急响应的最后一道防线。

1.2系统核心技术

（1）数据的AI安全检测技术

加密数据的熵值数学模型是安全检测的基础和判断依据，勒索攻击数据加密行为的训练与行为建模，既需要能检测出现有各种勒索攻击，也要能检测出新的0Day勒索攻击。通过机器学习（Machine Learning）技术来训练和构建数据模型。

机器学习需要大量的样本数据，包括各种数据的正常样本、正常加密样本、被勒索加密的样本等等，勒索攻击病毒已经有1000多种，需要收集足够多的在各种勒索攻击下的各种样本。

本系统的初步数据验证为：在数据模型基础之上，检测成功率在90%以上，实用标准为检测成功率在95%以上。

（2）实现原始格式数据获取的技术

深度安全检测是基于原始格式的数据，因此，各功能实现的基础是需要获取原始格式数据。

第一，利用业界备份系统的备份功能，将生产数据的全量数据备份到备份系统内，然后将全量备份数据转换成原始格式的数据，并存放在数据安全管理底座的存储介质中。

第二，是直接从生产系统获取原始格式的全量数据，并存放在数据安全管理底座的存储介质中。

（3）永久增量数据获取及合成技术

基于原始格式的全量数据，为了减少备份对生产资源的消耗，在全量备份后，将永久采用增量数据获取和增量合成模式。

第一，利用业界备份系统的备份功能，将生产数据的增量数据备份到备份系统内，然后将增量备份数据合成到全量原始格式数据，并存放在数据安全管理底座的存储介质中。

第二，是直接从生产系统获取增量数据，并直接合成到数据安全管理底座中的全量原始格式数据。

（4）数据的快速恢复技术

无论多大的数据量，需要实现数据的快速恢复，只能由服务器直接访问数据安全管理底座内的数据，而不能通过还原的方式。服务器要访问数据，有多种协议，包括iSCSI、NFS、Fibre Channel、HTTP等。但每种协议都需要数据安全管理底座存放数据的存储格式的支持，如磁盘、文件系统、S3等，数据安全管理底座所需对应的存储格式，已经这些组合下，数据直接访问的可行性、性能、业务需要满足度、复杂度，从而确定最优的技术。

（5）数据的变动追溯技术

为了减少数据安全检测的工作量，需要从数据安全管理底座的二个备份数据之间抽取出增删改数据。

对于数据库数据，可行的技术有二种，一种是通过SQL语句，按照时间属性，Select Tn时间点到Tn+1时间点的增删改数据。 另一种，是将二个不同时间点的数据库表分别转换成文件，通过二个文件之间的比较，找出增删改数据。

对于文件系统数据，将通过文件属性直接确定Tn到Tn+1之间新增、修改的文件。

（6）海量数据安全检测分布式计算技术研究

对于海量数据环境，安全检查涉及海量计算，必须采用分布式架构来进行熵值的计算。深度安全检查除了熵值计算，还包括代码注入检测、数据库完整性检测、日志审计等检测项，以弥补熵值检测难以覆盖的攻击。整体安全检测的分布式架构如下图：

· 基础设施：利用Kubernetes+Docker作为构建镜像和分布式部署的基础，数据库选用了Postgres作为业务应用（配置等）的结构化存储基础、大数据日志分析采用OLAP的佼佼者Clickhouse，同时一些中间数据的缓存利用了Redis。在不同纬度上选用最适合的数据库来共同构建基于分布式的服务应用的状态存储基础。

· 引擎层：汇合了基于流数据处理引擎和批数据处理引擎的能力，为功能层所需要识别的场景提供统一的底层实现基础。

· 功能层：功能层为各个功能组件的模块分布，同时配备基于AI的模型的数据发现和日志审计系统。

（7）数据沙箱实现的技术研究

数据沙箱的目的是可能涉及病毒的环境与生产环境隔离起来，实现病毒清除、安全检测、恢复验证等操作。数据沙箱实现的基础是数据的沙箱实现，具体可以通过Copy、快照、克隆等几种技术手段。

（8）数据防篡改技术研究

数据防篡改是为了实现恢复数据的安全保存，由于数据被篡改的可能来自多个渠道，因此需要从各个渠道都实现数据无法改动的功能，从而在整体上实现的安全保存。第一，通过备份系统虽然无法实现删除或修改数据，但备份系统本身有过期数据的功能，因此，需要实现过期功能无法在策略时间内删除备份数据的能力。 第二，备份数据是需要被访问的，存在被篡改的可能，因此，需要实现备份数据即使被访问也无法被改动的功能。第三，需要堵住通过攻破系统的OS、从而删除数据的途径，这需要备份数据实现不可变的功能。

2产品功能

2.1数据安全体检

生成企业数据完整性、数据分布及权限审计等报告，协作企业全面掌控数据风险的现状。

瑞数数据安全检测系统可以针对当前企业的IT基础架构和数据特征的进行分析。数据完整性是指数据在创建、存储、传输和使用过程中是否保持准确、完整和一致。数据分布报告提供关于企业数据存储和分布情况的信息。权限审计报告用于审计和监测企业数据的访问权限和使用情况。

通过生成企业数据完整性、数据分布及权限审计等报告，企业可以全面了解数据的风险状况，及时发现和解决数据安全问题，保护数据资产的完整性和可用性。这些报告对于合规性要求、内部审计、安全监测和风险管理等方面都具有重要意义。

2.2数据安全隔离

对备份数据进行安全隔离，防止恶意软件或黑客进行破坏或篡改。

传统备份软件，备份数据在磁盘存储时并没有专门的安全隔离功能，可以直接通过普通的文件访问读取或者篡改备份数据。而这就成为了恶意软件和黑客的攻击目标。

瑞数数据安全应急响应系统可以针对备份数据进行严格的安全隔离，确保备份数据的安全性，使得非正常的用户访问无法读取和篡改备份数据，进一步提升备份数据的额安全性。

2.3数据安全检测

深度智能检测引擎，实现表级、记录级、字段级的内容检测，有效应对Low and Slow（低频慢速）模式的高级新型攻击。

深度智能检测引擎是一种先进的安全技术，用于检测和防范各种数据安全威胁，特别是针对低频慢速（Low and Slow）模式的高级新型攻击。它能够在表级、记录级和字段级对数据内容进行检测，提供更全面和精细的安全保护。

具体来说，深度智能检测引擎采用了以下关键技术：

· 表级内容检测： 深度智能检测引擎可以对整个数据表进行内容检测。它会分析表中的数据结构、数据类型和数据规模，并利用机器学习和模式识别算法，检测是否存在异常或恶意数据。

· 记录级内容检测： 在深度智能检测引擎中，记录级内容检测是指对单个数据记录或行进行检测。引擎会分析记录中的字段和数据内容，并应用内容过滤、关键词匹配、正则表达式等技术，识别出可能存在的恶意或违规数据。

· 字段级内容检测： 深度智能检测引擎还可以在字段级别对数据内容进行检测。它会对每个字段进行独立分析，包括字段类型、长度、格式等，并利用先进的算法和模型，识别字段中的潜在风险。

通过实现表级、记录级和字段级的内容检测，深度智能检测引擎能够及时发现和防范低频慢速模式的高级新型攻击。低频慢速攻击通常指攻击者采用缓慢、间歇性的方式进行攻击，以规避传统的安全监测系统。深度智能检测引擎能够对数据进行全面且精细的检测，识别出这种类型的攻击并采取相应的防护措施。

2.4数据变化追踪

通过独有的文件与数据库动态变化追踪技术，可以高效发现系统中损毁或异常的文件和数据，检测准确性达到95%以上。

瑞数数据安全检测系统可以根据常见勒索攻击的特征针对文件和数据库进行具有针对性的变化追踪，一部分符合特征的文件变化，例如：文件头和文件内容不相匹配，文件权限非正常，典型勒索病毒特征文件等等。同时数据库也会有一些特征，如：非正常的表记录加密，特殊静态表的非正常变化等。

根据这些变化追踪，我们可以快速高效的发现系统中被勒索攻击的异常文件和数据，以及被加密损毁的数据，整体检测准确率达到了95%以上。

2.5数据快速恢复

对被加密文件和数据库，实现分钟级的数据恢复，将业务中断的时间降到最低，全面保护业务的连续性。

在反勒索数据恢复场景，备份管理员往往需要经过多次数据还原挂载验证不同时间点的备份级进行数据验证，以确认最近的一份可用恢复备份集。而这在传统备份恢复工具实现是非常困难的。

而瑞数数据安全应急响应系统能够能够实现分钟级的数据恢复。当发生数据被加密的情况，管理员可以立即启动数据恢复流程。由于备份是实时进行的，可以快速恢复到最新的备份点，大大缩短了恢复的时间。同时我们可以支持同时挂载多个时间点的数据进行验证，这有助于将业务中断的时间降到最低。

2.6数据验证沙箱

分钟级搭建模拟真实生产数据的隔离测试环境。瑞数数据安全应急响应系统支持数据验证沙箱的快速构建。优势如下：

· 快速环境搭建： 数据验证沙箱具备快速搭建测试环境的能力，可以在几分钟内完成环境的部署和配置。这种沙箱环境是一个隔离的、独立的测试环境，用于模拟真实生产环境中的数据和配置，以进行各种验证和测试活动。

· 真实生产数据模拟： 数据验证沙箱能够生成模拟真实生产环境的数据，包括用户数据、交易数据、日志数据等。通过使用现实数据生成算法、脱敏技术和合成数据生成工具，沙箱可以生成与生产环境相似的数据集，以便进行准确的测试和验证。

· 隔离测试环境： 数据验证沙箱提供一个隔离的测试环境，与生产环境完全分离。在沙箱中进行的测试和验证活动不会对生产环境产生任何影响。这种隔离环境有助于降低测试风险，避免潜在的数据泄露、数据损坏或系统故障。

通过数据验证沙箱的能力，企业可以快速搭建一个模拟真实的环境，精确快速安全的定位勒索攻击。

1文件服务器防护场景

（1）加密勒索检测

攻击手法：批量对文件服务器上的文件进行加密；破坏或加密备份文件

防护手段：熵值和相似度检测；个别用户、个别目录、文件类型与系统整体变化趋势分析；勒索软件加密文件特征；动态隔离；安全存储

（2）勒索垃圾移除

攻击手法：勒索软件生成赎金支付说明文件

防护手法：赎金支付说明文件特征识别；相似文件聚类分析

（3）异常文件发现

攻击手法：文件损毁；文件类型与扩展名不符；异常文件名；异常扩展名

防护手法：文件完整性检测；文件类型检测；文件名特征与聚类分析；扩展名变化分析

（4）异常加密检测

攻击手法：批量文件开启加密保护；批量文件使用DRM保护

防护手法：加密文件类型检测；加密文件占比变化分析

2数据库防护场景

（1）加密勒索检测

攻击手法：对数据库中部分的记录或表进行加密

防护手法：变更数据熵值检测；变更数据异常检测

（2）异常修改分析

攻击手法：频繁对低频修改的数据表进行修改；对诱饵数据进行修改

防护手法：对静态表的修改进行监控；诱饵数据修改监控与告警

（3）数据损毁告警

攻击手法：破坏数据库文件部分内容；删除数据库文件

防护手法：数据库完整性验证；数据库快速恢复

（4）异常加密检测

攻击手法：通过应用漏洞于数据库内注入恶意攻击代码

防护手法：检测数据库异动内容中是否存在恶意攻击代码，例如XSS或Web Shell等