[发明专利]对云驱动器文件夹上勒索软件攻击的补救

权利要求书

1.一种系统，包括：

至少一个处理器和存储器；

其中所述至少一个处理器被配置为：

标识被存储在云服务上的客户端设备的至少一个文件，所述至少一个文件先前已经被更改；

使用机器学习技术来确定对所述至少一个文件的先前更改是恶意的；

确定第一类型的恶意软件被用来进行对所述至少一个文件的所述先前更改；以及

基于所述第一类型的恶意软件进行了所述先前更改的确定，生成用以抑制所述至少一个文件与所述云服务的同步的一个或多个指令。

2.根据权利要求1所述的系统，其中所述至少一个处理器进一步被配置为：

执行对策，以将所述至少一个文件恢复到所述至少一个文件的先前版本。

3.根据权利要求1所述的系统，其中所述至少一个文件是蜜罐文件。

4.根据权利要求1所述的系统，其中所述第一类型的恶意软件被用来对所述至少一个文件进行所述先前更改的确定由在所述客户端设备上执行的组件执行。

5.根据权利要求1所述的系统，其中所述第一类型的恶意软件被用来对所述至少一个文件进行所述先前更改的确定由所述云服务的组件执行。

6.根据权利要求1所述的系统，其中所述第一类型的恶意软件被用来对所述至少一个文件进行所述先前更改的确定由与所述云服务接口连接的恶意软件检测系统执行。

7.根据权利要求1所述的系统，其中所述机器学习技术是被训练以检测恶意更改的分类器。

8.根据权利要求1所述的系统，其中所述至少一个处理器进一步被配置为：

当对所述至少一个文件的所述先前更改被确定为是恶意的时，请求用户确认所述先前更改是否是恶意的。

9.根据权利要求1所述的系统，其中所述至少一个处理器进一步被配置为：

将与所述先前更改有关的信息连同标签一起进行存储，以用于训练所述机器学习技术，所述标签指示由用户确认的所述先前更改是否是恶意的。

10.一种设备，包括：

一个或多个处理器和存储器；

其中所述一个或多个处理器执行动作，所述动作：

通过在接收到标识文件的文件事件通知时检索所述文件并且提取与所述文件和所述文件事件通知有关的特征来处理文件事件通知，其中所述文件被存储在第一计算设备上和云服务中；

使用机器语言分类器来确定所述文件在所述第一计算设备上被恶意更改；以及

基于确定第一类型的恶意软件进行了先前更改，生成用以抑制所述文件与所述云服务的同步的一个或多个指令。

11.根据权利要求10所述的设备，其中所述一个或多个处理器执行进一步的动作，所述动作：

接收来自至少一个用户的所述更改是恶意的至少一个确认，将所提取的所述特征标记为恶意的，以及使用经标记的所提取的所述特征来训练所述分类器。

12.根据权利要求10所述的设备，其中机器学习技术采用实时分类器和批量分类器，所述实时分类器指示在对所述文件的更改被检测到时所述更改是恶意的，所述批量分类器通过在更改时间窗口期间发生的对一个或多个文件的更改的评估来指示对所述文件的所述更改是恶意的。

13.根据权利要求12所述的设备，其中所述实时分类器被提供有仅源自所述文件的当前版本和所述文件的最近的先前版本的特征。

14.根据权利要求10所述的设备，其中所述设备在所述云服务的内部。

15.根据权利要求10所述的设备，其中所述一个或多个处理器执行动作，所述动作：

处理对策，以压制所述文件的传播。