AI加持下的检测和防护，瑞数信息构建的“智能反勒索之盾”

2024年，加持检测建网络安全事件层出不穷，下的息构影响危害愈演愈烈
，和防护瑞尤其以勒索攻击为代表 。数信索

据国外知名咨询机构Verizon《2024年数据泄露调查报告》的反勒数据显示
，经济利益驱动下，加持检测建高ROI的下的息构攻击手段备受青睐，攻击者愈发倾向使用能高投资回报率的和防护瑞攻击手段 。其中最为严重的数信索就是勒索攻击，占据高ROI攻击事件的服务器租用反勒近三分之二
。

另外
，加持检测建根据联邦调查局互联网犯罪投诉中心(IC3)勒索软件投诉数据显示 ，下的息构由勒索软件和其他勒索行为导致的和防护瑞损失成本中位数为4.6万美元
。

企业虽然在不断地加固“防护盾”，数信索但“道高一尺 ，反勒魔高一丈”
，勒索攻击也随之生变 ，尤其是AI技术的加持下 
，勒索攻击也越来越“狡猾”。自此，勒索组织发出勒索攻击，云计算企业反勒索对抗，呈现了一场又一场像“猫鼠游戏”般的较量 。

企业应该如何在这场较量中“稳操胜券” ？建立“反勒索”思维是第一步
、构建“有韧性”的 、全面的制度+技术体系至关重要，而具体到技术、能力层面 ，企业又如何应对不断升级的勒索攻击？

在这样的背景下
，应对勒索攻击的检测和防护是模板下载企业必然需要具备的能力。

深耕网络安全赛道多年的瑞数信息给出了更为明确的技术方案——“用AI来对抗AI”，勒索攻击的检测和防护也可以更智能。

一 、勒索攻击与反勒索的“猫鼠游戏”

勒索攻击与反勒索防护之间的关系，正如一场复杂的“猫鼠游戏” 。在捍卫博弈中，“猫”与“鼠”分别扮演着进攻与防御的角色 ，亿华云双方不断围观、预测、规避与反制 。

早期的勒索病毒倾向于对整个文件进行全局加密，导致文件内部的混乱程度极高 ，极易被传统检测工具识别 。

传统的勒索防护手段通常依赖于检测文件和数据的“无序性” ，即通过分析加密后文件的混乱度来判断是否遭遇勒索病毒 。

然而，随着勒索攻击者的免费模板技术仍在不断升级
，不断调整加密策略，使得传统检测方式面临严峻的挑战 
，攻防之间始终处于动态博弈之中。例如采用跳跃式加密方式 ，仅对文件的某些部分进行加密，使文件整体的混乱程度变化不大，从而规避传统检测工具的判断 。

另外 ，不同类型的文件本身存在差异性
。某些类型的建站模板文件在未加密状态下就具有较高的“无序性”
 ，这就需要防护工具针对文件类型进行细粒度的分类和建模。

更为重要的是 ，AI技术的发展 ，不仅提升了网络安全防护的技术水平
，也让勒索攻击手段变得更加复杂，目标愈发明确 ，攻击更加隐蔽
，更加难以防范，危害也日益增大。

随着勒索攻击专业化、团队化运作，勒索攻击逐步发展出五大新趋势：

新一代勒索攻击采用low and slow（高隐蔽且高持久化）的攻击手法；多重勒索模式引发数据泄漏风险；病毒变异较快，攻击路径多元化，易传播；勒索病毒扩散渠道转向web应用漏洞。供应链成为勒索攻击的重要切入点；

在2024年发生的勒索攻击事件中 ，不少案例都呈现以上五大特征。如2024年6月出现的Brain Cipher勒索组织，在短时间内在印度尼西亚发起攻击导致Brain Cipher 。最新消息显示 ，他们攻击了全球最大的会计师事务所之一的德勤Deloitte英国公司，并窃取了超过1TB的敏感数据。

Brain Cipher采用典型的双重勒索，除了加密文件外 ，还会窃取敏感数据，并威胁称，如果要求得不到满足，他们就会公开这些数据 ，对攻击企业造成严重影响 。

对于企业而言，如何做好勒索攻击的检测和防护则更为艰难。不过，深耕网络安全多年的瑞数信息有“巧囊妙计”——数据安全检测与应急响应系统（DDR）。

二、瑞数信息：AI赋能下的“反勒索之盾”

为什么说瑞数信息的DDR解决方案是面向复杂勒索攻击的“巧囊妙计”
？

这是DDR的产品架构。

不难发现 ，瑞数信息DDR解决方案的底层是强大的数据安全底座
，通过永久增量数据获取、不可篡改的安全存储和动态隔离功能，保证数据的完整性和安全性 。

检测引擎中引入了AI智能能力，借助机器学习和熵值计算技术，对文件和数字根据库的动态变化进行深度检测，精准识别异常行为与潜在威胁 。

在整体架构上，DDR实现了从事前数据风险管理、事中智能威胁采集到事后快速应急响应的三重保障
。它不仅融合了最前沿的信息安全技术，还充分考虑了实际操作中的灵活性与易用性，帮助为企业构建起一块“坚不可摧”的“反勒索之盾”
。

具体来看：

数据安全是底层逻辑

瑞数DDR以“数据链接+数据安全支架”为基础，搭建了支架的数据安全防线：

·数据链接 ：支持多种数据接入方式，通过永久增量和增量合成的方式实现离线数据的获取，将企业生产数据高效转化为离线检测资源，最大限度减少检测对生产环境的影响。

·数据安全底座 ：提供不可篡改的存储机制（如WORM功能），确保备份数据仓库不受攻击影响 
。同时，支持快照存储、云对象存储等用途的灾备技术  ，提升数据存储和恢复的灵活性
。

·动态变化回顾 ：利用文件与数据库的动态变化追踪技术
，对备份数据的每日增量部分进行深度分析，快速定位被勒索攻击的损坏数据 ，检测准确率超过99%
。

通过数据安全基础的强大功能，瑞数DDR能够有效隔离并保护备份数据，为勒索攻击的快速检测和恢复提供保障。

2、融入AI能力的盾牌

瑞数DDR结合AI技术创新出“人工智能安全检测引擎” ，集成了文件健康体检和数据库健康体检的功能，从而提供了全方位的数据保护措施。

·在线检查 + 离线深度检测：结合熵值计算与机器学习算法，分析勒索加密行为特征，以应对“low and slow”模式下的勒索攻击。通过对文件和数据库的熵值方差建模，实现表级、字段级深度检测 ，并联动数据安全底座 ，实现深度检测和异动监控，提升检测精准度的同时 ，可以迅速感知异常。

·自主学习进化：面对跳跃式加密 、局部加密等复杂手段，瑞数信息持续追踪勒索组织的加密方法
，及时补充检测引擎中。其收敛性机器学习引擎能够自我学习与进化，使得能够检测模型在面对变化多端的攻击手段时，也能保持高度准确性。

AI不仅增强了系统的自适应能力，还通过智能学习持续优化检测引擎，确保检测效率和准确性始终保持在高水平
。

3、DDR为企业数据安全打造了“三重防线”

瑞数信息通过“事前数据风险管理 、事中智能威胁感知  、事后快速应急响应”构建了全面的安全闭环：

·事前预警 ：通过动态沙箱功能模拟真实生产环境，精准定位潜在的攻击路径 
。

·事中防护：实时监测数据的异常变化 ，包括文件内容与权限的偏离 ，确保威胁在早期阶段被遏制。

·事后恢复：系统通过损害评估报告及修补建议，结合行为分析和日志分析等手段
，确认需要恢复的时间点，将数据恢复时间控制在分钟级 ，以确保被加密数据的恢复时间在业务可承受的范围之内。

这三道防线的建立 ，有效对抗勒索攻击，协助企业在快速恢复系统的正常运行 ，将勒索攻击造成的损失降到最低。

瑞数的DDR实际应用中展现出了其强大的灵活性和适应性，目前这套解决方案已经在不少行业得到实践验证，从高精制造业到金融、能源、电商互联网等，打造了了不少标杆案例 。

三、结语

面向日益复杂的勒索攻击时，企业的防护能力已不再只是“盾”的强化
 ，更需要“矛”的精准反制。

未来，面对不断升级的网络安全威胁，只有将“反勒索”思维 、全面的制度+技术体系与“主动反制”的技术能力相结合，才能在这场“猫鼠游戏”化被动为主动，最终构建起坚不可摧的“反勒索之盾”，为企业的长足发展保驾护航 。