[发明专利]用于检测存储装置中的恶意活动的模块和方法

权利要求书

1.一种用于检测存储装置中的恶意活动的模块，其中，所述模块设置在所述存储装置的控制器内，所述模块被配置为：

从主机装置检索发送至所述控制器的第一逻辑块地址，并在所述第一逻辑块地址处检索内容，其中，所检索的内容用于启用从设置在所述控制器内的数据模块检索到的经训练的神经网络；

利用所述第一逻辑块地址处的内容和所述经训练的神经网络来识别所述存储装置的要被监视的第二逻辑块地址；

将所述主机装置发送至所识别的第二逻辑块地址的指令镜像至所述控制器，并且将经镜像的第二逻辑块地址的内容进行镜像；

利用所述经训练的神经网络，基于经镜像的指令和内容，来确定是否在所述存储装置处正在发生恶意活动，其中，基于与同操作系统或辅助存储操作关联的文件系统的主引导记录、关键记录、主文件表、引导扇区、BIOS参数块或扩展的BIOS参数块有关的第二逻辑块地址处的内容的平均读取、写入、重写访问，针对不同类型的操作系统或辅助存储操作，来训练所述神经网络。

2.根据权利要求1所述的模块，其中，启用关联的经训练的神经网络包括所述模块被配置为：

从所述第一逻辑块地址处的内容中选择一组幻数，其中，所选择的一组幻数与幻数查找表一起用来确定与所述控制器的文件系统关联的操作系统的类型或辅助存储操作的类型，其中，从所述数据模块获得所述幻数查找表；以及

启用所述经训练的神经网络以从所述数据模块检测与操作系统或辅助存储操作的经确定的类型有关的恶意活动。

3.根据权利要求2所述的模块，其中，启用经训练的神经网络包括所述模块被配置为选择已经针对与所述控制器的文件系统关联的操作系统的经确定的类型或辅助存储操作的经确定的类型优化的经训练的神经网络。

4.根据权利要求2所述的模块，其中，所述识别所述存储装置的要被监视的第二逻辑块地址包括所述模块被配置为：

基于与所启用的经训练的神经网络关联的操作系统或辅助存储操作的经确定的类型，来识别包含关键数据的第二逻辑块地址，其中，所述关键数据至少包括与所述存储装置关联的文件系统的主文件表、主引导记录、引导扇区、BIOS参数块或扩展的BIOS参数块。

5.根据权利要求1所述的模块，其中，所述模块还被配置为：

利用基于经镜像的指令和内容而被确定为已经在所述存储装置处发生的恶意活动，来优化所述经训练的神经网络。

6.根据权利要求1所述的模块，其中，所述模块还被配置为：

响应于基于经镜像的指令和内容而被确定在所述存储装置处已经发生恶意活动的确定，来锁定所述存储装置。

7.根据权利要求5所述的模块，其中，所述模块还被配置为：

响应于基于经镜像的指令和内容而被确定在所述存储装置处已经发生恶意活动的确定，来锁定所述存储装置。

8.根据权利要求1至7中任一项所述的模块，其中，所述经训练的神经网络包括人工神经网络。

9.根据权利要求8所述的模块，其中，所述人工神经网络包括循环神经网络或卷积神经网络。