本发明专利技术涉及安全性检测。一种计算机实现的方法、计算机程序产品,包括通过使用写元数据应用写数据来将图像滚动到保护窗口中的时间点,以及检查读元数据、写数据和写元数据以确定图像是否由入侵者访问。
【技术实现步骤摘要】
本专利文档的公开内容的一部分可以包含命令格式和其他计算机语言列表,其全部受到版权保护。版权所有人不反对如在专利和商标局的专利文件或记录中出现的由专利文档或专利公开中的任一种的复制,但除此之外任何情况下均保留所有版权。
本专利技术涉及数据复制。
技术介绍
计算机数据对当今的组织很重要,并且针对灾难的保护的重大部分关注于数据保护。随着固态存储器已经发展到存储器的成本已经变成相当不重要的因素的点,组织能够负担利用存储和处理兆兆字节的数据的系统进行操作。传统数据保护系统包括用于定期地存储组织的生产站点数据的磁带备份驱动器。这样的系统遭受若干缺陷。首先,它们要求系统在备份期间关机,因为被备份的数据不能够在备份操作期间被使用。第二,它们将时间点限于生产站点能够恢复的时间点。例如,如果数据每天被备份,则可以在灾难的情况下存在若干小时的丢失数据。第三,数据恢复过程本身花费长的时间。另一传统数据保护系统通过在次级备份存储系统上创建组织的生产站点数据的副本并且随着变化更新备份来使用数据复制。备份存储系统可以位于与产品存储系统相同的物理位置中,或者位于物理上远程位置中。数据复制系统一般在应用级别处、在文件系统级别处、在管理程序级别处或在数据块级别处操作。当前数据保护系统尝试提供持续数据保护,这使得组织能够回滚到最近历史内的任何指定时间点。持续数据保护系统目的在于尽可能好地满足两个相互冲突的目的;即(i)使停机时间最小化,在停机时间中组织生产站点数据在恢复期间不可用,以及(ii)实现尽可能接近最近历史内的任何指定时间点的恢复。持续数据保护通常使用被称为“日记记录(journaling)”的技术,借此保持对备份存储进行的变化的日志。在恢复期间,日记条目用作连续的“撤销(undo)”信息,从而使得备份存储能够回滚到先前时间点。日记记录首先被实施在数据库系统中,并且稍后被扩展到更广阔的数据保护。持续数据保护的一个挑战是在不使生产站点变慢的情况下备份站点与生产站点的数据事务保持同步的能力。日记记录的开销内在地要求针对在生产站点处的每个数据事务的在备份站处的若干数据事务。因此,当数据事务在生产站点处以高速率发生时,备份站点可能不能够在下一生产站点数据事务发生之前完成对一个数据事务的备份。如果不迫使生产站点变慢,则有必要在备份站处构建未日志记录的数据事务的积压(backlog)。在不能够令人满意地动态地适应变化的数据事务速率的情况下,持续数据保护系统阻塞并且最终迫使生产站点停工。
技术实现思路
一种计算机实现的方法、计算机程序产品,包括通过使用写元数据应用写数据来将图像滚动到保护窗口中的时间点,以及检查读元数据、写数据和写元数据以确定图像是否由入侵者访问。附图说明本文中公开的实施例的目的、特征和优点可以通过结合附图参考下文描述来被更好地理解。附图不意味着限制被包含在本文中的权利要求的范围。为清楚起见,不是每个元素都可以被标记在每个附图中。附图不一定是按比例绘制的,相反着重于说明实施例、原理和概念。因此,本公开内容的特征和优点将从结合附图进行的其示范性实施例的以下具体实施方式而变得更明显,在附图中:图1是根据本公开内容的实施例的数据保护系统的简化图示;图2是根据本公开内容的实施例的针对日记(journal)的写事务的简化图示;图3是根据本公开内容的实施例的对读IO元数据、写IO以及IO命令元数据的复制的简化图示;图4A是根据本公开内容的实施例的复制IO的方法的简化示例;图4B是根据本公开内容的实施例的访问时间点的方法的简化示例;图5是根据本公开内容的实施例的利用读IO数据和写IO数据来访问时间点的简化图示;图6是根据本公开内容的实施例的在IO在存储层处被拆分的情况下对在管理程序中被复制的读IO元数据、写IO以及IO命令元数据的复制的简化图示;图7A是根据本公开内容的实施例的复制IO的方法的备选简化示例;图7B是根据本公开内容的实施例的访问时间点的方法的简化示例;图8是根据本公开内容的实施例的利用针对虚拟机的读IO数据和写IO数据来访问时间点的简化图示;图9是根据本公开内容的实施例的在IO在管理程序中被拆分的情况下对在该管理程序中被复制的读IO元数据、写IO以及IO命令元数据的复制的简化图示;图10A是根据本公开内容的实施例的复制IO的方法的备选简化示例;图10B是根据本公开内容的实施例的访问时间点的方法的简化示例;图11是根据本公开内容的实施例的利用针对虚拟机的读IO数据和写IO数据来访问时间点的备选简化图示;图12是根据本公开内容的实施例的可以利用本文描述的技术的装置的实施例的示例;以及图13是根据本公开内容的实施例的被体现在计算机可读存储介质上的可以利用本文描述的技术的方法的实施例的示例。具体实施方式通常,在高级持续性威胁(APT)期间,攻击者读取要窃取的数据,对其进行加密并且之后通过WAN将其发送。一般地,由于所发送的数据被加密,所以非常难以知道哪些文件被窃取。在某些实施例中,本公开内容可以使得能够检测在盗窃的时间处访问了哪些文件并且可以允许检测什么被窃取。在其他实施例中,对在时间点处未授权访问的通知可以使得复制图像能够滚动到该时间点。在许多实施例中,可以针对保护窗口中的时间点保持读元数据和写数据,从而使得能够针对该保护窗口内的时间点来检查读访问和写访问。在许多实施例中,保护窗口可以对应于这样的时间段,针对这样的时间段对应于到LUN、LUN的组或一致性组的读访问和写访问的日志或日记被保持。在许多实施例中,读活动和写活动可以包括命令数据和命令。在一些实施例中,拆分器可以被配置为将到达LU的读命令的元数据发送到日记。在许多实施例中,除了写IO数据之外,日记可以存储读元数据。在某些实施例中,命令也可以被存储在日记中。在大多数实施例中,可以能够检测在复制窗口期间的任何时间点处的针对磁盘的读活动和针对磁盘的写活动两者。在某些实施例中,使用来自读元数据和写数据的跟踪,系统可以能够在时间点处查看。在许多实施例中,可以能够滚动到感兴趣的时间点。在大多数实施例中,可以能够解析文件系统并检测在该时间点访问(读和/或写入)了哪些文件。在实施例中,可以能够检测在时间段期间创建了哪些文件。在某些实施例中,可以能够确定在该时间点访问了哪些文件。在许多实施例中,可以能够检测是否创建了加密文件以及加密文件对应于哪个文件或哪些文件。在一些实施例中,这在日记可以包含写的数据和对应于读的元数据时可以是可能的。在大多数实施例中,这可以使得能够自动检测在APT期间哪些文件可能已经被窃取。在一些实施例中,对读元数据和写数据的拆分可以在存储级别处来执行并且APT本身可能不能够隐藏访问并且可能不能够检测APT正在被监控。在其他实施例中,拆分器可以位于管理程序中。在另外的实施例中,拆分器可以位于虚拟机中。在大多数实施例中,除了读元数据和写数据之外,还可以捕获命令数据。在大多数实施例中,驻存在管理程序的外部的拆分器可以将由管理程序在存储层处写入的IO拆分到复制器。在某些实施例中,拆分器可以向数据保护器发送与管理程序的读IO有关的信息。在许多实施例中,存储在存储层中的拆分器可以拆分与读IO有关的元数据信息。在其他实施例中,存储在管本文档来自技高网...
【技术保护点】
一种系统,包括:图像;以及日记;所述日记具有读元数据、写数据和写元数据;其中所述写数据和所述写元数据使得所述图像能够被滚动到保护窗口内的不同时间点;其中所述读元数据对应于在所述保护窗口内的读;操作在存储器中的计算机可执行逻辑,其中计算机可执行程序逻辑被配置为使得能够在一个或多个处理器上执行:通过使用所述写元数据应用所述写数据来将所述图像滚动到所述保护窗口中的时间点;以及检查所述读元数据、写数据和写元数据以确定所述图像是否由入侵者访问。
【技术特征摘要】
2015.09.30 US 14/870,1351.一种系统,包括:图像;以及日记;所述日记具有读元数据、写数据和写元数据;其中所述写数据和所述写元数据使得所述图像能够被滚动到保护窗口内的不同时间点;其中所述读元数据对应于在所述保护窗口内的读;操作在存储器中的计算机可执行逻辑,其中计算机可执行程序逻辑被配置为使得能够在一个或多个处理器上执行:通过使用所述写元数据应用所述写数据来将所述图像滚动到所述保护窗口中的时间点;以及检查所述读元数据、写数据和写元数据以确定所述图像是否由入侵者访问。2.根据权利要求1所述的系统,其中所述检查包括确定在所述图像被滚动到的所述时间点之后的时间段期间所述图像上的哪些文件被访问。3.根据权利要求2所述的系统,其中所述检查还包括确定被访问的文件是否被加密。4.根据权利要求2所述的系统,其中确定所述图像上的哪些文件被访问包括针对文件在所述图像上解析文件系统并且将读元数据映射到所述文件。5.根据权利要求2所述的系统,其中所述检查还包括确定文件是否从头到尾被读取。6.根据权利要求5所述的系统,其中怀疑被窃取的文件的列表基于被确定为已经被读取的所述文件来创建。7.根据权利要求6所述的系统,其中所述逻辑还被配置为使得能够通知用户所怀疑的文件的所述列表。8.一种计算机实现的方法,包括:通过使用写元数据应用写数据来将图像滚动到保护窗口中的时
\t间点;其中所述写数据被存储在日记中;其中所述日记还具有写元数据和读元数据;其中所述写数据和所述写元数据使得所述图像被滚动到保护窗口内的不同时间点;其中所述读数据对应于所述保护窗口内的读;以及检查所述读元数据、写数据和写元数据以确定所述图像是否由入侵者访问。9.根据权利要求8所述的方法,其中所述检查包括确定在所述图像被滚动...
【专利技术属性】
技术研发人员:A·纳坦宗,P·德贝克,
申请(专利权)人:伊姆西公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。