System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 数据恢复方法、装置、计算设备集群及存储介质制造方法及图纸_技高网
当前位置: 首页 > 专利查询>华为技术有限公司专利>正文

数据恢复方法、装置、计算设备集群及存储介质制造方法及图纸

技术编号:40678165 阅读:6 留言:0更新日期:2024-03-18 19:16
公开了一种数据恢复方法、装置、计算设备集群及存储介质,该方法包括:基于文件系统在多个快照时间点下的快照,生成文件感染记录,从而响应于数据恢复指令,基于该文件感染记录,从快照时间点不晚于文件感染记录中记录的第一文件的感染时间的至少一个快照中,精准获取包括未被感染第一文件的恢复数据,并基于该恢复数据进行数据恢复。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及存储,特别涉及一种数据恢复方法、装置、计算设备集群及存储介质


技术介绍

1、随着科技发展,数据安全逐渐受到重视。勒索病毒是一种威胁数据安全的电脑病毒,其利用各种加密算法对文件进行攻击,导致被感染的文件无法正常读写。

2、目前,文件系统通常通过快照技术,来保存在多个历史时间点下的文件副本。在发现数据被病毒感染时,即可根据某个安全的历史时间点对应的文件副本,来恢复文件系统中的文件。

3、但是,勒索病毒具备很强的隐蔽性,其会在文件系统中持续攻击。由于上述技术方案仅仅能够将文件系统恢复到被病毒攻击前的某一历史时间点下,而被病毒持续攻击的过程中所产生的文件则难以恢复,数据恢复的效率很低。


技术实现思路

1、本申请实施例提供了一种数据恢复方法、装置、计算设备集群及存储介质,能够提升数据恢复的效率。该技术方案如下:

2、第一方面,提供了一种数据恢复方法,该方法包括:

3、基于多个快照,生成文件感染记录,该文件感染记录指示被感染的第一文件被感染前的快照,其中,该快照是文件系统的快照或者目录的快照,每个该快照对应于一个快照时间点;

4、响应于数据恢复指令,基于该文件感染记录,从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据,基于该恢复数据进行数据恢复,该恢复数据包括从该被感染前的快照中获取的未被感染的第一文件。

5、存储系统的软件(例如文件系统软件)对文件系统(或者目录)不断进行快照操作,以生成多个快照,并通过对这多个快照的内容进行比较,来检测是否存在被感染的文件。对于被感染文件,在其被感染前所生成的快照中,记录的是这个文件的健康数据(也即是未被篡改的正常数据),而在其被感染之后所生成的快照中,记录的是这个文件的被感染后的数据。在第一方面中,通过文件感染记录来记录这个文件感染前的快照,当用户希望对这个被感染的文件进行恢复时,通过读取文件感染记录,能够直接定位到这个文件被感染前的数据所在的快照,并利用查找到的这个快照对被感染的该文件进行数据恢复,从而得到未被感染的数据。通过上述技术方案,能够高效地记录文件被感染的情况,从而对被感染的文件进行精准恢复,有效避免快照回滚带来的数据损失,大大提升数据恢复的效率。

6、在一种可能实施方式中,该基于多个快照,生成文件感染记录,包括:

7、基于该多个快照中一对相邻快照时间点的快照,确定该相邻快照时间点中后一快照时间点的快照与该相邻快照时间点中前一快照时间点的快照之间的差异;

8、对该差异进行感染检测,以确定该第一文件是被感染文件;

9、在文件感染记录中,将该第一文件记录为被感染文件。

10、通过确定相邻快照时间点的快照之间的差异以及感染检测过程,可以精准且实时地确定出被感染的第一文件,并在文件感染记录中指示能够用于恢复该第一文件的被感染前的快照,来保证所记录的文件的感染情况能够支持针对被感染文件的精准恢复。

11、在一种可能实施方式中,该对该差异进行感染检测,以确定该第一文件是被感染文件,包括:

12、将文件后缀中存在病毒标识的第一文件,确定为被感染文件。

13、在一些实施例中,病毒的感染方式包括修改文件的文件后缀,基于此,利用病毒在感染方式上的这一特点,能够快速地检测出被感染的文件,以提升感染检测的速度。

14、在一种可能实施方式中,该对该差异进行感染检测,以确定该第一文件是被感染文件,包括:

15、将文件特征发生变化的第一文件,确定为被感染文件,该文件特征用于表征文件。

16、在一些实施例中,病毒感染会导致文件的文件特征发生变化,基于此,利用病毒在感染方式上的这一特点,能够快速地检测出被感染的文件,以提升感染检测的速度。

17、在一种可能实施方式中,该差异包括:该相邻快照时间点中后一快照时间点的快照中相对于该相邻快照时间点中前一快照时间点的快照的新增文件或修改文件。

18、由于病毒对文件进行感染涉及对文件进行加密、修改和删除等过程,因此,文件系统中的新增文件、被修改的文件,都可能是被病毒感染的文件。因此,通过确定出新增文件或修改文件,即可初步确定出可能是因病毒感染而造成的变更,再通过后续的感染检测,来精准确定出被感染的文件。

19、在一种可能实施方式中,在该文件感染记录中,记录有该第一文件的被感染前文件元数据。

20、在一种可能实施方式中,该基于该文件感染记录,从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据,包括:

21、从该文件感染记录中,确定该第一文件的感染前文件元数据;

22、从该第一文件的感染前文件元数据指示的快照中,获取未被感染的第一文件。

23、通过上述过程,即可根据所记录的感染前文件元数据,快速地获取到未被感染的文件副本,为数据恢复过程提供高效的信息检索方式,大大提升了数据恢复的效率。

24、在一种可能实施方式中,在该文件感染记录中,还记录有该第一文件的被感染后文件元数据,该第一文件的被感染前文件元数据以及该第一文件的被感染后文件元数据相关联;

25、该从该文件感染记录中,确定该第一文件的感染前文件元数据,包括:

26、从该文件感染记录中,确定该第一文件的被感染后文件元数据;

27、基于该第一文件的被感染后文件元数据,确定该第一文件的感染前文件元数据。

28、通过上述过程,不仅记录了用于获取可用文件副本的感染前文件元数据,还记录了能够指示文件的感染时间的感染后文件元数据,从而为后续针对任一时间点的数据恢复提供完备的感染情况,进一步提升数据恢复的效率。

29、在一种可能实施方式中,该响应于数据恢复指令,基于该文件感染记录,从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据,基于该恢复数据进行数据恢复,包括:

30、响应于该数据恢复指令,生成克隆文件系统;

31、基于该文件感染记录,从该快照时间点不晚于该第一文件的感染时间的至少一个快照中,获取该恢复数据,在该克隆文件系统中,基于该恢复数据进行数据恢复。

32、其中,该克隆文件系统是指该文件系统在指定时间点下的完整可用副本。

33、通过在克隆文件系统中进行数据恢复,能够排除数据恢复过程对当前文件系统中正常业务的影响,保障文件系统的一致性。

34、在一种可能实施方式中,该基于该恢复数据对该文件系统进行数据恢复,包括:

35、用该未被感染的第一文件,覆盖当前文件系统中被感染的第一文件。

36、通过上述技术方案,能够高效地完成针对被感染文件的恢复过程,无需人工从所保存的快照中确定被感染的文件,直接基于接近实时生成的文件感染记录来进行数据恢复,有效缩短了数据恢复的耗时,并减少了数据恢复带来的数据损失,大大提升了数据恢复的效率。...

【技术保护点】

1.一种数据恢复方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述基于多个快照,生成文件感染记录,包括:

3.根据权利要求2所述的方法,其特征在于,所述对所述差异进行感染检测,以确定所述第一文件是被感染文件,包括:

4.根据权利要求2至3任一项所述的方法,其特征在于,所述对所述差异进行感染检测,以确定所述第一文件是被感染文件,包括:

5.根据权利要求2至4任一项所述的方法,其特征在于,所述差异包括:所述相邻快照时间点中后一快照时间点的快照中相对于所述相邻快照时间点中前一快照时间点的快照的新增文件或修改文件。

6.根据权利要求1至5任一项所述的方法,其特征在于,在所述文件感染记录中,记录有所述第一文件的被感染前文件元数据。

7.根据权利要求6所述的方法,其特征在于,所述基于所述文件感染记录,从所述快照时间点不晚于所述第一文件的感染时间的至少一个快照中获取恢复数据,包括:

8.根据权利要求7所述的方法,其特征在于,在所述文件感染记录中,还记录有所述第一文件的被感染后文件元数据,所述第一文件的被感染前文件元数据以及所述第一文件的被感染后文件元数据相关联;

9.根据权利要求1至8任一项所述的方法,其特征在于,所述响应于数据恢复指令,基于所述文件感染记录,从所述快照时间点不晚于所述第一文件的感染时间的至少一个快照中获取恢复数据,基于所述恢复数据进行数据恢复,包括:

10.根据权利要求1至9任一项所述的方法,其特征在于,所述基于所述恢复数据进行数据恢复,包括:

11.根据权利要求1至10任一项所述的方法,其特征在于,所述方法还包括:

12.根据权利要求1至11任一项所述的方法,其特征在于,所述被感染是指被勒索病毒感染。

13.一种数据恢复装置,其特征在于,所述装置包括:

14.根据权利要求13所述的装置,其特征在于,所述生成模块,包括:

15.根据权利要求14所述的装置,其特征在于,所述感染检测单元,用于:

16.根据权利要求14至15任一项所述的装置,其特征在于,所述感染检测单元,用于:

17.根据权利要求14至16任一项所述的装置,其特征在于,所述差异包括:所述相邻快照时间点中后一快照时间点的快照中相对于所述相邻快照时间点中前一快照时间点的快照的新增文件或修改文件。

18.根据权利要求13至17任一项所述的装置,其特征在于,在所述文件感染记录中,记录有所述第一文件的被感染前文件元数据。

19.根据权利要求18所述的装置,其特征在于,所述恢复模块,包括:

20.根据权利要求19所述的装置,其特征在于,在所述文件感染记录中,还记录有所述第一文件的被感染后文件元数据,所述第一文件的被感染前文件元数据以及所述第一文件的被感染后文件元数据相关联;所述第一确定单元,用于:

21.根据权利要求13至20任一项所述的装置,其特征在于,所述恢复模块,用于:

22.根据权利要求13至21任一项所述的装置,其特征在于,所述恢复模块,用于:

23.根据权利要求13至22任一项所述的装置,其特征在于,所述装置还包括:

24.根据权利要求13至23任一项所述的装置,其特征在于,所述被感染是指被勒索病毒感染。

25.一种计算设备集群,其特征在于,包括至少一个计算设备,每个计算设备包括处理器和存储器;

26.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质用于存储程序代码,所述程序代码用于执行如权利要求1至12中任一项所述的数据恢复方法。

27.一种计算机程序产品,其特征在于,当所述计算机程序产品在计算设备上运行时,使得所述计算设备执行如权利要求1至12中任一项所述的数据恢复方法。

...

【技术特征摘要】

1.一种数据恢复方法,其特征在于,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,所述基于多个快照,生成文件感染记录,包括:

3.根据权利要求2所述的方法,其特征在于,所述对所述差异进行感染检测,以确定所述第一文件是被感染文件,包括:

4.根据权利要求2至3任一项所述的方法,其特征在于,所述对所述差异进行感染检测,以确定所述第一文件是被感染文件,包括:

5.根据权利要求2至4任一项所述的方法,其特征在于,所述差异包括:所述相邻快照时间点中后一快照时间点的快照中相对于所述相邻快照时间点中前一快照时间点的快照的新增文件或修改文件。

6.根据权利要求1至5任一项所述的方法,其特征在于,在所述文件感染记录中,记录有所述第一文件的被感染前文件元数据。

7.根据权利要求6所述的方法,其特征在于,所述基于所述文件感染记录,从所述快照时间点不晚于所述第一文件的感染时间的至少一个快照中获取恢复数据,包括:

8.根据权利要求7所述的方法,其特征在于,在所述文件感染记录中,还记录有所述第一文件的被感染后文件元数据,所述第一文件的被感染前文件元数据以及所述第一文件的被感染后文件元数据相关联;

9.根据权利要求1至8任一项所述的方法,其特征在于,所述响应于数据恢复指令,基于所述文件感染记录,从所述快照时间点不晚于所述第一文件的感染时间的至少一个快照中获取恢复数据,基于所述恢复数据进行数据恢复,包括:

10.根据权利要求1至9任一项所述的方法,其特征在于,所述基于所述恢复数据进行数据恢复,包括:

11.根据权利要求1至10任一项所述的方法,其特征在于,所述方法还包括:

12.根据权利要求1至11任一项所述的方法,其特征在于,所述被感染是指被勒索病毒感染。

13.一种数据恢复装置,其特征在于,所述装置包括:

14...

【专利技术属性】
技术研发人员:陈克云
申请(专利权)人:华为技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有