CN112068990A - 将特别事件设定为还原点的存储装置和备份方法 - Google Patents
将特别事件设定为还原点的存储装置和备份方法 Download PDFInfo
- Publication number
- CN112068990A CN112068990A CN202010081474.9A CN202010081474A CN112068990A CN 112068990 A CN112068990 A CN 112068990A CN 202010081474 A CN202010081474 A CN 202010081474A CN 112068990 A CN112068990 A CN 112068990A
- Authority
- CN
- China
- Prior art keywords
- volume
- data
- ldev
- backup
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 23
- 238000012544 monitoring process Methods 0.000 claims abstract description 44
- 238000001514 detection method Methods 0.000 claims abstract description 11
- 238000007726 management method Methods 0.000 claims description 67
- 230000005856 abnormality Effects 0.000 claims description 45
- 230000006399 behavior Effects 0.000 claims description 9
- 238000013144 data compression Methods 0.000 claims description 8
- 238000007906 compression Methods 0.000 claims description 7
- 230000006835 compression Effects 0.000 claims description 7
- 230000006378 damage Effects 0.000 abstract description 21
- 238000012545 processing Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 13
- 230000035945 sensitivity Effects 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000007619 statistical method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 3
- 238000013135 deep learning Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- BNPSSFBOAGDEEL-UHFFFAOYSA-N albuterol sulfate Chemical compound OS(O)(=O)=O.CC(C)(C)NCC(O)C1=CC=C(O)C(CO)=C1.CC(C)(C)NCC(O)C1=CC=C(O)C(CO)=C1 BNPSSFBOAGDEEL-UHFFFAOYSA-N 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 235000015122 lemonade Nutrition 0.000 description 1
- 238000012567 pattern recognition method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0614—Improving the reliability of storage systems
- G06F3/0619—Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1464—Management of the backup or restore process for networked environments
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
- G06F11/1451—Management of the data involved in backup or backup restore by selection of backup contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1461—Backup scheduling policy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0655—Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
- G06F3/0658—Controller construction arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/067—Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
- G06F11/1469—Backup restoration techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3034—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a storage system, e.g. DASD based or network based
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3485—Performance evaluation by tracing or monitoring for I/O devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/835—Timestamp
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/84—Using snapshots, i.e. a logical point-in-time copy of the data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0653—Monitoring storage devices or systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Quality & Reliability (AREA)
- Human Computer Interaction (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Retry When Errors Occur (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明的目的在于提供能够使伴随数据破坏的网络攻击的损害最小化且容易进行还原作业的数据备份技术。本发明的存储装置具有控制器,且包括能够对主机提供的第1卷和存储第1卷的备份数据或快照映像的第2卷,其中,控制器以规定的间隔定期地获取第1卷的备份数据或快照映像,获取包括第1卷的主机的访问信息和卷使用容量的监视信息,使用获取的监视信息,设定第1卷的通常使用时的通常状态,检测从设定的通常状态脱离了的卷的访问举动,在检测出的时刻,在第2卷生成第1卷的备份数据或快照映像,并设定还原点来进行管理。
Description
技术领域
本发明主要涉及利用存储系统进行的数据处理。
背景技术
在存储装置中,出于IT系统中的业务连续性计划(BCP)的观点,要求将存储于存储装置的数据的备份安全地存储,而且在需要时迅速地展开数据。
专利文献1公开了提供卷快照功能的存储系统。专利文献1公开了,构成提供给主机的第一逻辑卷和与第一逻辑卷关联的用于保存1个以上的快照映像的副卷,存储表示对第一卷的快照的获取时刻的时间关系的时间关系信息,在主机将数据写入第一卷时,对于将要存储主机要写入的数据要素的逻辑区域,基于时间关系信息,判断数据要素是否是构成快照映像的数据要素,由此获取第一卷的快照映像的卷快照技术。
现有技术文献
专利文献
专利文献1:日本专利第5657801号说明书
发明内容
发明要解决的技术课题
为了企业在发生自然灾害、网络攻击等紧急情况时实现业务的继续和恢复,IT系统的业务持续性计划(BCP:Business Continuity Plan)对策不断发展。存储重要数据的存储系统中也需要这些BCP对策。此外,近年来以勒索软件为代表,服务破坏(DeOS:Destruction Of Service)型的网络攻击急速增加。
这样的情况不仅会导致运用中的IT系统服务停止,而且会破坏数据、备份,于是导致IT系统、业务本身受到很大的损害。为了保护数据不受到这样的损害,在存储装置中提供基于存储箱体内复制功能的数据备份、对设置于远程的其它存储装置的远程复制功能等。
但是,实际的服务破坏型的攻击中,IT系统受到攻击后损害明显化,而且在实际运行对策之前常耗费很多时间。因此,像现有技术的备份那样根据日程管理定期获取的备份的运用方法中,获取的备份数据可能是网络攻击导致破坏后的数据,或者,虽然是受到网络攻击前的状态的备份数据,但由于距最新的状态经过了较长时间而导致成为了价值低的备份数据。
此外,考虑将备份的数据的复原的处理次序,用于确定要还原的备份数据的信息,由于网络攻击等损害明显化,只能基于发觉到问题事件的时刻确定数据的还原点,因此,在伴随数据破坏的网络攻击中,难以确定数据破坏前的还原点。
于是,本发明的目的在于提供具有使伴随上述数据破坏的网络攻击的受害最小化、能够容易地进行还原作业的数据备份技术的存储装置和备份方法。
特别的是,目的在于提供存储装置和备份方法,在现有技术的被日程管理的数据备份、还原点的设定之外,基于存储系统中的各种监视信息(例如,对备份对象卷的I/O信息、数据压缩率的变化、数据容量的变化)等,监视从通常运用时的举动脱离的事件的发生,以它们为触发,自动地进行数据的备份的设定、还原点的设定。
用于解决课题的技术方案
解决上述课题的本发明的存储装置的一个方式是,其具有控制器,且包括能够对主机提供的第1卷和存储第1卷的备份数据或快照映像的第2卷,控制器以规定的间隔定期地获取第1卷的备份数据或快照映像,获取包括第1卷的主机的访问信息和卷使用容量的监视信息,使用获取的监视信息设定第1卷的通常使用时的通常状态,检测从设定的通常状态脱离了的卷的访问举动,在检测出的时刻,在第2卷生成第1卷的备份数据或快照映像,并设定还原点来进行管理。
发明效果
根据本发明的代表性的实施例,在第1卷中,除了基于预先设定的时刻信息的备份、快照映像的获取之外,能够基于其监视信息,自主地生成备份数据、快照映像。因此,即使由于以数据破坏为目的的勒索软件进行网络攻击,发生第1卷的数据破坏,存储管理者也能够通过来自存储装置的通知而尽早发现网络攻击,能够使网络攻击的损害最小化。
上述内容以外的课题、结构和效果通过以下的实施例的说明更为明确。
附图说明
图1是说明存储装置的图。
图2是表示装置内备份的图。
图3是表示远程复制的图。
图4是表示管理信息的图。
图5是说明LDEV管理表的图。
图6是说明池管理表的图。
图7是说明池VOL表的图。
图8是说明LDEV监视信息表的图。
图9是说明LDEV数据保护策略管理表的图。
图10是说明LDEV自动数据保护策略管理表的图。
图11是说明LDEV备份管理表的图。
图12是表示基于异常判断程序的LDEV访问信息的学习流程的图。
图13是表示基于LDEV监视程序的LDEV访问的异常检测流程的图。
具体实施方式
参照附图说明本发明的实施例。
另外,以下说明的实施例并不限定专利要保护的范围的发明,实施例中说明的要素的全部组合并非是必需的发明的解决方案。此外,以下的说明中,以“xxx表”、“xxx列表”、“xxxDB”、“xxx列”等的表达方式说明各种信息,但各种信息可以由表、列表、DB、列等以外的数据构造表达。因此,为了表示不依赖于数据构造,有时将“xxx表”、“xxx列表”、“xxxDB”、“xxx列”等称为“xxx信息”。
进而,在说明各信息的内容时,使用“识别信息”、“识别符”、“名”、“名字”、“ID”的表达方式,但它们也可以相互置换。
进而,后述的本发明的实施例可以通过在通用计算机上运行的软件实现,也可以通过专用硬件或软件与硬件的组合实现。
进而,以下的说明中以“程序”为主语说明处理,但程序通过被处理器(例如CPU:Central Processing Unit,中央处理单元)执行,而将决定的处理使用存储资源(例如存储器)、通信I/F、端口进行处理执行,因此也可以将处理器作为主语进行说明。
以程序作为主语说明的处理可以是具有处理器的计算机(例如计算主机、存储装置)进行的处理。此外,以下的说明中,可以用“控制器”的表达方式,表示处理器或进行处理器所进行的处理的一部分或全部的硬件电路。程序可以从程序源(例如程序分发服务器、计算机可读取的存储介质)安装于各计算机。此时,程序分发服务器包括CPU和存储资源,存储资源还存储分发程序和作为分发对象的程序。于是,通过CPU执行分发程序,程序分发服务器的CPU将分发对象的程序向其它计算机分发。
此外,以下的说明中,“PDEV”是指物理上的存储器件,典型来说,可以是非易失性的存储器件(例如辅助存储器件)。PDEV例如可以是HDD(Hard Disk Drive,硬盘驱动器)或SSD(Solid State Drive,固态硬盘驱动器)。在存储系统中可以存在不同种类的PDEV。
此外,以下的说明中,“RAID”是Redundant Array of Inexpensive Disks(独立硬盘冗余阵列)的简称。RAID组由多个PDEV(典型的是同种的PDEV)构成,存储根据与该RAID组关联的RAID级别的数据。RAID组也可以称为奇偶校验组。奇偶校验组例如可以是存储奇偶校验信息的RAID组。
此外,以下的说明中,“VOL”是卷的简称,可以是物理上的存储器件或逻辑上的存储设备。VOL可以是实体的VOL(RVOL),也可以是虚拟的VOL(VVOL)。“RVOL”可以是基于具有该RVOL的存储系统所具有的物理的存储资源(例如1个以上的RAID组)的VOL。“VVOL”可以是外部连接VOL(EVOL)、容量扩展VOL(TPVOL)和快照VOL中的任一者。EVOL可以是基于外部的存储系统的存储空间(例如VOL),依据存储虚拟化技术的VOL。TPVOL可以是由多个虚拟区域(虚拟的存储区域)构成,依据容量虚拟化技术(典型的是Thin Provisioning,精简配置)的VOL。
此外,以下的说明中,快照可以是作为原始的VOL的快照提供的VOL或逻辑存储器件。
此外,快照的实现方式可以由将从某时刻到某时刻的期间对VOL进行的数据更新差值统一记录的方式的快照实现,也可以由将对VOL进行的全部数据更新以时间序列记录的CDP(Continious Data Protection,持续数据保护)实现。
“池(POOL)”是逻辑的存储区域(例如多个池VOL的集合),可以按照用途来准备。例如,作为池,可以有TP池和快照池中的至少1个种类。TP池可以是由多个页(实体的存储区域)构成的存储区域。存储控制器在页没有被分配到从主机系统(以下称为主机)接收到的写请求所指定的地址所属的虚拟区域(TPVOL的虚拟区域)时,从TP池将页分配至该虚拟区域(写目标虚拟区域)(即使页已分配至写目标虚拟区域,也可以重新将页分配至写目标虚拟区域)。
存储控制器可以在分配的页写入伴随该写请求的写对象数据。快照池可以是从原始的VOL暂存保留的数据被存储的存储区域。1个池可以用作TP池也可以用作快照池。“池VOL”可以是成为池的构成要素的VOL。池VOL可以是RVOL也可以是EVOL。
此外,以下的说明中,将从主机识别的VOL(对主机提供的VOL)称为“LDEV”。以下的说明中,LDEV是TPVOL(或RVOL),池是TP池。但是,本发明也能够应用于没有采用容量扩展技术(Thin Provisioning,精简配置)的存储装置。
此外,以下的说明中,“PVOL(Primary VOL,主VOL)”可以是作为备份、复制、快照的源卷的LDEV,“SVOL(Secondary VOL,次VOL)”可以是作为备份、复制、快照目标的LDEV。
图1表示实施例1的存储装置的结构例。
在存储装置2000经由网络3001连接有1个以上的主机1001。此外,在存储装置2000连接有管理系统1002。网络3001例如是FC(Fibre Channel,光纤通道)、iSCSI(InternetSmall Computer System Interface,因特网小型计算机系统接口)。
主机1001是主机系统的简称,有1个以上的主机。主机1001具有H-I/F(主机接口器件)2003,经由H-I/F2003将访问请求(写请求或读请求)向存储装置2000发送,或接收访问请求的响应(例如包括写完成的写响应或包括读对象检查的读响应)。H-I/F2003例如是HBA(Host Bus Adapter,主机总线适配器)或NIC(Network Interface Card,网络接口卡)。
管理系统1002管理存储装置2000的结构和状态。管理系统1002具有M-I/F(管理接口器件)2004,经由M-I/F对存储装置2000发送命令或接收其命令的响应。M-I/F2004例如是NIC。
此外,管理系统1002可以是管理存储装置2000的服务器、或在PC上执行的软件,可以作为进行与存储装置2000连接的主机1001的管理的安全设备、软件的功能实现。
存储装置2000具有多个驱动器2013和与多个驱动器2013连接的存储控制器2001。可以构成包括多个驱动器2013的1个以上的RAID组。
存储控制器2001具有F-I/F(前端接口器件)2005、B-I/F(后端接口器件)2012、CM(缓存)2006、NVRAM(Non-Volatile RAM,非易失RAM)2007、MPPK2009A和MPPK2009B、中继这些要素间的通信的中继机2008。中继器例如是总线或开关。
F-I/F前端接口2005是与主机1001或管理服务器通信的I/F。B-I/F后端接口2012是与驱动器驱动器2013通信的I/F。B-I/F后端接口2012可以包括E/D电路(用于加密和解密的硬件电路)。具体地说,例如,B-I/F后端接口2012可以包括SAS(Serial Attached SCSI,串行SCSI)控制器,SAS控制器可以包括E/D电路。
写入驱动器2013的数据或从驱动器2013读出的数据利用MPPK2009暂时存储在CM2006(例如DRAM(Dynamic Random Access Memory,动态随机存取存储器)中。利用断电时从电池(未图示)接受电力的MPPK2009,CM2006内的数据(例如脏数据(没有写入驱动器2013的数据))暂时保留在NVRAM2007中。
由MPPK2009A和MPPK2009B构成簇(cluster)。MPPK2009A(MPPK2009B)具有DRAM2011A(2011B)和CPU2010A(CPU2010B)。在DRAM2011A(DRAM2011B)中,存储被CPU2010A(CPU2010B)执行的控制程序3000A(控制程序3000B)和由CPU2010A(CPU2010)B参照或更新的管理信息4000A(管理信息4000B)。通过CPU2010A(CPU2010B)执行控制程序3000A(控制程序3000B),执行例如存储装置2000的I/O处理、地址的变换处理。控制程序3000A(控制程序3000B)和管理信息4000(管理信息4000B)中的至少一者可以存储于对多个MPPK2009A和MPPK2009B共用的存储区域(例如CM2006)。
<LDEV的数据保护方法>
图2表示实施例1的存储装置内备份的一结构例。
图2表示将主机1001所连接的作为主卷的PVOL5002A在存储装置2000内备份的例子。
PVOL5002A依据存储装置管理者预先设定的数据保护策略,利用卷备份程序3003,在复制了PVOL5002A的数据的作为次卷的SVOL5001A、SVOL5001B、或快照5003A、快照5003B、快照5003C中备份数据。卷备份程序3003、LDEV监视程序3004、异常判断程序3005是构成控制程序3000的一部分的程序。此外,卷备份程序3003、LDEV监视程序3004、异常判断程序3005被存储控制器2001的CPU2010执行,由此实现卷备份部、LDEV监视部、异常判断部的各功能。
数据保护策略具体的是指,生成复制PVOL5002的数据而作为备份生成的SVOL5001的日程、保管期限、读写的可否等的访问控制。
此外,此时,复制数据的SVOL5001B、SVOL5001C可以从PVOL5002A完全地复制数据而生成,也可以仅复制从以前的备份时刻更新了的差值数据而生成。
此外,快照5003A、快照5003B、快照5003C是再现PVOL5002A的某时刻的数据状态的数据集。通过仅将从以前生成快照的时刻更新了的数据差值用下一时刻的快照记录,能够减少数据保存所需的数据量。此外,快照能够是适宜地挂载于LDEV,通过快照5003C挂载于PVOL5001C,主机1001能够访问快照的数据。
LDEV监视程序3004是监视对主机1001访问的LDEV的访问信息(例如读、写的IO次数、数据的压缩率等)、LDEV的信息(例如LDEV的容量消耗、数据压缩率等)的程序,通过管理系统1002访问LDEV监视程序3004,存储管理者能够从管理系统1002掌握LDEV的状态。
<LDEV数据的自动保护>
此处,说明基于对LDEV的访问信息的自动数据保护方法。
近年来,进行以勒索软件为首的数据破坏型的攻击的网络攻击的受害不断增加。这些勒索软件如果感染的话,会将IT系统内存储的数据加密,以要求金钱作为交出解密数据的密钥的代价的方式对企业、个人施加胁迫。因此,在从IT系统连接的、存储其数据的存储装置中,也在考虑保护其数据不受勒索软件侵害的方法。
为了对于伴有加密的勒索软件保护数据,考虑利用备份的数据的还原。但是,在利用勒索软件的网络攻击中,从最初发生勒索软件的感染到受害明显化而开始研究对策,存在一定程度的时间差,因此在想要将数据从备份还原时,也存在应还原哪个时刻的数据这样的很难确定的问题。
于是,本发明公开的技术中,主要关注加密数据的勒索软件,基于伴随勒索软件的数据加密的、对LDEV的访问信息,自动设定数据的备份、还原点。
在由勒索软件加密了数据而产生破坏时,基于这些自动设定的数据的备份、还原点,能够迅速地将数据恢复至勒索软件进行破坏前的状态。
具体地说,LDEV监视程序3004监视各PVOL5002的访问信息,利用异常判断程序3005,学习由于主机1001访问PVOL5002而产生的通常的PVOL5002的访问信息。在由于勒索软件产生伴随数据加密的数据破坏等时,对PVOL5002的访问信息与学习完成的通常运用不同,因此异常判断程序3005通过管理系统1002对存储管理者通知异常检出,启动卷备份程序3003,以按PVOL5002由数据保护策略决定的方法生成备份的SVOL5001或快照5003。
通过这样做,生成PVOL5002的由数据保护策略预先定义的日程规划中的备份数据,此外,能够利用异常判断程序3005,将检测到对PVOL5002的访问信息与通常时不同的时刻作为备份数据生成的时刻。因此,能够将PVOL5002的数据恢复至由勒索软件引起的数据破坏活动刚开始后或即将开始的时刻,因此能够将数据破坏前的大量数据从备份恢复。
此外,异常判断程序3005的具体实现方式,除了学习访问信息之外,也可以采用以LDEV监视程序3004所获取的各种监视值中,1种或多种值在一定期间超过预先规定的阈值为触发的统计方法,也可以采用利用同样的监视值的机器学习算法,或者,也可以是通过基于深层学习算法的学习的实现方式。
另外,异常判断程序3005可以安装成能够在存储装置2000内工作,也可以安装成能够在管理系统1002或主机1001内工作。
图3表示实施例1中的利用存储装置间远程复制的数据备份的例子。
图3中,表示以BCP应对、DR为目的,在远程设置的存储装置2000间构成远程复制而进行利用备份、快照的数据保护的实施例。
图3的实施例中表示了,存储装置2000A和不同的设置于远程的数据中心等的存储装置2000B经由网络3001连接,存储装置2000A的PVOL5002A和存储装置2000B的SVOL5001A为成对的关系的结构。
存储装置2000A的PVOL5002A和存储装置2000B的SVOL5001A作为远程复制的成对关系,彼此的数据同步。此时的同步方式可以是与对PVOL5002A的数据更新同步的方式,也可以是异步而将对PVOL5002A的更新差值数据反映于SVOL5001A的方式。
另外,在存储装置2000B中,基于SVOL5001A的预先设定的数据保护策略,利用卷备份程序3003定期地获取SVOL5001A的快照5003或卷备份。
存储装置2000A中,LDEV监视程序3004监视从主机1001访问的PVOL5002A的访问信息,异常判断程序学习通常主机1001访问PVOL5002A的访问信息。异常判断程序3005的具体的实现方式,除了学习访问信息以外,也可以采用以LDEV监视程序3004所获取的各种监视值中,1种或多种值在某一定期间超过预先规定的阈值为触发的统计方法,也可以采用利用同样的监视值的机器学习算法,此外,也可以是通过基于深层学习算法的学习的实现方式。
由勒索软件等进行了PVOL5002A的数据破坏时,异常判断程序3005检测PVOL5002A的访问异常,通过管理系统1002向存储管理者通知异常检测,对存储装置2000B的卷备份程序3003,发出生成SVOL5001A的备份数据的指示。
卷备份程序3003通过生成SVOL5001A的快照5003A,PVOL5002A的数据作为其复制目标的SVOL5001A的备份数据(快照5003A)被保护。
另外,此处,LDEV监视程序3004可以在存储装置2000B动作,异常判断程序3005可以在存储装置2000B或管理系统1002动作。
如上所述,在多台存储装置2000间构建的远程复制结构中,除了基于数据保护策略预先决定了日程的备份或利用快照的数据备份之外,能够实现基于访问信息的异常的自动的数据保护,由此与仅构建PVOL5002A的远程复制时相比较,能够提高数据的安全性。
图4表示实施例的存储装置中的管理信息的结构例。
管理信息4000包括多个管理表。作为管理表,例如有保存关于PVOL5002、SVOL5001等的LDEV的信息的LDEV管理表4002、保存关于对LDEV提供逻辑容量的池的信息的池管理表4001、保存关于对池提供容量的池VOL的信息的池VOL表4003、管理LDEV的监视信息的LDEV监视信息表4004、管理LDEV的数据保护策略的表LDEV数据保护策略表4005、管理LDEV的数据的自动保护策略的LDEV自动数据保护策略表4007、管理PVOL5002的备份数据的LDEV备份管理表4006,在管理信息4000A与管理信息4000B之间可以是至少一部分的信息同步。
图5表示实施例的存储装置的管理信息中的LDEV管理表的结构例。
LDEV管理表4002按PVOL5002、SVOL5001等的每个LDEV具有条目(记录)。各条目所存储的信息有LDEV编号401、LDEV容量402、VOL种类403和池编号404。
LDEV编号401表示LDEV的识别编号。LDEV容量402表示LDEV的容量。VOL种类403表示LDEV的种类,例如表示从存储装置2000的外部装置提供的外部卷“EVOL”、远程卷“RVOL”或精简配置卷“TPVOL”。池编号404表示LDEV所关联的池的识别编号,从池编号404所关联的池内的区域分配数据存储区域。
图6表示实施例的存储装置的管理信息中的池管理表的结构例。
池管理表4001按每个池具有条目。各条目所存储的信息是池编号404、池容量405、池分配容量406和池使用容量407。
池编号404表示池的识别编号。池容量405表示池定义的容量,具体来说,表示与构成池的1个以上的池VOL分别对应的1个以上的VOL容量的合计。池分配容量406表示分配给1个以上的LDEV的实际容量,具体来说,表示分配给1个以上的LDEV的页组整体的容量。池使用容量407表示存储于池的数据的总量。对于数据进行了数据削减(压缩和重复排除中的至少1者)时,基于数据削减后的数据量利用MPPK2009计算池使用容量407。另外,在驱动器2013进行数据压缩时,MPPK2009A可以基于压缩前的数据量计算池使用容量407,也可以从驱动器2013接收压缩后的数据量的通知后,基于该压缩后数据量计算池使用容量407。
图7表示实施例的存储装置的管理信息中的池VOL表的结构例。
池VOL表4003是管理属于池编号404的池VOL的对应的表,具有池编号404和每个池编号404的池VOL子表4008。池VOL子表4008按每个池VOL具有条目。各条目所存储的信息是池VOL编号409、PDEV种类410和池VOL容量411。
池VOL编号409表示构成池的VOL的识别编号。PDEV种类410表示作为池VOL的基础的PDEV的种类。池VOL容量411表示池VOL的容量。
图8表示实施例的存储装置的管理信息中的LDEV监视信息表的结构例。
LDEV监视信息表4004是用于管理每个LDEV的监视信息的表,具有LDEV编号401和每个LDEV编号401的LDEV监视信息子表4009。
LDEV监视信息子表4009按每个时间戳412具有条目,将对应的LDEV的监视所得的统计信息存储于各条目。各条目所存储的信息是时间戳412、读I/O次数413、写I/O次数414、数据压缩率415、读数据量416、写数据量417和容量增加率418。
时间戳412表示获取LDEV的监视信息的时刻(time stamp)。读I/O次数413表示对在近前(一定的监视期间内)的时间戳412间生成的LDEV的读I/O的次数。写I/O次数414表示对在近前的时间戳412间生成的LDEV的写I/O的次数。数据压缩率415表示在近前的时间戳412间的写数据的压缩率。读数据量416表示从在近前的时间戳412间生成的LDEV的读数据量。写数据量417表示对在近前的时间戳412间生成的LDEV的写数据量。容量增加率418表示在近前的时间戳412间变化的LDEV的容量变化率。
图9表示实施例的存储装置的管理信息中的LDEV数据保护策略管理表的结构例。
LDEV数据保护策略管理表4010是存储用于设定每个LDEV的数据保护的策略的信息的表,管理LDEV的卷备份、快照的获取间隔、保存期间等信息。
LDEV数据保护策略管理表4010按每个LDEV具有条目,各条目所存储的信息是LDEV编号401、保护模式420、保存期间421、获取间隔422、自动保护423和访问模式424。
LDEV编号401表示与条目对应的LDEV的编号。保护模式420表示与条目对应的LDEV的保护模式,例如是通过将PVOL5002的数据复制到其它的SVOL5001而进行数据保护的“全复制”、通过获取PVOL5002的数据的快照而进行数据保护的“快照”等。
保存期间421表示在由保护模式420指定的数据保护模式中,保存这些数据备份的期间。获取间隔422表示在由保护模式420指定的数据保护模式中,进行这些数据获取的间隔。
自动保护423表示在由保护模式420指定的数据保护模式中,在以获取间隔422指定的间隔以外的时刻,在利用异常判断程序3005判断为异常的时刻,决定是否进行数据保护的标记。
访问模式424表示主机1001能够访问获取的LDEV的备份、快照的许可模式。例如,如果是“R/W”,则表示对于获取的SVOL5001,允许主机1001进行读和写访问,而如果是“R”,则表示对于获取的SVOL5001,仅允许主机1001读访问。
图10表示实施例的存储装置的管理信息中的LDEV自动数据保护策略管理表的结构例。
LDEV自动数据保护策略管理表4011是存储在LDEV数据保护策略管理表4010将自动保护423设定为有效的LDEV所对应的、用于设定自动数据保护的策略的信息的表,设定在异常判断程序3005利用的LDEV的访问信息的学习期间、异常检测的灵敏度等。
LDEV自动数据保护策略管理表4011按每个LDEV具有条目,各条目所存储的信息是LDEV编号401、监视期间425、灵敏度426和最新学习数据427。
LDEV编号401表示与条目对应的LDEV的编号。监视期间425表示异常判断程序3005监视或学习对应的LDEV的期间,将该期间作为对象,异常判断程序3005学习LDEV的通常运用时的访问信息。灵敏度426设定异常判断程序3005从访问信息检测访问异常的灵敏度。最新学习数据427表示异常判断程序3005学习到的最新的LDEV监视信息表4004中的时间戳412期间。灵敏度426表示异常判断程序3005判断为异常的阈值,例如,对于学习时的输入值,将当前的输入值的差值为10%以上的差值判断为异常时,灵敏度能够设定为“高”;为20%时,灵敏度能够设定为“中”,为30%时,灵敏度能够设定为“低”。该输入值例如是LDEV监视信息子表4009中的各种监视数据,例如,比写I/O次数414的阈值高10%时,灵敏度能够为“高”,高20%时,灵敏度能够为“中”,高30%时,灵敏度能够为“低”等。除了写I/O次数414之外,对于读I/O次数413、数据压缩率415、读数据量416、写数据量、容量增加率418也能够同样设定阈值。
图11表示实施例的存储装置的管理信息中的LDEV备份管理表的结构例。
LDEV备份管理表4006是在卷备份程序3003进行LDEV的数据保护时,存储用于管理对象的LDEV的备份数据的信息的表。
LDEV备份管理表4006具有LDEV编号401、管理每个LDEV编号401的备份数据的LDEV备份子表4012。
LDEV备份子管理表4012按每个备份时刻428具有条目,各条目所存储信息是备份时刻428、备份种类429、获取模式430、装置ID431和LDEV编号401或SS编号432。
备份时刻428表示生成备份数据的时刻。备份种类429表示备份数据的生成模式,例如在将PVOL5002的全备份取至SVOL5001时为“全”,在将PVOL5002的更新差值的备份取至SVOL5001进度为“差值”,获取PVOL5002的快照时为“快照”。
获取模式430表示生成备份数据的模式,例如是卷备份程序3003基于LDEV数据保护策略管理表4010的获取间隔422生成的备份数据时为“定期”,是基于异常判断程序3005的指示、卷备份程序3003生成的备份数据时为“自动”。装置ID431是生成备份的装置的ID,例如在设置于本地的存储装置2000A和设置于远程的存储装置2000B中构成远程复制时,是表示在哪个装置生成备份数据的识别ID。LDEV编号401是生成备份数据的SVOL5001的LDEV编号401。SS编号432是作为备份数据生成的快照5003的识别编号。
图12表示实施例的存储装置的异常判断程序中的LDEV访问信息的学习处理例。
在步骤S1001,异常判断程序选择对象的LDEV。
在步骤S1002,异常判断程序对于对象的LDEV,参照LDEV数据保护策略管理表4010。在步骤S1003,判断程序对于对象的LDEV,判断自动保护423是否有效化,在没有有效化时,该LDEV为自动保护的对象外的装置,结束处理。
在步骤S1004,异常判断程序对于对象的LDEV,参照LDEV自动数据保护策略管理表4011,参照最新学习数据427。
在步骤S1005,异常判断程序对于对象的LDEVLDEV,判断当前时刻与最新学习数据427的期间是否经过监视期间425以上,在没有经过的情况下,判断为不需要新的学习,结束处理。
在步骤S1006,异常判断程序对于对象的LDEV,参照LDEV监视信息表4004,在步骤S1007,异常判断程序对于对象的LDEV,将从LDEV监视信息表4004的最新学习数据427的最终时刻起,直到监视期间425经过后的时间戳412的条目信息作为学习数据。
在步骤S1008,异常判断程序对于对象的LDEV,进行在步骤S1007中参照得到的LDEV监视信息子表4009中的读I/O次数413、写I/O次数414、数据压缩率415、读数据量416、写数据量417、容量增加率418的学习。在步骤S1009,异常判断程序对于对象的LDEV,更新LDEV自动数据保护策略管理表4011中的最新学习数据427。
图13表示实施例的存储装置的LDEV监视程序中的LDEV访问的异常检测处理流程的例子。
图13表示利用LDEV监视程序3004监视存储装置2000的LDEV的访问,利用异常判断程序3005检测对LDEV的访问异常的处理流程。
在步骤S2001,LDEV监视程序3004选择对象的LDEV。
在步骤S2002,LDEV监视程序3004对于对象的LDEV,参照LDEV数据保护策略管理表4010。
在步骤S2003,LDEV监视程序3004对于对象的LDEV,判断自动保护423是否被有效化,在没有有效化时,该LDEV为自动保护的对象外的装置,结束处理。
在步骤S2004,LDEV监视程序3004对于对象的LDEV,参照LDEV监视信息表4004。
在步骤S2005,LDEV监视程序3004将由步骤S2004获取的LDEV监视信息发送至异常判断程序3005。在步骤S2006,异常判断程序3005基于由步骤S2004接收到的LDEV监视信息,与学习完成的LDEV监视信息进行比较,计算异常值。该异常值的计算方法可以基于统计方法,也可以基于机器学习算法,也可以基于以深层学习为代表的模式识别方法,也可以通过与DEV监视信息子表4009中的各种监视数据例如写I/O次数的阈值进行比较来进行判断。
即,对于PVOL,检测从存储的通常状态脱离的卷的访问举动。
在步骤S2007,判断在步骤S2006计算出的异常值是否超过预先设定的阈值。在没有超过阈值时,认为LDEV的访问正常,结束处理。另外,该阈值可以基于LDEV自动数据保护策略管理表4011中的灵敏度426,也可以根据基于异常判断程序3005进行学习时利用的统计方法的计算值而得到。
在步骤S2008,对系统管理者通知关于对象的LDEV发生了访问异常。
在步骤S2009,对卷备份程序3003指示关于对象的LDEV实施数据保护。由此,控制器能够在检测出的时刻,将PVOL的备份数据或快照映像在SVOL生成,设定还原点以进行管理。
如上所述,根据本实施例,对于主卷,除了基于预先设定的时刻信息的备份、快照映像的获取之外,能够基于其监视信息,自主地生成备份数据、快照映像。
此外,即使由于以数据破坏为目的的勒索软件导致的网络攻击,发生了主卷的数据破坏,存储管理者也能够根据来自存储装置的通知而早期发现网络攻击,能够使网络攻击导致的损害最小化。
此外,能够利用自主生成的数据备份,能够大幅减少数据的复原作业所需的时间、劳力。
以上说明了一实施方式,但这是用于说明本发明的例示,本发明的范围并不仅限定于该实施方式。本发明也能够以其它方式实施。
附图标记说明
2000:存储装置,
3000:控制程序,
4000:管理信息,
2001:存储控制器,
1001:主机,
1002:管理系统,
2003:主机接口,
2004:管理接口器件,
3001:网络,
3002:管理网络,
2005:前端接口,
2006:缓存,
2007:NVRAM,
2008:中继机,
2009:MPPK,
2010:CPU,
2011:DRAM,
2012:后端接口,
2013:驱动器。
Claims (8)
1.一种存储装置,其具有控制器、能够对主机提供的第1卷和用于存储所述第1卷的备份数据或快照映像的第2卷,所述存储装置的特征在于:
所述控制器,
以规定的间隔定期地获取所述第1卷的备份数据或快照映像,
获取包括所述第1卷的主机的访问信息和卷使用容量的监视信息,使用获取的监视信息来设定所述第1卷的通常使用时的通常状态,
检测从设定的所述通常状态脱离了的卷的访问举动,在检测出的时刻,在所述第2卷生成所述第1卷的备份数据或快照映像,并设定还原点来进行管理。
2.如权利要求1所述的存储装置,其特征在于:
所述控制器对与所述存储装置连接的管理系统通知设定的所述还原点。
3.如权利要求1所述的存储装置,其特征在于:
从设定的所述通常状态脱离了的卷的访问举动的检测,利用针对所述第1卷的通常状态的学习数据来进行。
4.如权利要求1所述的存储装置,其特征在于:
从设定的所述通常状态脱离了的卷的访问举动的检测,利用对所述第1卷的写I/O次数、读I/O次数、读数据量、写数据量、读数据的压缩率、写数据的压缩率、所述第1卷的数据压缩率、容量增加率中的任意者的阈值来进行。
5.如权利要求1所述的存储装置,其特征在于:
所述控制器包括:
获取包括主机对所述第1卷的访问信息和卷使用容量的监视信息的监视部;
使用获取的信息来设定所述第1卷的通常使用时的通常状态,并检测从设定的所述通常状态脱离了的卷的访问举动的异常判断部;和
在检测出的时刻,自主地在所述第2卷生成所述第1卷的备份数据或快照映像的卷备份部。
6.如权利要求1所述的存储装置,其特征在于:
所述第1卷和所述第2卷设置于经由网络连接的不同的存储装置。
7.一种存储装置,其具有控制器、能够对主机提供的第1卷和用于存储所述第1卷的备份数据或快照映像的第2卷,所述存储装置的特征在于:
所述控制器,
以由存储管理者定义的间隔定期地获取所述第1卷的备份数据或快照映像,
根据所述第1卷的保护策略获取所述第1卷的监视信息,使用获取的信息存储所述第1卷的通常使用时的通常状态,
检测从存储的所述通常状态脱离了的卷的访问举动,在检测出的时刻,在所述第2卷生成所述第1卷的备份数据或快照映像,并设定还原点来进行管理。
8.一种存储装置的备份方法,其中所述存储装置包括能够对主机提供的第1卷和用于存储所述第1卷的备份数据或快照映像的第2卷,所述存储装置的备份方法的特征在于:
所述存储装置的控制器,
以规定的间隔定期地获取所述第1卷的备份数据或快照映像,
获取包括所述第1卷的主机的访问信息和卷使用容量的监视信息,
使用获取的所述监视信息来设定所述第1卷的通常使用时的通常状态,
检测从设定的所述通常状态脱离了的卷的访问举动,
在检测出的时刻,在所述第2卷生成所述第1卷的备份数据或快照映像,并设定还原点以进行管理。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019107929A JP6890153B2 (ja) | 2019-06-10 | 2019-06-10 | 特異なイベントをリストアポイントとして設定するストレージ装置およびバックアップ方法 |
JP2019-107929 | 2019-06-10 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112068990A true CN112068990A (zh) | 2020-12-11 |
Family
ID=73650580
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010081474.9A Pending CN112068990A (zh) | 2019-06-10 | 2020-02-06 | 将特别事件设定为还原点的存储装置和备份方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20200387430A1 (zh) |
JP (1) | JP6890153B2 (zh) |
CN (1) | CN112068990A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024093290A1 (zh) * | 2022-10-31 | 2024-05-10 | 华为技术有限公司 | 勒索软件的检测方法及装置 |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20230026712A1 (en) * | 2021-07-22 | 2023-01-26 | Micron Technology, Inc. | Generating system memory snapshot on memory sub-system with hardware accelerated input/output path |
US11977636B2 (en) | 2021-09-14 | 2024-05-07 | Hitachi, Ltd. | Storage transaction log |
JP7436567B2 (ja) * | 2022-06-16 | 2024-02-21 | 株式会社日立製作所 | ストレージシステム及び不正アクセス検知方法 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100011366A1 (en) * | 2008-07-10 | 2010-01-14 | Blackwave Inc. | Dynamic Resource Allocation |
US20100131727A1 (en) * | 2008-11-21 | 2010-05-27 | Yoshiaki Eguchi | Storage system and method implementing online volume and snapshot with performance/failure independence and high capacity efficiency |
US20100192201A1 (en) * | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
CN103646208A (zh) * | 2013-12-04 | 2014-03-19 | 华为终端有限公司 | 一种eMMC的监控方法及装置 |
CN105528300A (zh) * | 2014-09-29 | 2016-04-27 | 炬芯(珠海)科技有限公司 | 一种ddr内存控制器及其访问监控方法 |
JP2016091191A (ja) * | 2014-10-31 | 2016-05-23 | キヤノンマーケティングジャパン株式会社 | バックアップシステム、その制御方法、及びプログラム |
US20160241576A1 (en) * | 2015-02-13 | 2016-08-18 | Canon Kabushiki Kaisha | Detection of anomalous network activity |
CN107832189A (zh) * | 2017-10-31 | 2018-03-23 | 维沃移动通信有限公司 | 一种i/o系统的监控方法及移动终端 |
KR20180054389A (ko) * | 2016-11-14 | 2018-05-24 | 숭실대학교산학협력단 | 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102378367B1 (ko) * | 2015-03-20 | 2022-03-24 | 한국전자통신연구원 | 분산 파일 시스템 |
US9928003B2 (en) * | 2015-05-01 | 2018-03-27 | Hewlett Packard Enterprise Development Lp | Management of writable snapshots in a network storage device |
US10762203B2 (en) * | 2018-08-27 | 2020-09-01 | International Business Machines Corporation | Reducing impact of malware/ransomware in caching environment |
-
2019
- 2019-06-10 JP JP2019107929A patent/JP6890153B2/ja active Active
-
2020
- 2020-02-06 CN CN202010081474.9A patent/CN112068990A/zh active Pending
- 2020-02-20 US US16/796,869 patent/US20200387430A1/en not_active Abandoned
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100011366A1 (en) * | 2008-07-10 | 2010-01-14 | Blackwave Inc. | Dynamic Resource Allocation |
US20100131727A1 (en) * | 2008-11-21 | 2010-05-27 | Yoshiaki Eguchi | Storage system and method implementing online volume and snapshot with performance/failure independence and high capacity efficiency |
US20100192201A1 (en) * | 2009-01-29 | 2010-07-29 | Breach Security, Inc. | Method and Apparatus for Excessive Access Rate Detection |
CN103646208A (zh) * | 2013-12-04 | 2014-03-19 | 华为终端有限公司 | 一种eMMC的监控方法及装置 |
CN105528300A (zh) * | 2014-09-29 | 2016-04-27 | 炬芯(珠海)科技有限公司 | 一种ddr内存控制器及其访问监控方法 |
JP2016091191A (ja) * | 2014-10-31 | 2016-05-23 | キヤノンマーケティングジャパン株式会社 | バックアップシステム、その制御方法、及びプログラム |
US20160241576A1 (en) * | 2015-02-13 | 2016-08-18 | Canon Kabushiki Kaisha | Detection of anomalous network activity |
KR20180054389A (ko) * | 2016-11-14 | 2018-05-24 | 숭실대학교산학협력단 | 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체 |
CN107832189A (zh) * | 2017-10-31 | 2018-03-23 | 维沃移动通信有限公司 | 一种i/o系统的监控方法及移动终端 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2024093290A1 (zh) * | 2022-10-31 | 2024-05-10 | 华为技术有限公司 | 勒索软件的检测方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
JP2020201703A (ja) | 2020-12-17 |
JP6890153B2 (ja) | 2021-06-18 |
US20200387430A1 (en) | 2020-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6890153B2 (ja) | 特異なイベントをリストアポイントとして設定するストレージ装置およびバックアップ方法 | |
US10346253B2 (en) | Threshold based incremental flashcopy backup of a raid protected array | |
US7490103B2 (en) | Method and system for backing up data | |
US7076606B2 (en) | Accelerated RAID with rewind capability | |
US9740880B1 (en) | Encrypted virtual machines in a cloud | |
US9600375B2 (en) | Synchronized flashcopy backup restore of a RAID protected array | |
US8396835B2 (en) | Computer system and its data control method | |
US7457916B2 (en) | Storage system, management server, and method of managing application thereof | |
US20070033356A1 (en) | System for Enabling Secure and Automatic Data Backup and Instant Recovery | |
EP2425344B1 (en) | Method and system for system recovery using change tracking | |
EP2407884A2 (en) | Data duplication operations in storage networks | |
US20080162915A1 (en) | Self-healing computing system | |
WO2012164618A1 (en) | Storage system and storage control method | |
US20060015767A1 (en) | Reducing data loss and unavailability by integrating multiple levels of a storage hierarchy | |
JP2007140962A (ja) | ディスクアレイシステム及びセキュリティ方法 | |
US20060215456A1 (en) | Disk array data protective system and method | |
US20210103490A1 (en) | Encryption detection | |
JP6494787B2 (ja) | 分散ストレージシステム | |
CN110806952B (zh) | 虚拟存储保护方法及系统 | |
US20240126880A1 (en) | Storage device with ransomware attack detection function and management system | |
US20230229773A1 (en) | Method and Apparatus for Detecting the Occurrence of a Ransomware Attack on a Storage Volume | |
US9880765B2 (en) | Copy processing management system and copy processing management method | |
JP2010282373A (ja) | 災害対策システムおよび災害対策方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |