CN116662076B - 数据保护方法、装置、设备及存储介质 - Google Patents

数据保护方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116662076B
CN116662076B CN202310936972.0A CN202310936972A CN116662076B CN 116662076 B CN116662076 B CN 116662076B CN 202310936972 A CN202310936972 A CN 202310936972A CN 116662076 B CN116662076 B CN 116662076B
Authority
CN
China
Prior art keywords
data
disk
target host
encryption
backup mode
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310936972.0A
Other languages
English (en)
Other versions
CN116662076A (zh
Inventor
程方全
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Clerware Technology Co ltd
Original Assignee
Shenzhen Clerware Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Clerware Technology Co ltd filed Critical Shenzhen Clerware Technology Co ltd
Priority to CN202310936972.0A priority Critical patent/CN116662076B/zh
Publication of CN116662076A publication Critical patent/CN116662076A/zh
Application granted granted Critical
Publication of CN116662076B publication Critical patent/CN116662076B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1456Hardware arrangements for backup
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Quality & Reliability (AREA)
  • Software Systems (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Signal Processing For Digital Recording And Reproducing (AREA)

Abstract

本发明公开了一种数据保护方法、装置、设备及存储介质,包括:若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对目标主机中磁盘的操作行为确定磁盘数据是否存在加密风险;在确定磁盘数据存在加密风险的情况下,将目标主机的数据备份模式由定时备份模式切换为实时备份模式。本发明在目标主机的磁盘数据不存在加密风险的情况下,对磁盘数据进行定时备份,从而在预防数据被加密的同时减小主机和存储资源的消耗量,在磁盘数据存在加密风险的情况下,由定时备份模式切换为实时备份模式,从而在业务数据被加密时,降低业务数据的丢失量,能够提高业务数据安全性,同时降低主机和存储资源的消耗量。

Description

数据保护方法、装置、设备及存储介质
技术领域
本发明涉及数据保护技术领域,尤其涉及一种数据保护方法、装置、设备及存储介质。
背景技术
自从勒索病毒出现之后,用户的业务数据被加密的情况就层出不穷,业务数据被加密导致业务中断,给用户造成经济损失。由于勒索病毒的读写行为和业务系统的行为很接近,目前很难找到应对勒索病毒加密业务数据的通用、有效的方法,因此如何应对勒索病毒对业务数据的加密成为亟待解决的技术问题。
发明内容
本发明的主要目的在于提供了一种数据保护方法、装置、设备及存储介质,旨在解决现有技术中无法应对勒索病毒对业务数据加密的技术问题。
为实现上述目的,本发明提供了一种数据保护方法,所述方法包括以下步骤:
若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;
在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
可选地,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:
根据对所述目标主机中磁盘的操作行为确定所述磁盘中元数据存储区域的数据修改信息;
根据所述数据修改信息确定所述磁盘数据是否存在加密风险。
可选地,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:
根据对所述目标主机中磁盘的操作行为确定所述磁盘数据的数据读取量和数据写入量;
根据所述数据读取量和所述数据写入量确定数据读写比值;
根据所述数据读写比值确定所述磁盘数据是否存在加密风险。
可选地,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:
根据对所述目标主机中磁盘的操作行为确定文件系统的文件操作信息;
根据所述文件操作信息确定文件操作特征,并根据所述文件操作特征确定所述磁盘数据是否存在加密风险。
可选地,所述在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式,包括:
在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份;
在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
可选地,所述在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式之后,还包括:
根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程;
在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。
可选地,所述若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险之前,还包括:
对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域;
对所述数据变化区域中的数据进行定时备份。
此外,为实现上述目的,本发明还提出一种数据保护装置,所述装置包括:
确定模块,用于若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;
切换模块,用于在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
此外,为实现上述目的,本发明还提出一种数据保护设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据保护程序,所述数据保护程序配置为实现如上文所述的数据保护方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有数据保护程序,所述数据保护程序被处理器执行时实现如上文所述的数据保护方法的步骤。
本发明中若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。本发明在目标主机的磁盘数据不存在加密风险的情况下,对磁盘数据进行定时备份,从而在预防数据被加密的同时减小主机和存储资源的消耗量,在磁盘数据存在加密风险的情况下,由定时备份模式切换为实时备份模式,从而在业务数据被加密时,降低业务数据的丢失量,能够提高业务数据安全性,同时降低主机和存储资源的消耗量。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的数据保护设备的结构示意图;
图2为本发明数据保护方法第一实施例的流程示意图;
图3为本发明数据保护方法第二实施例的流程示意图;
图4为本发明数据保护方法第三实施例的流程示意图;
图5为本发明数据保护装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的数据保护设备结构示意图。
如图1所示,该数据保护设备可以包括:处理器1001,例如中央处理器(CentralProcessing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM),也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对数据保护设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及数据保护程序。
在图1所示的数据保护设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;处理器1001、存储器1005可以设置在数据保护设备中,所述数据保护设备通过处理器1001调用存储器1005中存储的数据保护程序,并执行本发明实施例提供的数据保护方法。
本发明实施例提供了一种数据保护方法,参照图2,图2为本发明数据保护方法第一实施例的流程示意图。
本实施例中,所述数据保护方法包括以下步骤:
步骤S10:若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险。
需要说明的是,本实施例的执行主体可以是一种具有数据处理、网络通信以及程序运行功能的计算服务设备,或者是一种能够实现上述功能的电子设备、数据保护设备、备份服务器等。以下以数据保护设备为例,对本实施例及下述各实施例进行举例说明。
可以理解的是,目标主机可以是需要进行数据保护的主机;磁盘数据可以是目标主机中磁盘存储的数据;定时备份模式可以是根据设定的时间定时对目标主机中的磁盘数据进行备份的模式;操作行为可以是对磁盘数据进行操作的行为,操作行为包括但不限于对磁盘数据的操作和对文件系统中文件的操作;加密风险可以是目标主机中的磁盘数据存在被非正常加密的风险,例如加密风险可以是磁盘数据存在被病毒加密的风险。
步骤S20:在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
可以理解的是,实时备份模式可以是实时对磁盘数据进行备份的模式,实时备份模式还可称为CDP备份,通过磁盘过滤驱动等技术实时监控目标主机中每块磁盘的写入行为,并把这些写入的数据以及磁盘号、磁盘偏移等保存起来,CDP备份可以实现对过去任意一个时间点的数据恢复;CDP备份生成的备份点是一系列连续的备份点,依赖于目标主机中磁盘的写入行为,CDP备份需要在全量备份或者增量备份的基础上进行数据叠加才能进行业务重建,所以全量备份、增量备份又叫CDP备份的基础备份;全量备份可以是通过识别磁盘设备、卷设备上的有效数据,对识别到的有效数据进行备份的方式;增量备份可以是对上一次全量备份或增量备份以后磁盘设备、卷设备上发生过改变的数据进行备份,在做业务重建的时候,需要把该增量备份的数据,以及之前的增量备份数据、全量备份数据(只需要距离该增量备份时间最近的一个全量备份)进行叠加之后的进行重建。
在具体实施中,在目标主机中的磁盘数据正常的情况下,对目标主机的磁盘数据进行定时备份,并根据对目标主机中磁盘的操作行为确定磁盘数据是否存在加密风险,在确定磁盘数据存在加密风险的情况下,将对磁盘数据的备份模式由定时备份模式切换至实时备份模式,以防止在磁盘数据被非正常加密的情况下,造成磁盘中业务数据的丢失。
进一步地,为了提高目标主机中磁盘数据是否存在加密风险判断的准确度,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:根据对所述目标主机中磁盘的操作行为确定所述磁盘中元数据存储区域的数据修改信息;根据所述数据修改信息确定所述磁盘数据是否存在加密风险。
可以理解的是,元数据存储区域可以是磁盘中用于记录磁盘、分区的用途、以及磁盘数据状态跟踪的区域,元数据存储区域通常位于磁盘、分区的头部或者尾部,如磁盘的分区表,LVM(Logical Volume Manager)卷的物理卷(Physical Volume,PV)头部数据,文件系统的超级块……等;数据修改信息可以是对元数据存储区域中存储的元数据进行修改的信息。
应该理解的是,根据数据修改信息确定磁盘数据是否存在加密风险的实现方式可以是:根据对元数据存储区域中元数据的修改信息确定对元数据的修改行为是否为正常修改行为,若否,则判定磁盘数据存在加密风险。
需要说明的是,目标主机中的磁盘初始化之后就会用作特定的用途,或者用于创建GPT、MBR的分区,或者直接当作一个卷创建文件系统,这些GPT、MBR分区又可以直接当成卷创建文件系统,或者当作成员盘拼装成虚拟磁盘组,然后在虚拟磁盘组上再创建虚拟卷和在卷上创建文件系统,这些初始化后的磁盘、分区、卷都是有特定的存储格式(比如磁盘的前面几个扇区、虚拟盘组成员盘的元数据、文件系统的超级块),初始化后的磁盘、分区、卷中的元数据一般保持不变,因此可以通过监测对元数据存储区域中存储的元数据的数据修改信息判断磁盘数据是否存在加密风险。
在具体实施中,根据目标主机中磁盘的操作行为确定磁盘中元数据存储区域的数据修改信息,根据数据修改信息确定修改后数据的数据类型,若数据类型为预设数据类型,则判定磁盘数据存在加密风险,预设数据类型可以是预先设定的用于判断磁盘数据是否存在加密风险的数据类型,预设数据类型包括但不限于随机数、无规律数等。
在一个例子中,比如目标主机中某个卷的超级块数据是由ext文件系统超级块变成了xfs文件系统超级块,或者ext文件系统超级块上的UUID字段由xxxxx变成了yyyyy,此时可以判定该修改行为是一个正常的修改行为,从而判定磁盘数据不存在加密风险;如果文件系统超级块区域存储的数据变成了随机数或者没有规律的数据,那么说明文件系统存在被恶意软件加密磁盘数据的风险。
进一步地,为了提高目标主机中磁盘数据是否存在加密风险判断的准确度,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:根据对所述目标主机中磁盘的操作行为确定所述磁盘数据的数据读取量和数据写入量;根据所述数据读取量和所述数据写入量确定数据读写比值;根据所述数据读写比值确定所述磁盘数据是否存在加密风险。
可以理解的是,数据读取量可以是从目标主机的磁盘中读取数据的量;数据写入量可以是向目标主机中写入数据的量;数据读写比值可以是数据读取量与数据写入量之间的比值,或数据写入量与数据读取量之间的比值。
应该理解的是,根据数据读写比值确定磁盘数据是否存在加密风险可以是根据数据读写比值与预设读写比值之间的对比关系确定磁盘数据是否存在加密风险。
在具体实施中,对目标主机中磁盘的操作行为包括磁盘的读写行为,实时检测磁盘、分区和卷的读写行为,根据检测结果确定单位时间内的数据读取量和数据写入量,将数据读取量与数据写入量相除获得数据读写比值,在数据读写比值与预设读写比值之间的差小于预设阈值时,判定磁盘数据存在加密风险。
需要说明的是,通常的情况下,业务系统引起的磁盘、分区、卷的读写行为是随机的,或者读多,或者写多,数据读取量和数据写入量一般不相等,当有恶意软件加密磁盘数据的时候,一般会出现数据读取量约等于数据写入量的情况,因此可以根据数据读写比值判断磁盘数据是否存在加密风险,进一步地,还可通过查询系统中各个进程的数据读取量和数据写入量,从而确定各个进程的数据读写比值,根据各个进程的数据读写比值可以定位到执行数据加密操作的目标进程,具体的,比如进程A的数据读写比值与预设读写比值之间的差小于预设阈值,则判定磁盘数据存在加密风险,并确定进程A为执行数据加密操作的目标进程。
进一步地,为了提高目标主机中磁盘数据是否存在加密风险判断的准确度,所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:根据对所述目标主机中磁盘的操作行为确定文件系统的文件操作信息;根据所述文件操作信息确定文件操作特征,并根据所述文件操作特征确定所述磁盘数据是否存在加密风险。
可以理解的是,文件操作信息可以是对文件系统中文件的操作信息;文件操作特征可以是对文件系统中文件进行操作的特征,文件操作特征包括但不限于随机修改、有规律修改、连续操作等。
在具体实施中,根据对目标主机中磁盘的操作行为确定文件系统的文件操作信息,根据文件操作信息确定文件操作特征,在文件操作特征属于预设文件操作特征的情况下,判定目标主机中的磁盘数据存在加密风险。
需要说明的是,一般情况下,目标主机上每个目录下的文件操作都是随机的,或者新增、或者修改、或者删除,这些行为一般是不固定的,在出现数据加密行为的情况,目标主机上会出现大量的文件枚举行为,并且对于枚举出来的文件的操作一般会呈现一定的规律。
在一个例子中,比如:软件对目标主机的磁盘数据进行加密,加密过程中伴随文件枚举行为,对于文件的操作包括但不限于:(1)在枚举出来文件对应的目录下新建一个文件(比如对于a.doc,则新建的一个a.doc.WannaRen),然后把原文件的数据读取出来进行加密,再写入到新建的文件中,加密完毕之后,把原文件删除掉;(2)直接把枚举出来的文件的数据读取出来,进行加密操作,再写回去,加密完毕之后把文件名改名(比如加上“.WannaRen”后缀);从上述例子中可以看出来文件的“新建、读、加密、写、删除”操作、或者“读、加密、写、改名”操作,都是对文件的连续操作(对于每个枚举出来的文件,都遵循类似的操作过程),所以可以通过文件过滤驱动监控所有的文件操作,当侦测到大量的目录下的文件出现上述的类似的操作行为的时候,可以认为目标主机存在数据加密风险,此外,通过文件操作的上下文可以定位到目标主机中具体是哪个进程执行了文件加密操作。
进一步地,为了提高目标主机中数据的安全性,所述步骤S10之前,所述方法还包括:对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域;对所述数据变化区域中的数据进行定时备份。
可以理解的是,整机备份可以是将目标主机的操作系统、应用程序、业务数据以及磁盘的分区、卷、文件系统等元数据备份到其他计算机中,存放备份数据的计算机称为备份服务器,每次备份出来的数据称为备份点。
应该理解的是,还可以通过磁盘过滤驱动来监控磁盘的写入行为,获得磁盘写入的磁盘偏移量和数据长度从而确定数据变化区域,然后把数据变化区域转换成位图和保存起来,在执行定时数据备份操作时,根据位图把数据修改区域中的数据读取出来进行保存。
在具体实施中,对目标主机的磁盘数据进行整机备份的实现方式可以是:分析目标主机上所有磁盘的分区,把分区拼凑成卷设备,识别卷设备上的有效数据,然后把这些数据转换成磁盘上的有效数据,再把有效数据备份到备份服务器中,通过识别磁盘的有效数据,可以节省不必要的数据备份,进而可以缩短备份时间以及节约备份服务器的存储空间;监控磁盘数据的数据变化区域的实现方式可以是:持续监控磁盘数据的写入行为,并通过位图记录数据发生改变的数据变化区域;对数据变化区域中的数据进行定时备份的实现方式可以是:间隔预设时长把磁盘上数据变化区域中的数据备份到备份服务器中,以对目标主机中的数据进行定时备份。当所有数据备份成功时,把对应的位图清零,同时开始下一轮的磁盘写入操作监控,有了这些定期备份数据,可以保证在目标主机发生数据加密前一个保护周期的业务数据还可以恢复回来(如果每天备份一次,那么就是一天以前的业务数据可以正常恢复回来)。
本实施例中若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。本实施例在目标主机的磁盘数据不存在加密风险的情况下,对磁盘数据进行定时备份,从而在预防数据被加密的同时减小主机和存储资源的消耗量,在磁盘数据存在加密风险的情况下,由定时备份模式切换为实时备份模式,从而在业务数据被加密时,降低业务数据的丢失量,能够提高业务数据安全性,同时降低主机和存储资源的消耗量。
参考图3,图3为本发明数据保护方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S20包括:
步骤S201:在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份。
可以理解的是,当前磁盘变更数据可以是在定时备份模式下当前备份周期内已经记录的发生变化的数据但是尚未进行备份的数据。
步骤S202:在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
在具体实施中,在确定磁盘数据存在加密风险的情况下,获取定时备份模式下记录下的当前磁盘变更数据,对当前磁盘变更数据进行备份,并在备份完成的情况下,将备份模式由定时备份模式切换为实时备份模式。
在一个例子中,比如:在监测到目标主机存在加密风险的情况下,把目标主机的备份模式由定时备份切换为CDP备份,以实现更细粒度的数据保护。具体的,先对定时备份模式下记录到的当前磁盘变更数据进行备份,对目标主机做完定时备份之后会通过位图记录磁盘数据发生改变的区域,以用于下一轮的定时备份,所以在切换到CDP备份前,需要先对这部分改变区域的数据进行备份,再开始CDP备份,然后通过磁盘过滤驱动实时抓取目标主机的磁盘写入数据,将写入数据拷贝一份,再对拷贝数据进行备份。由于使用的是磁盘级数据保护,不管主机上发生文件级加密,还是卷、磁盘级的加密,都能通过CDP备份数据把磁盘数据恢复回数据加密前的状态。
本实施例在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份;在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。本实施例在磁盘数据存在加密风险的情况下,先将定时备份模式下记录的当前磁盘变更数据备份,再将数据备份模式由定时备份模式切换至实时备份模式,以提高数据保护的细粒度,在后续磁盘数据被加密的情况下,通过实时备份数据把数据恢复到加密前的状态,提高了数据的安全性。
参考图4,图4为本发明数据保护方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述步骤S20之后,所述方法还包括:
步骤S30:根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程。
可以理解的是,操作记录信息可以是记录的对磁盘数据进行操作的信息;异常加密进程可以是对磁盘数据进行加密非进程。
应该理解的是,根据磁盘数据的操作记录信息确定对文件系统中文件执行的操作,在对文件系统执行的操作为加密操作的情况下,确定该进程为异常加密进程,和/或在根据操作行为确定磁盘数据存在加密风险的情况下,确定执行加密操作的进程为异常加密进程。
步骤S40:在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。
在具体实施中,持续监控目标主机的磁盘、分区、卷数据的变化,以及对文件系统中文件的修改,当磁盘数据的加密风险消失时,把目标主机的数据备份模式由CDP备份切换为定时备份,以最大限度节约主机和备份服务器的资源,同时又能保证磁盘发生改变区域的数据得到及时的备份,这是因为如果这些数据长时间不备份,在发生数据加密的时候,那么需要消耗很长时间来备份改变区域的数据,导致目标主机的数据得不到及时、有效的保护。具体的,在监测到目标主机的磁盘数据存在加密风险的情况下,获取引起目标主机异常加密行为的异常加密进程,当异常加密进程退出,和/或磁盘、分区、卷数据的变化,文件的修改不再呈现加密规律,可以认为数据加密风险消失,这个时候可以暂停CDP备份,切换成定时备份,以节约系统资源。
本实施例根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程;在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。本实施例在异常加密进程退出,和/或加密风险消失的情况下,将实时备份模式切换为定时备份模式,从而节省系统资源。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有数据保护程序,所述数据保护程序被处理器执行时实现如上文所述的数据保护方法的步骤。
参照图5,图5为本发明数据保护装置第一实施例的结构框图。
如图5所示,本发明实施例提出的数据保护装置包括:
确定模块10,用于若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;
切换模块20,用于在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
本实施例中若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。本实施例在目标主机的磁盘数据不存在加密风险的情况下,对磁盘数据进行定时备份,从而在预防数据被加密的同时减小主机和存储资源的消耗量,在磁盘数据存在加密风险的情况下,由定时备份模式切换为实时备份模式,从而在业务数据被加密时,降低业务数据的丢失量,能够提高业务数据安全性,同时降低主机和存储资源的消耗量。
基于本发明上述数据保护装置第一实施例,提出本发明数据保护装置的第二实施例。
在本实施例中,所述确定模块10,还用于根据对所述目标主机中磁盘的操作行为确定所述磁盘中元数据存储区域的数据修改信息;根据所述数据修改信息确定所述磁盘数据是否存在加密风险。
所述确定模块10,还用于根据对所述目标主机中磁盘的操作行为确定所述磁盘数据的数据读取量和数据写入量;根据所述数据读取量和所述数据写入量确定数据读写比值;根据所述数据读写比值确定所述磁盘数据是否存在加密风险。
所述确定模块10,还用于根据对所述目标主机中磁盘的操作行为确定文件系统的文件操作信息;根据所述文件操作信息确定文件操作特征,并根据所述文件操作特征确定所述磁盘数据是否存在加密风险。
所述切换模块20,还用于在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份;在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式。
所述切换模块20,还用于根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程;在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。
所述确定模块10,还用于对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域;对所述数据变化区域中的数据进行定时备份。
本发明数据保护装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (4)

1.一种数据保护方法,其特征在于,所述方法包括:
若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;
在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式;
在确定所述磁盘数据不存在加密风险的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换为定时备份模式;
所述若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险之前,还包括:
对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域;
对所述数据变化区域中的数据进行定时备份;
所述对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域,包括:
分析目标主机上所有磁盘的分区,并把所述分区拼凑成卷设备;
识别所述卷设备上的有效数据,并把所述有效数据转换成所述磁盘上的磁盘数据;
把所述磁盘数据备份到备份服务器中,持续监控所述磁盘数据的写入行为,并通过位图记录所述磁盘数据发生改变的数据变化区域;
所述在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式,包括:
在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份;
在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式;
通过磁盘过滤驱动实时抓取所述目标主机的磁盘写入数据,将所述磁盘写入数据进行拷贝,并对拷贝数据进行备份;
所述根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险,包括:
根据对所述目标主机中磁盘的操作行为确定所述磁盘中元数据存储区域的数据修改信息;
根据所述数据修改信息确定所述磁盘数据是否存在加密风险;
或,
根据对所述目标主机中磁盘的操作行为确定所述磁盘数据的数据读取量和数据写入量;
根据所述数据读取量和所述数据写入量确定数据读写比值;
根据所述数据读写比值确定所述磁盘数据是否存在加密风险;
或,
根据对所述目标主机中磁盘的操作行为确定文件系统的文件操作信息;
根据所述文件操作信息确定文件操作特征,并根据所述文件操作特征确定所述磁盘数据是否存在加密风险;
所述在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式之后,还包括:
根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程;
在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。
2.一种数据保护装置,其特征在于,所述装置包括:
确定模块,用于若对目标主机的磁盘数据进行备份的模式为定时备份模式,则根据对所述目标主机中磁盘的操作行为确定所述磁盘数据是否存在加密风险;
切换模块,用于在确定所述磁盘数据存在加密风险的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式;
所述切换模块,还用于在确定所述磁盘数据不存在加密风险的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换为定时备份模式;
所述确定模块,还用于对目标主机的磁盘数据进行整机备份,并监控所述磁盘数据的数据变化区域;对所述数据变化区域中的数据进行定时备份;
所述确定模块,还用于分析目标主机上所有磁盘的分区,并把所述分区拼凑成卷设备;识别所述卷设备上的有效数据,并把所述有效数据转换成所述磁盘上的磁盘数据;把所述磁盘数据备份到备份服务器中,持续监控所述磁盘数据的写入行为,并通过位图记录所述磁盘数据发生改变的数据变化区域;
所述切换模块,还用于在确定所述磁盘数据存在加密风险的情况下,对在所述定时备份模式下记录的当前磁盘变更数据进行备份;在所述当前磁盘变更数据完成备份的情况下,将所述目标主机的数据备份模式由所述定时备份模式切换为实时备份模式;通过磁盘过滤驱动实时抓取所述目标主机的磁盘写入数据,将所述磁盘写入数据进行拷贝,并对拷贝数据进行备份;
所述确定模块,还用于根据对所述目标主机中磁盘的操作行为确定所述磁盘中元数据存储区域的数据修改信息;根据所述数据修改信息确定所述磁盘数据是否存在加密风险;
所述确定模块,还用于根据对所述目标主机中磁盘的操作行为确定所述磁盘数据的数据读取量和数据写入量;根据所述数据读取量和所述数据写入量确定数据读写比值;根据所述数据读写比值确定所述磁盘数据是否存在加密风险;
所述确定模块,还用于根据对所述目标主机中磁盘的操作行为确定文件系统的文件操作信息;根据所述文件操作信息确定文件操作特征,并根据所述文件操作特征确定所述磁盘数据是否存在加密风险;
所述切换模块,还用于根据所述磁盘数据的操作记录信息和/或所述操作行为确定异常加密进程;在所述异常加密进程退出,和/或所述加密风险消失的情况下,将所述目标主机的数据备份模式由所述实时备份模式切换至所述定时备份模式。
3.一种数据保护设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的数据保护程序,所述数据保护程序配置为实现如权利要求1所述的数据保护方法的步骤。
4.一种存储介质,其特征在于,所述存储介质上存储有数据保护程序,所述数据保护程序被处理器执行时实现如权利要求1所述的数据保护方法的步骤。
CN202310936972.0A 2023-07-28 2023-07-28 数据保护方法、装置、设备及存储介质 Active CN116662076B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310936972.0A CN116662076B (zh) 2023-07-28 2023-07-28 数据保护方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310936972.0A CN116662076B (zh) 2023-07-28 2023-07-28 数据保护方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN116662076A CN116662076A (zh) 2023-08-29
CN116662076B true CN116662076B (zh) 2024-05-24

Family

ID=87722727

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310936972.0A Active CN116662076B (zh) 2023-07-28 2023-07-28 数据保护方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116662076B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101833489A (zh) * 2010-05-06 2010-09-15 北京邮电大学 一种文件实时监控和智能备份的方法
CN110941515A (zh) * 2019-12-04 2020-03-31 深圳市科力锐科技有限公司 主机备份重建方法、装置、服务器及存储介质
CN113505027A (zh) * 2021-09-10 2021-10-15 深圳市科力锐科技有限公司 业务系统备份方法、装置、设备及存储介质
CN115221524A (zh) * 2022-09-20 2022-10-21 深圳市科力锐科技有限公司 业务数据保护方法、装置、设备及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1286012C (zh) * 2002-03-20 2006-11-22 联想(北京)有限公司 计算机硬盘内信息恢复和备份的实现方法
JP6055285B2 (ja) * 2012-11-19 2016-12-27 株式会社東芝 データ保全装置およびその方法、システム
US11550677B2 (en) * 2020-11-23 2023-01-10 International Business Machines Corporation Client-less database system recovery

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101833489A (zh) * 2010-05-06 2010-09-15 北京邮电大学 一种文件实时监控和智能备份的方法
CN110941515A (zh) * 2019-12-04 2020-03-31 深圳市科力锐科技有限公司 主机备份重建方法、装置、服务器及存储介质
CN113505027A (zh) * 2021-09-10 2021-10-15 深圳市科力锐科技有限公司 业务系统备份方法、装置、设备及存储介质
CN115221524A (zh) * 2022-09-20 2022-10-21 深圳市科力锐科技有限公司 业务数据保护方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN116662076A (zh) 2023-08-29

Similar Documents

Publication Publication Date Title
US9645892B1 (en) Recording file events in change logs while incrementally backing up file systems
US5684991A (en) Modification metadata set, abstracted from database write requests
US8311985B2 (en) Remote backup and restore system and method
US8117168B1 (en) Methods and systems for creating and managing backups using virtual disks
US7523149B1 (en) System and method for continuous protection of working set data using a local independent staging device
US8990164B1 (en) Systems and methods for performing incremental backups
US10204016B1 (en) Incrementally backing up file system hard links based on change logs
JP4512638B2 (ja) システム領域情報テーブルとマッピングテーブルを使用したコンピューターハードディスクシステムデータ保護装置及びその方法
CN107563192B (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
US9405756B1 (en) Cloud-based point-in-time restore of computer data
US20070250673A1 (en) Computer backup system
US9524215B1 (en) Systems and methods for managing virtual machine backups
US20060161748A1 (en) Backup/recovery system and methods regarding the same
US10466924B1 (en) Systems and methods for generating memory images of computing devices
US8655841B1 (en) Selection of one of several available incremental modification detection techniques for use in incremental backups
CN105608150A (zh) 一种业务数据的处理方法及系统
CN102609371B (zh) 基于数据安全的系统保护方法
CN113190178B (zh) 一种fat32文件系统中数据无痕删除方法及系统
WO2007067699A2 (en) Emergency data preservation services
CN116662076B (zh) 数据保护方法、装置、设备及存储介质
KR101826176B1 (ko) 스냅샷 방식의 이미지 테이블을 이용한 백업데이터 제어방법
JP2005352535A (ja) データを保護する方法
JP5952631B2 (ja) 情報処理装置、スナップショット作成プログラム、及び該方法
JPH11212845A (ja) バックアップデータ管理装置、バックアップデータ管理方法、及び記録媒体
CN112506714B (zh) 一种Windows系统热备份方法和对应的热恢复方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant