JPWO2021028740A5 - - Google Patents
Download PDFInfo
- Publication number
- JPWO2021028740A5 JPWO2021028740A5 JP2022507554A JP2022507554A JPWO2021028740A5 JP WO2021028740 A5 JPWO2021028740 A5 JP WO2021028740A5 JP 2022507554 A JP2022507554 A JP 2022507554A JP 2022507554 A JP2022507554 A JP 2022507554A JP WO2021028740 A5 JPWO2021028740 A5 JP WO2021028740A5
- Authority
- JP
- Japan
- Prior art keywords
- file
- files
- ocm
- affected
- ocmt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000006835 compression Effects 0.000 claims 8
- 238000007906 compression Methods 0.000 claims 8
- 230000005012 migration Effects 0.000 claims 7
- 238000013508 migration Methods 0.000 claims 7
- 238000000034 method Methods 0.000 claims 4
- 230000002159 abnormal effect Effects 0.000 claims 3
- 230000000903 blocking effect Effects 0.000 claims 1
- 230000003247 decreasing effect Effects 0.000 claims 1
- 238000001514 detection method Methods 0.000 claims 1
Claims (20)
コンピュータ・ノードと、
ファイル・システムと、
複数のディスク・ストレージ・コンポーネントと、
バックアップ・クライアントと、
バックエンド・サーバと、
階層型ストレージ・クライアントであって、
ファイル・システム内のファイルのファイル統計情報を収集することと、
収集されたファイル統計情報に基づいて影響を受けたファイルを識別することと、
識別された影響を受けたファイルに応答して、前記ファイル・システムへのアクセスをロックダウンすることと、
調整処理を取り消すことと、
前記影響を受けたファイルを修復することと、
前記ファイル・システムへのアクセスをロック解除することとを実行するように構成された前記階層型ストレージ・クライアントとを備える、ランサムウェア検出および管理システム。 A ransomware detection and management system comprising:
a computer node;
a file system;
multiple disk storage components;
a backup client;
a backend server;
A tiered storage client,
collecting file statistics for files in the file system;
identifying affected files based on the collected file statistics;
locking down access to the file system in response to identified affected files;
canceling the reconciliation process; and
repairing the affected files;
and said tiered storage client configured to: unlock access to said file system.
収集されたファイル・アクセス統計情報と、
収集されたファイルの重複排除率および圧縮率とを含む、請求項1に記載のシステム。 The collected file statistics are:
Collected file access statistics;
2. The system of claim 1, including deduplication and compression ratios of collected files.
観察および制御モジュール(OCM)と、
観察および制御モジュール・テーブル(OCMt)と、
拡張移行モジュール(EMM)と、
拡張ファイル・システム調整モジュール(EFRM)と、
拡張再呼び出しモジュール(ERM)とをさらに備える、請求項1に記載のシステム。 the tiered storage client comprising:
an Observation and Control Module (OCM);
an Observation and Control Module Table (OCMt);
an extended migration module (EMM);
an extended file system reconciliation module (EFRM);
2. The system of claim 1, further comprising an extended recall module (ERM).
前記ファイル・システムに登録することと、
新しいファイルが作成されたか、または前記ファイル・システム内の既存のファイルが変更されたときに、前記ファイル・システムから通知を受信することと、
前記新しいファイルまたは前記変更されたファイルを前記EMMに通知することと、
前記新しいファイルまたは前記変更されたファイルの事前移行を開始することとを実行するように構成される、請求項3に記載のシステム。 The OCM is
registering with the file system;
receiving a notification from the file system when a new file is created or an existing file in the file system is modified;
notifying the EMM of the new file or the changed file;
4. The system of claim 3, configured to: initiate a pre-migration of the new file or the modified file.
書き込みアクセスが前記新しいファイルまたは前記既存のファイルに発生したときに通知を受信するために、前記新しいファイルまたは前記既存のファイルでの変更追跡プロセスを登録するようにさらに構成される、請求項4に記載のシステム。 The OCM is
5. The method of claim 4, further configured to register a change tracking process on the new file or the existing file to receive notification when write access occurs to the new file or the existing file. System as described.
前記ファイルへの書き込みアクセスの通知を受信することに応答して、前記ファイルに関連付けられたデータを前記OCMtに追加するようにさらに構成される、請求項5に記載のシステム。 The OCM is
6. The system of claim 5, further configured to add data associated with the file to the OCMt in response to receiving notification of write access to the file.
前記ファイルのファイル名と、
前記ファイルに対するアクセスの時間とを含む、請求項6に記載のシステム。 the data associated with the file comprising:
a file name of the file;
7. The system of claim 6, comprising time of access to said file.
前記ファイルへの書き込みアクセスの第2の通知またはその後の通知に応答して、前記ファイルに関連付けられた第2のデータまたはその後のデータを前記OCMtに追加するようにさらに構成される、請求項6に記載のシステム。 The OCM is
7. Further configured to add second or subsequent data associated with said file to said OCMt in response to a second or subsequent notification of write access to said file. The system described in .
前記ファイルの事前移行中に前記ファイルの重複排除率および圧縮率を計算することと、
前記重複排除率および圧縮率を前記OCMに知らせることと、
前記ファイルの前記重複排除率および圧縮率を前記OCMt内の前記ファイルのエントリに入力することとを実行するように構成される、請求項3に記載のシステム。 The EMM is
calculating deduplication and compression ratios of the files during pre-migration of the files;
informing the OCM of the deduplication and compression ratios;
4. The system of claim 3, configured to: enter the deduplication ratio and compression ratio of the file into an entry for the file in the OCMt.
第1の事前移行時にファイルのブロック・レベルのハッシュ・マップを生成することと、
前記ファイルの第2の事前移行時に前記ファイルの第2のブロック・レベルのハッシュ・マップを生成することと、
前記ブロック・レベルのハッシュ・マップを前記第2のブロック・レベルのハッシュ・マップと比較することと、
前記比較されたブロック・レベルのハッシュ・マップの既定の部分が一致しないということを決定することと、
前記既定の部分を超えることに応答して、影響を受けたとして前記ファイルを識別することとを実行するようにさらに構成され、
前記OCMが、前記ファイルの前記ブロック・レベルのハッシュ・マップを前記OCMtに格納するようにさらに構成されることをさらに含む、請求項3に記載のシステム。 The EMM is
generating a block level hash map of the files during the first pre-migration;
generating a second block level hash map of the file during a second pre-migration of the file;
comparing the block level hash map with the second block level hash map;
determining that predetermined portions of the compared block-level hash maps do not match;
identifying the file as affected in response to exceeding the predetermined portion;
4. The system of claim 3, further comprising the OCM further configured to store the block level hash map of the file in the OCMt.
前記OCMtをトラバースすることと、
最新の観察サイクルに関して前記OCMt内のファイルの書き込みアクセスの合計を作成することと、
前記最新の観察サイクルの前の観察サイクルに関して前記OCMt内の前記ファイルの書き込みアクセスの合計を作成することとを実行するようにさらに構成される、請求項12に記載のシステム。 The OCM is
traversing the OCMt;
creating a sum of file write accesses in the OCMt for the most recent observation cycle;
13. The system of claim 12, further configured to: create a sum of write accesses of the file in the OCMt for a look cycle prior to the latest look cycle.
前記OCMtをトラバースすることと、
前の観察サイクル内でアクセスされた前記テーブル内のファイルごとに、前記OCMtからの各ファイルの関連する重複排除率および圧縮率のエントリを最新の比率として読み取ることと、
ファイルごとに、前記関連するファイルの現在の重複排除率および圧縮率を現在の比率として計算することと、
ファイルごとの前記現在の比率を、前記前の観察サイクルからの対応するファイルの最新の比率と比較することと、
前記現在の比率が前記最新の比率よりも低い場合に、前記関連するファイルに異常なファイル・アクセスが存在するということを決定することとを実行するようにさらに構成される、請求項12に記載のシステム。 The OCM is
traversing the OCMt;
for each file in the table that was accessed in the previous observation cycle, reading each file's associated deduplication and compression ratio entries from the OCMt as the most recent ratio;
calculating, for each file, the current deduplication and compression ratios of said associated files as current ratios;
comparing the current ratio for each file with the latest ratio of the corresponding file from the previous viewing cycle;
13. The method of claim 12, further configured to: determine that there is abnormal file access to the associated file if the current ratio is lower than the latest ratio. system.
操作および制御モジュールがランサムウェア攻撃をチェックする観察間隔を定義することと、
既定の数の観察間隔にわたって前記ファイル・システム内の書き込まれたファイルの平均量を計算することと、
前記平均量の分布を計算することと、
現在の観察間隔の間に書き込まれたファイルの量を計算することと、
前記現在の観察間隔の間に書き込まれた前記ファイルの量を計算された平均値と比較することと、
前記現在の観察間隔の間に書き込まれた前記ファイルの量が、前記計算された平均値と比較して、既定の変化率を超えているかどうかを判定することと、
前記既定の変化率を超えている場合に、
前記OCMtをトラバースして、前の観察間隔内で変更されたすべてのファイルを識別することと、
変更されたファイルごとに、前記ファイル全体が変更されたかどうか、および重複排除率および圧縮率が減少したかどうかを判定することと、
肯定的であるということが決定された場合に、前記ファイルが影響を受けたファイルであるということを決定することとを実行するようにさらに構成される、請求項15に記載のシステム。 The OCM is
defining an observation interval in which the operations and control module checks for ransomware attacks;
calculating an average amount of written files in the file system over a predetermined number of observation intervals;
calculating a distribution of the average amount;
calculating the amount of files written during the current observation interval;
comparing the amount of files written during the current observation interval to a calculated average;
determining whether the amount of files written during the current observation interval exceeds a predetermined rate of change compared to the calculated average;
If the predetermined rate of change is exceeded,
traversing the OCMt to identify all files modified within the previous observation interval;
determining, for each modified file, whether the entire file has been modified and whether the deduplication and compression ratios have decreased;
16. The system of claim 15, further configured to perform, if determined to be affirmative, determining that the file is an affected file.
異常な量のファイル書き込みアクセスが前記ファイル・システムに発生したかどうかを判定することと、
前記ファイル・システム内の前記ファイルへの容認される書き込みアクセスの水準を定義することとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
determining whether an abnormal amount of file write accesses has occurred to the file system;
4. The system of claim 3, further configured to: define a level of allowed write access to the files in the file system.
前記OCMtをトラバースして、しきい値数のファイルが影響を受けたファイルとしてマーク付けされたかどうかを判定することと、
前記ファイル・システムへのさらなる書き込みアクセスを遮断することとを実行するようにさらに構成され、
前記EMMが、前記OCMによる前記遮断の通知に応答して、すべての移行処理を停止するように構成され、
前記EFRMが、前記OCMによる前記遮断の通知に応答して、すべての調整処理を停止するように構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to determine if a threshold number of files have been marked as affected files;
blocking further write access to the file system;
the EMM is configured to stop all migration processing in response to notification of the shutdown by the OCM;
4. The system of claim 3, wherein the EFRM is configured to stop all reconciliation processing in response to notification of the shutdown by the OCM.
前記OCMtをトラバースして、影響を受けたファイルとしてマーク付けされた各ファイルを識別することと、
前記影響を受けたファイルを隔離フォルダに移動することと、
前記影響を受けたファイルの現在のバージョンに関連付けられたタイムスタンプより前の移行タイムスタンプを有しているストレージ・サーバから、前記影響を受けたファイルの最新バージョンを復元することとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to identify each file marked as an affected file;
moving the affected file to a quarantine folder;
and restoring the latest version of the affected file from a storage server having a migration timestamp prior to the timestamp associated with the current version of the affected file. 4. The system of claim 3, further configured to:
前記OCMtをトラバースして、影響を受けたファイルとしてマーク付けされた各ファイルを識別することと、
前記影響を受けたファイルのスタブを作成することと、
前記影響を受けたファイルのスタブ・バージョンを、前記影響を受けたファイルの現在のバージョンに関連付けられたタイムスタンプより前に移行されたストレージ・サーバ内の前記影響を受けたファイルのバージョンにリンクすることとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to identify each file marked as an affected file;
creating a stub for the affected file;
Linking a stub version of the affected file to a version of the affected file in a storage server migrated prior to a timestamp associated with the current version of the affected file. 4. The system of claim 3, further configured to:
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/539,453 | 2019-08-13 | ||
US16/539,453 US11693963B2 (en) | 2019-08-13 | 2019-08-13 | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
PCT/IB2020/056502 WO2021028740A1 (en) | 2019-08-13 | 2020-07-10 | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2022544909A JP2022544909A (en) | 2022-10-24 |
JPWO2021028740A5 true JPWO2021028740A5 (en) | 2022-12-20 |
JP7475428B2 JP7475428B2 (en) | 2024-04-26 |
Family
ID=74567345
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022507554A Active JP7475428B2 (en) | 2019-08-13 | 2020-07-10 | Automated ransomware detection with on-demand file system lockdown and auto-remediation |
Country Status (6)
Country | Link |
---|---|
US (1) | US11693963B2 (en) |
JP (1) | JP7475428B2 (en) |
CN (1) | CN114222990A (en) |
DE (1) | DE112020003351T5 (en) |
GB (1) | GB2601938B (en) |
WO (1) | WO2021028740A1 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11716338B2 (en) * | 2019-11-26 | 2023-08-01 | Tweenznet Ltd. | System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network |
US11954337B2 (en) | 2021-08-26 | 2024-04-09 | International Business Machines Corporation | Encryption monitor register and system |
US20230060606A1 (en) * | 2021-08-26 | 2023-03-02 | International Business Machines Corporation | Filesystem object protection from ransomware attacks |
CN115718571B (en) * | 2022-11-23 | 2023-08-22 | 深圳计算科学研究院 | Data management method and device based on multidimensional features |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8140786B2 (en) * | 2006-12-04 | 2012-03-20 | Commvault Systems, Inc. | Systems and methods for creating copies of data, such as archive copies |
JP5514903B2 (en) * | 2010-03-01 | 2014-06-04 | 株式会社日立製作所 | File level hierarchical storage management system, method, and apparatus |
US9454321B1 (en) * | 2014-05-30 | 2016-09-27 | Emc Corporation | Workload-driven storage configuration management |
US20160011816A1 (en) * | 2014-07-09 | 2016-01-14 | Nexenta Systems, Inc. | Method to optimize inline i/o processing in tiered distributed storage systems |
US9690501B1 (en) * | 2014-12-02 | 2017-06-27 | EMC IP Holding Company LLC | Method and system for determining data profiles using block-based methodology |
US10311234B2 (en) | 2015-06-26 | 2019-06-04 | Quick Heal Technologies Private Limited | Anti-ransomware |
US10083299B2 (en) | 2015-12-16 | 2018-09-25 | Carbonite, Inc. | Systems and methods for automatic snapshotting of backups based on malicious modification detection |
US10742665B2 (en) | 2016-02-01 | 2020-08-11 | NortonLifeLock Inc. | Systems and methods for modifying file backups in response to detecting potential ransomware |
US10715533B2 (en) | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10055582B1 (en) | 2016-09-19 | 2018-08-21 | EMC IP Holding Company LLC | Automated detection and remediation of ransomware attacks involving a storage device of a computer network |
CA3040115C (en) | 2016-10-10 | 2022-05-24 | Stephen Rosa | Method and system for countering ransomware |
US20180157834A1 (en) | 2016-12-02 | 2018-06-07 | Politecnico Di Milano | Protection system and method for protecting a computer system against ransomware attacks |
WO2018111271A1 (en) | 2016-12-15 | 2018-06-21 | Hewlett-Packard Development Company, L.P. | Ransomware attack monitoring |
JP6851212B2 (en) | 2017-02-09 | 2021-03-31 | Sky株式会社 | Access monitoring system |
US10333984B2 (en) * | 2017-02-21 | 2019-06-25 | International Business Machines Corporation | Optimizing data reduction, security and encryption requirements in a network environment |
US20180248896A1 (en) | 2017-02-24 | 2018-08-30 | Zitovault Software, Inc. | System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning |
JP6341307B1 (en) | 2017-03-03 | 2018-06-13 | 日本電気株式会社 | Information processing device |
CN117171743A (en) | 2017-05-30 | 2023-12-05 | 赛姆普蒂夫技术公司 | Real-time detection and protection of steganography in kernel mode |
US10831935B2 (en) * | 2017-08-31 | 2020-11-10 | Pure Storage, Inc. | Encryption management with host-side data reduction |
US20190108340A1 (en) | 2017-09-14 | 2019-04-11 | Commvault Systems, Inc. | Ransomware detection |
US10956575B2 (en) | 2017-11-20 | 2021-03-23 | Hewlett Packard Enterprise Development Lp | Determine malware using firmware |
US11113156B2 (en) | 2018-01-10 | 2021-09-07 | Kaseya Us Llc | Automated ransomware identification and recovery |
US20190236274A1 (en) | 2018-01-31 | 2019-08-01 | EMC IP Holding Company LLC | Detection of and recovery from ransomware in backup data |
US20190286569A1 (en) * | 2018-03-19 | 2019-09-19 | Seagate Technology Llc | Logical to physical data storage mapping |
US10819738B2 (en) * | 2018-09-21 | 2020-10-27 | EMC IP Holding Company, LLC | Detecting and protecting against ransomware |
US11232206B2 (en) * | 2019-04-23 | 2022-01-25 | Microsoft Technology Licensing, Llc | Automated malware remediation and file restoration management |
US11599280B2 (en) * | 2019-05-30 | 2023-03-07 | EMC IP Holding Company LLC | Data reduction improvement using aggregated machine learning |
US11782790B2 (en) * | 2019-07-10 | 2023-10-10 | Centurion Holdings I, Llc | Methods and systems for recognizing unintended file system changes |
-
2019
- 2019-08-13 US US16/539,453 patent/US11693963B2/en active Active
-
2020
- 2020-07-10 DE DE112020003351.1T patent/DE112020003351T5/en active Pending
- 2020-07-10 JP JP2022507554A patent/JP7475428B2/en active Active
- 2020-07-10 CN CN202080056991.9A patent/CN114222990A/en active Pending
- 2020-07-10 GB GB2202607.4A patent/GB2601938B/en active Active
- 2020-07-10 WO PCT/IB2020/056502 patent/WO2021028740A1/en active Application Filing
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11068187B2 (en) | Systems and methods for data migration in a clustered file system | |
Srinivasan et al. | iDedup: latency-aware, inline data deduplication for primary storage. | |
US10564850B1 (en) | Managing known data patterns for deduplication | |
JP5856680B2 (en) | Method of single instance using file clone and file storage device using the same | |
US8504528B2 (en) | Duplicate backup data identification and consolidation | |
US7366859B2 (en) | Fast incremental backup method and system | |
US8627026B2 (en) | Storage apparatus and additional data writing method | |
US7577808B1 (en) | Efficient backup data retrieval | |
US20170235496A1 (en) | Data deduplication with augmented cuckoo filters | |
US11288128B2 (en) | Indexing a relationship structure of a filesystem | |
US11176165B2 (en) | Search and analytics for storage systems | |
GB2601938A (en) | Automatic ransomware detection with an on-demand file system lock down and automatic repair function | |
Strzelczak et al. | Concurrent Deletion in a Distributed {Content-Addressable} Storage System with Global Deduplication | |
CN111857592A (en) | Data storage method and device based on object storage system and electronic equipment | |
GB2520361A (en) | Method and system for a safe archiving of data | |
CN104881483B (en) | Automatic detection evidence collecting method for the attack of Hadoop platform leaking data | |
CN111522502B (en) | Data deduplication method and device, electronic equipment and computer-readable storage medium | |
US20190179804A1 (en) | Tracking file movement in a network environment | |
US10380141B1 (en) | Fast incremental backup method and system | |
RU2665272C1 (en) | Method and apparatus for restoring deduplicated data | |
AU2020264449A1 (en) | File system metadata deduplication | |
JPWO2021028740A5 (en) | ||
CN110598467A (en) | Memory data block integrity checking method | |
CN113821476B (en) | Data processing method and device | |
CN116933250A (en) | Method and system for protecting data from Lesu software attack |