JPWO2021028740A5 - - Google Patents

Download PDF

Info

Publication number
JPWO2021028740A5
JPWO2021028740A5 JP2022507554A JP2022507554A JPWO2021028740A5 JP WO2021028740 A5 JPWO2021028740 A5 JP WO2021028740A5 JP 2022507554 A JP2022507554 A JP 2022507554A JP 2022507554 A JP2022507554 A JP 2022507554A JP WO2021028740 A5 JPWO2021028740 A5 JP WO2021028740A5
Authority
JP
Japan
Prior art keywords
file
files
ocm
affected
ocmt
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2022507554A
Other languages
Japanese (ja)
Other versions
JP2022544909A (en
JP7475428B2 (en
Publication date
Priority claimed from US16/539,453 external-priority patent/US11693963B2/en
Application filed filed Critical
Publication of JP2022544909A publication Critical patent/JP2022544909A/en
Publication of JPWO2021028740A5 publication Critical patent/JPWO2021028740A5/ja
Application granted granted Critical
Publication of JP7475428B2 publication Critical patent/JP7475428B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Claims (20)

ランサムウェア検出および管理システムであって、
コンピュータ・ノードと、
ファイル・システムと、
複数のディスク・ストレージ・コンポーネントと、
バックアップ・クライアントと、
バックエンド・サーバと、
階層型ストレージ・クライアントであって、
ファイル・システム内のファイルのファイル統計情報を収集することと、
収集されたファイル統計情報に基づいて影響を受けたファイルを識別することと、
識別された影響を受けたファイルに応答して、前記ファイル・システムへのアクセスをロックダウンすることと、
調整処理を取り消すことと、
前記影響を受けたファイルを修復することと、
前記ファイル・システムへのアクセスをロック解除することとを実行するように構成された前記階層型ストレージ・クライアントとを備える、ランサムウェア検出および管理システム。 A ransomware detection and management system comprising:
a computer node;
a file system;
multiple disk storage components;
a backup client;
a backend server;
A tiered storage client,
collecting file statistics for files in the file system;
identifying affected files based on the collected file statistics;
locking down access to the file system in response to identified affected files;
canceling the reconciliation process; and
repairing the affected files;
and said tiered storage client configured to: unlock access to said file system. 前記収集されたファイル統計情報が、
収集されたファイル・アクセス統計情報と、
収集されたファイルの重複排除率および圧縮率とを含む、請求項1に記載のシステム。 The collected file statistics are:
Collected file access statistics;
2. The system of claim 1, including deduplication and compression ratios of collected files. 前記階層型ストレージ・クライアントが、
観察および制御モジュール(OCM)と、
観察および制御モジュール・テーブル(OCMt)と、
拡張移行モジュール(EMM)と、
拡張ファイル・システム調整モジュール(EFRM)と、
拡張再呼び出しモジュール(ERM)とをさらに備える、請求項1に記載のシステム。 the tiered storage client comprising:
an Observation and Control Module (OCM);
an Observation and Control Module Table (OCMt);
an extended migration module (EMM);
an extended file system reconciliation module (EFRM);
2. The system of claim 1, further comprising an extended recall module (ERM). 前記OCMが、
前記ファイル・システムに登録することと、
新しいファイルが作成されたか、または前記ファイル・システム内の既存のファイルが変更されたときに、前記ファイル・システムから通知を受信することと、
前記新しいファイルまたは前記変更されたファイルを前記EMMに通知することと、
前記新しいファイルまたは前記変更されたファイルの事前移行を開始することとを実行するように構成される、請求項3に記載のシステム。 The OCM is
registering with the file system;
receiving a notification from the file system when a new file is created or an existing file in the file system is modified;
notifying the EMM of the new file or the changed file;
4. The system of claim 3, configured to: initiate a pre-migration of the new file or the modified file. 前記OCMが、
書き込みアクセスが前記新しいファイルまたは前記既存のファイルに発生したときに通知を受信するために、前記新しいファイルまたは前記既存のファイルでの変更追跡プロセスを登録するようにさらに構成される、請求項4に記載のシステム。 The OCM is
5. The method of claim 4, further configured to register a change tracking process on the new file or the existing file to receive notification when write access occurs to the new file or the existing file. System as described. 前記OCMが、
前記ファイルへの書き込みアクセスの通知を受信することに応答して、前記ファイルに関連付けられたデータを前記OCMtに追加するようにさらに構成される、請求項5に記載のシステム。 The OCM is
6. The system of claim 5, further configured to add data associated with the file to the OCMt in response to receiving notification of write access to the file. 前記ファイルに関連付けられた前記データが、
前記ファイルのファイル名と、
前記ファイルに対するアクセスの時間とを含む、請求項6に記載のシステム。 the data associated with the file comprising:
a file name of the file;
7. The system of claim 6, comprising time of access to said file. 前記OCMが、
前記ファイルへの書き込みアクセスの第2の通知またはその後の通知に応答して、前記ファイルに関連付けられた第2のデータまたはその後のデータを前記OCMtに追加するようにさらに構成される、請求項6に記載のシステム。 The OCM is
7. Further configured to add second or subsequent data associated with said file to said OCMt in response to a second or subsequent notification of write access to said file. The system described in . 前記EMMが、
前記ファイルの事前移行中に前記ファイルの重複排除率および圧縮率を計算することと、
前記重複排除率および圧縮率を前記OCMに知らせることと、
前記ファイルの前記重複排除率および圧縮率を前記OCMt内の前記ファイルのエントリに入力することとを実行するように構成される、請求項3に記載のシステム。 The EMM is
calculating deduplication and compression ratios of the files during pre-migration of the files;
informing the OCM of the deduplication and compression ratios;
4. The system of claim 3, configured to: enter the deduplication ratio and compression ratio of the file into an entry for the file in the OCMt. 前記EMMが、ファイルが移行されるときに前記重複排除率および圧縮率を収集するようにさらに構成される、請求項9に記載のシステム。 10. The system of claim 9, wherein the EMM is further configured to collect the deduplication and compression ratios as files are migrated. 前記EMMが、
第1の事前移行時にファイルのブロック・レベルのハッシュ・マップを生成することと、
前記ファイルの第2の事前移行時に前記ファイルの第2のブロック・レベルのハッシュ・マップを生成することと、
前記ブロック・レベルのハッシュ・マップを前記第2のブロック・レベルのハッシュ・マップと比較することと、
前記比較されたブロック・レベルのハッシュ・マップの既定の部分が一致しないということを決定することと、
前記既定の部分を超えることに応答して、影響を受けたとして前記ファイルを識別することとを実行するようにさらに構成され、
前記OCMが、前記ファイルの前記ブロック・レベルのハッシュ・マップを前記OCMtに格納するようにさらに構成されることをさらに含む、請求項3に記載のシステム。 The EMM is
generating a block level hash map of the files during the first pre-migration;
generating a second block level hash map of the file during a second pre-migration of the file;
comparing the block level hash map with the second block level hash map;
determining that predetermined portions of the compared block-level hash maps do not match;
identifying the file as affected in response to exceeding the predetermined portion;
4. The system of claim 3, further comprising the OCM further configured to store the block level hash map of the file in the OCMt. 前記OCMが、異常な量のファイル書き込みアクセスが前記ファイル・システムに発生したかどうかを判定するようにさらに構成される、請求項3に記載のシステム。 4. The system of claim 3, wherein the OCM is further configured to determine whether an abnormal amount of file write accesses has occurred to the file system. 前記OCMが、
前記OCMtをトラバースすることと、
最新の観察サイクルに関して前記OCMt内のファイルの書き込みアクセスの合計を作成することと、
前記最新の観察サイクルの前の観察サイクルに関して前記OCMt内の前記ファイルの書き込みアクセスの合計を作成することとを実行するようにさらに構成される、請求項12に記載のシステム。 The OCM is
traversing the OCMt;
creating a sum of file write accesses in the OCMt for the most recent observation cycle;
13. The system of claim 12, further configured to: create a sum of write accesses of the file in the OCMt for a look cycle prior to the latest look cycle. 前記OCMが、
前記OCMtをトラバースすることと、
前の観察サイクル内でアクセスされた前記テーブル内のファイルごとに、前記OCMtからの各ファイルの関連する重複排除率および圧縮率のエントリを最新の比率として読み取ることと、
ファイルごとに、前記関連するファイルの現在の重複排除率および圧縮率を現在の比率として計算することと、
ファイルごとの前記現在の比率を、前記前の観察サイクルからの対応するファイルの最新の比率と比較することと、
前記現在の比率が前記最新の比率よりも低い場合に、前記関連するファイルに異常なファイル・アクセスが存在するということを決定することとを実行するようにさらに構成される、請求項12に記載のシステム。 The OCM is
traversing the OCMt;
for each file in the table that was accessed in the previous observation cycle, reading each file's associated deduplication and compression ratio entries from the OCMt as the most recent ratio;
calculating, for each file, the current deduplication and compression ratios of said associated files as current ratios;
comparing the current ratio for each file with the latest ratio of the corresponding file from the previous viewing cycle;
13. The method of claim 12, further configured to: determine that there is abnormal file access to the associated file if the current ratio is lower than the latest ratio. system. 前記OCMが、前記ファイル・システム内の前記ファイルへの容認される書き込みアクセスの水準を定義するようにさらに構成される、請求項3に記載のシステム。 4. The system of claim 3, wherein the OCM is further configured to define a level of permitted write access to the files within the file system. 前記OCMが、
操作および制御モジュールがランサムウェア攻撃をチェックする観察間隔を定義することと、
既定の数の観察間隔にわたって前記ファイル・システム内の書き込まれたファイルの平均量を計算することと、
前記平均量の分布を計算することと、
現在の観察間隔の間に書き込まれたファイルの量を計算することと、
前記現在の観察間隔の間に書き込まれた前記ファイルの量を計算された平均値と比較することと、
前記現在の観察間隔の間に書き込まれた前記ファイルの量が、前記計算された平均値と比較して、既定の変化率を超えているかどうかを判定することと、
前記既定の変化率を超えている場合に、
前記OCMtをトラバースして、前の観察間隔内で変更されたすべてのファイルを識別することと、
変更されたファイルごとに、前記ファイル全体が変更されたかどうか、および重複排除率および圧縮率が減少したかどうかを判定することと、
肯定的であるということが決定された場合に、前記ファイルが影響を受けたファイルであるということを決定することとを実行するようにさらに構成される、請求項15に記載のシステム。 The OCM is
defining an observation interval in which the operations and control module checks for ransomware attacks;
calculating an average amount of written files in the file system over a predetermined number of observation intervals;
calculating a distribution of the average amount;
calculating the amount of files written during the current observation interval;
comparing the amount of files written during the current observation interval to a calculated average;
determining whether the amount of files written during the current observation interval exceeds a predetermined rate of change compared to the calculated average;
If the predetermined rate of change is exceeded,
traversing the OCMt to identify all files modified within the previous observation interval;
determining, for each modified file, whether the entire file has been modified and whether the deduplication and compression ratios have decreased;
16. The system of claim 15, further configured to perform, if determined to be affirmative, determining that the file is an affected file. 前記OCMが、
異常な量のファイル書き込みアクセスが前記ファイル・システムに発生したかどうかを判定することと、
前記ファイル・システム内の前記ファイルへの容認される書き込みアクセスの水準を定義することとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
determining whether an abnormal amount of file write accesses has occurred to the file system;
4. The system of claim 3, further configured to: define a level of allowed write access to the files in the file system. 前記OCMが、
前記OCMtをトラバースして、しきい値数のファイルが影響を受けたファイルとしてマーク付けされたかどうかを判定することと、
前記ファイル・システムへのさらなる書き込みアクセスを遮断することとを実行するようにさらに構成され、
前記EMMが、前記OCMによる前記遮断の通知に応答して、すべての移行処理を停止するように構成され、
前記EFRMが、前記OCMによる前記遮断の通知に応答して、すべての調整処理を停止するように構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to determine if a threshold number of files have been marked as affected files;
blocking further write access to the file system;
the EMM is configured to stop all migration processing in response to notification of the shutdown by the OCM;
4. The system of claim 3, wherein the EFRM is configured to stop all reconciliation processing in response to notification of the shutdown by the OCM. 前記OCMが、
前記OCMtをトラバースして、影響を受けたファイルとしてマーク付けされた各ファイルを識別することと、
前記影響を受けたファイルを隔離フォルダに移動することと、
前記影響を受けたファイルの現在のバージョンに関連付けられたタイムスタンプより前の移行タイムスタンプを有しているストレージ・サーバから、前記影響を受けたファイルの最新バージョンを復元することとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to identify each file marked as an affected file;
moving the affected file to a quarantine folder;
and restoring the latest version of the affected file from a storage server having a migration timestamp prior to the timestamp associated with the current version of the affected file. 4. The system of claim 3, further configured to: 前記OCMが、
前記OCMtをトラバースして、影響を受けたファイルとしてマーク付けされた各ファイルを識別することと、
前記影響を受けたファイルのスタブを作成することと、
前記影響を受けたファイルのスタブ・バージョンを、前記影響を受けたファイルの現在のバージョンに関連付けられたタイムスタンプより前に移行されたストレージ・サーバ内の前記影響を受けたファイルのバージョンにリンクすることとを実行するようにさらに構成される、請求項3に記載のシステム。 The OCM is
traversing the OCMt to identify each file marked as an affected file;
creating a stub for the affected file;
Linking a stub version of the affected file to a version of the affected file in a storage server migrated prior to a timestamp associated with the current version of the affected file. 4. The system of claim 3, further configured to:
JP2022507554A 2019-08-13 2020-07-10 Automated ransomware detection with on-demand file system lockdown and auto-remediation Active JP7475428B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/539,453 2019-08-13
US16/539,453 US11693963B2 (en) 2019-08-13 2019-08-13 Automatic ransomware detection with an on-demand file system lock down and automatic repair function
PCT/IB2020/056502 WO2021028740A1 (en) 2019-08-13 2020-07-10 Automatic ransomware detection with an on-demand file system lock down and automatic repair function

Publications (3)

Publication Number Publication Date
JP2022544909A JP2022544909A (en) 2022-10-24
JPWO2021028740A5 true JPWO2021028740A5 (en) 2022-12-20
JP7475428B2 JP7475428B2 (en) 2024-04-26

Family

ID=74567345

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022507554A Active JP7475428B2 (en) 2019-08-13 2020-07-10 Automated ransomware detection with on-demand file system lockdown and auto-remediation

Country Status (6)

Country Link
US (1) US11693963B2 (en)
JP (1) JP7475428B2 (en)
CN (1) CN114222990A (en)
DE (1) DE112020003351T5 (en)
GB (1) GB2601938B (en)
WO (1) WO2021028740A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11716338B2 (en) * 2019-11-26 2023-08-01 Tweenznet Ltd. System and method for determining a file-access pattern and detecting ransomware attacks in at least one computer network
US11954337B2 (en) 2021-08-26 2024-04-09 International Business Machines Corporation Encryption monitor register and system
US20230060606A1 (en) * 2021-08-26 2023-03-02 International Business Machines Corporation Filesystem object protection from ransomware attacks
CN115718571B (en) * 2022-11-23 2023-08-22 深圳计算科学研究院 Data management method and device based on multidimensional features

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8140786B2 (en) * 2006-12-04 2012-03-20 Commvault Systems, Inc. Systems and methods for creating copies of data, such as archive copies
JP5514903B2 (en) * 2010-03-01 2014-06-04 株式会社日立製作所 File level hierarchical storage management system, method, and apparatus
US9454321B1 (en) * 2014-05-30 2016-09-27 Emc Corporation Workload-driven storage configuration management
US20160011816A1 (en) * 2014-07-09 2016-01-14 Nexenta Systems, Inc. Method to optimize inline i/o processing in tiered distributed storage systems
US9690501B1 (en) * 2014-12-02 2017-06-27 EMC IP Holding Company LLC Method and system for determining data profiles using block-based methodology
US10311234B2 (en) 2015-06-26 2019-06-04 Quick Heal Technologies Private Limited Anti-ransomware
US10083299B2 (en) 2015-12-16 2018-09-25 Carbonite, Inc. Systems and methods for automatic snapshotting of backups based on malicious modification detection
US10742665B2 (en) 2016-02-01 2020-08-11 NortonLifeLock Inc. Systems and methods for modifying file backups in response to detecting potential ransomware
US10715533B2 (en) 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10055582B1 (en) 2016-09-19 2018-08-21 EMC IP Holding Company LLC Automated detection and remediation of ransomware attacks involving a storage device of a computer network
CA3040115C (en) 2016-10-10 2022-05-24 Stephen Rosa Method and system for countering ransomware
US20180157834A1 (en) 2016-12-02 2018-06-07 Politecnico Di Milano Protection system and method for protecting a computer system against ransomware attacks
WO2018111271A1 (en) 2016-12-15 2018-06-21 Hewlett-Packard Development Company, L.P. Ransomware attack monitoring
JP6851212B2 (en) 2017-02-09 2021-03-31 Sky株式会社 Access monitoring system
US10333984B2 (en) * 2017-02-21 2019-06-25 International Business Machines Corporation Optimizing data reduction, security and encryption requirements in a network environment
US20180248896A1 (en) 2017-02-24 2018-08-30 Zitovault Software, Inc. System and method to prevent, detect, thwart, and recover automatically from ransomware cyber attacks, using behavioral analysis and machine learning
JP6341307B1 (en) 2017-03-03 2018-06-13 日本電気株式会社 Information processing device
CN117171743A (en) 2017-05-30 2023-12-05 赛姆普蒂夫技术公司 Real-time detection and protection of steganography in kernel mode
US10831935B2 (en) * 2017-08-31 2020-11-10 Pure Storage, Inc. Encryption management with host-side data reduction
US20190108340A1 (en) 2017-09-14 2019-04-11 Commvault Systems, Inc. Ransomware detection
US10956575B2 (en) 2017-11-20 2021-03-23 Hewlett Packard Enterprise Development Lp Determine malware using firmware
US11113156B2 (en) 2018-01-10 2021-09-07 Kaseya Us Llc Automated ransomware identification and recovery
US20190236274A1 (en) 2018-01-31 2019-08-01 EMC IP Holding Company LLC Detection of and recovery from ransomware in backup data
US20190286569A1 (en) * 2018-03-19 2019-09-19 Seagate Technology Llc Logical to physical data storage mapping
US10819738B2 (en) * 2018-09-21 2020-10-27 EMC IP Holding Company, LLC Detecting and protecting against ransomware
US11232206B2 (en) * 2019-04-23 2022-01-25 Microsoft Technology Licensing, Llc Automated malware remediation and file restoration management
US11599280B2 (en) * 2019-05-30 2023-03-07 EMC IP Holding Company LLC Data reduction improvement using aggregated machine learning
US11782790B2 (en) * 2019-07-10 2023-10-10 Centurion Holdings I, Llc Methods and systems for recognizing unintended file system changes

Similar Documents

Publication Publication Date Title
US11068187B2 (en) Systems and methods for data migration in a clustered file system
Srinivasan et al. iDedup: latency-aware, inline data deduplication for primary storage.
US10564850B1 (en) Managing known data patterns for deduplication
JP5856680B2 (en) Method of single instance using file clone and file storage device using the same
US8504528B2 (en) Duplicate backup data identification and consolidation
US7366859B2 (en) Fast incremental backup method and system
US8627026B2 (en) Storage apparatus and additional data writing method
US7577808B1 (en) Efficient backup data retrieval
US20170235496A1 (en) Data deduplication with augmented cuckoo filters
US11288128B2 (en) Indexing a relationship structure of a filesystem
US11176165B2 (en) Search and analytics for storage systems
GB2601938A (en) Automatic ransomware detection with an on-demand file system lock down and automatic repair function
Strzelczak et al. Concurrent Deletion in a Distributed {Content-Addressable} Storage System with Global Deduplication
CN111857592A (en) Data storage method and device based on object storage system and electronic equipment
GB2520361A (en) Method and system for a safe archiving of data
CN104881483B (en) Automatic detection evidence collecting method for the attack of Hadoop platform leaking data
CN111522502B (en) Data deduplication method and device, electronic equipment and computer-readable storage medium
US20190179804A1 (en) Tracking file movement in a network environment
US10380141B1 (en) Fast incremental backup method and system
RU2665272C1 (en) Method and apparatus for restoring deduplicated data
AU2020264449A1 (en) File system metadata deduplication
JPWO2021028740A5 (en)
CN110598467A (en) Memory data block integrity checking method
CN113821476B (en) Data processing method and device
CN116933250A (en) Method and system for protecting data from Lesu software attack