本技術(shù)涉及存儲，尤其涉及一種數(shù)據(jù)保護方法及裝置。

背景技術(shù)：

1、隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)已經(jīng)成為企業(yè)和個人最重要的資產(chǎn)之一。存儲設(shè)備作為支撐數(shù)據(jù)存儲和保護的基礎(chǔ)設(shè)施，其安全性顯得格外重要。且隨著互聯(lián)網(wǎng)的普及，勒索病毒等網(wǎng)絡(luò)安全威脅也日益猖獗，數(shù)據(jù)安全問題成為了全球范圍內(nèi)的共同難題。一旦存儲設(shè)備遭受到病毒攻擊，存儲設(shè)備中的數(shù)據(jù)不僅可能被破壞、竊取，還可能會遭到敲詐勒索。此外，一些監(jiān)管和合規(guī)性要求也對存儲設(shè)備的安全性提出了較高的要求。因此，保障存儲設(shè)備及其中存儲的數(shù)據(jù)的安全性成了企業(yè)的新訴求。

2、通常情況下，存儲設(shè)備定周期生成存儲設(shè)備中的數(shù)據(jù)的快照，以用于在存儲設(shè)備遭受到病毒攻擊時恢復(fù)數(shù)據(jù)。但是該方式中，通過快照恢復(fù)的數(shù)據(jù)可能是存儲設(shè)備中的部分?jǐn)?shù)據(jù)，比如，快照是每隔10分鐘生成一次，存儲設(shè)備已經(jīng)在14:00時生成了快照，而病毒是在14:09時攻擊的存儲設(shè)備，則該情況中，存儲設(shè)備僅能根據(jù)14:00時生成的快照恢復(fù)數(shù)據(jù)，而14:00至14:09時段內(nèi)存儲設(shè)備中發(fā)生變化的數(shù)據(jù)，無法通過該快照恢復(fù)。

3、如何盡可能完整地恢復(fù)存儲設(shè)備中的數(shù)據(jù)，是目前亟待解決的技術(shù)問題。

技術(shù)實現(xiàn)思路

1、本技術(shù)提供一種數(shù)據(jù)保護方法及裝置，用于盡可能完整地恢復(fù)存儲設(shè)備中的用戶數(shù)據(jù)。

2、第一方面，本技術(shù)提供一種數(shù)據(jù)保護方法，該方法可以由存儲設(shè)備執(zhí)行，或者由存儲設(shè)備中的防護模塊執(zhí)行；或者，該方法還可以由與存儲設(shè)備連接的防護設(shè)備執(zhí)行。如下以存儲設(shè)備執(zhí)行為例說明。

3、該方法包括：存儲設(shè)備獲取訪問存儲設(shè)備的輸入輸出(input/output)io序列，從io序列中確定出可疑io序列，其中，可疑io序列是可疑主機在訪問存儲設(shè)備中的第一數(shù)據(jù)時發(fā)起的，可疑io序列用于指示可疑主機具有對存儲設(shè)備中存儲的用戶數(shù)據(jù)進行破壞的可能性，存儲設(shè)備中存儲的用戶數(shù)據(jù)包括第一數(shù)據(jù)。進一步的，存儲設(shè)備響應(yīng)于確定出可疑io序列，生成防御機制和快照；其中，快照用于恢復(fù)存儲設(shè)備中存儲的用戶數(shù)據(jù)，防御機制用于在完成生成快照前阻止可疑主機訪問存儲設(shè)備中存儲的用戶數(shù)據(jù)。上述技術(shù)方案中，存儲設(shè)備在確定出可疑io序列之后，即生成防御機制和快照，以使得在確定出可疑io序列至生成快照時間段內(nèi)，發(fā)起該可疑io序列的可疑主機無法繼續(xù)訪問存儲設(shè)備中的用戶數(shù)據(jù)。進一步的，該生成快照對應(yīng)的時間點是發(fā)現(xiàn)存在可疑io序列的時間點，假設(shè)可疑主機就是用于破壞存儲設(shè)備中存儲的用戶數(shù)據(jù)的主機，即可疑主機是攻擊主機，那么在該時間點時攻擊主機對用戶數(shù)據(jù)的破壞程度較低。如此，存儲設(shè)備能夠根據(jù)快照盡可能完整地恢復(fù)出存儲設(shè)備中的用戶數(shù)據(jù)。

4、在一種可能的實現(xiàn)方式中，防御機制具體用于在完成生成快照前阻止可疑主機訪問第二數(shù)據(jù)，其中，第二數(shù)據(jù)為存儲設(shè)備中存儲的除第一數(shù)據(jù)之外的用戶數(shù)據(jù)。上述技術(shù)方案中，存儲設(shè)備通過防御機制對儲設(shè)備中存儲的第二數(shù)據(jù)進行保護，進而生成第二數(shù)據(jù)的快照，能夠根據(jù)快照完整地恢復(fù)出第二數(shù)據(jù)。

5、在一種可能的實現(xiàn)方式中，防御機制包括如下a和b中的一項或多項：a.在完成生成快照前，拒絕可疑主機對存儲設(shè)備的訪問請求；b.在存儲設(shè)備中增加預(yù)設(shè)數(shù)據(jù)，以使得可疑主機在完成生成快照前，訪問預(yù)設(shè)數(shù)據(jù)，其中，預(yù)設(shè)數(shù)據(jù)不是用戶數(shù)據(jù)。通過上述兩種方式，有助于存儲設(shè)備在確定出可疑io序列至生成快照時間段內(nèi)，阻止可疑主機訪問存儲設(shè)備中存儲的數(shù)據(jù)。

6、在一種可能的實現(xiàn)方式中，存儲設(shè)備在確定可疑io序列之后還可確定第一數(shù)據(jù)是否被可疑io序列破壞。存儲設(shè)備在確定第一數(shù)據(jù)被可疑io序列破壞的情況下，確定可疑主機是攻擊主機；和/或，在確定第一數(shù)據(jù)未被可疑io序列破壞時，確定可疑主機是正常主機。上述技術(shù)方案中，存儲設(shè)備進一步根據(jù)第一數(shù)據(jù)是否被破壞，確定可疑主機是攻擊主機還是正常主機，有助于提升確認(rèn)的準(zhǔn)確性。

7、在一種可能的實現(xiàn)方式中，存儲設(shè)備在確定第一數(shù)據(jù)是否被可疑io序列破壞時，具體可以是，存儲設(shè)備對第一數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值；當(dāng)熵值大于預(yù)設(shè)值時，確定第一數(shù)據(jù)已經(jīng)被可疑io序列破壞；當(dāng)熵值小于或等于預(yù)設(shè)值時，確定第一數(shù)據(jù)未被可疑io序列破壞。上述技術(shù)方案中，存儲設(shè)備根據(jù)第一數(shù)據(jù)的熵值來評估第一數(shù)據(jù)的隨機性，進而根據(jù)第一數(shù)據(jù)的隨機性確定第一數(shù)據(jù)是否被破壞，具有較高的準(zhǔn)確性。

8、在一種可能的實現(xiàn)方式中，存儲設(shè)備對第一數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值時，具體可以是，存儲設(shè)備對第一數(shù)據(jù)進行采樣得到采樣數(shù)據(jù)，對采樣數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值。上述技術(shù)方案中，有助于降低存儲設(shè)備的計算復(fù)雜度。

9、在一種可能的實現(xiàn)方式中，存儲設(shè)備在確定可疑主機是用于破壞存儲設(shè)備中存儲的用戶數(shù)據(jù)的主機(即確定可疑主機是攻擊主機)之后，還可以展示告警信息，其中，告警信息被管理員用于確定是否斷開攻擊主機與存儲設(shè)備之間的連接。上述技術(shù)方案中，由管理員決定是否斷開攻擊主機與存儲設(shè)備之間的連接，有助于提高管理靈活性。

10、在一種可能的實現(xiàn)方式中，存儲設(shè)備在生成用于恢復(fù)存儲設(shè)備中存儲的用戶數(shù)據(jù)的快照之后，還可以解除防御機制，以使得可疑主機能夠正常訪問存儲設(shè)備中存儲的數(shù)據(jù)。上述技術(shù)方案中，存儲設(shè)備在生成快照之后解除防御機制，在保障存儲設(shè)備能夠根據(jù)快照盡可能完整地恢復(fù)出存儲設(shè)備中的用戶數(shù)據(jù)的前提下，有助于保障正常主機或攻擊主機中的正常用戶應(yīng)用能夠正常訪問存儲設(shè)備中的用戶數(shù)據(jù)。

11、在一種可能的實現(xiàn)方式中，存儲設(shè)備從io序列中確定出可疑io序列時，具體可以是，從io序列中確定用于訪問第一文件的第一io序列；第一數(shù)據(jù)為第一文件；存儲設(shè)備在確定第一io序列與預(yù)設(shè)io序列的匹配度大于閾值時，確定第一io序列是可疑io序列，預(yù)設(shè)io序列為預(yù)先學(xué)習(xí)到的對存儲設(shè)備中存儲的用戶數(shù)據(jù)有破壞可能性的io序列。預(yù)設(shè)io序列可以是一個或多個。示例性的，該實現(xiàn)方式適用于網(wǎng)絡(luò)附加存儲(network?attachedstorage，nas)架構(gòu)中。上述技術(shù)方案中，在確定某個io序列與預(yù)設(shè)io序列匹配時，確定該io序列是可疑io序列，有助于提高確定出可疑io序列的效率和準(zhǔn)確率。

12、在一種可能的實現(xiàn)方式中，io序列中的每個io中攜帶訪問信息，訪問信息包括訪問地址，可選的，訪問信息還包括訪問類型和訪問時間中一個或多個；存儲設(shè)備從io序列中確定出可疑io序列時，具體可以是，根據(jù)io序列的每個io中攜帶的訪問信息，確定io序列的統(tǒng)計特征；根據(jù)io序列的統(tǒng)計特征，從io序列中確定可疑io序列；其中，可疑io序列中各io的訪問地址上的用戶數(shù)據(jù)組成第一數(shù)據(jù)。示例性的，該實現(xiàn)方式適用于存儲區(qū)域網(wǎng)絡(luò)(storage?area?network，san)架構(gòu)中。上述技術(shù)方案中，根據(jù)各io的訪問信息，確定io序列的統(tǒng)計特征，再根據(jù)io序列的統(tǒng)計特征，從io序列中確定可疑io序列，有助于提高確定出可疑io序列的效率和準(zhǔn)確率。

13、第二方面，本技術(shù)提供一種數(shù)據(jù)保護裝置，該裝置可以是存儲設(shè)備，或者是存儲設(shè)備中的防護模塊；或者，該裝置還可以是與存儲設(shè)備連接的防護設(shè)備。

14、裝置包括：獲取模塊，用于獲取訪問存儲設(shè)備的io序列；確定模塊，用于從io序列中確定出可疑io序列，其中，可疑io序列是可疑主機在訪問存儲設(shè)備中的第一數(shù)據(jù)時發(fā)起的，可疑io序列用于指示可疑主機具有對存儲設(shè)備中存儲的用戶數(shù)據(jù)進行破壞的可能性，存儲設(shè)備中存儲的用戶數(shù)據(jù)包括第一數(shù)據(jù)；生成模塊，用于響應(yīng)于確定模塊確定出可疑io序列，生成防御機制和快照；其中，快照用于恢復(fù)存儲設(shè)備中存儲的用戶數(shù)據(jù)，防御機制用于在完成生成快照前阻止可疑主機訪問存儲設(shè)備中存儲的用戶數(shù)據(jù)。在一種可能的實現(xiàn)方式中，防御機制具體用于在完成生成快照前阻止可疑主機訪問第二數(shù)據(jù)，第二數(shù)據(jù)為存儲設(shè)備中存儲的除第一數(shù)據(jù)之外的用戶數(shù)據(jù)。

15、在一種可能的實現(xiàn)方式中，防御機制包括如下a和b中的一項或多項：a.在完成生成快照前，拒絕可疑主機對存儲設(shè)備的訪問請求；b.在存儲設(shè)備中增加預(yù)設(shè)數(shù)據(jù)，以使得可疑主機在完成生成快照前，訪問預(yù)設(shè)數(shù)據(jù)，其中，預(yù)設(shè)數(shù)據(jù)不是用戶數(shù)據(jù)。

16、在一種可能的實現(xiàn)方式中，確定模塊在確定可疑io序列之后，還用于：確定第一數(shù)據(jù)是否被可疑io序列破壞；在確定第一數(shù)據(jù)被可疑io序列破壞的情況下，確定可疑主機是攻擊主機；和/或，在確定第一數(shù)據(jù)未被可疑io序列破壞時，確定可疑主機是正常主機。

17、在一種可能的實現(xiàn)方式中，確定模塊在確定第一數(shù)據(jù)是否被可疑io序列破壞時，具體用于：對第一數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值；當(dāng)熵值大于預(yù)設(shè)值時，確定第一數(shù)據(jù)被可疑io序列破壞；當(dāng)熵值小于或等于預(yù)設(shè)值時，確定第一數(shù)據(jù)未被可疑io序列破壞。

18、在一種可能的實現(xiàn)方式中，確定模塊在對第一數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值時，具體用于：對第一數(shù)據(jù)進行采樣，得到采樣數(shù)據(jù)；對采樣數(shù)據(jù)進行熵值檢測，得到第一數(shù)據(jù)的熵值。

19、在一種可能的實現(xiàn)方式中，確定模塊在確定可疑主機是攻擊主機之后，還用于：展示告警信息，其中，告警信息被管理員用于確定是否斷開攻擊主機與存儲設(shè)備之間的連接。

20、在一種可能的實現(xiàn)方式中，生成模塊在完成生成快照之后，還用于：解除防御機制，以使得可疑主機能夠正常訪問存儲設(shè)備中存儲的數(shù)據(jù)。

21、在一種可能的實現(xiàn)方式中，確定模塊在從io序列中確定出可疑io序列時，具體用于：從io序列中確定用于訪問第一文件的第一io序列；第一數(shù)據(jù)為第一文件；在確定第一io序列與預(yù)設(shè)io序列的匹配度大于閾值時，確定第一io序列是可疑io序列，預(yù)設(shè)io序列為預(yù)先學(xué)習(xí)到的對存儲設(shè)備中存儲的用戶數(shù)據(jù)有破壞可能性的io序列。

22、在一種可能的實現(xiàn)方式中，io序列中的每個io中攜帶訪問信息，訪問信息包括訪問地址，訪問信息還包括訪問類型和訪問時間中一個或多個；確定模塊在從io序列中確定出可疑io序列時，具體用于：根據(jù)io序列的每個io中攜帶的訪問信息，確定io序列的統(tǒng)計特征；根據(jù)io序列的統(tǒng)計特征，從io序列中確定可疑io序列；其中，可疑io序列中各io的訪問地址上的用戶數(shù)據(jù)組成第一數(shù)據(jù)。

23、第三方面，本技術(shù)提供一種計算機可讀存儲介質(zhì)，計算機可讀存儲介質(zhì)中存儲有計算機程序或指令，當(dāng)計算機程序或指令被計算設(shè)備執(zhí)行時，實現(xiàn)上述第一方面或第一方面中的任意一種方法。

24、第四方面，本技術(shù)提供一種計算機程序產(chǎn)品，計算機程序產(chǎn)品包括計算機程序或指令，當(dāng)計算機程序或指令被計算設(shè)備執(zhí)行時，實現(xiàn)上述第一方面或第一方面中的任意一種方法。

25、第五方面，本技術(shù)提供一種計算設(shè)備，包括處理器，處理器與存儲器相連，存儲器用于存儲計算機程序，處理器用于執(zhí)行存儲器中存儲的計算機程序，以使得計算設(shè)備執(zhí)行上述第一方面或第一方面中的任意一種方法。

26、第六方面，本技術(shù)提供一種存儲系統(tǒng)，包括計算設(shè)備和存儲介質(zhì)，計算設(shè)備和存儲介質(zhì)相連，存儲介質(zhì)用于存儲數(shù)據(jù)，計算設(shè)備用于執(zhí)行上述第一方面或第一方面中的任意一種方法。

27、上述第二方面至第六方面中任一方面可以達到的技術(shù)效果可以參照上述第一方面中有益效果的描述，此處不再重復(fù)贅述。