[go: up one dir, main page]

TW201814577A - 用於防止計算機系統中數據惡意更改的方法和系統 - Google Patents

用於防止計算機系統中數據惡意更改的方法和系統 Download PDF

Info

Publication number
TW201814577A
TW201814577A TW106134309A TW106134309A TW201814577A TW 201814577 A TW201814577 A TW 201814577A TW 106134309 A TW106134309 A TW 106134309A TW 106134309 A TW106134309 A TW 106134309A TW 201814577 A TW201814577 A TW 201814577A
Authority
TW
Taiwan
Prior art keywords
file
computer device
data
malicious
files
Prior art date
Application number
TW106134309A
Other languages
English (en)
Inventor
翟本喬
Original Assignee
網擎資訊軟體股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US15/286,593 external-priority patent/US20170206353A1/en
Application filed by 網擎資訊軟體股份有限公司 filed Critical 網擎資訊軟體股份有限公司
Publication of TW201814577A publication Critical patent/TW201814577A/zh

Links

Landscapes

  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本發明包括對由惡意軟體特別是勒索軟體(Ransomware)感染的檔案的檢測方法以及在檔案傳輸期間用該方法實現的反惡意軟體系統,特別是用於備份或同步。在檔案傳輸之前應用本發明中的檢測方法來防止感染檔案替換未感染檔案的感染擴散。在一個實施例中,該方法包括:將檔案創建為“誘餌”以供勒索軟體讀取;以及檢測由於包含“誘餌檔”的更新而要傳送的檔案。本發明還包括通過本發明的檢測方法發現惡意軟體感染的檔案還原方法。

Description

用於防止計算機系統中數據惡意更改的方法和系統
本發明屬於雲端儲存服務的資訊安全機制。更具體地說,係用於保護數據(例如檔案)避免遭受惡意軟體危害,特別是在用戶端計算機設備和雲端儲存之間的備份和還原(或同步)期間的惡意軟體所造成的惡意更改的儲存環境。此外,本發明會用至少一個實例來說明上述基於雲端儲存環境的混合雲檔案系統中,如何保護數據免受惡意更改。
資訊安全,特別是防止電腦病毒、蠕蟲、木馬或惡意軟體(例如勒索軟體(Ransomware))的危害,通常的做法是通過掃描檢測和定期備份,並透過還原程式恢復受到惡意軟體攻擊而更改的檔案數據。常見的安全防護軟體可能會將掃描工作程式和檔案儲存在設備中,以識別是否有惡意軟體的攻擊及運作。即使發現惡意軟體已經運作,這些相關的檔案或數據也可能已經被更改或刪除。對於惡意軟體更改檔案及數據的危害,一般的安全防護軟體通常只會定期儲存相對應的副本(或整個系統的快照),一旦識別到惡意軟體已經更改數據或檔案數據(例如由勒索軟體引起的檔案加密或刪除),就可以因應用戶的要求用這個備份進行還原。
一般而言,掃描的機制可以經由識別惡意軟體更改數據或數據的模式,並維護已知模式的數據庫來實現。通常,惡意數據更改的模式會因為它的更新頻率而受到限制。對應驗證最新版本的惡意軟體通常無法立即被儲存到模式數據庫。因此,掃描機制通常無法因應最新惡意軟體相對應的惡意更改而表現不佳,特別是勒索軟體之類的惡意軟體,可以快速且簡單地將檔案加密並更新。
由於雲端儲存服務的快速流行,運用備份和還原的機制也可以是惡意數據更改的解決方案之一。然而,上述解決方案的限制取決於儲存副本可以使用的資源。如果超過資源可使用範圍,那些被惡意更改的數據可能就無法還原。此外,當將多個儲存資源合併在一起的情況下,由於檔案會在多個儲存資源之間進行同步,反而導致惡意數據經由同步程式而在多個儲存資源之間傳播。換句話說,一旦儲存資源中的檔案被惡意更改。通過同步,其他儲存資源中的檔案也可能會被惡意更改。例如,相較於勒索軟體的惡意更改可能包括檔案加密和檔案名稱或檔案位置的更改,勒索軟體惡意軟體通常會要求電腦系統的用戶支付費用以取得密碼,作為解密檔案或其他解決方案,好讓檔案可以還原。因為勒索軟體的出現,傳統提供掃描機制和備份機制的軟體沒有辦法在備份和還原的機制做得很好。
為了用於防止上述包括電腦病毒、蠕蟲、特洛伊木馬和勒索軟體在內的惡意軟體的數據在不同設備之間作備份或同步傳播,本發明提 供了具有安全驗制的檔案管理和系統整合的解決方案。本發明還可以通過用在不同設備中未被惡意更改的保留副本或版本來替換對應於該惡意更改的檔案來提供檔案還原的實作方法。本發明也可以提供將檔案管理和用戶端設備之間的同步,以混合雲端的儲存環境。
100‧‧‧用戶端設備
100a-d‧‧‧用戶端設備
110‧‧‧本地儲存媒體
110a‧‧‧智能電話
110b‧‧‧筆記型電腦
110c‧‧‧可穿戴設備
110d‧‧‧網路攝影機
140‧‧‧用戶行為分析模組
200‧‧‧雲端儲存伺服器集群
210‧‧‧儲存節點
230‧‧‧重複數據刪除伺服器
240‧‧‧用戶行為分析伺服器
300‧‧‧網路
400‧‧‧反惡意軟體系統
410‧‧‧誘餌檔管理模組
420‧‧‧惡意軟體檢測模組
421‧‧‧模式識別器
422‧‧‧訊息接收器
430‧‧‧同步管理模組
431‧‧‧備份管理組件
210a-c‧‧‧儲存節點
220‧‧‧管理伺服器
500‧‧‧操作系統
510‧‧‧混合雲檔案系統
520‧‧‧檔案系統管理模組
530‧‧‧高速快取管理系統
540‧‧‧同步管理模組
541‧‧‧預取管理組件
543‧‧‧重複數據刪除組件
545‧‧‧上傳管理組件
547‧‧‧取出管理組件
549‧‧‧刪除管理組件
432‧‧‧還原管理組件
433‧‧‧停止管理組件
541‧‧‧預取管理組件
550‧‧‧儲存裝置
550a-c‧‧‧儲存裝置
570‧‧‧高速快取設備
600‧‧‧電子設備
610‧‧‧儲存媒體
630‧‧‧處理器
650‧‧‧記憶體
670‧‧‧通訊模組
S101~S630‧‧‧步驟
請參考圖式,以下將詳細說明本發明各面向的內容。按照一般的標準做法,為了清楚說明,圖式並不會依其比例,而會為了特別強調某個功能的特徵.而放大或縮小。
圖1顯示根據本發明的實施例,所呈現的雲端儲存系統和具有檔案管理系統的用戶端設備。
圖2是根據本發明的實施例,在該用戶端設備和基於雲端儲存系統之間的驗證和檔案傳輸過程的流程圖。
圖3A和3B是分別呈現了根據本發明的實施例所對應上述用戶端設備和該基於雲端儲存系統的驗證和檔案發送處理的流程圖。
圖4A和4B是呈現根據本發明的一些實施例,所分別創建對應於該用戶端設備和該基於雲端儲存系統的誘餌的驗證過程的流程圖。
圖5是呈現根據本發明的一些實施例的典型的反惡意軟體(或惡毒軟體)系統的示意圖。
圖6呈現根據本發明的一些實施例的分別具有反惡意軟體系統的典型的雲端儲存系統和用戶端設備。
圖7A呈現根據本發明的一些實施例的典型的混合雲端儲存 系統。
圖7B是呈現與用戶端設備和雲端儲存系統的雲端儲存集群相關聯的典型操作系統的示意圖。
圖7C是呈現根據圖7B中的描述,在用戶端設備100進行典型操作系統的示意圖。
圖7D是呈現根據本發明的一些實施例的雲端儲存系統的典型的網路架構的示意圖。
圖7E是呈現根據圖7C中的描述,實施例典型反惡意軟體系統的示意圖。
圖8是參照圖6到圖7D的一些實施例的典型電子設備的功能框。
為了一致性目的和易於理解,在典型的圖中具有相似數字的特徵被識別(儘管在某些情況下未呈現)。然而,不同實施例中的特徵在其它方面可能不同,因此不應該局限於圖中所描述的部份。
圖1顯示根據本發明的實施例的典型雲端儲存系統。典型雲端儲存系統包括用戶端設備100能夠通過網路300在雲端儲存伺服器集群200中發送或接收不同類型的檔案。如圖1所示,用戶端設備100可以對應於具有用於檔案儲存的一個或多個檔案夾的檔案系統和用於同步檔案和檔案目錄(分別在圖1中描繪為“Document”和“Folde”)的“Sync Folder”的檔案夾。)到雲端儲存伺服器集群200。在用戶端裝置100中執行的軟體程式可以週期性地檢查“Sync Folde”中的檔案的更改,並且將更改的更改訊息或 檔案傳送到雲端儲存伺服器集群200,以使雲端儲存伺服器集群200在其中進行相應的檔案更改。在本發明的實施例中,可以在同步檔案夾中創建沒有實質內容的假檔案。這些假檔案可能包含元數據(metadata),吸引惡意軟體的惡意更改,尤其是勒索軟體。在上述原因方面,假檔案在圖1中被描繪為“誘餌”。例如,誘餌可以具有與檔案和圖像相同的檔案擴展名,例如“.txt”、“.csv”、“.jpg”等。在本發明的實施例中,可以產生誘餌並將其混合一組檔案儲存在檔案系統目錄中的同一檔案夾中。在實施例上,誘餌可以具有檔案名稱,檔案建立日期,以及其他檔案被排序和執行的遵循規則等。另一方面,誘餌可能具有不被用戶讀取的特徵,以防止將用戶讀取誘餌檔而誤認為是惡意軟體而將其刪除或更改。例如,誘餌的檔案名可以應用用戶被標識為假檔案的規則,例如“ab4687h”。雖然誘餌是圖像檔案,但是作為假的指示可以被包括在用於檔案系統呈現給用戶以進行識別的圖像中,例如“這是假檔案”的圖像。通過監控與誘餌檔相對應的數據更改,可以實施例知道惡意數據更改,特別是勒索軟體的數據更改的驗證。假設電腦系統的用戶不能讀取和編輯誘餌,而誘餌檔的數據更改可能僅由惡意軟體所引起,且沒有通知用戶及沒有使用用戶的權限。為了檢測儲存設備的“每個角落”中的惡意數據變化,可以有系統地創建多個甚至大量的誘檔餌,並分佈在不同的檔案夾(檔案系統中的路徑)中,特別是具有一組檔案的檔案夾。在本發明的一實施例中,為了檢測諸如檔案加密的檔案加密的惡意數據更改,檔案加密將檔案更改為僅具有相同檔案名和檔案元數據的一部分的另一檔案類型,可以通過監控新的檔案生成和識別具有相同檔案名(或至少一部分檔案元數據)的來自該新創建檔案的誘餌檔。在一實施例中,藉由 產生和維護誘餌檔的數據庫,以便與電腦系統中的數據更改進行比較,以監測誘餌檔的狀態並識別誘餌檔的變化。誘餌檔的監控可以通過定期掃描包括誘餌的檔案夾來實現。然而,為了節省系統資源,可以通過對電腦系統的儲存媒介的過程或指令的監控來代替掃描。經由捕獲諸如檔案創建,檔案更新和檔案刪除之類的指令,並將其與上述的誘餌數據庫進行比較,以識別誘餌檔是否被更改數據。誘餌檔的數據更改可能會作為惡意數據更改的信號發揮作用,因為誘餌的更改被假定為僅由軟體引起,特別是可疑的惡意軟體。
用戶端設備100可以是個人電腦、筆記型電腦、個人數據助理、手機、車用電腦、遊戲機、智慧型手機或能夠運行軟體應用並能夠運行軟體應用的其他可以存取網路的電子設備。網路300可以是任何類型的數據網路,包括網際網路、蜂巢式網路、區域網路、廣域網路、或其它任何形式的網路、或其組合,或經由網路的通信可以進行有線和無線部署。雲端儲存伺服器集群200可以是任何物理和虛擬架構中的一個或多個伺服器。在一實施例中,雲端儲存伺服器集群200可以被實施在單個地理位置,其中一個或多個伺服器中可以進行相關溝通及連接。在實施例中,雲端儲存伺服器集群200可以利用一個或多個電腦網路進行有線或無線通信網路的連接。在實施例中,雲端儲存伺服器集群200可以是建立於不同的地理位置中的電腦設備所提供的軟體定義資源池上的一個或多個虛擬機。在實施例中,雲端儲存伺服器群集200的一部分可以選擇性地採用前述物理和虛擬部署。
根據本發明的一些實施例,圖2描述了圖1中的用戶端設備 100和雲端儲存伺服器群集200之間的檔案傳輸的典型的驗證過程。而參考圖2,在步驟S101中,用戶端裝置100中執行的上述軟體程式可以通過識別對應的模式來週期性地檢查數據的惡意更改,並且確定數據是否被惡意地竄改,特別是將檔案傳送(或同步)到雲端儲存伺服器集群200。這些模式可以包括上述的誘餌檔的數據更改或導致大量檔案在短時間內被同步的重要的數據更改。在本發明的一個實施例中,模式識別可以與定期檔案同步同時進行。在每次開始檔案同步之前,用戶端設備100可以檢查要同步(或備份)的兩個檢查檔案的檔案更新以及惡意數據更改模式,包括檔案更新頻率和對應於誘餌檔的數據更改。在步驟S110中,如果用戶端設備100發現惡意數據更改的模式,則用戶端設備100可以暫停或停止檔案同步,並且在本發明的一個實施例中,用戶端設備100可以向用戶提供惡意數據更改警告訊息。在一些實施例中,也可以向雲端儲存伺服器集群200提供警告消息。本發明的實施例中,可以套用上述惡意數據更改模式的多個檢測裝置。在通過第一段檢測裝置發現惡意數據更改的模式開始發生時,可以將同步暫停一段時間。在這段時間內,用戶端設備100可以通過檢測其它裝置來發現是否有惡意數據更改動作。如果通過上述的檢測過程確認惡意數據更改,則用戶端設備100可以停止檔案同步。另一方面,如果在這段停止期間尚無法識別上述惡意數據更改的情況,則用戶端設備100可以繼續檔案同步。例如,用戶端設備100可以在發現面臨大規模檔案的頻繁數據更改時,會暫停檔案同步及傳輸一段時間,如果發現誘餌檔正在更新並發送傳送的請求,則用戶端設備100可以進一步停止檔案傳輸。否則,用戶端設備100可以在上述週期之後進一步繼續檔案傳輸。上述示例不限 於本發明中的檢測裝置,例如,用戶端設備100也可以啟動監控任何惡意軟體(特別是勒索軟體)與其中正在執行的更改誘餌檔數據的指令,以確認是否有惡意數據更改的行為。在本發明實施例中,用戶端設備100還可以向用戶端設備100中,安裝和操作的防惡意軟體提供上述警告消息,以用於惡意軟體警報和相應的檔案還原。在本發明的實施例中,用戶端設備100還可以向雲端儲存伺服器集群200進一步提供上述警告消息和對應於惡意數據更改的檔案的範圍,用於接收相應的備份檔案不被惡意地更改為檔案還原。在步驟S102中,如果用戶端裝置100沒有發現惡意檔案更改,則用戶端裝置100可以通過將檔案更新資訊和更新檔案發送到雲端儲存伺服器集群200來開始檔案同步,並且在一些實例中,基於檔案更新來檢查哪個可以與步驟S101同時進行。在步驟S201中,於本發明實施例中,上述軟體過程也可以在雲端儲存伺服器集群200中執行,用於將儲存接收到的檔案的雲端儲存伺服器集群200更新或更新之前檢查惡意數據更改模式檔案作相對應的位置的同步。這些模式還可以包括在一段時間內對應於大量檔案(待儲存以用於同步)的誘餌檔的數據更改或頻繁數據更改。在步驟S202中,如果雲端儲存伺服器群集200沒有發現惡意數據更改,則雲端儲存伺服器集群200可以通過將儲存設備接收到的檔案或替換檔案來開始檔案同步,並且在本發明的一個實施例中,基於與步驟S201同時進行的檔案更新檢查。在步驟S210中,如果雲端儲存伺服器群集200發現惡意數據更改,則雲端儲存伺服器群集200可以通過刪除所接收的檔案來暫停或停止檔案同步,並且在本發明的實施例中,用戶端設備100還可以提供向用戶端設備100發送惡意數據更改的警告訊息。如前所述,發現由第一檢測裝 置發現的惡意數據更改,可以暫停同步一段時間,在此期間,雲端儲存伺服器集群200可以通過其他檢測裝置來確認惡意數據更改。如果惡意數據更改被確認,雲端儲存伺服器集群200可能會停止檔案同步。另一方面,如果無法通過上述其他檢測裝置確認惡意數據更改,則雲端儲存伺服器集群200可以繼續檔案同步。例如,雲端儲存伺服器集群200可以停止檔案同步,並且僅在一段時間內持續接收檔案同步請求,同時在一段時間內發現相對於大規模檔案的頻繁數據更改。如果任何誘餌檔被更改並請求同步,雲端儲存伺服器集群200可能會停止檔案同步。否則,雲端儲存伺服器集群200可以在上述週期之後進一步繼續檔案傳輸。在步驟S120中,在本發明實施例中,用戶端設備100還可以向用戶端設備100的用戶或其中安裝和操作的反惡意軟體提供惡意數據更改的警告訊息,用於惡意軟體刪除或檔案恢復。
圖3A呈現了圖1中的用戶端設備100的檔案傳輸的典型驗證過程。根據本發明的一些實施例。參考如圖3A所示,在步驟S310中,在用戶端設備100中執行的上述軟體過程可以週期性地將當前檔案資訊與前一檔案同步之前的檔案資訊進行比較,以確認數據是否有不一致來確定是否有惡意檔案更改,這也決定了與雲端儲存伺服器集群200的檔案同步情況。在一些實施例中,也可以通過檢查數據更改指令的頻率和對應的檔案規模來檢測惡意數據更改。在步驟S320中,用戶端設備100還可以檢查誘餌檔的檔案狀態以確定惡意數據更改。在本發明實施例中,可以簡單地通過在更新的檔案列表中,識別要傳送到雲端儲存伺服器集群200的上述誘餌檔來完成檢查。在本發明的實施例中,如果用戶端設備100發現惡意 數據在步驟S330中,用戶端設備100可以停止檔案同步過程並停止將檔案傳送到雲端儲存伺服器集群200,用戶端設備100還可以請求來自雲端儲存伺服器集群200的備份檔案來替換惡意修改檔案進行檔案還原。還原檔案的範圍可以通過掃描來識別惡意更改的檔案或簡單地根據識別惡意數據更改的時間在特定時間段內更新的所有檔案來確定。在本發明的實施例中,如果用戶端設備100找不到惡意數據更改,則在步驟S340中,用戶端設備100可以繼續將檔案傳送到雲端儲存伺服器集群200。本發明不限於步驟S310和S320以及步驟S310和S320之間,如果沒有發現惡意數據更改,則可以存在用於指示步驟S310和S320的下一步驟,步驟S315,並且在發現數據的惡意更改時進入步驟S330。同樣的,如果沒有發現惡意數據更改,則可能存在從步驟S310和S320的下一步引導到步驟S340的步驟S325,並且在發現惡意數據更改時進入步驟S330。在本發明的實施例中,由第一檢測裝置發現有數據被異動是可以暫停同步一段時間。在這段時間則會不斷執行步驟S310和步驟S320的惡意數據更改的檢查。例如,當發現惡意數據更改時,用戶端設備100可以通過其他步驟來確定檔案同步過程來確認是否有惡意數據的更改。一旦確認惡意數據更改,用戶端設備100可以停止檔案同步並請求檔案還原;反之,用戶端設備100可以在步驟S340中繼續檔案同步。
圖3B呈現圖1中的雲端儲存伺服器集群200的檔案接收和儲存的典型的驗證過程。根據本發明的一些實施例。參考如圖3B所示,在步驟S410中,雲端儲存伺服器集群200可以週期性地從用戶端設備100接收檔案或檔案更新,並維護或更新所接收的檔案的相應副本,以便與用戶 端設備100進行檔案同步。雲端儲存伺服器集群200可以進一步保留要在用戶端設備100(被同步的檔案)中被更新或刪除的相應檔案被替換或刪除的副本。在本發明的一個實施例中,在步驟S415中,也可以在雲端儲存伺服器集群200中執行上述軟體過程,並且週期性地檢查在特定時間段內是否要同步的檔案或檔案更新(表示為“檔案更新頻率”)達到通過數據不一致性確定惡意數據更改的上限值。如果上述檔案更新頻率不符合上限值,意味著沒有惡意數據更改,則軟體程式可能會繼續監控檔案更新頻率。在本發明的另一實施例中,還可以通過檢查接收到的檔案更新(對應於用戶端設備100中更新的檔案)是否包括在用戶端設備100中生成的誘餌檔來確定是否有惡意數據更改,一旦上述誘餌檔發現更新,雲端儲存伺服器集群200可以確定與誘餌檔相鄰接收的檔案更新是可疑的惡意更改。因此可以確定檔案還原的範圍。在本發明的一個實施例中,如果符合檔案更新頻率上限值,表示惡意數據更改確有發生,則在步驟S420中,雲端儲存伺服器集群200可以停止檔案同步,以防止惡意更改的檔案在設備之間傳播。在本發明的一個實施例中,雲端儲存伺服器集群200可以進一步確定懷疑被惡意更改(通過惡意軟體)的檔案並檢索相應的保留副本以替換上述惡意更改的檔案以進行檔案還原。在本發明的一個實施例中,雲端儲存伺服器集群200可以向用戶端設備100發送惡意數據更改的確認訊息,以發起包括用戶端設備100中的惡意軟體刪除或檔案還原的反惡意軟體過程。在本發明的一個實施例,用戶端設備100還可以從雲端儲存伺服器集群200請求檔案還原,並且雲端儲存伺服器集群200還可以將上述保留副本發送回用戶端設備100,以同步返回以替換被保留副本惡意更改的檔案。在用戶 端設備100(或雲端儲存伺服器集群200)向用戶提供警告訊息之後,還可以由用戶端設備100(或雲端儲存伺服器集群200)的用戶發起上述檔案還原。在本發明的一個實施例中,由第一檢測裝置發現可能有惡意更改數據的情況時,同步會暫時停止,並且持續僅一段時間。在發現惡意數據更改的同時,雲端儲存伺服器集群200可以通過其他方式停止檔案同步過程一段時間以進行確認,例如,等待從數據更改觸發的用戶端設備100接收惡意數據更改的警告訊息的上述誘餌檔。一旦確認惡意數據更改,雲端儲存伺服器集群200可以停止檔案同步並將檔案同步回到用戶端設備100;反之,雲端儲存伺服器集群200可以在步驟S410中繼續檔案同步。
圖4A呈現了圖1中的用戶端設備100的檔案傳輸的典型驗證過程。根據本發明的一些實施例。參考圖4A所示,在步驟S510中,用戶端設備100可以創建作為上述誘餌檔的檔案,並且將誘餌檔儲存到檔案夾中作為由勒索軟體進行的惡意數據更改的指標,甚至具有較高優先級的指標將被勒索軟體(或其他類型的惡意軟體)。在本發明的一個實施例中,可以產生誘餌檔並將其混合到父檔案夾中的一組檔案和子檔案夾中,以便被勒索軟體視為同一批檔案而進行感染動作。在本發明的一個實施例中,誘餌檔會具有以更高優先級排列的勒索軟體處理的特徵,諸如以字母順序首先排序的檔案名稱,或以時間遞減順序排列的檔案更新日期。在本發明的一個實施例中,誘餌檔也可以具有被識別為誘餌檔的特徵,以避免用戶意外地讀取或更改檔案名稱,以被識別為無意義,並且被識別為“誘餌檔”。例如,用戶端設備100可以創建包括“這是一個誘餌檔”的圖像,以在檔案系統讀取圖像時提供預覽,以避免用戶更改檔案。在步驟S520中,用戶端設 備100可以週期性地檢查誘餌檔的檔案狀態以識別勒索軟體對數據的惡意更改。在本發明的一個實施例中,用戶端設備100可以將更新的檔案發送到雲端儲存伺服器集群200以進行備份。用戶端設備100可以檢查包括用於識別誘餌的惡意更改的誘餌的檔案的更新是否被假設不被用戶更改。在本發明的一個實施例中,用戶端設備100還可以檢查包括具有相同檔案名的檔案或檔案元數據的至少一部分的檔案的更新是否是用於識別勒索軟體的惡意加密的誘餌,這通常導致檔案為加密成另一種檔案類型,只有相同的檔案名和檔案元數據的一部分。雖然誘餌的數據被更改,但它可能意味著同一檔案夾中的檔案或相關檔案夾中的誘餌檔也被勒索軟體惡意地更改(例如加密或刪除)。在本發明的一個實施例中,在步驟S525中,用戶端設備100在檢測到由勒索軟體進行的數據的惡意更改之後,可以停止檔案傳輸(或檔案備份),以防止數據擴散到雲端儲存伺服器集群200的惡意更改在步驟S530中,從用戶端設備100替換惡意更改的檔案的雲端儲存伺服器群集200中的檔案.在本發明的一個實施例中,用戶端設備100還可以啟動監控對應於正在其中執行的誘餌的數據更改的指令的過程,以確認惡意數據更改。在本發明的一個實施例中,當識別到誘餌檔被異動而發現懷疑惡意數據更改的情況下,會停止同步一段時間。在此期間,用戶端設備100可以檢查是否更改了第二個或者更多的誘餌檔來確認通常是惡意地更改大規模檔案的勒索軟體的惡意的數據更改。如果在該期間沒有其他誘餌更改,則用戶端設備100可能由於沒有惡意數據更改的確認而繼續檔案備份傳輸。在本發明的一個實施例中,也在步驟S530中,用戶端設備100還可以從雲端儲存伺服器集群200請求還原惡意更改的檔案(例如由勒索軟 體加密的檔案)。用戶端設備100可以確定可疑惡意更改並請求還原的檔案的範圍。用戶端設備100還可以從雲端儲存伺服器集群200接收相應的檔案,並且替換可疑的被接收檔案惡意更改的檔案。在本發明的一個實施例中,用戶端設備100可以提供用於引導和用戶介面的訊息,以在上述檔案還原的每個步驟中進行確認。如果在步驟S525中沒有檢測到勒索軟體數據的惡意更改,則在步驟S540中,用戶端設備100可以繼續向雲端儲存伺服器集群200發送檔案以進行檔案備份。
圖4B呈現了根據本發明的一些實施例的圖1中的雲端儲存伺服器集群200的檔案傳輸的典型驗證過程。參考如圖4B所示,在步驟S610中,雲端儲存伺服器群集200可以從用戶端設備100接收用於備份的檔案。雲端儲存伺服器集群200還可以在用戶端設備100中保留對應於其被更新或刪除的待替換或刪除的檔案的副本。在本發明的一個實施例中,雖然沒有從用戶端設備100接收請求,但雲端儲存伺服器集群200可以繼續接收用於更新的檔案(重複步驟S610)。在本發明的一個實施例中,如果雲端儲存伺服器集群200從用戶端設備100接收到檔案還原請求(根據圖4A中的步驟S530),指示用戶端設備100中的檔案被勒索軟體惡意地更改,則雲端儲存伺服器集群200可以停止檔案接收,從用戶端設備100檢索對應於檔案還原請求的上述保留副本,並且替換可能在雲端儲存伺服器集群200中被惡意更改的同步檔案。在本發明的一個實施例中,上述可疑惡意更改的檔案可以由用戶端設備100確定並發送到雲端儲存伺服器集群200。在本發明的另一個實施例中,上述可疑惡意更改的檔案可以由雲端儲存伺服器集群200來確定,作為可疑惡意更改的檔案的範圍,雲端儲存伺服器集 群200確定檔案夾的範圍(檔案的位置)以及與用戶端設備100相鄰的檔案還原請求的發送時間的範圍。在本發明的一個實施例中,在步驟S630中,雲端儲存伺服器集群200可以進一步發送上述保留檔案,以替換由用戶端設備100中的勒索軟體惡意更改的檔案。
圖5呈現根據本發明的一些實施例的在用戶端設備100或雲端儲存伺服器群集200內實現的典型反惡意軟體(或特定於反篡改軟體)系統。在本發明的一個實施例中,在用戶端設備100中,可以提供能夠管理與雲端儲存伺服器集群200的檔案同步的典型反惡意軟體系統400,檢測惡意數據更改和管理誘餌檔作為對惡意數據的支援改造。反惡意軟體系統400可以包括用於在用戶端設備100中創建誘餌檔的誘餌檔管理模組410,用於檢測惡意軟體感染的惡意軟體檢測模組420以及用於停止備份過程並在發現惡意軟體感染時請求檔案還原的同步管理模組430。在本發明的一個實施例中,誘餌檔管理模組410可以創建誘餌檔作為由惡意軟體(或特定的勒索軟體)惡意數據更改的指示符,並且維護用於由惡意軟體檢測模組420進行的惡意數據更改的誘餌檔列表的比較檔案或數據更改說明與列表。惡意軟體檢測模組420可以包括用於維護諸如前述數據更改頻率(或同步的兩側之間的數據不一致)和誘餌檔更改的惡意數據更改的模式清單的模式識別器421。例如,在本發明的一個實施例中,模式識別器421可以檢查檔案更新(或與檔案更新相對應的指令),以查找是否存在任何更新的誘餌檔,指示在用反病毒軟體實現的計算系統中惡意數據更改的發生,惡意軟體系統400。惡意軟體檢測模組420還可以包括訊息接收機421,用於從諸如雲端儲存伺服器集群200的其他設備接收惡意數據更改的訊息。例 如,根據圖3中的步驟S430,如圖3B所示,雲端儲存伺服器集群200可以在識別惡意數據更改的模式(例如從用戶端設備100接收的檔案中的高更新頻率或誘餌檔的數據更改)中向用戶端設備100發送惡意數據更改訊息。用戶端設備100中的惡意軟體系統400可以確認來自雲端儲存伺服器集群200發送的前述訊息的惡意數據更改。在本發明的一個實施例中,同步管理模組430可以包括用於管理的備份管理組件431檔案傳輸到雲端儲存伺服器集群200,特別是用於將檔案更新維護為用於模式識別器421確定惡意數據更改的數據集之一;停止管理組件433,用於暫停檔案傳輸(特別是用於檔案備份),同時模式識別器421識別惡意數據更改,以及還原管理組件432從雲端儲存伺服器集群200尋求檔案還原,並根據前面段落的實施例,將從雲端儲存伺服器集群200接收到的相應的檔案替換為惡意更改的檔案。
圖6呈現了根據本發明的一些實施例的在用戶端設備100和雲端儲存伺服器群集200內實現的典型反惡意軟體(或特定於反篡改軟體)系統。在本發明的一個實施例中,在雲端儲存伺服器集群200中,可以提供典型的反惡意軟體系統400,其能夠管理來自用戶端設備100的檔案同步,並檢測用戶端設備100中的數據的惡意更改。雲端儲存伺服器集群200內的典型的反惡意軟體系統中的誘餌檔管理模組410還可以維護在本發明的一個實施例中在用戶端設備100中生成並從用戶端設備100接收的誘餌檔列表。惡意軟體檢測模組420的模式識別器421可以通過各種檢測手段識別從用戶端裝置100接收到的檔案的惡意數據更改,包括根據實施例將用戶端裝置100中的檔案更新映射到誘餌檔列表或監控檔案更新頻率在 前面的段落。在本發明的一個實施例中,惡意軟體檢測模組420的訊息接收器422可以從用戶端設備100接收用戶端設備100中的惡意數據更改的檔案還原請求。檔案同步模組430的備份管理組件431還可以管理用戶端設備100的檔案接收,其還可以是模式識別器421的數據集之一,用於確定來自用戶端設備100的上述檔案中的惡意數據更改。停止檔案同步模組430的管理部件433也可以在模式識別器421發現惡意數據更改的同時停止檔案接收。檔案同步模組430的還原管理組件432可以保留與從用戶端設備100接收到的檔案更新相對應的待刪除和更新的檔案的副本。還原管理組件432可以根據檔案還原請求進一步從副本中檢索檔案從用戶端設備100接收到,並根據檔案還原請求,用檢索到的副本替換在雲端儲存伺服器集群200中被惡意更改的檔案。在一些實施例中,還原管理組件432可以將檢索到的副本作為對檔案還原請求的響應來發送到用戶端設備100,以替換在用戶端設備100中惡意更改的檔案。參考圖6,反惡意軟體系統可以在用戶端設備100和雲端儲存伺服器群集200中實現,用於根據前面段落中所示的實施例來管理同步和檢測惡意數據更改。因此,反惡意軟體系統400可能不限於在特定類型的設備中實現。根據本發明的一些實施例,包括要備份的檔案或用於接收用於備份的檔案的設備可以與典型的反惡意軟體系統400一起實施。
圖7A至7E呈現了根據本發明的實施例的混合雲檔案系統中的反惡意軟體系統400。參考如圖7A所示,用戶端設備100可以對應於具有被描繪為“Disk(C:)”,“Disk(D:)”和“Disk(E:)”)中的一個或多個儲存裝置的檔案系統。每個儲存裝置可以對應於不同的儲存媒體。例 如,用戶端設備100可以包括呈現為“SSD”圖示的本地儲存媒體110,其儲存位置呈現在戶端設備100的右側。本地儲存媒體110的部分可以被分配給具有32GB大小的儲存裝置“Disk(C:)”。儲存裝置“Disk(E:)”可以對應於諸如具有USB埠的電腦週邊儲存設備的外部儲存媒體。具有明顯更大尺寸的儲存裝置“Disk(D:)”可對應於分配給雲端儲存伺服器集群200中的用戶端設備100的儲存裝置。儲存在雲端儲存伺服器集群200中的分配的儲存裝置中的內容可以是呈現為儲存在用戶端設備100的操作系統中的儲存裝置“Disk(D:)”中。儲存和讀取儲存裝置“Disk(D:)”中的檔案的數據的手動操作可能與儲存裝置“Disk(C:)”和“Disk(E:)”中的檔案相同。因此,用戶端裝置100的用戶甚至可能不注意儲存在儲存裝置“Disk(D:)”中的內容的物理位置。此外,通過在雲端計算技術和雲端儲存服務模型的現有技術中調整雲端儲存伺服器集群200中的分配的儲存量,可以靈活地佈置儲存裝置“Disk(D:)”的大小。根據本發明的雲端儲存系統可以使得用戶端設備100中的用戶體驗顯著地大於其物理提供的內部組件。在一些實施例中,本地儲存媒體110的一部分可以被分配為用於儲存裝置“Disk(D:)”的高速快取磁區。在這種情況下,儲存在雲端儲存伺服器集群200中的一部分數據內容可以被複製並儲存在高速快取磁區中以加速數據讀取。用戶端設備110以及雲端儲存伺服器集群200通常可以包括提供用於該設備的一般管理和操作的可執行程式指令的操作系統(例如,用戶端設備100,雲端儲存伺服器群集200的伺服器)。此外,本地儲存媒體110可以是非暫時電腦可讀媒體,其儲存指令,該指令在由該設備的處理器執行時允許該設備執行其預期功能。每個設備的合適的操作系統可以 根據設備的類型和性質而不同。例如,用戶端設備100可以是在市售的Windows操作系統上運行的個人電腦;用戶端設備100還可以是在Android操作系統上運行的蜂巢式電話;而雲端儲存伺服器集群200可以在基於Linux的操作系統上操作。用於操作系統和伺服器的一般功能的合適實施方式可以是已知的或可商購的,並且由本領域普通技術人員容易地實施,特別是根據本文的公開內容。
圖7B呈現了根據本發明的一些實施例的與用戶端設備100和雲端儲存系統的雲端儲存集群200相關聯的典型的操作系統。在用戶端設備100中,可以提供典型的操作系統500,其能夠管理用戶端設備100的硬體資源並提供用於運行應用(例如,在移動設備上運行的移動應用)的服務。在一些實施例中,操作系統400和應用軟體可以儲存在諸如本地儲存媒體110的用戶端設備100的本地儲存媒體中。在一些實施例中,操作系統500還可以儲存在雲端儲存伺服器集群200在啟動階段提供下載到用戶端設備100中並由用戶端設備100執行。應用軟體也可以儲存在雲端儲存伺服器集群200中,提供啟動後的下載。在一些實施例中,儲存在用戶端設備100中的應用可以包括用於一般生產力和資訊檢索的應用,包括電子郵件、日曆、連絡人和天氣資訊,或者包括其他類別的應用,諸如遊戲、GPS和其他基於位置服務、銀行、訂單追蹤,購票或本領域普通技術人員所設想的任何其他類別。在一些實施例中,儲存在用戶端設備100中的應用可以提供與操作系統500有關的功能。例如,用戶行為分析模組140,用於收集由操作系統400執行的數據讀取操作的數據讀取模式並發送到雲端儲存伺服器集群200進行各種分析。雲端儲存伺服器集群200可以包括一 個或多個儲存節點210a,210b和210c。每個儲存節點210可以包含一個或多個處理器和儲存設備。儲存設備可以包括可用於儲存數據內容的光碟儲存設備、RAM、ROM、EEPROM、閃存、相變儲存設備、磁帶盒、磁帶、磁碟儲存設備或任何其他電腦儲存媒體。
參考圖1。再次地,圖7B還可以提供用戶端設備100的典型操作系統500,其包括混合雲檔案系統510和描繪為550a,550b和550c的一個或多個儲存裝置。可以經由網路300由雲端儲存伺服器集群200中的授權儲存裝置來定義和提供儲存裝置550c。在一些實施例中,可以對應於本地儲存媒體110分配高速快取設備570。在一些實施例中,如圖2所示,高速快取設備570可以是虛擬地定義在對應於本地儲存媒體110的儲存裝置550中的數據儲存空間。如圖7B所示,高速快取設備570還可以是虛擬地定義並對應於儲存裝置550的獨立數據儲存空間。高速快取設備570可以被定義為向混合雲檔案系統和儲存裝置550提供與儲存設備管理系統中的頁面檔案在概念上相似的緩衝區域。儲存在儲存裝置550c中的數據內容可以被上傳到雲端儲存伺服器集群200,並且數據內容的副本可以儲存在高速快取設備570中,以通過直接讀取高速快取設備570中的副本來加速讀取。高速快取設備570與雲端儲存伺服器群集200中的儲存裝置相比是非常有限的。因此,可以應用空間釋放機制。也就是說,高速快取設備570中的數據內容可以被允許被覆蓋並被其他數據內容替換。在一些實施例方法中,可以在高速快取設備570中提供儲存鎖定機制。也就是說,鎖定的數據可以被保留並且不會被覆蓋在高速快取設備570中,同時解鎖的數據不被保留並被允許被覆蓋。高速快取設備570中的數據內容可以被分配為 被鎖定以加速讀取。通常,動詞“pin”可用於描述鎖定的操作。固定數據內容可以總是保存在高速快取設備570中以加速讀取,並且不被允許被覆蓋。類似地,另一個術語“unpin”可以用於描述解鎖的操作。固定的數據內容可能被取消固定,以通過允許覆蓋來釋放空間。在一些實施例中,高速快取設備570可以被多個儲存裝置共用。例如,可以定義共用高速快取設備570並將其分配給儲存裝置550a、550b和550c。可以允許儲存裝置550a、550b和550c中的數據內容臨時儲存在高速快取設備570中以加速數據讀取。上述“pin”/“unpin”機制也可以應用於高速快取設備570。在一些實施例方法中,本地儲存媒體110中的空間可以被分配給高速快取設備570。類似地,在一些實施例中,多個空間包括本地儲存媒體110的本地儲存媒體也可以被分配用於高速快取設備570。在一些實施例中,當為用戶端設備100創建多於一個雲端儲存卷時(其物理儲存容量對應於雲),也可以為多個新創建的雲端儲存卷分配單個本地高速快取設備570。
混合雲檔案系統510可以包括用於管理儲存裝置550中的數據內容的檔案系統管理模組520和用於管理用戶端設備100和雲端儲存伺服器集群200之間的數據同步的同步管理模組540。檔案系統管理模組520可以從用戶介面接收用於數據操作的命令,並相應地更新目錄資訊。同步管理模組540可以根據包括數據儲存、數據獲取、數據更新和數據刪除的命令操縱儲存在雲端儲存伺服器集群200中的數據。同步管理模組540可以根據命令生成數據操作請求,並發送到雲端儲存伺服器集群200以進行相應的執行。在一些實施例中,應用程式可以讀取數據或向數據寫入數據,就好像檔案被儲存在儲存裝置550中一樣。檔案系統管理模組520可以在 執行應用程式期間接收讀取或寫入請求,並且同步管理模組540以從雲端伺服器250檢索檔案的內容數據以符合讀或寫請求。例如,檔案系統管理模組520可以從儲存裝置550c中的特定位置接收用於處理檔案的命令。同步管理模組540可以發送用於下載檔案的請求並從雲端儲存伺服器集群200接收檔案以進行數據處理。如果在數據處理期間發生任何更新,則檔案系統管理模組520可以進一步接收用於將更新的檔案儲存到儲存裝置550c中的特定目的地(或數據路徑)中的命令。同步管理模組540還可以將檔案的上傳請求發送到雲端儲存伺服器集群200,以儲存在雲端儲存伺服器集群200中的分配的儲存裝置中。檔案系統管理模組520可以進一步將儲存在目的地中的數據進行記錄並相應地更新對應於儲存裝置550c的目錄信息。
在一些實施例中,用於管理高速快取設備570中的數據內容的高速快取管理模組530也可以被包括在混合雲檔案系統510中。檔案系統管理模組520可以從用戶介面接收用於數據操作的命令,以及相應地更新目錄資訊。高速快取管理可以在數據上傳到雲端儲存伺服器集群之前,將數據提取或儲存在高速快取設備570中用於加速數據讀取或作為本地緩衝器。例如,檔案系統管理模組520可以從儲存裝置550c中的特定位置接收用於處理檔案的命令。高速快取管理模組530可以在高速快取設備570中為檔案分配空間,並且同步管理模組540可以從雲端儲存伺服器集群200獲取檔案。如果在數據處理期間發生任何更新,則高速快取管理模組530可以更新高速快取設備570中的檔案。同步管理模組540還可以將檔案的上傳請求發送到雲端儲存伺服器集群200,並且檔案系統管理模組520可以進一步相應地更新目錄資訊。在一些實施例中,高速快取管理模組530還 可以配置要被固定或取消固定用於空間管理的數據內容。高速快取管理模組530可以通過允許覆蓋未被取消的數據內容來釋放高速快取設備570中的未固定數據內容的儲存。
圖7C還呈現圖7B根據本發明的一些典型操作系統。同步管理模組540還可以包括預取管理組件541,用於在用戶發起之前確定提取數據內容的預取計劃,用於檢查用於數據壓縮的重複數據內容的重複數據刪除組件543,用於上傳數據的上傳管理組件545內容根據上傳策略到雲端儲存伺服器集群200,根據用戶命令或預取計劃從雲端儲存伺服器集群200下載所請求的數據內容的取出管理組件547和用於從數據內容中刪除數據內容的刪除管理組件549本地儲存媒體110和雲端儲存伺服器集群200。
如圖7C所示,預取管理組件541可以確定識別具有被應用程式讀取的高概率的特定數據內容的預取計劃。根據本發明的一些實施例的預取操作是在由用戶動作發起之前從雲端儲存伺服器集群200下載數據檔案。因為在雲端儲存環境中,檔案的數據內容通常儲存在雲端儲存伺服器集群200中,檔案讀取可能需要更長的時間。為了緩解這種情況,用戶端設備100的預取管理組件541可以具有識別用戶可能被讀取的檔案的數據內容的能力,並且可以相應地預取數據內容並將其儲存在本地定義高速快取設備570。預取計劃可以用於基於儲存對象的使用模式來識別可能使用的儲存對象。此外,可以針對與相同或不同用戶相關聯的多個設備生成不同的預取計劃。高速快取管理模組530可以根據預取計劃進一步發起將某些數據內容快取到本地儲存媒體110中。在一些實施例中,電子檔案的元數據(例如,描述、參數、優先級、日期、時間和與數據內容有關的其他 相關資訊)可以儲存在儲存裝置550中,而檔案的內容可以儲存在雲端儲存伺服器集群200。檔案系統管理模組520可以將檔案呈現給用戶端設備的應用和用戶,就像內容數據在本地儲存一樣。另一方面,預取管理組件541可以負責從雲端儲存伺服器集群200檢索內容數據作為高速快取數據,以基於數據內容的元數據,讀取模式和其他因素來加速數據讀取。在一些實施例中,圖7B中的用戶行為分析模組140可以收集用於預取管理組件541的上述讀取模式,以相應地確定和更新預取計劃。
再次參考圖7C,重複數據刪除組件543可以確定要儲存在雲端儲存伺服器集群200中的數據內容是否與已經儲存在雲端儲存伺服器集群200中的另一個數據內容重複。根據本發明的一些實施例的重複數據刪除操作當儲存的數據內容與雲端儲存伺服器集群200中的另一數據內容重複時,公開是儲存指向已儲存在雲端儲存伺服器集群200中的上述重複數據內容的指針而不是數據內容本身。重複數據刪除的目的是為了最小化儲存具有重複部分的數據內容所需的總儲存空間。代替儲存所有重複部分,儲存複製部分的一個副本和用於識別和檢索副本的指針可以顯著地節省總空間。重複數據刪除操作通常可以通過兩個簡化步驟來表達:查找數據內容衝突(與另一個重複的數據內容),並儲存用於衝突數據內容和指針(例如副本的地址)的副本以及標識(例如元數據的檔案)用於其他相關的數據內容。散列通常用於查找數據內容衝突。散列可以是字串(例如,數據內容)到表示原始字串的較短的固定長度值或鍵的變換。在一些實施例中,使用散列來索引和檢索雲端儲存伺服器集群200中的數據內容。使用較短散列索引來查找數據內容通常更快。在一些實施例中,使用散列函 數來創建對應於數據內容的所表示值的索引版本。散列函數可以利用諸如分割餘數法、折疊、基數變換、數位重排或MD2、MD4、MD5、SH等加密方案或非加密方案。例如,在一個實施例中,檔案可以被劃分為固定大小(例如2MB byte)的數據塊作為數據內容,而可以相應於數據內容分別生成具有較小大小(例如,256KB)的散列數據。
在一些實施例中,典型的重複數據刪除組件543可以被配置為生成與要上傳到雲端儲存伺服器集群200的對應數據內容(例如,檔案的模塊或區塊)相關聯的散列。重複數據刪除組件543可以在上傳數據內容之前將分散發送到雲端儲存伺服器集群200,以檢查數據衝突。如果沒有發生數據衝突,則用戶端設備100可以將數據內容上傳到雲端儲存伺服器集群200。如果發生數據衝突,則不需要將重複的數據內容上傳到雲端儲存伺服器集群200。雲端儲存伺服器集群200可以儲存指標及數據內容的標籤,而不是儲存數據內容本身。在一些實施例方法中,重複數據刪除策略可以由重複數據刪除組件543來維護。重複數據刪除策略可以定義一個或多個規則來規定用戶端設備100是否執行重複數據刪除操作。例如,一些用戶端設備可能缺少必要的計算能力生成要上傳的數據內容的雜湊值。在這種情況下,重複數據刪除部件543可以直接將數據內容上傳到雲端儲存伺服器群集200,以便將散列生成和衝突檢查任務委託給雲端儲存伺服器群集200(例如,伺服器端雜湊值生成)。重複數據刪除策略中也可能涉及其他因素,例如用戶端設備100的頻寛可用性。在一些實施例中,根據本發明的多個用戶端設備可以讀取雲端儲存伺服器群集200,可以分別為用戶端設備儲存數據內容。在一些實施例中,可以在用於重複數據刪除操作的所 分配的儲存裝置之間保留非重複數據內容的副本。可以將各個用戶端設備中的數據內容的元數據上傳到雲端儲存伺服器集群200,作為用於識別屬於相應數據內容的衝突數據內容的參考。在一些實施例中,可以儲存從衝突數據內容的元數據生成的標籤和用於讀取獨立儲存的衝突數據內容的副本的指針,以替換其他衝突的數據內容。因此,可以提供用於不同用戶端設備(例如,用戶端設備100)的不同儲存裝置(例如儲存裝置550c)的全域重複數據刪除操作。
上傳管理組件545可以發送要儲存在雲端儲存伺服器集群200中的數據內容。上傳管理組件545還可以維護包含確定是否或何時將數據內容上傳到雲端儲存伺服器集群200的規則的上傳策略上傳策略還可以與諸如用戶端設備100可用的頻寛,用戶端設備100的電池電量和可用的高速快取設備570等幾個因素相關聯。例如,上傳管理組件545可以將數據內容上傳到雲端儲存伺服器集群200,而可用於用戶端設備100讀取互聯網的頻寛符合特定級別。僅當用戶端設備100的電池電量超過特定電力時,上傳管理組件545還可以將數據內容上傳到雲端儲存伺服器集群200。此外,如果高速快取設備570的可用空間處於特定級別,則上傳管理組件545可以將數據內容上傳到雲端儲存伺服器集群200。在本發明的一個實施例中,在檔案上傳期間,由於資訊安全性原因,可以啟動惡意數據更改的檢測。在本發明的另一實施例中,可以禁用檢測,因為檔案刪除不是由勒索軟體啟動,而是混合雲檔案系統510。
取出管理組件547可以從雲端儲存伺服器集群200下載要處理或預取的數據內容。在一些實施例中,下載的數據內容可以臨時保存在 用戶端設備100的儲存設備中或儲存在高速快取設備570。取出管理組件547可以根據來自用戶的下載請求從雲端儲存伺服器集群200請求數據內容。取出管理組件547還可以請求由預取管理組件541維護的預取計劃的數據內容。
圖7D呈現根據本發明的一些實施例的雲端儲存系統的典型的網路架構。雖然為了說明的目的而將典型的環境呈現為基於網際網路的環境,但是習知技術者應當理解可以適當地使用不同的網路環境來實現各種實施例。典型的環境包括能夠通過網路300發送或接收不同類型的數據內容的多個用戶端設備110a-d。用戶端設備可以包括能夠運行移動應用和通過移動應用讀取檔案的智能電話110a,能夠通過其中實現的檔案系統讀取和處理檔案的筆記型電腦110b,具有用於收集數據的傳感器和用於僅處理收集的數據的有限資源的可穿戴設備110c,收集大尺寸視頻數據的網路攝影機110d,並且通常不具有本地儲存視頻數據等。
雲端儲存伺服器群集200(圖7C中未呈現)可以包括具有用於儲存數據的儲存設備的一個或多個儲存節點210a-c。每個儲存節點210中的儲存裝置可以被聚合併分配給每個用戶端設備100,並可以通過實現更多的儲存節點來擴展總儲存容量。管理伺服器220可以為每個用戶端設備100a-d分配由儲存節點210提供的儲存裝置。在一些實施例中,管理伺服器220可以通過與其相關聯的邏輯來操作,以從用戶端設備100a-d接收指令,並響應於此獲得,更新或以其他方式處理數據。例如,用戶可以提交對某種類型的數據內容的請求。管理伺服器220可以讀取用戶資訊以驗證用戶的身份,並授予讀取儲存在儲存節點210中的數據內容的權限。然後 可以即時有效地將數據內容返回給用戶的用戶端設備,如果數據內容在本地託管在用戶端設備上。
可以在儲存節點210和用戶端設備100a-d之間佈置重複數據刪除伺服器230。在相關聯的儲存硬體設備成本高昂且網路頻寛資源稀缺的雲端儲存系統中,重複數據刪除伺服器230的實施可以協作地提供有助於有效利用現有儲存容量並減少雲中的頻寛需求的重複數據刪除能力的系統。重複數據刪除伺服器230可以與圖7C所示的用戶端設備100a-d的重複數據刪除組件443協作。作為示例,在雲端儲存系統中添加重複數據刪除機制能夠減少所需的儲存容量,因為只儲存唯一的數據或檔案。除了儲存空間節省的好處之外,可以減少設備獲取成本、功耗、設備冷卻要求和網路頻寛要求。
在一些實施例中,用戶行為分析伺服器240可以包含在雲端儲存伺服器集群200中。用戶行為分析伺服器240可以與用戶端設備100a中的操作系統500的用戶行為分析模組140協作,d收集和分析檔案讀取行為。在本發明的一個實施例中,可以通過將分析提供給預取管理組件541來應用分析來改進預取計劃。在一個實施例中,分析還可以用於通過提供惡意數據更改來增加或優化惡意數據更改模式對圖5所示的上述反惡意軟體系統400的模式識別器421的分析。例如,用戶端設備100a-d和儲存節點210a-c中的每一個可以包含上述反惡意軟體系統400。儘管在用戶端設備100a-d之一和儲存節點210a-c,反惡意軟體系統400可以將與惡意數據更改相對應的數據讀取操作的歷史傳送給用戶行為分析伺服器240,以便從歷史中更新惡意軟體的惡意數據更改模式。用戶行為分析伺服器240可以 將更新的惡意數據更改模式提供給每個用戶端設備100a-d和儲存節點210a-c,作為其中結合在其中的每個防惡意軟體系統400的模式識別器421的新基礎惡意數據更改。因此,一旦在多個設備之一中發現惡意數據更改,相關讀取歷史可以被傳送到用戶行為分析伺服器240,以識別惡意數據更改的相關模式(“新模式”)。然後,用戶行為分析伺服器240可以向多個設備提供惡意數據更改的新模式,以使併入其中的反惡意軟體系統400識別具有新模式的惡意數據更改。因此,用戶行為分析伺服器240可以基於與反惡意軟體系統400併入的設備中的惡意數據更改對應的數據讀取歷史來更新惡意數據更改模式,並且可以將更新的模式提供給與反惡意軟體系統400,在設備中發現的任何惡意數據更改可能對其他具有相應數據讀取歷史的設備作出貢獻。
在一些實施例中,額外的伺服器可以被包括在雲端儲存伺服器集群200中。例如,系統環境可以包括web伺服器(未呈現),用於回應從用戶設備接收請求並向其提供內容。雲端儲存伺服器集群200還可以包括應用伺服器(未呈現),其包括適當的硬體和軟體,用於根據需要與儲存在其中的數據進行集成,以執行用戶端設備的一個或多個應用的各個方面,以及處理數據讀取和應用程式的業務邏輯。數據請求和響應的處理以及一個或多個用戶端設備(例如,用戶端設備110)和雲端儲存伺服器群集200之間的內容傳送可以由Web伺服器來處理。
圖7E呈現根據本發明的一些實施例的在包括混合雲檔案系統510的用戶端設備100內實現的典型反惡意軟體系統。在本發明的一個實施例中,可以提供典型的的反惡意軟體(特別是勒索軟體)系統400,其 能夠檢測惡意軟體的惡意數據更改(例如勒索軟體的檔案加密)和管理誘餌檔以檢測惡意數據更改。例如,當反惡意軟體系統400查找由勒索軟體加密的高速快取設備570中的檔案時,混合雲檔案系統510可以將檔案上傳停止到雲端儲存伺服器集群200。在本發明的一個實施例中,混合雲檔案系統510可以進一步請求並提取物理儲存在雲端儲存伺服器集群200中的相應數據內容以替換高速快取設備570中的加密檔案。在本發明的另一實施例中混合雲檔案系統510可能只能從雲端儲存伺服器集群200獲取“固定檔案”,並且由於數據內容被物理儲存在雲端儲存伺服器集群200中,並且刪除了高速快取設備570中的其他“未固定檔案”,並且拷貝儲存在高速快取設備570中的數據內容僅用於快速讀取。在本發明的一個實施例中,對於物理儲存在雲端儲存伺服器集群200中的數據內容並且僅包括用於重複數據刪除的用戶端設備100中的散列值,雲端儲存伺服器集群200可以從與可疑檔案相對應的數據內容生成散列值被勒索軟體加密,並將雜湊值發送到用戶端設備100進行還原。參考圖在圖7D中,典型反惡意軟體系統400可以包括用於在高速快取設備570中創建上述誘餌檔的誘餌檔管理模組410,並且通過勒索軟體維護用於檢測檔案加密(或其他惡意數據更改)的誘餌檔列表。典型反惡意軟體系統400可以進一步包括惡意軟體檢測模組420,用於通過監控誘餌檔的檔案狀態或與誘餌檔對應的數據更改指令來在本發明的一個實施例中通過勒索軟體檢測檔案加密。一旦發現由勒索軟體加密的誘餌檔,則惡意軟體檢測模組420可以確認混合雲檔案系統510的同步管理模組540停止檔案上傳,並進一步獲取物理儲存在雲端儲存伺服器集群200中的檔案,透過快取管理模組530來獲取的檔案替換儲存在高 速快取設備570中的檔案。在本發明的一個實施例中,惡意軟體檢測模組420還可以接收基於來自用戶行為分析伺服器240的其他設備中的惡意數據更改生成的模式,並更新其維護的惡意數據更改模式。在一些實施例中,惡意軟體檢測模組420還可以向用戶行為分析伺服器240提供與所識別的惡意數據更改相對應的監控歷史,以生成新模式。
圖8呈現根據本發明的一些實施例的用典型反惡意軟體系統400實現的典型電子設備600。在本發明的一個實施例中,電子設備600可以是用戶端設備100的圖示。如先前段落所述,電子設備600可以包括用於儲存檔案的本地儲存媒體610,並且在一些實施例中,提供快取另外,電子設備600通常可以包括用於執行反惡意軟體系統400(和本發明的一些實施例中的操作系統500)的指令的處理器630,連接到處理器的記憶體650用於臨時保持要由處理器630處理的檔案,用於讀取網路300以用於向或從雲端儲存伺服器集群200上傳或下載檔案的通信模組670。處理器630可以在儲存媒體610中產生誘餌檔並且通過以下方式檢測勒索軟體感染,通過確認通訊模組670檢查包含在要上傳到雲端儲存伺服器集群200的檔案中的誘餌檔。一旦發現了勒索軟體感染,處理器630可以進一步確定可疑的被勒索軟體加密的檔案的範圍,並通過通訊模組670從雲端儲存伺服器集群200請求相應的副本。通訊模組670可以從雲接收檔案儲存伺服器集群200用於處理器630用可接收的檔案替換可疑的在儲存媒體610中被加密的檔案。
在圖8中,在本發明的另一個實施例中,電子設備600可以是雲端儲存伺服器集群200中的圖示。電子設備600可以包括用於儲存從 用戶端設備100接收的檔案的儲存媒體610。此外,電子設備600通常可以包括用於執行反惡意軟體系統(和本發明的一些實施例中的操作系統500)的指令的處理器630,連接到處理器的記憶體650,用於暫時保存要處理的檔案通過處理器630,通訊模組670用於讀取網路300以從用戶端設備100接收或發送檔案。處理器630可以維護由用戶端設備100創建的誘餌檔列表,並通過檢查誘餌檔來檢測勒索軟體感染包括在通過本發明的一個實施例中通過通訊模組670從用戶端設備100接收的檔案。在本發明的一個實施例中,電子設備600根據從用戶端設備100接收到的檔案更新來同步其檔案的至少一部分。處理器630可以進一步保留由於檔案而被更新或刪除的檔案的副本一旦找到檔案被勒索軟體加密(感染)的檔案,收到的更新被收到。一旦發現勒索軟體感染,處理器630可以進一步確定可疑地被勒索軟體加密的檔案的範圍,並將可疑檔案替換為儲存媒體610中的相應的保留副本。在本發明的一個實施例中,電子設備600可以通過通訊模組670從用戶端設備100接收檔案還原請求,並通過通訊模組670將上述保留的副本發送回用戶端設備100。
上述圖8中的本地儲存媒體610可以是嵌入在電子設備600中的電腦可讀記錄媒體,並且還可以包括ROM、RAM、EPROM、EEPROM、硬碟、固態硬碟、軟碟、CD-ROM、DVD-ROM或其他形式的電子,電磁或光記錄媒體。在一些實施例中,本地儲存媒體610可以進一步是能夠讀取上述電腦可讀記錄媒體的一個或多個介面。處理器630可以是用於在記憶體650中執行程式指令的處理器或控制器,並且還可以包括具有嵌入式程式指令的嵌入式系統或專用集成電路(ASIC)。通訊模組670可以是有線 網路介面或採用一種或多種定制協議或遵循現有或事實上的標準的無線收發器,諸如乙太網、IEEE 802.11或IEEE 802.15系列、無線USB或電信標準,例如GSM、CDMAone、CDMA2000、WCDMA、TD-SCDMA、WiMAX、3GPP-LTE、TD-LTE和LTE-Advanced。
上述概述了若干實施例的特徵,使得本領域技術人員可以更好地理解本發明的各個面向。本領域技術人員應當理解,其可容易地將本發明內容用作設計或修改用於執行本文介紹的實施例的相同目的或實現相同優點的其它過程和結構的基礎。本領域技術人員還應該意識到,這種相同的結構不脫離本發明的精神和範圍,並且在不脫離本發明的精神和範圍的情況下,它們可以在此進行各種更改、替換和更改。

Claims (84)

  1. 一種機器實現的方法,用於檢測可通信地連接到第二電腦裝置的第一電腦裝置中的數據的惡意更改,其中第一電腦裝置將檔案更新資訊和更新的檔案傳送到第二電腦裝置,方法包括:將第一電腦裝置的檔案夾中的多個檔案及多個檔案夾產生對應的一個或多個誘餌檔;在該第一電腦裝置處檢查用於識別與該誘餌檔相對應的數據更改的誘餌檔的檔案狀態;以及如果識別出與誘餌檔相對應的數據更改:在第一電腦裝置處停止將檔案更新資訊和更新的檔案從第一電腦裝置傳輸到第二電腦裝置;以及在第一電腦裝置處產生對應於數據的惡意更改的訊息。
  2. 如請求項1所述的機器實現方法,進一步包括:在第一電腦裝置處檢查是否符合與檔案更新資訊相對應的至少一個準則;以及在第一電腦裝置處停止將檔案更新資訊和更新的檔案從第一電腦裝置傳輸到第二電腦裝置,只有當至少一個準則被單獨地符合時,識別與誘餌檔相對應的數據更改。
  3. 如請求項2所述的機器實現方法,進一步包括:如果符合該至少一個準則,則在該第一電腦裝置處停止將檔案更新資訊和更新的檔案從該第一電腦裝置傳輸到該第二電腦裝置一段時間;以及 在第一電腦裝置處重新啟動檔案更新資訊和從第一電腦裝置更新的檔案到第二電腦裝置的傳輸;若:在該期間,在該第一電腦裝置中不符合該至少一個準則;則於該期間不會識別出與誘餌檔相對應的數據更改。
  4. 如請求項2所述的機器實現方法,其中該至少一個準則包括檔案更新頻率的上限值。
  5. 如請求項1所述的機器實現方法,進一步包括:在第一電腦裝置處識別與基於識別的誘餌檔相對應的數據更改對應於數據的惡意更改的檔案的範圍;在第一電腦裝置請求對應於來自第二電腦裝置的檔案的範圍的副本;以及在該第一電腦裝置處接收來自該第二電腦裝置的該副本,並且替換與該副本的惡意數據更改相對應的檔案的範圍。
  6. 如請求項1所述的機器實現方法,其中對應於該誘餌檔的數據更改包括該誘餌檔的加密或刪除。
  7. 如請求項2所述的機器實現方法,其中可通信地連接到該第二電腦裝置的第三電腦裝置和包括該第一電腦裝置的電腦裝置組生成從該電腦裝置組收集的數據讀取歷史中的數據的惡意更改模式,並且該方法進一步包括:在與從第一電腦裝置到第三電腦裝置的誘餌檔對應的數據更改相關聯的時間段期間發送數據讀取歷史,以產生數據的惡意更改模式;在該第一電腦裝置處接收來自該第三電腦裝置的數據的惡意更改的一種 或多種模式;以及在該第一電腦裝置處更新該至少一個準則以包括該模式的識別。
  8. 一種機器實現的方法,用於檢測可通信地連接到第二電腦裝置的第一電腦裝置中的數據的惡意更改,其中該第一電腦裝置被配置為獲得該第二電腦裝置中的授權雲端儲存裝置的認證,定義混合雲將要被物理儲存在授權雲端儲存裝置中的混合雲端儲存裝置中的檔案的與授權雲端儲存磁區相對應的第一電腦裝置中的儲存裝置定義在第一電腦裝置中具有分配的儲存容量的高速快取設備,用於保留副本該混合雲端儲存裝置中的檔案的一部分用於處理檔案並將該混合雲端儲存裝置中的檔案的更新同步到該授權雲端儲存裝置,並且該方法包括:在發送檔案更新資訊之前,基於檔案更新資訊,在第一電腦裝置處檢查混合雲端儲存裝置中的數據的一個或多個惡意更改模式,以及用於第二設備的更新檔案,以根據授權雲端儲存裝置操縱檔案到檔案更新資訊和更新檔案;如果識別出數據的惡意更改的至少一種模式,則在第一電腦裝置處停止將檔案更新資訊和更新的檔案從第一電腦裝置傳輸到第二電腦裝置;以及在第一電腦裝置處提供對應於數據的惡意更改的訊息。
  9. 如請求項8所述的機器實現方法,進一步包括:在第一電腦裝置處,基於數據的惡意更改的至少一種模式,從第二電腦裝置請求儲存在授權雲端儲存裝置中的一個或多個檔案;在該第一電腦裝置處接收來自該第二電腦裝置的該一個或多個檔案;以 及基於數據的惡意更改的至少一種模式來替換高速快取設備中的一個或多個保留副本與一個或多個檔案。
  10. 如請求項8所述的機器實現方法,其中該一個或多個數據的惡意更改模式包括高速快取設備中的檔案更新頻率的上限值。
  11. 如請求項8所述的機器實現方法,進一步包括:如果在特定期間的傳輸停止期間沒有識別出一個或多個惡意數據變化模式,則在第一電腦裝置處重新啟動檔案更新資訊的傳輸和更新的檔案。
  12. 如請求項8所述的機器實現方法,進一步包括:在第一電腦裝置處產生一個或多個檔案作為高速快取設備中的誘餌檔;以及其中數據的惡意更改的一種或多種模式包括與高速快取設備中的誘餌檔相對應的數據更改。
  13. 如請求項12所述的機器實現方法,其中對應於該誘餌檔的數據更改包括該誘餌檔的加密或刪除。
  14. 如請求項8所述的機器實現方法,其中可通信地連接到該第二電腦裝置的第三電腦裝置和包括該第一電腦裝置的一組電腦裝置生成來自從該電腦組中收集的數據讀取歷史中的數據的惡意更改的更新模式裝置,該方法進一步包括:在與從該第一電腦裝置到該第三電腦裝置的該數據的惡意更改的該至少一種模式的識別相關聯的時間段期間傳輸數據讀取歷史,用於產生數 據的惡意更改模式;在該第一電腦裝置處接收來自該第三電腦裝置的數據的惡意更改的一個或多個更新模式;以及在第一電腦裝置處修改從第三電腦裝置到第一電腦裝置中數據的惡意更改的一種或多種模式的更新模式。
  15. 一種儲存用於檢測第一電腦裝置中的數據的惡意更改的程式的非暫時機器可讀媒體,包括能夠將檔案更新資訊和更新檔案傳送到第二電腦裝置的通信模組,該程式可由至少一個處理單元的第一電腦裝置,該程式包括的指令集用於:在第一電腦裝置中生成一個或多個檔案作為包含其中的檔案和檔案夾的檔案夾中的誘餌檔;檢查誘餌檔的檔案狀態,以識別與誘餌檔相對應的數據更改;和如果識別出與誘餌檔相對應的數據更改:停止從第一電腦裝置向第二電腦裝置傳輸檔案更新資訊和更新的檔案;以及生成對應於數據惡意更改的訊息。
  16. 如請求項15所述的非暫時機器可讀媒體,其中該程式的一組指令還包括:檢查是否符合與檔案更新資訊相對應的至少一個準則;以及只有通過識別與誘餌檔相對應的數據更改單獨地符合至少一個準則,才停止將檔案更新資訊和更新的檔案從第一電腦裝置傳輸到第二電腦裝置。
  17. 如請求項16所述的非暫時機器可讀媒體,其中該程式還包括一組指令:如果符合該至少一個準則,停止將檔案更新資訊和更新的檔案從第一電腦裝置傳輸到第二電腦裝置一段時間;以及如果以下情況,則將檔案更新資訊和更新檔案從第一電腦裝置傳輸到第二電腦裝置;在該期間,在該第一電腦裝置中不符合該至少一個準則;則在該期間不會識別出與誘餌檔相對應的數據更改。
  18. 如請求項16所述的非暫時機器可讀媒體,其中該至少一個準則包括檔案更新頻率的上限值。
  19. 如請求項15所述的非暫時機器可讀媒體,其中該程式還包括一組指令:根據識別出的誘餌檔的數據更改,識別對應於數據惡意更改的檔案範圍;從該第二電腦裝置請求與該檔案的範圍相對應的副本;以及從第二電腦裝置接收副本,並替換與副本的數據惡意更改對應的檔案的範圍。
  20. 如請求項15所述的非暫時機器可讀媒體,其中與該誘餌檔相對應的數據更改包括該誘餌檔的加密或刪除。
  21. 如請求項15所述的非暫時機器可讀媒體,其中可通信地連接到該第二電腦裝置的第三電腦裝置和包括該第一電腦裝置的電腦裝置組生成從該第一電腦裝置收集的數據讀取歷史中的數據的惡意更改模式一組電腦裝置,且該程式進一步包括一組指令: 在與從該第一電腦裝置到該第三電腦裝置的該誘餌檔相對應的數據更改相關聯的時間段期間發送數據讀取歷史,以產生數據的惡意更改模式;從該第三電腦裝置接收一個或多個惡意更改數據的模式;以及更新該至少一個準則以包括該模式的識別。
  22. 一種非暫時機器可讀媒體,其儲存用於檢測包括能夠可通信地連接到第二電腦裝置的通信模組的第一電腦裝置中的檔案的惡意軟體感染的程式,該程式可由該第一電腦裝置的至少一個處理單元,該程式包括一組指令:獲取第二電腦裝置中的授權雲端儲存裝置的認證,在該第一電腦裝置中對應於該混合雲端儲存裝置中的檔案的授權雲端儲存裝置來定義要物理儲存在該授權雲端儲存裝置中的混合雲端儲存裝置;在該第一電腦裝置中定義具有分配的儲存容量的高速快取設備,用於保留該混合雲端儲存裝置中部分檔案的副本以處理檔案;將混合雲端儲存裝置中的檔案更新同步到授權的雲端儲存裝置;根據檔案的更新,基於在對第二設備進行同步處理授權雲端儲存裝置中的檔案的同步之前,基於檔案更新來檢查混合雲端儲存裝置中數據的惡意更改的一種或多種模式;如果識別出數據的惡意更改的至少一種模式,則停止檔案更新的同步;以及提供對應於數據惡意更改的訊息。
  23. 如請求項22所述的非暫時機器可讀媒體,其中該程式還包括一組指令:基於該至少一種數據的惡意更改模式,從該第二電腦裝置請求儲存在授權雲端儲存裝置中的一個或多個檔案;從該第二電腦裝置接收該一個或多個檔案;以及基於數據的惡意更改的至少一種模式來替換高速快取設備中的一個或多個保留副本與一個或多個檔案。
  24. 如請求項22所述的非暫時機器可讀媒體,其中該一個或多個數據的惡意更改模式包括該高速快取設備中的檔案更新頻率的上限值。
  25. 如請求項22所述的非暫時機器可讀媒體,其中該程式還包括一組指令:如果在特定期間的傳輸停止期間沒有識別到一個或多個惡意數據變化模式,則重新啟動檔案更新的同步。
  26. 如請求項22所述的非暫時機器可讀媒體,其中該程式還包括一組指令:在高速快取設備中生成一個或多個檔案作為誘餌檔;以及其中數據的惡意更改的一種或多種模式包括與高速快取設備中的誘餌檔相對應的數據更改。
  27. 如請求項26所述的非暫時機器可讀媒體,其中對應於該誘餌檔的數據更改包括該誘餌檔的加密或刪除。
  28. 如請求項22所述的非暫時機器可讀媒體,其中可通信地連接到該第二電腦裝置的第三電腦裝置和包括該第一電腦裝置的一組電腦裝置 生成從該第一電腦裝置收集的數據讀取歷史中的數據的惡意更改模式一組電腦裝置,且該程式還包括一組指令:在與從該第一電腦裝置到該第三電腦裝置的該數據的惡意更改的該至少一種模式的識別相關聯的時間段期間傳輸數據讀取歷史,用於產生數據的惡意更改模式;從第三電腦裝置接收一個或多個更新的數據惡意更改模式;以及將該更新的模式從該第三電腦裝置修改為該第一電腦裝置中該數據的一個或多個惡意更改模式。
  29. 一種電腦裝置,包括:一能夠將包括一個或多個檔案的檔案作為誘餌檔儲存的儲存媒體;一能夠可通信地連接到一遠程設備的通信元件;記憶體;以及一處理器,其耦合到該記憶體並且被配置為執行儲存在該記憶體中的指令,以使該處理器:當儲存媒體中的檔案被更新時,根據檔案更新資訊和更新檔案,將檔案更新資訊和更新檔案發送到該遠程設備,用於該遠程設備操縱其中的檔案;在將檔案更新資訊和更新的檔案發送到該遠程設備之前,檢查用於識別與誘餌檔相對應的數據更改的誘餌檔的檔案狀態;以及如果識別出與誘餌檔相對應的數據更改:停止將檔案更新資訊和更新的檔案從電腦裝置傳輸到該遠程設備;以及生成對應於數據惡意更改的訊息。
  30. 如請求項29所述的電腦裝置,其中儲存在該記憶體中以使該處理器檢查該誘餌檔的檔案狀態的指令包括使該處理器產生作為該誘餌檔的檔案並將所生成的誘餌檔儲存在該儲存媒體中的指令。
  31. 如請求項29所述的電腦裝置,其中儲存在該記憶體中以使該處理器停止傳輸的指令包括使該處理器進行的指令:檢查是否符合與檔案更新資訊對應的至少一個準則;以及只有當至少一個準則被單獨地符合與識別對應於誘餌檔的數據更改,通過該通信元件將檔案更新資訊和更新後的檔案傳送到該遠程設備。
  32. 如請求項29所述的電腦裝置,其中儲存在該記憶體中以使該處理器停止傳輸的指令包括使該處理器進行的指令:一旦要發送到該遠程設備的檔案符合該至少一個準則,則通過該通信元件停止一段時間對該遠程設備的傳輸;以及通過該通信元件重新啟動到該遠程設備的傳輸,條件包括:在特定時間段內沒有符合至少一個準則;則沒有誘餌檔或沒有與要發送到該遠程設備的檔案中識別的至少一個誘餌檔具有相同檔案名的檔案。
  33. 如請求項31所述的電腦裝置,其中該至少一個準則包括檔案更新頻率的上限值。
  34. 如請求項29所述的電腦裝置,其中儲存在該記憶體中以使該處理器停止傳輸的指令包括使該處理器進行的指令:根據識別出的誘餌檔的數據更改,識別對應於數據惡意更改的檔案範圍;從該遠程設備請求與檔案範圍對應的副本;以及 從該遠程設備接收副本,並用該副本替換對應於數據惡意更改的檔案的範圍。
  35. 如請求項29所述的電腦裝置,其中與該誘餌檔相對應的數據更改包括該誘餌檔的加密或刪除。
  36. 如請求項31所述的電腦裝置,其中可通信地連接到該遠程設備的伺服器和包括該電腦裝置的邊緣節點組生成從該邊緣節點組收集的數據讀取歷史中的數據的惡意更改模式,以及該指令儲存在該記憶體中以使該處理器停止傳輸包括使該處理器進行的指令:在與該誘餌檔相對應的數據更改相關聯的期間將數據讀取歷史傳輸到該伺服器,以產生數據的惡意更改模式;從該伺服器接收一個或多個惡意數據更改模式;以及更新至少一個準則以包括模式的識別。
  37. 一種電腦裝置,包括:一能夠儲存檔案的儲存媒體;一能夠可通信地連接到一雲端儲存伺服器的通信元件;記憶體;以及一處理器,其耦合到該記憶體並且被配置為執行儲存在該記憶體中的指令,以使該處理器:由該通信元件獲取該雲端儲存伺服器中的授權雲端儲存裝置的認證和相應的裝置信息;基於該裝置信息來定義與該授權雲端儲存裝置相對應的混合雲端儲存裝置,並且其中該混合雲端儲存裝置具有檔案目錄; 經由該記憶體從儲存媒體接收一個或多個檔案,並且其中該一個或多個檔案將被儲存在該混合雲端儲存裝置的檔案目錄中;基於該一個或多個檔案檢查該混合雲端儲存裝置中的數據的惡意更改的一種或多種模式;以及如果沒有識別出數據的惡意更改模式,則由通信元件將一個或多個檔案上傳到雲端儲存伺服器中的授權雲端儲存裝置;以及如果識別出數據的惡意更改模式中的至少一種模式,則由該通信元件停止上傳到該雲端儲存伺服器並且提供對應於數據的惡意更改的訊息。
  38. 如請求項37所述的電腦裝置,其中儲存在該記憶體中以使該處理器停止上傳檔案的指令包括使該處理器:如果識別出數據的惡意更改的至少一種模式:由該通信元件請求該雲端儲存伺服器,根據該混合雲端儲存裝置的檔案目錄,儲存在該儲存媒體中的檔案對應的該授權雲端儲存裝置中的檔案;由該通信元件接收來自該雲端儲存伺服器的檔案;以及使用從該儲存伺服器接收的檔案替換該儲存媒體中的檔案。
  39. 如請求項37所述的電腦裝置,其中該一種或多種數據惡意更改模式包括該高速快取設備中的檔案更新頻率的上限值。
  40. 如請求項37所述的電腦裝置,其中儲存在該記憶體中以使該處理器停止上傳的指令包括使處理器:如果在特定時段的上傳停止期間沒有識別出數據的惡意更改模式,則將該通信元件的一個或多個檔案上傳到該雲端儲存伺服器中的該授權 雲端儲存裝置。
  41. 如請求項37所述的電腦裝置,其中儲存在該記憶體中以使該處理器檢查數據的惡意更改的指令包括:在該混合雲端儲存裝置的檔案目錄中生成一個或多個檔案作為誘餌檔,完全地儲存在該儲存媒體中;以及其中該一種或多種數據惡意更改模式包括對應於該儲存媒體中的該誘餌檔的數據更改。
  42. 如請求項41所述的電腦裝置,其中與該誘餌檔相對應的數據更改包括該誘餌檔的加密或刪除。
  43. 如請求項37所述的電腦裝置,其中可通信地連接到該遠程設備的一伺服器和包括該電腦裝置的邊緣節點組生成從該邊緣節點組收集的數據讀取歷史中的數據的惡意更改模式,以及該指令儲存在該記憶體中以使該處理器停止上傳,其中包括使該處理器進行的指令:在與該至少一種數據惡意更改模式的識別相關聯的期間,通過該通信元件發送該混合雲端儲存裝置的檔案目錄的數據讀取歷史,以向該伺服器生成更新的惡意更改模式數據;通過該通信元件接收來自該伺服器的該一種或多種數據惡意更改模式;以及從該伺服器,在該儲存媒體中,將更新的模式修改為該一種或多種數據惡意更改模式。
  44. 一種用於檢測可通信地連接到一第一電腦裝置的一第二電腦裝置中數據的惡意更改的機器實現方法,其中作為誘餌檔的一個或多個檔案 被儲存在該第一電腦裝置中,並且其中該第二電腦裝置接收檔案更新資訊並更新檔案且操縱其中儲存的檔案,該方法包括:在該第二電腦裝置處檢查對應於該第一電腦裝置中數據的惡意更改的至少一個準則,其中該至少一個準則包括該第一電腦裝置中的該誘餌檔的數據更改;以及如果符合與第一電腦裝置中數據的惡意更改相對應的該至少一個準則,則在該第二電腦裝置停止對應於檔案更新資訊和從該第一電腦裝置接收的更新檔案的檔案操作。
  45. 如請求項44所述的機器實現方法,其中與該誘餌檔相對應的該數據更改包括該誘餌檔的加密或刪除。
  46. 如請求項44所述的機器實現方法,其中該至少一個準則包括從該第一電腦裝置接收對應於該誘餌檔的數據更改的訊息。
  47. 如請求項44所述的機器實現方法,其中該至少一個準則包括根據檔案更新資訊和從該第一電腦裝置接收到的更新檔案識別誘餌檔的數據更改。
  48. 如請求項44所述的機器實現方法,其中該至少一個準則包括檔案更新頻率的上限值,並且其中該檔案更新頻率基於該檔案更新資訊和從該第一電腦裝置接收的更新檔案來計算。
  49. 如請求項44所述的機器實現方法,進一步包括:在檔案操作停止期間,如果在符合該至少一個準則的情況下,則在該第二電腦裝置處重新啟動與該檔案更新資訊和該更新檔案相對應的檔案操作。
  50. 如請求項44所述的機器實現方法,其中如果符合對應於該第一電腦裝置中數據的惡意更改的該至少一個準則,則該方法進一步包括:在該第二電腦裝置處確定該第二電腦裝置中對應於該第一電腦裝置中數據的惡意更改的檔案的範圍;以及在該第二電腦裝置處檢索檔案的範圍並傳送到該第一電腦裝置。
  51. 如請求項44所述的機器實現方法,進一步包括:根據該檔案更新資訊和來自該第一電腦裝置的更新檔案,在該第二電腦裝置處保留對應於該第二電腦裝置中的檔案操縱的更改檔案的副本;以及如果符合與該第一電腦裝置中數據的惡意更改相對應的該至少一個準則:在該第二電腦裝置處確定與該第一電腦裝置中數據的惡意更改對應的該第二電腦裝置中惡意更改的檔案的範圍;在該第二電腦裝置處檢索對應於該第二電腦裝置中惡意更改的檔案的範圍的副本;以及在該第二電腦裝置處,用檢索到的副本替換惡意更改的檔案的範圍。
  52. 如請求項44所述的機器實現方法,其中該第二電腦裝置與一第三電腦裝置可通信地連接,該第三電腦裝置相應地發送用於該第二電腦裝置的檔案更新資訊和更新檔案:如果符合對應於該第一電腦裝置中數據的惡意更改的該至少一個準則,則在與該第二電腦裝置的數據更改相關聯的期間,在該第二電腦裝置處接收數據讀取歷史; 在該第二電腦裝置處產生的至少一種數據的惡意更改模式;以及基於檔案更新資訊和從該第三電腦裝置接收到的更新檔案來識別該數據的惡意更改的該至少一種模式,在該第二電腦裝置停止對應於檔案更新資訊和更新檔案的檔案操作該第三電腦裝置。
  53. 一種非暫時機器可讀媒體,其儲存用於檢測一第二電腦裝置中數據的惡意更改的一程式,該程式包括能夠從儲存有一個或多個檔案誘餌檔的一第一電腦裝置接收檔案更新資訊和更新檔案的一通信元件,以及一處理元件,其能夠根據所接收的檔案更新資訊和來自該第一電腦裝置的更新檔案操作儲存在該第二電腦裝置中的檔案,該程式可由第二電腦裝置的該處理元件執行,該程式包括指令集用於:在該第二電腦裝置處檢查對應於該第一電腦裝置中數據的惡意更改的至少一個準則,其中該至少一個準則包括該第一電腦裝置中的該誘餌檔的數據更改;以及如果符合與該第一電腦裝置中數據的惡意更改相對應的該至少一個準則,則在該第二電腦裝置停止對應於檔案更新資訊和從該第一電腦裝置接收的更新檔案的檔案操作。
  54. 如請求項53所述的非暫時機器可讀媒體,其中與該誘餌檔相對應的數據更改包括該誘餌檔的加密或刪除。
  55. 如請求項53所述的非暫時機器可讀媒體,其中該至少一個準則包括從該第一電腦裝置接收對應於該誘餌檔的數據更改的訊息。
  56. 如請求項53所述的非暫時機器可讀媒體,其中該至少一個準則包括根據該檔案更新資訊和從該第一電腦裝置接收到的更新檔案識別該 誘餌檔的數據更改。
  57. 如請求項53所述的非暫時機器可讀媒體,其中該至少一個準則包括檔案更新頻率的上限值,並且其中該檔案更新頻率基於該檔案更新資訊和從該第一電腦裝置接收之更新檔案計算。
  58. 如請求項53所述的非暫時機器可讀媒體,其中該程式進一步包括一組指令:在檔案操作停止期間,如果在符合該至少一個準則的情況下,則在該第二電腦裝置處重新啟動與該檔案更新資訊和該更新檔案相對應的該檔案操作。
  59. 如請求項53所述的非暫時機器可讀媒體,其中該程式進一步包括一組指令:如果符合與該第一電腦裝置中數據的惡意更改相對應的該至少一個準則:在該第二電腦裝置處確定該第二電腦裝置中對應於該第一電腦裝置中數據的惡意更改的檔案的範圍;以及在該第二電腦裝置處檢索檔案的範圍並傳送到該第一電腦裝置。
  60. 如請求項53所述的非暫時機器可讀媒體,其中該程式還包括一組指令,用於:根據該檔案更新資訊和來自該第一電腦裝置的更新檔案,在該第二電腦裝置處保留對應於該第二電腦裝置中的檔案操縱的更改檔案的副本;以及如果符合與該第一電腦裝置中數據的惡意更改相對應的該至少一個準 則:在該第二電腦裝置處確定與該第一電腦裝置中數據的惡意更改對應的該第二電腦裝置中惡意更改的檔案的範圍;在該第二電腦裝置處檢索對應於該第二電腦裝置中惡意更改的檔案的範圍的副本;以及在該第二電腦裝置處,用檢索到的副本替換惡意更改的檔案的範圍。
  61. 如請求項53所述的非暫時機器可讀媒體,其中該第二電腦裝置與一第三電腦裝置可通信地連接,該第三電腦裝置相應地傳送檔案更新資訊和該第二電腦裝置的更新檔案來操縱其中儲存的檔案,並且其中該程式還包括一組指令:如果符合與該第一電腦裝置中的數據惡意更改相對應的該至少一個準則:在與該第一電腦裝置的該誘餌檔的數據更改相關聯的期間,在該第二電腦裝置處接收數據讀取歷史;以及在該第二電腦裝置處產生數據的惡意更改的至少一種模式;以及基於該檔案更新資訊和從該第三電腦裝置接收到的更新檔案,在該第二電腦裝置處檢查該數據的惡意更改的該至少一種模式;以及如果識別出數據的惡意更改的該至少一種模式,則在該第二電腦裝置處停止與檔案更新資訊相對應的檔案操作和從該第三電腦裝置接收到的更新檔案。
  62. 一種裝置,包括:能夠儲存檔案的一儲存媒體; 能夠可通信地連接到一第一電腦裝置的一通信元件;記憶體;以及一處理器,其耦合到該記憶體並且被配置為執行儲存在該記憶體中的指令,以使該處理器:由該通信元件接收來自該第一電腦裝置的檔案更新資訊和更新的檔案;根據檔案更新資訊和更新的檔案來操縱儲存媒體中的檔案;檢查與該第一電腦裝置中數據的惡意更改相對應的至少一個準則;以及如果符合與該第一電腦裝置的數據的惡意更改相對應的該至少一個準則,則停止對與檔案更新資訊相對應的該儲存媒體中的檔案的操作和從該第一電腦裝置接收的更新檔案;以及其中該電腦裝置將一個或多個檔案儲存為用於數據的惡意更改的誘餌檔,並且該至少一個準則包括該第一電腦裝置中該誘餌檔的數據更改。
  63. 如請求項62所述的裝置,其中對應於該誘餌檔的該數據更改包括該誘餌檔的加密或刪除。
  64. 如請求項62所述的裝置,其中該至少一個準則包括從該第一電腦裝置接收對應於該誘餌檔的數據變化的訊息。
  65. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器檢查該至少一個準則的指令還包括使該處理器根據該檔案更新資訊和所接收的更新檔案識別該誘餌檔的數據更改的指令,並且其中該至少一個準則包括從該檔案更新資訊和該更新檔案中識別該誘餌檔的數據更改。
  66. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器檢查該至少一個準則的指令還包括使該處理器基於該檔案更新資訊和從該第一電腦裝置接收的更新檔案來計算檔案更新頻率,並且其中該至少一個準則包括該檔案更新頻率的上限值。
  67. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器停止該檔案操作的指令還包括如果在停止期間沒有該至少有一個準則得到符合,則使該處理器重新啟動對應於該檔案更新資訊和該更新檔案的操縱的指令。
  68. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器停止該檔案操作的指令還包括使該處理器:確定對應於該第一電腦裝置中數據的惡意更改的該儲存媒體中的檔案的範圍;從該儲存媒體檢索檔案的範圍;以及通過該通信元件將檔案的範圍傳送到該第一電腦裝置。
  69. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器操縱該儲存媒體中的檔案的指令還包括使該處理器保留對應於該操縱的更改檔案的副本的指令,並且其中儲存在該記憶體中的指令使該處理器停止對檔案的操縱,進一步包括使該處理器進行的指令:確定對應於該第一電腦裝置中數據的惡意更改的該儲存媒體中惡意更改的檔案的範圍;檢索對應於惡意更改檔案範圍的保留副本;以及用檢索到的副本替換該儲存媒體中惡意更改的檔案的範圍。
  70. 如請求項62所述的裝置,其中儲存在該記憶體中以使該處理器停止該檔案操作的指令還包括使該處理器:通過該通信元件在與該第一電腦裝置的該誘餌檔的數據更改相關聯的期間接收數據讀取歷史;以及基於來自該第一電腦裝置的數據讀取歷史來生成數據的惡意更改的至少一種模式;以及其中該通信元件能夠可通信地連接到該第二電腦裝置,並且儲存在該記憶體中的指令進一步使該處理器:通過該通信元件從該第二電腦裝置接收檔案更新資訊和更新的檔案;根據來自該第二電腦裝置的檔案更新資訊和更新的檔案來操縱該儲存媒體中的檔案;基於來自該第二電腦裝置的檔案更新資訊和更新的檔案來檢查數據的惡意更改的該至少一種模式;以及如果識別出數據的惡意更改的該至少一種模式,則停止對來自該第二電腦裝置的該檔案更新資訊和該更新檔案的操縱。
  71. 一種儲存系統,包括:一個雲服務端;和一個或多個邊緣節點可通信地連接到該雲服務端,用於將檔案更新資訊和更新的檔案傳送到該雲服務端;和其中該雲服務端被配置為分別為該邊緣節點分配一個或多個儲存裝置,並且根據該檔案更新資訊和從每個邊緣節點接收到的更新檔案操縱分配給該邊緣的儲存裝置中的檔案節點; 其中該邊緣節點的一第一邊緣節點被配置為檢查惡意數據更改的至少一個準則和如果符合惡意數據更改的該至少一個準則,則停止傳送檔案更新資訊及更新檔案至該雲服務端;其中該雲服務端被配置為基於該檔案更新資訊和從該邊緣節點一第二邊緣節點接收到的更新檔案來檢查包括該第一邊緣節點的該邊緣節點的該第二邊緣節點中的惡意數據更改的至少一個準則,並且如果符合該第二邊緣節點中的惡意數據更改的至少一個準則,則停止對分配給該第二邊緣節點的儲存裝置中的檔案的操縱;以及其中儲存在該邊緣節點中的一個或多個檔案被配置為對應於惡意數據更改的誘餌檔,並且其中該邊緣節點中的至少一個邊緣節點中的該至少一個準則包括對應於儲存在該邊緣節點中的至少一個該誘餌檔的數據更改至少一個邊緣節點。
  72. 如請求項71所述的儲存系統,其中對應於該誘餌檔中的至少一個的該數據更改包括該誘餌檔中的至少一個的加密或刪除。
  73. 如請求項71所述的儲存系統,其中該第一邊緣節點還被配置為:產生至少一個要儲存在其中的誘餌檔中;以及檢查用於識別與至少一個該誘餌檔相對應的數據更改的至少一個該誘餌檔的檔案狀態,作為該第一邊緣節點中惡意數據更改的該至少一個準則。
  74. 如請求項73所述的儲存系統,其中該第一邊緣節點等於該第二邊緣節點,並且其中該第一邊緣節點還被配置為向該雲服務端發送惡意數據更改訊息作為該至少一個準則,以使雲端服務端的該第二邊緣節點 的惡意數據更會停止檔案的操作。
  75. 如請求項71所述的儲存系統,其中該雲服務端進一步被配置為檢查與該檔案更新資訊相對應的該誘餌檔的檔案狀態以及從該第二節點接收的更新檔案,用於在第二邊緣節點識別數據更改作為惡意數據的準則。
  76. 如請求項75所述的儲存系統,其中該第二邊緣節點等於該第一邊緣節點,並且其中雲服務端進一步被配置為向該第一邊緣節點發送惡意數據更改的訊息作為該惡意的至少一個準則用於該第一邊緣節點的該第一邊緣節點中的數據更改停止該檔案更新資訊和該更新檔案的傳輸。
  77. 如請求項71所述的儲存系統,其中該至少一個邊緣節點中被配置為如果在傳輸停止期間沒有符合該邊緣節點中的該至少一個惡意數據更改準則,則將該檔案更新資訊及其更新檔案的傳輸重新啟動到該雲服務端。
  78. 如請求項71所述的儲存系統,其中該雲服務端還被配置為如果在操縱停止期間沒有符合該邊緣節點中的該至少一個惡意數據更改準則,則重新啟動分配給該邊緣節點的該儲存裝置中檔案的操縱。
  79. 如請求項71所述的儲存系統,其中如果符合該至少一個惡意數據更改準則,則該第一邊緣節點進一步被配置為:基於與該第一邊緣節點中的惡意數據更改對應準則的會議來確定該第一邊緣節點中檔案的範圍;請求該雲服務端為分配給第一邊緣節點的儲存裝置中的檔案範圍,並從 該雲服務端接收檔案範圍;以及將該第一個邊緣節點的檔案範圍替換為從該雲端服務端接收到的檔案。
  80. 如請求項71所述的儲存系統,其中該雲服務端還被配置為:在根據檔案更新資訊和來自該第二邊緣節點的更新檔案進行操作之前,將分配給該第二邊緣節點的儲存裝置中的檔案的副本保留;基於與該第二邊緣節點中的惡意數據更改相對應的準則的會議,確定分配給該第二邊緣節點的該儲存裝置中檔案的範圍;以及檢索與檔案範圍對應的一個或多個副本,並用該一個或多個副本替換該檔案的範圍。
  81. 如請求項71所述的儲存系統,其中該第一邊緣節點進一步被配置為:定義具有與分配給該第一邊緣節點的一儲存裝置相對應的一檔案目錄的一混合雲端儲存裝置;在該第一邊緣節點中定義具有分配的儲存容量的一高速快取設備,用於保留該混合雲端儲存裝置中的部分檔案的副本,以處理複製和上傳處理的副本以將相應部分的檔案替換為檔案更新該雲服務端分配的該儲存裝置;在該混合雲端儲存裝置的檔案目錄中生成該一個或多個誘餌檔,並且其中該生成的誘餌檔完全地儲存在該高速快取設備中;如果通過識別對應於該第一邊緣節點的數據更改的該第一邊緣節點中的惡意數據更改的該至少一個準則符合對應於該高速快取設備中的該一個或多個副本的所分配的儲存裝置中的該一個或多個檔案的該雲服務端,在該高速快取設備中產生的誘餌檔;以及 從該雲服務端接收一個或多個檔案,並從該雲服務端替換高速快取設備中的該一個或多個副本與該一個或多個檔案。
  82. 如請求項71所述的儲存系統,其中該至少一個邊緣節點中還被配置為基於該檔案更新資訊和對應於該至少一個該邊緣節點的更新檔案來計算檔案更新頻率,並且其中一個準則該對應於該至少一個邊緣節點包括該檔案更新頻率的上限值。
  83. 如請求項71所述的儲存系統,其中如果符合該第一邊緣節點中的該惡意數據更改的該至少一個準則:該第一邊緣節點進一步被配置為將與其中的惡意數據更改準則的會議相關聯的數據讀取歷史傳送到該雲服務端;以及該雲服務端還被配置為產生惡意數據更改的一種或多種模式,並且其中該模式的識別被進一步配置為修改為該邊緣節點中的至少第二邊緣節點中的惡意數據更改的該至少一個準則。
  84. 如請求項71所述的儲存系統,其中如果符合該第二邊緣節點中的該惡意數據更改的該至少一個準則,則該雲服務端還被配置為:基於與該第二邊緣節點中的惡意數據更改準則的會議相關聯的數據讀取歷史來生成一個或多個惡意數據更改模式;以及將該一個或多個惡意數據更改模式發送到至少該第一邊緣節點,以辨識其中至少一個被修改為惡意數據更改準則。
TW106134309A 2016-10-06 2017-10-05 用於防止計算機系統中數據惡意更改的方法和系統 TW201814577A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/286,593 2016-10-06
US15/286,593 US20170206353A1 (en) 2016-01-19 2016-10-06 Method and system for preventing malicious alteration of data in computer system

Publications (1)

Publication Number Publication Date
TW201814577A true TW201814577A (zh) 2018-04-16

Family

ID=62639358

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106134309A TW201814577A (zh) 2016-10-06 2017-10-05 用於防止計算機系統中數據惡意更改的方法和系統

Country Status (1)

Country Link
TW (1) TW201814577A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI691860B (zh) * 2018-10-23 2020-04-21 財團法人工業技術研究院 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
TWI890495B (zh) * 2024-06-21 2025-07-11 台達電子工業股份有限公司 基於多個快照進行檔案還原的方法及系統

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI691860B (zh) * 2018-10-23 2020-04-21 財團法人工業技術研究院 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
US11113391B2 (en) 2018-10-23 2021-09-07 Industrial Technology Research Institute Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium
TWI890495B (zh) * 2024-06-21 2025-07-11 台達電子工業股份有限公司 基於多個快照進行檔案還原的方法及系統

Similar Documents

Publication Publication Date Title
US20170206353A1 (en) Method and system for preventing malicious alteration of data in computer system
US20230139473A1 (en) Malware detection and content item recovery
US8874520B2 (en) Processes and methods for client-side fingerprint caching to improve deduplication system backup performance
US9659170B2 (en) Securing data on untrusted devices
US12393689B2 (en) Quarantining information in backup locations
EP3584716B1 (en) Storage constrained synchronization of shared content items
US11934274B2 (en) Efficient mechanism to perform auto retention locking of files ingested via distributed segment processing in deduplication backup servers
JP6570761B2 (ja) ストレージ制約付きの同期エンジン
US9852139B1 (en) Directory partitioning with concurrent directory access
US12393690B2 (en) Recovering quarantined information from backup locations
US12197624B2 (en) Two person rule enforcement for backup and recovery systems
EP3239861B1 (en) Storage constrained synchronization engine
WO2025107737A1 (zh) 一种数据备份方法、电子设备、存储介质及芯片
US10031668B2 (en) Determining status of a host operation without accessing the host in a shared storage environment
TW201814577A (zh) 用於防止計算機系統中數據惡意更改的方法和系統
US11200254B2 (en) Efficient configuration replication using a configuration change log
TWI571754B (zh) 用來進行檔案同步控制之方法與裝置
US10592527B1 (en) Techniques for duplicating deduplicated data
JP2020107019A (ja) 報処理装置、情報処理方法、情報処理システム及びプログラム
US12174855B2 (en) Interrupted synchronization detection and recovery
JP2020017821A (ja) 外部情報受配信装置、データ送信方法、及びプログラム
CN117708809A (zh) 数据恢复方法、装置、计算设备集群及存储介质
WO2021260932A1 (ja) 分散システム、通信端末、機能復旧方法、及びプログラム
JP2019061469A (ja) 端末、データを保全する方法、及びデータ保全システム
JP2018092281A (ja) 情報処理装置及びその制御方法、プログラムおよびシステム