专利名称:将病毒检查与复制过滤相结合的制作方法
将病毒检查与复制过滤相结合
背景
背景和相关技术
至少部分地由于电子文件的普遍存在,个人和组织同样需要定期保护电子 文件。保护电子文件的一种方法是通过周期性地备份文件以便为该数据创建可 靠的还原。无论在个人层面还是在企业层面,用于这样做的常规系统可包括标 识对数据的写入是否打算被备份在备份服务器处的一个或多个复制过滤器。例 如,用户可做出一个或多个对数据的写入,复制过滤器然后可截取每个写入, 并且然后确定该写入是否涉及打算进行保护(即,备份)的数据。如果该文件 打算要保护,则复制过滤器然后可将该写入传递给多个这样的写入的日志文件。
日志文件(或其相应副本)然后可被发送至一个或多个备份服务器。例如, 个人计算机处的用户可运行将该日志文件和/或任何其他这样的所标识的数据
复制到诸如与一特定备份服务器相关联的一个或多个本地或远程存储分配的 一个或多个备份进程。类似地,生产服务器处的一个或多个复制代理可调度该 生产服务器上的日志文件的备份,并且然后将新的数据写入传递给备份服务器 处的一个或多个存储分配。稍后,用户(或生产服务器管理员)然后能够从该 备份服务器请求与所复制的日志文件相关联的数据。
然而,以此方式备份数据只示保护数据的一种方法。保护数据的其他方法 包括,例如,病毒扫描。具体而言,所公知的是,计算机病毒能够破坏数据并 且在计算机系统上传染,这可导致最初未感染的文件的进一步丢失。因此,为 了缓解这些威胁,用户或管理员可以在一个或多个计算机系统上安装一个或多 个反病毒程序。常规反病毒软件能够工作的一种方式是通过标识对特定文件的 写入的一个或多个反病毒过滤器,并且然后扫描该写入以确定该写入是否包含 已知病毒。反病毒软件识别病毒的能力通常基于反病毒过滤器在扫描文件写入 时检査的一组反病毒定义。由此,反病毒过滤器是否标识病毒将取决于反病毒 定义有多新。具体而言,如果反病毒软件最近未被更新,则即使一特定文件(或 文件写入)实际上可能包含新近创建的病毒,反病毒过滤器也可能标识该文件是干净的。
因此,可以理解, 一实体(个人或组织)可安装多个不同的程序以保护数 据,这就可包括彼此独立操作的多个不同的软件过滤器。在一个常规示例中, 具有过滤器的每个软件程序将首先向操作系统的过滤器管理器注册该过滤器 (例如,反病毒过滤器和/或复制过滤器)。该过滤器管理器进而在适当的时候 将每个文件写入传递给每个过滤器。 一般而言,难以配置每个软件过滤器如何 向过滤器管理器注册以确保任何所需排序。结果,过滤器管理器可能将文件写 入发送至复制过滤器并然后发送至反病毒过滤器。当然,在其他情况下,过滤 器管理器可以在将文件写入发送至复制过滤器之前首先将其发送至反病毒过 滤器。
不幸的是,即使过滤器的特定排序是难以配置的,过滤器的特定排序仍可 对数据如何被保护和/或保存有显著影响。例如,对于实现备份系统的组织而言 一个特别敏感的问题是没有考虑特定电子病毒可能意味着病毒在备份其间潜 在地有更大的扩散。这个问题在例如复制过滤器在反病毒过滤器审阅文件写入 之前接收这些文件写入并将其发送至日志文件的情况下尤其棘手。这一过滤器 排序在某些情况下可能意味着受感染的文件可能不被处理或甚至直至晚到该 文件被传递给备份服务器之后才被标识为受感染的。
相反,即使确保反病毒过滤器在复制过滤器之前接收文件写入是可能的, 这也未必将解决所有潜在的问题。例如,如果反病毒过滤器所使用的反病毒定 义是过期的,诸如如果对感染该文件的病毒尚未创建定义等,则计算机系统上 的受感染的文件可不被检测到。由此,该文件可能已经由复制过滤器复制了一 次或多次,即使其首先由反病毒过滤器来检査。因此,这可能意味着可能已经 在备份服务器处存在该文件的受感染版本的若干备份副本。当为反病毒过滤器 更新反病毒定义以包括该特定病毒时,该反病毒过滤器最终可标识新的文件写 入被感染。
然而,在大多数情况下,反病毒过滤器将简单地擦除或删除该受感染的文 件写入和/或生产服务器处的相应的整个基础文件。不幸的是,复制过滤器一般 不会了解反病毒过滤器的病毒标识和/或净化动作,并因此将简单地复制所净化 的文件写入。所净化的文件的复制文件和/或文件写入然后将如通常所做的被传
7递给日志文件和/或以其他方式被复制回到备份服务器。由此,备份服务器将不 会意识到该文件曾经被感染,并且将简单地将该文件备份更新(即,包括新的 文件写入)连同先前受感染的文件数据一起存储。因此,即使反病毒过滤器可 被定位于生产服务器处的复制过滤器之前,也无法确保备份服务器处的受感染 数据将被净化。
因此,存在与解决备份系统中的病毒信息相关联的多个困难。简要概述
本发明的各实现提供了在备份环境的全部数据中有效地传播反病毒信息 的各系统、方法和计算机程序产品。例如,在至少一个实现中,公共过滤器包 括反病毒和复制过滤器组件。该公共过滤器可接收文件写入,并将该文件写入 传递给反病毒组件。该反病毒组件扫描每个文件写入,并将所扫描的文件写入 连同关于该文件写入的任何合适的反病毒信息一起传递给该公共过滤器的复 制过滤器组件。该复制过滤器因此能够以保留先前已被检测到的任何病毒信息 的方式将特定文件写入复制到日志文件。由此,生产服务器和备份服务器都能 够标识所接收到的备份数据或先前接收到的备份数据是否应接收反病毒关注。
例如,从生产服务器的观点来看的通过公共过滤器来管理病毒和备份过滤
过程的一个示例方法可涉及通过该公共过滤器标识一个或多个对文件的写入。
此外,该方法可涉及在该公共过滤器处根据一个或多个病毒定义来扫描所标识
的一个或多个文件写入。该方法还可涉及在该公共过滤器处将所标识的一个或
多个扫描的文件写入与一个或多个复制策略进行比较。此外,该方法可涉及将
一个或多个扫描的文件写入中的至少一个的副本发送至日志文件,使得至少一 个文件写入被复制到备份服务器。
相反,从备份服务器的观点来看的根据一个或多个病毒指示符来管理复制 的数据的一个示例方法可涉及从一个或多个生产服务器接收一个或多个数据 备份。此外,该方法可涉及标识所接收到的一个或多个数据备份中的一个或多 个病毒指示符。在这种情况下, 一个或多个病毒指示符可标识一个或多个数据 备份中的至少一个与受感染的数据相关联。该方法还可涉及标识用于该备份服 务器的一个或多个策略。 一般而言, 一个或多个策略可标识对应于一个或多个 病毒指示符的一个或多个响应动作。此外,该方法可涉及根据一个或多个策略
来执行一个或多个响应动作中的任一个。
提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一 些概念。该概述不旨在标识所要求保护的主题的关键特征或必要特征,也不旨 在用于帮助确定所要求保护的主题的范围。
本发明的附加特征和优点将在以下描述中叙述,且其一部分根据本描述将 是显而易见的,或可通过对本发明的实践来获知。本发明的特征和优点可通过在所附权利要求书中特别指出的手段和组合来实现和获得。本发明的这些和其 他特征将通过以下描述和所附权利要求书而变得更加完全明显,或可通过对下 文中所述的本发明的实践来获知。附图简述
为了描述可获得本发明的上述和其它优点和特征的方法,将通过参考附图 中示出的本发明的具体实施例来呈现以上简要描述的本发明的更具体的描述。 可以理解,这些附图仅描述本发明的典型实施例,从而不被认为是对其范围的 限制,本发明将通过使用附图用附加特征和细节来描述和说明,附图中
图1A示出了根据本发明的一实现的概略示意图,其中生产服务器通过公 共反病毒/复制过滤器扫描文件写入,并将这些文件写入提供给备份服务器;
图1B示出了根据本发明的一实现的生产服务器处的各过程的更详细的示 意图,其中公共反病毒/复制过滤器在将所接收到的文件写入发送到日志文件之 前用一个或多个病毒指示符标记这些文件写入中的一个或多个;
图1C示出了根据本发明的一实现的示意图,其中备份服务器接收包括一 个或多个病毒指示符的一个或多个数据备份,并且在其上执行一个或多个相应 的响应动作;以及
图2示出了根据本发明的一实现的从生产服务器和备份服务器的观点来 看的用于在整个备份系统中传播关于文件写入的反病毒注释的各方法的流程 图。详细描述
本发明的各实现涉及在备份环境中的全部数据中有效地传播反病毒信息 的各系统、方法和计算机程序产品。例如,在至少一个实现中, 一公共过滤器 包括反病毒和复制过滤器组件。该公共过滤器可接收文件写入,并将该文件写 入传递给反病毒组件。该反病毒组件扫描每个文件写入,并将每一所扫描的文 件写入连同关于该文件写入的任何合适的反病毒信息一起传递给该公共过滤 器的复制过滤器组件。该复制过滤器因此能够以保留先前已被检测到的任何病 毒信息的方式将特定文件写入复制到日志文件。由此,生产服务器和备份服务 器都能够标识所接收到的备份数据或先前接收到的备份数据是否应接收反病 毒关注。
如将在此处更全面理解的,本发明的这些和其他特征可通过使用任何数量 的组件、模块和方案来实现。例如,本发明的各实现在下文中主要从生产服务 器和传送在生产服务器处创建和/或修改的数据的备份服务器的观点来描述。然 而,未必在所有实现中都需要这一设置。具体而言,生产服务器在某些情况下 可表示直接由另一个计算机系统来备份的个人计算机系统,而不管这些计算机 系统是否由此被认为是"服务器"。
此外,本发明的各实现此处主要按照"公共"过滤器所采取的动作来描述, 该"公共"过滤器提供通过其访问反病毒和复制过滤器类型的组件功能的单个 公共接口。该公共过滤器因此还被描述为"组合"过滤器,它是提供反病毒过滤 器和复制过滤器的组合功能的过滤器。在任何情况下,如此处将会理解的,因 为单个过滤器可以用反病毒和复制过滤组件两者来构造,所以创建该单个过滤 器的开发者可以为每个组件设计排序。即,该开发者可配置该过滤器以使得输
入/输出("I/O")系统调用首先由例如反病毒组件来处理,并接下来由复制组
件来处理。由此,只有诸如该公共过滤器等单个过滤器才会需要向处理反病毒 和复制过滤活动所依据的过滤器管理器注册。
然而,可以理解,组合/公共过滤器仅仅是实现本发明的一个或多个实现 的一种方式。例如,在各替换实现中,开发者可创建具有用于以特定次序相互 之间标识并进行通信的适当装置的分开的反病毒和复制过滤器。具体而言,反 病毒和复制过滤器可被分开地安装在生产服务器处,但是以特定次序安装以确保对于过滤器管理器的特定次序。然后可以通过例如带外通信信道来向病毒和 复制过滤器提供用于在相互之间标识并进行通信的一个或多个装置。由此,在 阅读以下说明书和权利要求书之后可以理解,存在实现此处所描述的各原理的 多种方式。
在任何情况下,图1A示出了备份系统100的概略示意图,其中生产服务
器105接收一个或多个文件写入,用公共过滤器的反病毒和复制组件扫描这些 文件写入,并且将这些写入中的一个或多个传递给备份服务器110。 一般而言, 只要用户(或其他实体)创建数据、修改或改变现有数据等,就可生成文件写 入(例如,103、 107)。生产服务器105然后可使用任何数量的机制来截取或 "过滤"这些文件写入中的每一个。例如,在本发明的至少一个实现中,生产服 务器105通过过滤器管理器115截取并接收每个文件写入103、 107。
一般而言,过滤器管理器115可被配置成截取生产服务器105处的每个I/0 系统调用,并将每个这样的调用传递给一个或多个已注册的过滤器(例如,过 滤器125、 127,图1B)。这些调用可包括任何数量的系统请求,诸如"打开文 件"、"关闭文件"、以及对文件的各种写入、删除、更改等等。具体而言,对 文件的每个改变可生成一1/0系统调用,并且在某些情况下可以存在过滤器管 理器被配置成截取的几十或几百个不同的I/0系统调用。无论如何配置,过滤 器管理器115都将最终将其截取的各种调用分发给向其注册的任何数量的过滤 器。具体而言,诸如反病毒过滤器等某些过滤器可被配置成接收过滤器管理器 115所截取的所有调用,而其他过滤器可被配置成只接收I/O系统中的特定类 型的调用。
在本发明的至少一个实现中,过滤器管理器115可被配置成将所有系统调 用(例如,文件写入)传递给组合的反病毒("AV")和复制过滤器125 (或"组 合"或"公共"过滤器125)。例如,过滤器管理器115接收文件写入103、 107, 并将这些文件写入中的每一个传递给公共过滤器125。如此处将更全面理解的, 公共过滤器125然后可对每个接收到的文件写入扫描病毒,并且如果合适,将 这些文件写入中的任何一个或多个的副本传递给日志文件130。 一般而言,诸 如日志文件130等"日志文件"一般包括被配置成保存对特定生产服务器105巻 的指定数据的所有改变(创建、删除、修改等)的副本的一个或多个电子文件。
13例如,日志文件130可表示对于一特定时间对巻120的所有改变。
备份服务器110然后可备份日志文件130 (以及生产服务器105处的其他 巻的任何其他日志文件)。 一般而言,备份过程可以在诸如按需、或按特定备 份时间表等任何数量的情况下执行。在任何情况下,备份过程一般涉及生产服 务器105可将日志文件130的数据发送至备份服务器110处的一个或多个管理 代理(例如,135)。通常, 一个或多个管理代理(例如,135)然后将接收到 的数据改变应用于一个或多个存储巻(例如,145),该存储巻可包含对特定 数据的改变的其他先前的副本。
然而,根据本发明的各实现, 一个或多个管理代理(例如,135)还可将 接收到的备份数据与执行特定响应动作143所依据的一个或多个策略设置140 进行比较。例如,如将在此处更全面理解的,如果管理代理135标识日志文件 130中的数据中的任一个由于病毒而被标记(即,包括一个或多个病毒指示符), 则策略设置140可指示备份服务器110执行任何数量的相应的响应动作143。 例如,策略设置140可指示备份服务器110删除用病毒标记的接收到的数据, "擦除"(即,净化或移除病毒)或删除接收到的备份数据,以及擦除或删除该 数据的先前的副本。
因此,本发明的至少一个方面不仅涉及扫描病毒,而且还涉及确保关于病 毒检测的任何信息能够有效地被传播到系统100中的各相关实体。例如,在至 少一个实现中,这可通过用一个或多个病毒指示符来标记文件写入,并确保一 个或多个病毒指示符适当地保持附加来实现。例如,图1B示出了根据本发明 的一实现的更详细的示意图,其中生产服务器105通过公共过滤器125标识一 个或多个病毒,并使用该公共过滤器125来将一个或多个病毒指示符附加到受 感染的文件。
具体而言,图1B示出了过滤器管理器115能够接收诸如先前在图1A中 描述的文件写入103和107。此外,图1B示出了至少文件写入103受到病毒 感染(例如,113)。过滤器管理器115然后将文件写入103和107传递给任 何数量的适当注册的过滤器,诸如过滤器125、 127等。例如,图1B示出了过 滤器管理器115将文件写入103 (以及附加的病毒113)以及文件写入107传 递给公共AV/复制过滤器125。如上所述,公共过滤器125进而可包括任何数量的合适组件,至少包括反病毒组件123和复制组件127。 一般而言,可配置 过滤器125以使得从过滤器管理器115接收到的所有写入在被传递给复制组件 127之前最初被传递给反病毒组件123。然而,未必需要以此方式的组件排序, 只要文件写入在被传递给日志文件(例如,130)之前可以用一个或多个病毒 指示符来标记即可。
在任何情况下,图1B示出公共过滤器125可接收文件写入103和107, 并在其上执行任何数量的扫描和标记动作。例如,过滤器125的反病毒组件123 可扫描文件写入103,并将其中所包含的数据与任何数量的反病毒定义150进 行比较。在这种情况下,过滤器125在文件写入103上标识病毒113的存在。 相反,反病毒组件123还接收文件写入107,但并没有在其中识别出任何病毒。 因此,图1B示出反病毒组件123简单地将文件写入107按原样传递给复制组 件127,但对于文件写入103,可执行多个附加动作。
例如,当检测到病毒113时,反病毒组件123能够移除该病毒。然而,在 其他情况下,反病毒组件123可简单地检测到该病毒而不移除它,或者检测看 似为病毒的东西并提供可能存在病毒的指示。由此,图1B示出反病毒组件123 用包括关于反病毒组件123的各动作和/或判定的指示的一个或多个病毒指示 符117来标记文件写入103。例如, 一个或多个病毒指示符117可包括文件写 入103中仍包含病毒113,或只是看上去存在病毒113 (尽管未确认)的信息。 类似地, 一个或多个病毒指示符117可指示反病毒组件123已从文件写入103 中检测到病毒113并将其移除,但病毒113仍然曾经存在过。由此,可以理解, 一个或多个病毒指示符117可包括能够允许以下组件和模块对文件写入103及 其底层文件(例如,133)做出其他决定的任何数量的指示。
无论如何标记或标签,反病毒组件123然后可将文件写入103连同一个或 多个病毒指示符117 —起发送到复制组件127上。例如,图1B示出复制组件 接收文件写入103和107两者。最终,复制组件127将这些文件写入103、 107 中的每一个与复制策略155进行比较以确定是否调度与这些文件写入相关联的 文件以供复制。例如,图1B示出文件写入107未被调度以供复制,并且由此, 复制组件127简单地将文件写入107传递给巻120,并将该文件写入添加到相 应的文件137。相反,图1B示出复制组件127确定文件写入103与文件133
15相关联,并且基于复制策略155调度文件133以供复制。
当然,复制代理127可基于任何病毒指示符(例如,117)的存在更改其 惯用的机制。例如,复制策略155可指示当存在一个或多个病毒指示符(例如, 117)时阻止复制本来被调度以供复制的文件。即,复制组件127可隔离文件 写入103,将文件写入103传递给巻120而不将副本放置在日志文件130中, 并且还可(或可选地)将一个或多个病毒指示符发送至日志文件130而不发送 相应的文件写入数据。因此,存在复制组件127可被配置成执行的多个动作。
在任何情况下,图1B示出复制组件127标识要复制文件写入103,并因 此创建该文件写入的副本103a。如图所示,文件写入副本103a还包括一个或 多个病毒指示符的副本(即,117a)。由此,图1B示出复制组件127将文件 写入103传递给巻120,在那里,该文件写入与其底层基础文件133 —起包括。 相反,复制组件127将文件写入副本103a和相应的病毒指示符副本117a传递 给日志文件130。结果,文件写入103以及所附加的一个或多个病毒指示符117 可被包括在备份过程中(即,经由副本103a、 117a)。
如上所述,这意味着备份服务器110可因此接收和标识所接收到的或存储 的数据的任何已知的病毒信息(并对这些数据执行相应的动作),而无需备份 服务器IIO执行附加的病毒扫描。例如,如图1C所示,备份服务器110接收 日志文件130的数据,其包括最新近的文件写入副本103a和相应的一个或多 个病毒指示符117a。具体而言,备份服务器IIO通过一个或多个管理代理(例 如,135)来接收和标识日志文件130的数据。 一般而言,管理代理包括为诸 如启动复制过程、对接收到的数据执行动作等任何数量的过程实现的任何数量 的计算机可执行指令。具体而言,每个管理代理135还可包括诸如反病毒代理 160等一个或多个其他代理(或与其相关联)。
由此,当接收到日志文件130时,管理代理135可标识一个或多个病毒指 示符117a。管理代理135然后可确定应采取一个或多个动作,并因此进一步咨 询一个或多个策略设置140。例如, 一个或多个策略设置140可包括用于丢弃 受感染的文件写入、隔离受感染的文件写入和/或对数据的先前副本执行类似的 动作的一条或多条指令。例如,如图1C所示,管理代理135从策略设置140 中标识执行响应动作147的一组指令。在此示例中,响应动作147包括"擦除"底层基础文件133复制品的所有副本及其迭代更新的指令。具体而言,策略设
置140可告知管理代理135只要接收到关于特定文件写入(例如,103a)的病 毒指示符(例如,117),就假定底层基础文件(例如,复制品165)包含病毒。
例如,备份服务器110已经存储了 (例如,经由存储巻145)文件133的 多个先前的副本(基于不同的备份事件)。具体而言,图1C示出备份服务器 110已经存储了时刻"to"的文件133的初始副本165、时刻"V'的该文件的更新 170、时刻'V'的该文件的更新175、时刻'V'的更新180、以及时刻'V'的更新 185。因此,文件写入103a在这种情况下将会是在时刻"t5"对复制品165 (即, 文件133的复制品)的更新。
因此,在此特定示例中,响应于响应动作147的指令,管理代理135通过 反病毒代理160擦除文件写入103a (如果还未被擦除或"净化")。管理代理 135还可使用反病毒代理160来擦除不同的复制品165、 170、 175、 180、 185 中的每一个。因此,在净化了每个副本之后,管理代理135发送用新数据195 来替换文件复制品165、 170、 175、 180和185的相应指令190。数据195进而 可包括基础文件和之后的更新(即,"Vts"),而不包括所标识的病毒。
因此,图1A-1C提供了用于在生产服务器层面标识病毒,将该信息传播 到备份服务器层面,并且在每个这样的层面执行任何数量的相应动作的多个示 意图和组件。除了上述内容之外,本发明的各实现还可以按照包括用于实现特 定结果的一个或多个动作序列的方法的流程图来描述。例如,图2示出了从生 产服务器105和备份服务器110两者的观点来看的使用公共/组合AV/复制过滤 器125来过滤文件写入的流程图。以下将参考图1A到1C中的示意图和组件 来描述图2的各动作。
例如,图2示出了从生产服务器的观点来看的通过公共过滤器来管理病毒 和备份过滤过程的方法可包括标识一个或多个文件写入的动作200。动作200 包括通过公共过滤器来标识一个或多个对文件的写入。例如,如图1A和1B 所示,生产服务器105通过过滤器管理器115来接收文件写入103和107 (即, 任何数量的I/O系统调用)。过滤器管理器115进而将这些写入传递给公共 AV/复制过滤器125。
此外,图2还示出从生产服务器105的观点来看的方法可包括对文件写入
17扫描病毒的动作210。动作210可包括在公共过滤器处根据一个或多个病毒定
义来扫描所标识的一个或多个文件写入。例如,如图1B所示,公共AV/复制 过滤器125接收文件写入103和107并通过反病毒组件123将相应的数据与一 个或多个反病毒定义150进行比较。公共AV/复制过滤器125由此通过反病毒 组件123确定文件写入103包括病毒113。
图2还示出从生产服务器105的观点来看的方法可包括将所扫描的文件与 复制策略进行比较的动作220。动作220包括在公共过滤器处将所标识的一个 或多个扫描的文件与一个或多个复制策略进行比较。例如,图lB示出AV/复 制过滤器125还在复制组件127中接收已经由反病毒组件123处理/扫描之后的 文件写入103和107。复制组件127然后将文件写入103和107与复制策略155 进行比较以确定这些文件写入是否打算通过备份过程来进行保护。
此外,图2示出从生产服务器105的观点来看的方法可包括将文件写入发 送到日志文件的动作230。动作230包括将一个或多个扫描的文件写入中的至 少一个的副本发送至日志文件,使得至少一个文件写入被复制到备份服务器。 例如,如图1B所示,尽管公共AV/复制过滤器125接收到文件写入103和107, 但复制过滤器标识只有文件写入103被调度以供复制。因此,复制组件127只 将文件写入103 (即,作为副本103a)复制到日志文件130,但将文件写入103 和107两者都发送至存储巻120。
由此,图2示出从备份服务器110的观点来看的根据由一个或多个生产服 务器处的公共过滤器提供的一个或多个病毒指示符来管理复制的数据的方法 可包括接收数据备份的动作240。动作240包括从一个或多个生产服务器接收 一个或多个数据备份。例如,如图1C所示,备份服务器的管理代理130从生 产服务器105接收至少日志文件130的备份数据。
此外,图2还示出从备份服务器110的观点来看的方法可包括标识接收到 的数据中的一个或多个病毒指示符的动作250。动作250包括标识所接收到的 一个或多个数据备份中的一个或多个病毒指示符,其中一个或多个病毒指示符 标识一个或多个数据备份中的至少一个与受感染的数据相关联。例如,图ic 示出管理代理135接收日志文件130的数据,其包括文件写入103a以及病毒 指示符117a中的一个或多个。因此,管理代理135从一个或多个病毒指示符117a中标识存在病毒,或者病毒已被移除但仍在该文件的先前版本上存在过。
图2还示出从备份服务器110的观点来看的方法可包括标识用于响应动作 的一个或多个策略的动作260。动作260包括标识用于备份服务器的一个或多 个策略,其中一个或多个策略标识与一个或多个病毒指示符相对应的一个或多 个响应动作。例如,图1C示出管理代理135咨询策略设置140,并接收实现 响应动作147的指令,该指令要求备份服务器擦除文件133 (即,写入103a 的底层文件)的所有先前或当前副本。
此外,图2还示出从备份服务器110的观点来看的方法可包括执行对应于 病毒指示符的响应动作的动作270。动作270可包括根据一个或多个策略来执 行一个或多个响应动作中的任一个。例如,图1C示出管理代理135 (例如, 经由反病毒代理160)取文件133的每个基线副本和更新(即,对应于时刻"V' 并移除任何病毒感染。管理代理135然后准备该数据的干净副本195, 并发送用新的、干净的数据195来替换存储巻145中的该数据165、 170、 175、 180、 185的各原始副本的相应指令190。
因此,图1A-2提供了用于确保所标识的病毒信息可以在整个备份系统100 中有效地传播的多个组件和机制。作为这些和其他特征的结果,可更高效地缓 解与病毒的无意间复制相关联的威胁。具体而言,病毒信息的广泛分发允许根 据此处所讨论的各原理的多个附加特征。例如,生产服务器105可接收一个或 多个对受感染或受过感染的数据的请求。生产服务器105可诸如通过公共过滤 器125来确定该请求涉及与一个或多个病毒指示符相关联的一个或多个文件, 并且基于任何数量的生产服务器策略来拒绝或允许该请求。
对特定备份数据的请求也可以用类似的方式来处理。例如,用户可请求已 被存储在备份服务器110上(即,已被备份)的一个或多个文件。公共过滤器 125 (或另一合适的代理)可从索引中标识该请求涉及先前在某一时刻与一个 或多个病毒指示符相关联的一个或多个文件。生产服务器105然后可以向该用 户提供一警告,或甚至扫描并移除稍后基于请求从备份服务器iio接收到的任 何相应数据。
类似地,从生产服务器105传递给备份服务器110的对备份数据的请求可 涉及相同的演算。即,管理代理135可从一个或多个请求中标识所请求的数据与一个或多个病毒指示符,或与进而被附加到一个或多个病毒指示符的一个或 多个文件相关联。管理代理135然后可取决于任何数量的各种策略设置在返回 该数据之前移除该病毒,拒绝该请求等等。
本发明的各实施例可以包括含有各种计算机硬件的专用或通用计算机,这 将在以下做出进一步讨论。本发明的范围内的各实施例也包括用于承载或其上 储存有计算机可执行指令或数据结构的计算机可读介质。这样的计算机可读介
质可以是可由通用或专用计算机访问的任何可用介质。
作为示例而非限制,这样的计算机可读介质可包括RAM、 ROM、 EEPROM、 CD-ROM或其它光盘存储、磁盘存储或其它磁存储设备、或可用 于承载或存储计算机可执行指令或数据结构形式的所需程序代码装置且可由 通用或专用计算机访问的任何其它介质。当信息通过网络或另一通信连接(硬 连线、无线或硬连线或无线的组合)传输或提供给计算机时,该计算机将该连 接适当地视为计算机可读介质。因此,任何这样的连接被适当地称为计算机可 读介质。以上的组合也应包括在计算机可读介质的范围之内。
计算机可执行指令包括例如,使通用计算机、专用计算机、或专用处理设
备执行某一功能或某组功能的指令和数据。尽管用对结构特征和/或方法动作专 用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于 上述具体特征或动作。相反,上述具体特征和动作是作为实现权利要求的示例 形式公开的。
本发明可具体化为其它具体形式而不背离其精神或本质特征。所述实施例
在所有方面都应被认为仅是说明性而非限制性的。从而,本发明的范围由所附 权利要求书而非上述说明书指示。落入权利要求书的等效方式的含义和范围内 的所有改变应被权利要求书的范围涵盖。
20
权利要求
1. 一种在计算机化环境中的生产服务器处通过公共过滤器来管理病毒和备份过滤过程的方法,在所述计算机化环境中,所述生产服务器由一个或多个备份服务器来备份,所述方法包括以下动作通过公共过滤器来标识一个或多个对文件的写入;在所述公共过滤器处根据一个或多个病毒定义来扫描所标识的一个或多个文件写入;在所述公共过滤器处将所标识的一个或多个所扫描的文件写入与一个或多个复制策略进行比较;以及将所述一个或多个所扫描的文件写入中的至少一个的副本发送至日志文件,使得所述至少一个文件写入被复制到备份服务器。
2. 如权利要求1所述的方法,其特征在于,还包括将所述一个或多个文 件写入中的至少一个标识为受到一个或多个病毒中的任一个感染的动作。
3. 如权利要求2所述的方法,其特征在于,还包括在将所述一个或多个 文件写入与所述一个或多个复制配置进行比较之前用一个或多个病毒指示符来标记所述至少一个文件写入的动作。
4. 如权利要求3所述的方法,其特征在于,所述一个或多个病毒指示符 标识所述病毒已被标识但未被移除。
5. 如权利要求3所述的方法,其特征在于,还包括移除感染所述至少一 个文件的所述一个或多个病毒中的任一个的动作,其中所述一个或多个病毒指 示符标识所述至少一个文件写入存在过但现已被移除。
6. 如权利要求3所述的方法,其特征在于,还包括将所述至少一个文件 写入的副本与所述一个或多个病毒指示符一起存储在所述日志文件中的动作。
7. 如权利要求3所述的方法,其特征在于,还包括将所述至少一个文件 写入和相应的所述一个或多个病毒指示符发送至所述备份服务器,使得所述备 份服务器能够标识所述至少一个文件写入与所述一个或多个病毒指示符之间 的关联的动作。
8. 如权利要求7所述的方法,其特征在于,还包括向所述备份服务器发 送与受感染的至少一个文件写入相关联的先前数据也受到感染的一个或多个 指示符的动作。
9. 如权利要求3所述的方法,其特征在于,还包括确定不复制所述受感 染的至少一个文件写入的动作。
10. 如权利要求1所述的方法,其特征在于,还包括以下动作接收恢复被存储在所述备份服务器处的数据的一个或多个请求; 标识所述一个或多个请求中的至少一个涉及与一个或多个病毒指示符相 关联的数据。
11. 如权利要求10所述的方法,其特征在于,还包括基于所标识的病毒指 示符发送对所述一个或多个请求的一个或多个响应的动作。
12. 如权利要求11所述的方法,其特征在于,所述一个或多个响应中的至少一个指示所请求的数据(i) 与一个或多个病毒相关联;(ii) 由于一个或多个病毒而无法被恢复;或者(iii) 只有在所述一个或多个病毒首先被移除的情况下才可被恢复。
13. —种在计算机化环境中的备份服务器处根据由一个或多个生产服务器 处的公共过滤器提供的一个或多个病毒指示符来管理复制的数据的方法,在所 述计算机化环境中,所述备份服务器备份一个或多个生产服务器处的数据,所述方法包括以下动作从一个或多个生产服务器接收一个或多个数据备份;标识所接收到的一个或多个数据备份中的一个或多个病毒指示符,其中所 述一个或多个病毒指示符标识所述一个或多个数据备份中的至少一个与受感 染的数据相关联;标识用于所述备份服务器的一个或多个策略,其中所述一个或多个策略标 识与所述一个或多个病毒指示符相对应的一个或多个响应动作;以及根据所述一个或多个策略来执行所述一个或多个响应动作中的任一个。
14. 如权利要求13所述的方法,其特征在于,所述一个或多个响应动作中 的任一个包括从与所述一个或多个病毒指示符相关联的所接收到的一个或多 个数据备份的任一个中移除一个或多个病毒的动作。
15. 如权利要求13所述的方法,其特征在于,所述一个或多个响应动作中 的任一个包括以下动作净化与所述一个或多个病毒指示符相关联的所述一个或多个数据备份的至少一部分;以及净化被存储在所述备份服务器处的所述部分的先前副本。
16. 如权利要求13所述的方法,其特征在于,所述一个或多个响应动作中 的任一个包括至少部分地基于标识所述一个或多个数据备份中的任一个的一 个或多个病毒指示符来标识数据的基线副本与一个或多个病毒相关联的动作。
17. 如权利要求16所述的方法,其特征在于,还包括以下动作接收对与所述备份服务器处的所述数据的基线副本相关联的数据的一个或多个请求;以及发送所请求的数据的至少一部分已经与一个或多个病毒指示符相关联的 响应。
18.—种在计算机化环境中的生产服务器处的计算机可读介质,在所述计算机化环境中,所述生产服务器由一个或多个备份服务器来备份,所述计算机 可读介质具有存储在其上的、当被执行时使得一个或多个处理器执行一种方法的计算机可执行指令,所述方法包括以下动作通过公共过滤器来标识一个或多个对文件的写入;在所述公共过滤器处根据一个或多个病毒定义来扫描所标识的一个或多 个文件写入;在所述公共过滤器处将所标识的一个或多个所扫描的文件写入与一个或 多个复制策略进行比较;以及将所述一个或多个所扫描的文件写入中的至少一个的副本发送至日志文 件,使得所述至少一个文件写入被复制到备份服务器。
全文摘要
即使在受感染的数据已被备份到备份服务器之后发现特定病毒的定义,也可针对病毒有效地保护备份系统中的数据。在一个实现中,包括反病毒和复制过滤组件的组合过滤器可标识和处理I/O系统调用(例如,包括对文件的写入)。如果存在病毒,则该组合过滤器的反病毒组件可标记该文件和/或文件写入(并且净化该文件/文件写入),并且将该信息传递给复制组件。如果该文件写入与要备份的文件相关联,则该复制组件然后可将反病毒过滤器的指示连同该文件写入的副本一起传递。备份服务器也可标识存储在该备份服务器处的文件的先前的版本可能已受到感染,并且可由此执行任何适当的动作。
文档编号G06F12/16GK101460933SQ200780020181
公开日2009年6月17日 申请日期2007年3月15日 优先权日2006年6月2日
发明者R·M·弗莱尔斯, S·M·索姆吉 申请人:微软公司