数据恢复方法、装置、计算设备集群及存储介质与流程

本技术涉及存储，特别涉及一种数据恢复方法、装置、计算设备集群及存储介质。

背景技术：

1、随着科技发展，数据安全逐渐受到重视。勒索病毒是一种威胁数据安全的电脑病毒，其利用各种加密算法对文件进行攻击，导致被感染的文件无法正常读写。

2、目前，文件系统通常通过快照技术，来保存在多个历史时间点下的文件副本。在发现数据被病毒感染时，即可根据某个安全的历史时间点对应的文件副本，来恢复文件系统中的文件。

3、但是，勒索病毒具备很强的隐蔽性，其会在文件系统中持续攻击。由于上述技术方案仅仅能够将文件系统恢复到被病毒攻击前的某一历史时间点下，而被病毒持续攻击的过程中所产生的文件则难以恢复，数据恢复的效率很低。

技术实现思路

1、本技术实施例提供了一种数据恢复方法、装置、计算设备集群及存储介质，能够提升数据恢复的效率。该技术方案如下：

2、第一方面，提供了一种数据恢复方法，该方法包括：

3、基于多个快照，生成文件感染记录，该文件感染记录指示被感染的第一文件被感染前的快照，其中，该快照是文件系统的快照或者目录的快照，每个该快照对应于一个快照时间点；

4、响应于数据恢复指令，基于该文件感染记录，从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据，基于该恢复数据进行数据恢复，该恢复数据包括从该被感染前的快照中获取的未被感染的第一文件。

5、存储系统的软件(例如文件系统软件)对文件系统(或者目录)不断进行快照操作，以生成多个快照，并通过对这多个快照的内容进行比较，来检测是否存在被感染的文件。对于被感染文件，在其被感染前所生成的快照中，记录的是这个文件的健康数据(也即是未被篡改的正常数据)，而在其被感染之后所生成的快照中，记录的是这个文件的被感染后的数据。在第一方面中，通过文件感染记录来记录这个文件感染前的快照，当用户希望对这个被感染的文件进行恢复时，通过读取文件感染记录，能够直接定位到这个文件被感染前的数据所在的快照，并利用查找到的这个快照对被感染的该文件进行数据恢复，从而得到未被感染的数据。通过上述技术方案，能够高效地记录文件被感染的情况，从而对被感染的文件进行精准恢复，有效避免快照回滚带来的数据损失，大大提升数据恢复的效率。

6、在一种可能实施方式中，该基于多个快照，生成文件感染记录，包括：

7、基于该多个快照中一对相邻快照时间点的快照，确定该相邻快照时间点中后一快照时间点的快照与该相邻快照时间点中前一快照时间点的快照之间的差异；

8、对该差异进行感染检测，以确定该第一文件是被感染文件；

9、在文件感染记录中，将该第一文件记录为被感染文件。

10、通过确定相邻快照时间点的快照之间的差异以及感染检测过程，可以精准且实时地确定出被感染的第一文件，并在文件感染记录中指示能够用于恢复该第一文件的被感染前的快照，来保证所记录的文件的感染情况能够支持针对被感染文件的精准恢复。

11、在一种可能实施方式中，该对该差异进行感染检测，以确定该第一文件是被感染文件，包括：

12、将文件后缀中存在病毒标识的第一文件，确定为被感染文件。

13、在一些实施例中，病毒的感染方式包括修改文件的文件后缀，基于此，利用病毒在感染方式上的这一特点，能够快速地检测出被感染的文件，以提升感染检测的速度。

14、在一种可能实施方式中，该对该差异进行感染检测，以确定该第一文件是被感染文件，包括：

15、将文件特征发生变化的第一文件，确定为被感染文件，该文件特征用于表征文件。

16、在一些实施例中，病毒感染会导致文件的文件特征发生变化，基于此，利用病毒在感染方式上的这一特点，能够快速地检测出被感染的文件，以提升感染检测的速度。

17、在一种可能实施方式中，该差异包括：该相邻快照时间点中后一快照时间点的快照中相对于该相邻快照时间点中前一快照时间点的快照的新增文件或修改文件。

18、由于病毒对文件进行感染涉及对文件进行加密、修改和删除等过程，因此，文件系统中的新增文件、被修改的文件，都可能是被病毒感染的文件。因此，通过确定出新增文件或修改文件，即可初步确定出可能是因病毒感染而造成的变更，再通过后续的感染检测，来精准确定出被感染的文件。

19、在一种可能实施方式中，在该文件感染记录中，记录有该第一文件的被感染前文件元数据。

20、在一种可能实施方式中，该基于该文件感染记录，从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据，包括：

21、从该文件感染记录中，确定该第一文件的感染前文件元数据；

22、从该第一文件的感染前文件元数据指示的快照中，获取未被感染的第一文件。

23、通过上述过程，即可根据所记录的感染前文件元数据，快速地获取到未被感染的文件副本，为数据恢复过程提供高效的信息检索方式，大大提升了数据恢复的效率。

24、在一种可能实施方式中，在该文件感染记录中，还记录有该第一文件的被感染后文件元数据，该第一文件的被感染前文件元数据以及该第一文件的被感染后文件元数据相关联；

25、该从该文件感染记录中，确定该第一文件的感染前文件元数据，包括：

26、从该文件感染记录中，确定该第一文件的被感染后文件元数据；

27、基于该第一文件的被感染后文件元数据，确定该第一文件的感染前文件元数据。

28、通过上述过程，不仅记录了用于获取可用文件副本的感染前文件元数据，还记录了能够指示文件的感染时间的感染后文件元数据，从而为后续针对任一时间点的数据恢复提供完备的感染情况，进一步提升数据恢复的效率。

29、在一种可能实施方式中，该响应于数据恢复指令，基于该文件感染记录，从该快照时间点不晚于该第一文件的感染时间的至少一个快照中获取恢复数据，基于该恢复数据进行数据恢复，包括：

30、响应于该数据恢复指令，生成克隆文件系统；

31、基于该文件感染记录，从该快照时间点不晚于该第一文件的感染时间的至少一个快照中，获取该恢复数据，在该克隆文件系统中，基于该恢复数据进行数据恢复。

32、其中，该克隆文件系统是指该文件系统在指定时间点下的完整可用副本。

33、通过在克隆文件系统中进行数据恢复，能够排除数据恢复过程对当前文件系统中正常业务的影响，保障文件系统的一致性。

34、在一种可能实施方式中，该基于该恢复数据对该文件系统进行数据恢复，包括：

35、用该未被感染的第一文件，覆盖当前文件系统中被感染的第一文件。

36、通过上述技术方案，能够高效地完成针对被感染文件的恢复过程，无需人工从所保存的快照中确定被感染的文件，直接基于接近实时生成的文件感染记录来进行数据恢复，有效缩短了数据恢复的耗时，并减少了数据恢复带来的数据损失，大大提升了数据恢复的效率。

37、在一种可能实施方式中，该方法还包括：

38、在该第一文件未恢复完成的情况下，响应于针对该第一文件的访问请求，访问该被感染前的快照中未被感染的第一文件。

39、通过上述技术方案，能够在服务器后台进行数据恢复的过程中，为前台的业务系统提供流畅的文件访问服务，也即是，在业务系统对恢复过程无感知的情况下，实现对被感染数据的精准恢复。

40、在一种可能实施方式中，该被感染是指被勒索病毒感染。

41、第二方面，本技术实施例提供了一种数据恢复装置，包括至少一个功能模块，该至少一个功能模块用于实现前述第一方面或第一方面中任一种可选实现方式所涉及的数据恢复方法。

42、第三方面，本技术实施例提供了一种计算设备集群，包括至少一个计算设备，每个计算设备包括处理器和存储器；该至少一个计算设备的处理器用于执行该至少一个计算设备的存储器中存储的指令，以使得该计算设备集群实现前述第一方面或第一方面中任一种可选实现方式所涉及的数据恢复方法。

43、第四方面，本技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质用于存储至少一段程序代码，该至少一段程序代码由计算设备集群执行，以实现前述第一方面或第一方面中任一种可选实现方式所涉及的数据恢复方法。该存储介质包括但不限于易失性存储器，例如随机访问存储器，非易失性存储器，例如快闪存储器、硬盘(harddisk drive，hdd)、固态硬盘(solid state drive，ssd)。

44、第五方面，本技术实施例提供了一种计算机程序产品，当该计算机程序产品在计算设备集群上运行时，使得计算设备集群实现第一方面或第一方面中任一种可选实现方式所涉及的数据恢复方法。该计算机程序产品可以为一个软件安装包，在需要实现前述数据恢复方法的情况下，可以下载该计算机程序产品并在计算设备上执行该计算机程序产品。