[go: up one dir, main page]

JP7670307B2 - Storage Device - Google Patents

Storage Device Download PDF

Info

Publication number
JP7670307B2
JP7670307B2 JP2020200366A JP2020200366A JP7670307B2 JP 7670307 B2 JP7670307 B2 JP 7670307B2 JP 2020200366 A JP2020200366 A JP 2020200366A JP 2020200366 A JP2020200366 A JP 2020200366A JP 7670307 B2 JP7670307 B2 JP 7670307B2
Authority
JP
Japan
Prior art keywords
information
tampering
pattern information
storage device
backup
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020200366A
Other languages
Japanese (ja)
Other versions
JP2022088107A (en
Inventor
倫幸 渡邊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
NEC Solution Innovators Ltd
Original Assignee
NEC Corp
NEC Solution Innovators Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp, NEC Solution Innovators Ltd filed Critical NEC Corp
Priority to JP2020200366A priority Critical patent/JP7670307B2/en
Publication of JP2022088107A publication Critical patent/JP2022088107A/en
Application granted granted Critical
Publication of JP7670307B2 publication Critical patent/JP7670307B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、ストレージ装置、改ざん検知方法、プログラムに関する。 The present invention relates to a storage device, a tamper detection method, and a program.

データの改ざんなどを行う不正アクセスを検知するための方法が知られている。 There are known methods for detecting unauthorized access such as data tampering.

例えば、特許文献1には、カーネル空間とAP空間とを備える不正アクセス対策制御装置が記載されている。特許文献1によると、カーネル空間において、不正アクセスの兆候となるイベントを定義した監視イベント定義テーブルに基づいて、OSで実行されるイベントを監視し、不正アクセスの兆候となるイベントが発生した場合に、AP空間に対し通知を行う。また、AP空間において、不正アクセス検知を行う不正アクセス検知手段と、カーネル空間からの通知を受け、不正アクセス検知手段を実行するソフトウェア制御部と、を備える。このような構成により、性能低下などを抑制しつつリアルタイムで不正アクセスの検知を行うことを可能とする。 For example, Patent Document 1 describes an unauthorized access prevention control device that includes a kernel space and an AP space. According to Patent Document 1, in the kernel space, events executed by the OS are monitored based on a monitoring event definition table that defines events that are signs of unauthorized access, and if an event that is a sign of unauthorized access occurs, a notification is sent to the AP space. Also, in the AP space, there is provided an unauthorized access detection means that detects unauthorized access, and a software control unit that receives a notification from the kernel space and executes the unauthorized access detection means. This configuration makes it possible to detect unauthorized access in real time while suppressing performance degradation, etc.

特開2006-65835号公報JP 2006-65835 A 国際公開2012/101983号International Publication No. 2012/101983

データの改ざんからデータを保護するための手段としては、不正アクセスを検知するだけでなく、バックアップソフトウェアなどを利用して定期的にデータのバックアップをとっておき、改ざんを検知した場合に過去のバックアップデータからデータを取得して復元する、という方法もある。しかしながら、このような方法をとった場合において、オリジナルデータに加えてバックアップデータも同時に改ざんされた場合、復元する手段がなかった。また、バックアップデータのレプリケーションを行っておく、という方法もある。しかしながら、この方法をとった場合も、改ざんされたデータがレプリケートされてしまうことで復元が不可能になるおそれがあった。 One method for protecting data from tampering is not only to detect unauthorized access, but also to use backup software to regularly back up data, and if tampering is detected, to retrieve and restore the data from past backup data. However, when using this method, if the backup data is tampered with at the same time as the original data, there is no way to restore the data. Another method is to replicate the backup data. However, even with this method, there is a risk that the tampered data will be replicated, making restoration impossible.

このように、データの改ざんを的確に検知することが難しい、という課題が生じていた。そこで、本開示の目的は、データの改ざんを的確に検知することが難しい場合がある、という課題を解決するストレージ装置、改ざん検知方法、プログラムを提供することにある。 As such, there has been an issue that it is difficult to accurately detect data tampering. Therefore, the purpose of this disclosure is to provide a storage device, a tampering detection method, and a program that solve the issue that it is sometimes difficult to accurately detect data tampering.

かかる目的を達成するため本開示の一形態であるストレージ装置は、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集する収集部と、
前記収集部が収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する検知部と、
を有する
という構成をとる。 In order to achieve this object, a storage device according to one embodiment of the present disclosure comprises:
A collection unit that collects I/O pattern information, which is information corresponding to an operation when performing a backup process;
a detection unit that detects tampering with data to be backed up based on the I/O pattern information collected by the collection unit;
The configuration has the following:

また、本開示の他の形態である改ざん検知方法は、
情報処理装置が、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する
という構成をとる。 In addition, a tamper detection method according to another embodiment of the present disclosure includes:
An information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
The system is configured to detect any tampering with the data to be backed up based on the collected I/O pattern information.

また、本開示の他の形態であるプログラムは、
情報処理装置に、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する
処理を実現させるためのプログラムである。 In addition, a program according to another aspect of the present disclosure includes:
In the information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
This is a program for implementing a process for detecting tampering with data to be backed up based on the collected I/O pattern information.

上述したような各構成によると、データの改ざんを的確に検知することが可能となる。 The above-mentioned configurations make it possible to accurately detect data tampering.

本開示の第1の実施形態におけるストレージ装置とクライアント装置の構成例を示す図である。FIG. 2 is a diagram illustrating an example of the configuration of a storage device and a client device according to the first embodiment of the present disclosure. I/Oパターン収集部が収集するI/Oパターン情報の一例を示す図である。11 is a diagram illustrating an example of I/O pattern information collected by an I/O pattern collection unit; データ分析部による改ざん検知アルゴリズム例を示す図である。FIG. 13 is a diagram illustrating an example of an algorithm for detecting tampering by a data analysis unit. 改ざん検知の一例を説明するための図である。FIG. 13 is a diagram for explaining an example of tamper detection. ストレージ装置が改ざん検知する際の動作例を示すフローチャートである。11 is a flowchart illustrating an example of an operation performed by the storage device when detecting tampering. ストレージ装置の他の処理例を説明するための図である。FIG. 11 is a diagram illustrating another example of processing by the storage device. 本開示の第2の実施形態におけるストレージ装置のハードウェア構成例を示す図である。FIG. 11 is a diagram illustrating an example of a hardware configuration of a storage apparatus according to a second embodiment of the present disclosure. ストレージ装置の構成例を示すブロック図である。FIG. 2 is a block diagram showing a configuration example of a storage device.

[第1の実施形態]
本開示の第1の実施形態について、図1から図6までを参照して説明する。図1は、ストレージ装置100とクライアント装置200の構成例を示すブロック図である。図2は、I/Oパターン収集部110が収集するI/Oパターン情報の一例を示す図である。図3は、データ分析部120による改ざん検知アルゴリズム例を示す図である。図4は、改ざん検知の一例を説明するための図である。図5は、ストレージ装置100が改ざん検知する際の動作例を示すフローチャートである。図6は、ストレージ装置100の他の処理例を説明するための図である。 [First embodiment]
A first embodiment of the present disclosure will be described with reference to Figs. 1 to 6. Fig. 1 is a block diagram showing an example of the configuration of a storage device 100 and a client device 200. Fig. 2 is a diagram showing an example of I/O pattern information collected by the I/O pattern collection unit 110. Fig. 3 is a diagram showing an example of a tampering detection algorithm by the data analysis unit 120. Fig. 4 is a diagram for explaining an example of tampering detection. Fig. 5 is a flowchart showing an example of an operation when the storage device 100 detects tampering. Fig. 6 is a diagram for explaining another example of processing by the storage device 100.

本開示の第1の実施形態においては、クライアント装置200からバックアップ対象データを受信して記憶するバックアップ処理を行うストレージ装置100について説明する。後述するように、ストレージ装置100は、クライアント装置200からのバックアップ対象データの受信などに応じて、バックアップ処理を行う際の動作などに応じた情報であるI/Oパターン情報を収集する。そして、ストレージ装置100は、収集したI/Oパターン情報に基づいて、バックアップ対象データなどに対する改ざんを検知する。バックアップソフト210によるI/Oは、ソフトウェアごとに一定のパターンをとることが多い。ストレージ装置100は、上記パターンに着目することで、改ざんの検知などを行うことが出来る。 In the first embodiment of the present disclosure, a storage device 100 that performs backup processing to receive and store data to be backed up from a client device 200 will be described. As will be described later, the storage device 100 collects I/O pattern information, which is information corresponding to operations when performing backup processing, in response to receiving data to be backed up from the client device 200, etc. Then, the storage device 100 detects tampering with the data to be backed up, etc., based on the collected I/O pattern information. I/O by the backup software 210 often follows a fixed pattern for each software. The storage device 100 can detect tampering by focusing on the above patterns.

なお、後述するように、I/Oパターン情報には、ストレージ装置100内で抽出される(収集される)情報と、クライアント装置200内で動作する収集部220が収集する情報と、が含まれうる。I/Oパターン情報には、ストレージ装置100内で抽出される情報と、クライアント装置200内で動作する収集部220が収集する情報と、のうちのいずれか一方のみが含まれてもよい。 As described below, the I/O pattern information may include information extracted (collected) within the storage device 100 and information collected by the collection unit 220 operating within the client device 200. The I/O pattern information may include only one of the information extracted within the storage device 100 and the information collected by the collection unit 220 operating within the client device 200.

また、ストレージ装置100は、バックアップ処理を行う前に、バックアップ対象データの受信などを契機として、更新前のファイルシステムのスナップショットを作成しておくことが出来る。そして、改ざんを検知した場合、ストレージ装置100は、バックアップによるI/Oを制限することなく、改ざんを検知した旨をユーザなどに通知することが出来る。例えば、バックアップ対象データが増減されたり、バックアップソフト210が更新されたりすると、I/Oパターンが変動することもある。改ざんを検知しつつバックアップを失敗させないことで、上記のような場合に対応することが出来る。なお、特にCAS(Contents Addressed Storage)装置では、特許文献2に記載のような方法を用いることで、ユーザのI/O性能に影響を与えることなくスナップショットを作成することが出来る。そのため、特許文献2に記載のような方法を用いてスナップショットを作成してもよい。 Furthermore, before performing the backup process, the storage device 100 can create a snapshot of the file system before the update, triggered by receiving the data to be backed up. Then, if tampering is detected, the storage device 100 can notify the user, etc., that tampering has been detected without restricting the I/O by the backup. For example, if the data to be backed up is increased or decreased, or if the backup software 210 is updated, the I/O pattern may change. By detecting tampering while not causing the backup to fail, it is possible to deal with the above-mentioned cases. Note that, particularly in a CAS (Contents Addressed Storage) device, by using a method such as that described in Patent Document 2, a snapshot can be created without affecting the I/O performance of the user. Therefore, a snapshot may be created using a method such as that described in Patent Document 2.

図1は、全体の構成例を示している。図1で示すように、ストレージ装置100は、クライアント装置200と互いに通信可能なよう接続されている。ストレージ装置100は、クライアント装置200から、バックアップ対象データやクライアント装置200で収集したI/Oパターン情報などを受信する。 Figure 1 shows an example of the overall configuration. As shown in Figure 1, the storage device 100 is connected to a client device 200 so that they can communicate with each other. The storage device 100 receives data to be backed up and I/O pattern information collected by the client device 200 from the client device 200.

また、図1を参照すると、ストレージ装置100は、バックアップ処理の際に用いる構成とともに、I/Oパターン収集部110とデータ分析部120と制御部130と通報部140と記憶装置150とを有している。 Referring to FIG. 1, the storage device 100 includes an I/O pattern collection unit 110, a data analysis unit 120, a control unit 130, a reporting unit 140, and a storage device 150, in addition to the configuration used during backup processing.

例えば、ストレージ装置100は、CPUなどの演算装置と、記憶装置150などの記憶装置と、を有している。例えば、ストレージ装置100は、記憶装置150などの記憶装置に格納されたプログラムを演算装置が実行することで、上述した各処理部を実現することが出来る。ストレージ装置100は、ハードウェア、または、ハードウェアとソフトウェアとの組み合わせなどにより上記各処理部を実現してもよい。 For example, the storage device 100 has a calculation device such as a CPU and a storage device such as the storage device 150. For example, the storage device 100 can realize each of the above-mentioned processing units by the calculation device executing a program stored in a storage device such as the storage device 150. The storage device 100 may realize each of the above-mentioned processing units by hardware or a combination of hardware and software.

I/Oパターン収集部110は、バックアップ処理を行う際の動作などに応じた情報であるI/Oパターン情報を収集する。例えば、I/Oパターン収集部110は、バックアップ対象データやクライアント装置200で収集したI/Oパターン情報などをクライアント装置200から受信すると、I/Oパターン情報の収集を開始する。そして、I/Oパターン収集部110は、収集したI/Oパターン情報を記憶装置150に格納する。 The I/O pattern collection unit 110 collects I/O pattern information, which is information according to operations when performing backup processing. For example, when the I/O pattern collection unit 110 receives data to be backed up or I/O pattern information collected by the client device 200 from the client device 200, the I/O pattern collection unit 110 starts collecting I/O pattern information. Then, the I/O pattern collection unit 110 stores the collected I/O pattern information in the storage device 150.

I/Oパターン収集部110は、クライアント装置200が有する収集部220から情報を受信する、ストレージ装置100内から情報を取得する、などの方法で、I/Oパターン情報を収集する。例えば、図2を参照すると、I/Oパターン収集部110は、下記で例示するうちの少なくとも一部を含むI/Oパターン情報を収集する。
・クライアント装置200のIPアドレスやネットワークのルーティング情報、メモリやCPU使用量
・バックアップソフト210のソフトウェアログ、設定パラメータ
・ファイルの作成、ファイルへのライト、リード等の頻度や量、実行時間、ファイル名
・リード、ライトの実行性能、リードやライトの開始位置、データサイズ、データ特性(圧縮可能率、重複データ内包率など)
・ストレージ装置100内のメモリやCPU使用量、リソースの割り当て比率
なお、上記例示した情報のうち、クライアント装置200のIPアドレスやネットワークのルーティング情報、メモリやCPU使用量、バックアップソフト210のソフトウェアログ、設定パラメータなどのうちの少なくとも一部は、例えば、収集部220から情報を受信することで収集することが出来る。また、ファイルの作成、ファイルへのライト、リード等の頻度や量、実行時間、ファイル名、リード、ライトの実行性能、リードやライトの開始位置、データサイズ、データ特性(圧縮可能率、重複データ内包率など)、ストレージ装置内のメモリやCPU使用量などのうちの少なくとも一部は、例えば、ストレージ装置100内から情報を取得することにより収集することが出来る。 The I/O pattern collection unit 110 collects I/O pattern information by receiving information from a collection unit 220 included in the client device 200, acquiring information from within the storage device 100, or the like. For example, referring to Fig. 2, the I/O pattern collection unit 110 collects I/O pattern information including at least some of the following examples.
IP address of the client device 200, network routing information, memory and CPU usage, software log of the backup software 210, setting parameters, frequency and amount of file creation, writing to files, reading, etc., execution time, file name, read and write execution performance, start position of read and write, data size, data characteristics (compressibility rate, duplicate data inclusion rate, etc.)
Memory, CPU usage, and resource allocation ratio in the storage device 100 Among the above-mentioned information, at least some of the IP address and network routing information of the client device 200, memory and CPU usage, software log of the backup software 210, and setting parameters can be collected, for example, by receiving information from the collection unit 220. In addition, at least some of the file creation, frequency and amount of writing to and reading from a file, execution time, file name, execution performance of reading and writing, starting position of reading and writing, data size, data characteristics (compressibility rate, duplicate data inclusion rate, etc.), memory and CPU usage in the storage device, etc. can be collected, for example, by acquiring information from within the storage device 100.

なお、I/Oパターン収集部110は、記憶装置150に格納したI/Oパターン情報を所定の条件に従って削除するよう構成してもよい。例えば、I/Oパターン収集部110は、予め定められたバックアップ回数分のI/Oパターン情報を記憶装置150に残し、古いものを順に削除するよう構成してもよい。削除の基準になる回数は、例えば、平均値や偏差値の算出、あるいは、機械学習の入力データとして必要な回数など、改ざんを検知する際に必要となるデータ量などに応じて定めることが出来る。なお、I/Oパターン収集部110は、任意のタイミングで上記削除を行うよう構成してよい。 The I/O pattern collection unit 110 may be configured to delete the I/O pattern information stored in the storage device 150 according to a predetermined condition. For example, the I/O pattern collection unit 110 may be configured to leave a predetermined number of backups of I/O pattern information in the storage device 150 and delete the oldest information in order. The number of times that serves as the basis for deletion can be determined according to the amount of data required to detect tampering, such as the number of times required to calculate an average value or a standard deviation, or as input data for machine learning. The I/O pattern collection unit 110 may be configured to perform the above deletion at any timing.

また、I/Oパターン収集部110は、I/Oパターン情報の収集を始めるとともに、ファイルシステムのスナップショットを作成する旨を制御部130に対して指示するよう構成してもよい。また、I/Oパターン収集部110は、バックアップ処理が完了した時点で改ざんが検知されなかった場合、バックアップ処理の前に作成したスナップショットを削除する旨を制御部130に対して指示するよう構成してもよい。 The I/O pattern collection unit 110 may be configured to start collecting I/O pattern information and to instruct the control unit 130 to create a snapshot of the file system. The I/O pattern collection unit 110 may be configured to instruct the control unit 130 to delete the snapshot created before the backup process if no tampering is detected at the time the backup process is completed.

データ分析部120は、I/Oパターン収集部110が収集したI/Oパターン情報に基づいて、バックアップ対象データに対する改ざんを検知する。換言すると、データ分析部120は、I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する検知部として機能する。 The data analysis unit 120 detects tampering with the data to be backed up based on the I/O pattern information collected by the I/O pattern collection unit 110. In other words, the data analysis unit 120 functions as a detection unit that detects tampering with the data to be backed up based on the I/O pattern information.

例えば、データ分析部120は、I/Oパターン収集部110が格納した過去のI/Oパターン情報と改ざん検知対象となるI/Oパターン情報との比較、過去のI/Oパターン情報に基づく機械学習の結果を用いる、などの方法により、改ざんを検知することが出来る。換言すると、例えば、データ分析部120は、過去のI/Oパターン情報と改ざん検知対象となるI/Oパターン情報との差異がある場合、過去のI/Oパターン情報が示すデータを数値化して、数値化したデータを入力として機械学習させたAIにより改ざんの可能性があると判断される場合、などに改ざんを検知する。 For example, the data analysis unit 120 can detect tampering by comparing the past I/O pattern information stored by the I/O pattern collection unit 110 with the I/O pattern information to be the target of tamper detection, by using the results of machine learning based on the past I/O pattern information, or by other methods. In other words, the data analysis unit 120 detects tampering when, for example, there is a difference between the past I/O pattern information and the I/O pattern information to be the target of tamper detection, when it digitizes data indicated by the past I/O pattern information, and when an AI that has been trained to learn machine learning using the digitized data as input determines that there is a possibility of tampering.

図3は、データ分析部120が改ざん検知する際のアルゴリズム例を示している。例えば、図3を参照すると、改ざん検知する際のアルゴリズムとしては、例えば、ポリシーによる検知、主成分分析やk近傍法などを用いたユーザが定義できない不正の検知、などがある。 Figure 3 shows an example of an algorithm used by the data analysis unit 120 to detect tampering. For example, referring to Figure 3, the algorithms used to detect tampering include detection based on a policy, detection of fraud that cannot be defined by the user using principal component analysis or k-nearest neighbors, etc.

例えば、データ分析部120は、ポリシーによる検知の一例として、予め定められた特性情報に基づく改ざんの検知を行うことが出来る。例えば、I/Oパターン情報に含まれる各情報には、「バックアップにより不変なもの」「一定の規則性があるもの」などのような特性情報をあらかじめ定義できる。そして、データ分析部120は、検知対象となるI/Oパターン情報に予め定められる特性情報から外れる情報が含まれる場合、改ざんを検知することが出来る。なお、特性情報は、上記例示した以外であってもよい。 For example, as an example of detection based on a policy, the data analysis unit 120 can detect tampering based on predetermined characteristic information. For example, characteristic information such as "unchanging due to backup" or "having a certain regularity" can be predefined for each piece of information included in the I/O pattern information. Then, the data analysis unit 120 can detect tampering when the I/O pattern information to be detected includes information that deviates from the predefined characteristic information. Note that the characteristic information may be other than the examples given above.

一例として、I/Oパターン情報のうち、下記のような情報に対して、「バックアップにより不変なもの」「一定の規則性があるもの」などのような特性情報をあらかじめ定義できる。下記例示した以外の情報に特性情報が付与されてもよい。
・バックアップにより不変なもの(バックアップログ有無、接続クライアントIP、バックアップ実行時間など)
・一定の規則性があるもの(ファイル名、バックアップジョブ識別子など) As an example, characteristic information such as "unchanging due to backup" and "having a certain regularity" can be defined in advance for the following information among the I/O pattern information. Characteristic information may be added to information other than the following examples.
- Items that do not change due to backup (presence or absence of backup log, connected client IP, backup execution time, etc.)
- Things that follow a certain pattern (file names, backup job identifiers, etc.)

例えば、バックアップ対象データを受信しているが、バックアップソフト210のログが届いていないとする。この場合、「バックアップにより不変なもの」という特性を有するバックアップログにおいて、届くはずのバックアップログが届いていないことになる。そこで、データ分析部120は、検知対象となるI/Oパターン情報に予め定められる特性情報から外れる情報が含まれると判断して、改ざんを検知する。このように、データ分析部120は、特性情報を用いた過去の情報との比較により、改ざんを検知することが出来る。 For example, suppose that data to be backed up has been received, but the log of the backup software 210 has not arrived. In this case, for a backup log that has the characteristic of being "unchanged by backup," the backup log that should have arrived has not arrived. The data analysis unit 120 then determines that the I/O pattern information to be detected includes information that deviates from the predetermined characteristic information, and detects tampering. In this way, the data analysis unit 120 can detect tampering by comparing with past information using the characteristic information.

また、例えば、データ分析部120は、ユーザが定義できない不正の検知の一例として、主成分分析を用いた改ざんの検知を行うことが出来る。例えば、データ分析部120は、
過去のI/Oパターン情報のうち一回のバックアップ中における回数あるいは量を計測、算出可能なものを成分とする主成分分析を予め行う。そして、データ分析部120は、主成分分析による異常検知の手法を用いた分析を行う。例えば、データ分析部120は、検知対象となるI/Oパターン情報である今回の書き込みが正常部分空間から逸脱しているとき、改ざんとみなすことが出来る。なお、I/Oパターン情報のうち一回のバックアップ中における回数あるいは量を計測、算出可能なものとは、例えば、ファイル作成回数、ファイル属性更新回数、データ量などである。データ分析部120は、上記例示したうちの一部を用いて主成分分析してもよいし、上記例示した以外のI/Oパターン情報に含まれる情報を用いて主成分分析してもよい。また、主成分分析による異常検知の手法は、既知の方法であってよい。 In addition, for example, the data analysis unit 120 can detect tampering using principal component analysis, as an example of detection of fraud that cannot be defined by the user. For example, the data analysis unit 120 can
A principal component analysis is performed in advance using components that can be measured and calculated from the number or amount of past I/O pattern information during one backup. Then, the data analysis unit 120 performs an analysis using a method of anomaly detection using principal component analysis. For example, when the current write, which is the I/O pattern information to be detected, deviates from the normal subspace, the data analysis unit 120 can regard it as tampering. In addition, the number or amount of I/O pattern information that can be measured and calculated during one backup includes, for example, the number of file creations, the number of file attribute updates, and the amount of data. The data analysis unit 120 may perform principal component analysis using some of the above examples, or may perform principal component analysis using information included in I/O pattern information other than the above examples. In addition, the method of anomaly detection using principal component analysis may be a known method.

バックアップソフト210によるバックアップ処理は、同じオリジナルデータ(一部更新を含む)を対象として、繰り返し、定期的に、一定のロジックで行われる。また、一般的に、バックアップソフト210は、バックアップ処理の際、オリジナルデータに加えて管理用のデータ(メタデータ)を一定の規則で埋め込む。そのため、I/Oパターン情報のうち、以下のような情報(成分)に一貫性が生じる。従って、下記のような情報のうちの少なくとも一部に対して主成分分析を用いることで、異常である改ざんを検知できることになる。
・作成されるファイル数とファイルの属性変更回数の比率
・同時に書き込みが起こるファイル数の上限
・ファイルの作成タイミング(例えば、バックアップ開始からのオフセット時間の分散)
・作成されるファイル数と書き込まれるデータ量の比率
・サイズの小さいファイル数(メタデータ)とサイズの大きいファイル数(データ)の比率
・特定オフセット(例えば、ファイル先頭、32KB、64KB)へのライト回数
・ライトオフセットの遷移(例えば、(ライトオフセット‐前のライトオフセット‐前のライトサイズ)2の平均) The backup process by the backup software 210 is performed repeatedly and periodically with a certain logic on the same original data (including partial updates). Generally, when performing backup process, the backup software 210 embeds management data (metadata) in addition to the original data according to a certain rule. Therefore, among the I/O pattern information, consistency occurs in the following information (components). Therefore, by applying principal component analysis to at least a part of the following information, it becomes possible to detect abnormal tampering.
- The ratio of the number of files created to the number of times file attributes are changed - The upper limit of the number of files that can be written simultaneously - The timing of file creation (for example, the distribution of offset times from the start of the backup)
Ratio of the number of files created to the amount of data written Ratio of the number of small files (metadata) to the number of large files (data) Number of writes to a specific offset (e.g., the beginning of the file, 32KB, 64KB) Transition of the write offset (e.g., the average of (write offset - previous write offset - previous write size) 2 )

例えば、バックアップソフト210では、2GBのファイル一つに対し3回の属性変更をし、サイズの小さい管理ファイルに対し8回の属性変更をするという特徴があるとする。上記のような状況において、検知対象となるI/Oパターン情報においては、いずれのファイルに対しても一回の属性更新のみが行われているとする。例えば、このような場合、データ分析部120は、改ざんを検知することが出来る。 For example, the backup software 210 is characterized by making three attribute changes to a single 2 GB file and eight attribute changes to a small management file. In the above situation, the I/O pattern information to be detected shows that only one attribute update has been made to each file. In such a case, for example, the data analysis unit 120 can detect tampering.

また、例えば、データ分析部120は、ユーザが定義できない不正の検知の一例として、k近傍法などを用いた分類の結果を用いた改ざんの検知を行うことが出来る。例えば、データ分析部120は、過去のI/Oパターン情報のうち時系列(連続)データとなるもの(ライト性能、CPU使用率、重複排除率など)を特徴量として、あらかじめ機械学習して(k近傍法などを用いて)分類しておく。そして、データ分析部120は、検知対象となるI/Oパターン情報においていずれの分類にも当てはまらないとき、改ざんとみなすことが出来る。なお、I/Oパターン情報のうち時系列(連続)データとなるものとは、例えば、ライト性能、CPU使用率、重複排除率などである。データ分析部120は、上記例示したうちの一部を用いて機械学習してもよいし、上記例示した以外のI/Oパターン情報に含まれる情報を用いて機械学習してもよい。 For example, the data analysis unit 120 can detect tampering using the results of classification using the k-nearest neighbor method, etc., as an example of detecting fraud that cannot be defined by the user. For example, the data analysis unit 120 performs machine learning (using the k-nearest neighbor method, etc.) in advance to classify past I/O pattern information that is time-series (continuous) data (write performance, CPU usage rate, deduplication rate, etc.) as feature values. Then, the data analysis unit 120 can determine that tampering has occurred when the I/O pattern information to be detected does not fall into any of the categories. Note that the time-series (continuous) data among the I/O pattern information is, for example, write performance, CPU usage rate, deduplication rate, etc. The data analysis unit 120 may perform machine learning using some of the above examples, or may perform machine learning using information included in I/O pattern information other than the above examples.

例えば、CASストレージにおいては、ライトデータが格納済みのデータに重複するか否かにより性能が変動する特徴をもつものがある。その場合、性能グラフは間接的にデータの重複情報を含むことになり、バックアップ対象データの更新部分がどこにあるか(いつ書き込まれるか)の特徴を表現するものとなる。そのため、上述したような分類を行っておくことで、改ざんを検知することが出来る。 For example, some CAS storage has the characteristic that performance varies depending on whether or not the write data overlaps with data that has already been stored. In such cases, the performance graph indirectly includes information about data duplication, and expresses the characteristics of where the updated parts of the data to be backed up are located (when it is written). Therefore, by performing the classification described above, it is possible to detect tampering.

例えば、図4で示すように、ライト性能が機械学習(例えばk近傍法)で分類済みのどのクラスにも当てはまらない(例えば、所定以上の距離がある)とする。このような場合、データ分析部120は、改ざんを検知することが出来る。 For example, as shown in FIG. 4, the write performance does not fit into any class classified by machine learning (e.g., k-nearest neighbor method) (e.g., there is a distance greater than a certain value). In such a case, the data analysis unit 120 can detect tampering.

例えば、以上説明したように、データ分析部120は、I/Oパターン情報に対して様々な処理を行うことで、改ざんを検知することが出来る。データ分析部120は、上記例示した方法を組み合わせて改ざんを検知してもよいし、上記例示したうちの一部を用いて改ざんを検知してもよい。 For example, as described above, the data analysis unit 120 can detect tampering by performing various processes on the I/O pattern information. The data analysis unit 120 may detect tampering by combining the methods exemplified above, or may detect tampering by using some of the methods exemplified above.

制御部130は、スナップショットの作成や削除を行う。また、制御部130は、データ分析部120が改ざんを検知した際に、通報部140に対して所定の通報を行うよう指示する。 The control unit 130 creates and deletes snapshots. In addition, when the data analysis unit 120 detects tampering, the control unit 130 instructs the reporting unit 140 to issue a specified report.

例えば、制御部130は、I/Oパターン収集部110からの指示などに応じて、スナップショットを作成したり削除したりすることが出来る。上述したように、制御部130は、特許文献2に記載のような方法を用いてスナップショットを作成してもよい。 For example, the control unit 130 can create or delete snapshots in response to instructions from the I/O pattern collection unit 110. As described above, the control unit 130 may create snapshots using a method such as that described in Patent Document 2.

通報部140は、制御部130からの指示などに応じて、予め登録されたユーザに通報を行う。例えば、通報部140は、データ分析部120による改ざんの検知に応じて、改ざんを検知した旨をユーザに通報する。 The reporting unit 140 reports to a pre-registered user in response to an instruction from the control unit 130. For example, in response to detection of tampering by the data analysis unit 120, the reporting unit 140 reports to the user that tampering has been detected.

記憶装置150は、I/Oパターン情報を格納する記憶装置である。記憶装置150には、バックアップ対象データや制御部130が作成したスナップショットなどが格納されてもよい。 The storage device 150 is a storage device that stores I/O pattern information. The storage device 150 may also store data to be backed up, snapshots created by the control unit 130, etc.

以上が、ストレージ装置100の構成例である。 The above is an example of the configuration of the storage device 100.

クライアント装置200は、バックアップ対象データなどをストレージ装置100に対して送信する情報処理装置である。図1を参照すると、クライアント装置200は、例えば、OSなどを有しており、また、バックアップソフト210と収集部220とを有している。 The client device 200 is an information processing device that transmits data to be backed up to the storage device 100. Referring to FIG. 1, the client device 200 has, for example, an OS, and also has backup software 210 and a collection unit 220.

バックアップソフト210は、バックアップ対象データをストレージ装置100へと送信することなどにより、バックアップ処理を行う。バックアップソフト210は、既知のものであってよい。 The backup software 210 performs backup processing by, for example, transmitting the data to be backed up to the storage device 100. The backup software 210 may be a known software.

収集部220は、クライアント装置200で取得可能なI/Oパターン情報を取得してストレージ装置100へと送信する。例えば、収集部220は、バックアップソフト210のログを監視する。そして、収集部220は、バックアップの開始を契機として、クライアント装置200で取得可能なI/Oパターン情報を取得する。収集部220は、例えば定期的に取得したI/Oパターン情報をストレージ装置100に対して送信することが出来る。 The collection unit 220 acquires I/O pattern information that can be acquired by the client device 200 and transmits it to the storage device 100. For example, the collection unit 220 monitors the log of the backup software 210. Then, the collection unit 220 acquires I/O pattern information that can be acquired by the client device 200 when a backup is started. The collection unit 220 can transmit the acquired I/O pattern information to the storage device 100, for example, periodically.

例えば、収集部220は、IPアドレスやネットワークのルーティング情報、メモリやCPU使用量などを取得する。また、収集部220は、バックアップソフト210のAPIなどを通じて、バックアップソフト210の設定値を取得する。取得対象となる設定値は、例えば、予め定められている。そして、収集部220は、バックアップソフト210のログや、上記取得したI/Oパターン情報を、あらかじめ設定してあるネットワークパスなどを通じて、ストレージ装置100に対して定期的に送信する。 For example, the collection unit 220 acquires IP addresses, network routing information, memory and CPU usage, and the like. The collection unit 220 also acquires the setting values of the backup software 210 through the API of the backup software 210, for example. The setting values to be acquired are, for example, predetermined. The collection unit 220 then periodically transmits the log of the backup software 210 and the acquired I/O pattern information to the storage device 100 through a network path that has been set in advance, and the like.

なお、収集部220は、バックアップソフト210のログを無加工のまま送信してもよいし、あらかじめ設定したパース方法などにより部分的に切り出して送信してもよい。また、部分的に切り出す場合などにおいて、収集部220は、バックアップ毎に異なる値となるべきもの、共通の値になるべきもの、のような特性情報を、切り出した値などに設定してもよい。つまり、収集部220は、予め定められた基準などに従って、I/Oパターン情報を取得するとともに取得したI/Oパターン情報に特性情報などを付与してもよい。 The collection unit 220 may send the log of the backup software 210 without processing it, or may cut out a portion of it using a pre-set parsing method and send it. When cutting out a portion of it, the collection unit 220 may set characteristic information, such as values that should be different for each backup and values that should be common, to the cut-out values. In other words, the collection unit 220 may acquire I/O pattern information and add characteristic information to the acquired I/O pattern information according to pre-set criteria.

以上が、クライアント装置200の構成例である。続いて、図5を参照して、ストレージ装置100が改ざんを検知する際の動作例について説明する。 The above is an example of the configuration of the client device 200. Next, with reference to FIG. 5, an example of the operation of the storage device 100 when detecting tampering will be described.

図5を参照すると、I/Oパターン収集部110は、I/Oパターン情報の収集を始めるとともに、ファイルシステムのスナップショットを作成する旨を制御部130に対して指示する。これにより、制御部130は、更新前のスナップショットを作成する(ステップS101)。 Referring to FIG. 5, the I/O pattern collection unit 110 starts collecting I/O pattern information and instructs the control unit 130 to create a snapshot of the file system. This causes the control unit 130 to create a snapshot before the update (step S101).

I/Oパターン収集部110は、I/Oパターン情報を収集する。例えば、I/Oパターン収集部110は、収集部220から受信したり、ストレージ装置100内で収集したりすることで、I/Oパターン情報を収集する(ステップS102)。 The I/O pattern collection unit 110 collects I/O pattern information. For example, the I/O pattern collection unit 110 collects I/O pattern information by receiving it from the collection unit 220 or by collecting it within the storage device 100 (step S102).

データ分析部120は、I/Oパターン収集部110が収集したI/Oパターン情報に基づいて、バックアップ対象データに対する改ざんを検知する(ステップS103)。例えば、データ分析部120は、ポリシーによる検知、主成分分析やk近傍法などを用いたユーザが定義できない不正の検知、などのアルゴリズムのうちの少なくとも1つを用いて、改ざんを検知する。 The data analysis unit 120 detects tampering with the data to be backed up based on the I/O pattern information collected by the I/O pattern collection unit 110 (step S103). For example, the data analysis unit 120 detects tampering using at least one of the following algorithms: detection by policy, detection of fraud that cannot be defined by the user using principal component analysis or k-nearest neighbor method, etc.

バックアップ処理が終了しても改ざんを検知しなかった場合(ステップS103、No)、データ分析部120は、改ざんを検知しなかった旨をI/Oパターン収集部110に通知する。これを受けて、I/Oパターン収集部110は、更新前に作成したスナップショットを削除するよう制御部130に通知する。これにより、制御部130は、更新前に作成したスナップショットを削除する(ステップS104)。このように、制御部130は、バックアップ処理が終了してもデータ分析部120が改ざんを検知しなかった場合、更新前に作成したスナップショットを削除する。 If no tampering is detected even after the backup process is completed (step S103, No), the data analysis unit 120 notifies the I/O pattern collection unit 110 that no tampering was detected. In response, the I/O pattern collection unit 110 notifies the control unit 130 to delete the snapshot created before the update. As a result, the control unit 130 deletes the snapshot created before the update (step S104). In this way, if the data analysis unit 120 does not detect tampering even after the backup process is completed, the control unit 130 deletes the snapshot created before the update.

一方、データ分析部120が改ざんを検知した場合(ステップS103、Yes)、データ分析部120は、改ざんを検知した旨を制御部130に通知する。これを受けて、制御部130は、通報部140に対して所定の通報を行うよう指示する。これにより、通報部140は、ユーザに対して改ざんを検知した旨を通報する(S105)。 On the other hand, if the data analysis unit 120 detects tampering (Yes in step S103), the data analysis unit 120 notifies the control unit 130 that tampering has been detected. In response, the control unit 130 instructs the reporting unit 140 to make a specified report. As a result, the reporting unit 140 notifies the user that tampering has been detected (S105).

このように、ストレージ装置100は、I/Oパターン収集部110とデータ分析部120とを有している。このような構成により、データ分析部120は、I/Oパターン収集部110が収集したI/Oパターン情報に基づいて改ざんを検知することができる。つまり、ストレージ装置100は、クライアントの情報、特にバックアップソフト210のログを含むI/Oパターン情報に基づいて動作の違いを検出することで、バックアップソフト210を通さずに行われた改ざんを検知することができる。これにより、データの改ざんを的確に検知することが可能となる。 In this way, the storage device 100 has an I/O pattern collection unit 110 and a data analysis unit 120. With this configuration, the data analysis unit 120 can detect tampering based on the I/O pattern information collected by the I/O pattern collection unit 110. In other words, the storage device 100 can detect tampering that has been performed without going through the backup software 210 by detecting differences in operation based on client information, particularly I/O pattern information including the log of the backup software 210. This makes it possible to accurately detect data tampering.

また、本実施形態で説明したストレージ装置100によると、I/Oパターン情報としてデータサイズ、データ特性(圧縮可能率、重複データ内包率など)を含め、データそのものの違いを検出することで改ざんを検知する。そのため、改ざんされたオリジナルデータをバックアップしたことを検知できる可能性がある。例えば、ランサムウェアと呼ばれるマルウェアの一種では、ファイルを暗号化することでデータへのアクセスを妨害し復号化のためのシークレットキーと引き換えに身代金を要求するといったことが行われるが、暗号化されたデータは、ストレージ装置100に保存された過去のデータと比べ上記のI/Oパターン情報に差異がでる。そのため、本実施形態で説明したストレージ装置100によると、上記のような場合に問題なく改ざんを検知することが出来る。 In addition, according to the storage device 100 described in this embodiment, tampering is detected by detecting differences in the data itself, including data size and data characteristics (compressibility rate, duplicate data inclusion rate, etc.) as I/O pattern information. Therefore, it may be possible to detect that tampered original data has been backed up. For example, a type of malware called ransomware encrypts files to prevent access to data and demands a ransom in exchange for a secret key for decryption, but the encrypted data has differences in the above-mentioned I/O pattern information compared to past data stored in the storage device 100. Therefore, according to the storage device 100 described in this embodiment, tampering can be detected without any problems in the above-mentioned cases.

また、本実施形態で説明したストレージ装置100によると、更新前(バックアップ前)にスナップショットを作成しておく。そして、改ざんを検知した場合、ストレージ装置100は、バックアップによるI/Oを制限することなく、改ざんを検知した旨をユーザなどに通知する。例えば、バックアップ対象データが増減されたり、バックアップソフト210が更新されたりすると、I/Oパターンが変動することもある。改ざんを検知しつつバックアップを失敗させないことで、上記のような場合に対応することが出来る。 Furthermore, according to the storage device 100 described in this embodiment, a snapshot is created before the update (before the backup). Then, if tampering is detected, the storage device 100 notifies the user, etc., that tampering has been detected, without restricting the I/O due to the backup. For example, if the data to be backed up is increased or decreased, or if the backup software 210 is updated, the I/O pattern may change. By detecting tampering without causing the backup to fail, it is possible to handle such cases.

また、ストレージによっては、ファイルに対して予め設定した一定の期間、更新を行えないようにする機能であるWORM(Write Once Read Many)機能を提供することがある。本実施形態で説明した方法によると、独自のプロトコルが必要になるWORM機能が不要となるため、バックアップソフト210の選定に制限を設けることなく、改ざんを検知することが出来る。 Some storage devices provide a WORM (Write Once Read Many) function that prevents updates to a file for a preset period of time. The method described in this embodiment eliminates the need for a WORM function that requires a unique protocol, making it possible to detect tampering without placing restrictions on the selection of backup software 210.

なお、ストレージ装置100は、I/Oパターン情報に基づいて、改ざんの検知の他にパフォーマンスのチューニングのための処理を行うよう構成してもよい。つまり、I/Oパターン情報は、ストレージ装置100のパフォーマンスを向上させるためにも用いることが出来る。このような構成によると、一定量のバックアップ試験実施(機械学習)を行うだけで、自動で最適なI/Oパフォーマンスにチューニングすることが出来る。その結果、例えば、新規にシステムを構築する場合や、バックアップソフト210、クライアント装置200のOSなどの更新をする場合などにかかる手間を削減することが可能となる。 The storage device 100 may be configured to perform processing for tuning performance in addition to detecting tampering based on the I/O pattern information. In other words, the I/O pattern information can also be used to improve the performance of the storage device 100. With this configuration, it is possible to automatically tune to optimal I/O performance simply by performing a certain amount of backup testing (machine learning). As a result, it is possible to reduce the effort required, for example, when building a new system or when updating the backup software 210 or the OS of the client device 200.

例えば、ファイルの作成数、ファイルへのライト、リードの量、リソースの割り当て比率などに対してあらかじめ閾値およびそれに対応するパラメータの値を設定しておく。そして、例えば、データ分析部120は、I/Oパターン情報が示す各実行データの値が閾値を超えた場合に、あらかじめ設定してあるパラメータ値を推奨値として出力する。なお、パラメータの値は、例えば、記憶装置150に格納された一定期間分のI/Oパターン情報などを入力として機械学習させたAIなどにより算出された値などであってもよい。つまり、データ分析部120が出力するパラメータは、ディープラーニングなど既知の技術を用いて算出されたものであってもよい。 For example, thresholds and corresponding parameter values are set in advance for the number of files created, the amount of writing and reading to files, resource allocation ratios, and the like. Then, for example, when the value of each execution data indicated by the I/O pattern information exceeds the threshold, the data analysis unit 120 outputs the preset parameter value as a recommended value. Note that the parameter value may be, for example, a value calculated by AI or the like that has been machine-learned using I/O pattern information for a certain period stored in the storage device 150 as input. In other words, the parameters output by the data analysis unit 120 may be calculated using known technology such as deep learning.

また、制御部130は、データ分析部120によりパラメータの変更が推奨された場合、ストレージ装置100自身のパラメータをデータ分析部120が出力する値に変更したり、クライアント装置200側のパラメータ値変更の実施、あるいは、提案などを行ったりすることが出来る。例えば、制御部130は、クライアント装置200側のパラメータ値変更の実施、あるいは、提案などを、クライアント装置200の提供するAPI、Webhook、メールなどを通じて行うよう構成してよい。 Furthermore, when the data analysis unit 120 recommends changing parameters, the control unit 130 can change the parameters of the storage device 100 itself to values output by the data analysis unit 120, or can change or suggest parameter values on the client device 200 side. For example, the control unit 130 can be configured to change or suggest parameter values on the client device 200 side through an API, webhook, email, or the like provided by the client device 200.

例えば、ソフトウェアが利用できるメモリ、CPU、ストレージ容量などのリソースには物理的に制限がある。そのため、ソフトウェア内部で目的別にリソースをあらかじめ割り当てるということが一般的に行われる。例えば、図6で示すように、ストレージ装置100では、ファイルを表現する構造体に利用するメモリ量と、ライトされるデータのバッファとして利用するメモリ量、リードされたデータをキャッシュするためのメモリ量をそれぞれ割り当てることが考えられる。 For example, there are physical limitations to the resources that software can use, such as memory, CPU, and storage capacity. For this reason, it is common for resources to be allocated in advance within the software according to purpose. For example, as shown in Figure 6, in the storage device 100, it is possible to allocate an amount of memory to be used for structures that represent files, an amount of memory to be used as a buffer for written data, and an amount of memory to be used to cache read data.

このようなリソースの内部的な割り当ては、一般的なユースケースに最適化された状態をデフォルトとしてソフトウェアに組み込まれることが考えられる。しかしながら、個々のケースにおいては、上記のようなリソース割り当てがネックとなり性能の低下を招くことがある。また、ユーザがこのようなソフトウェア内の仕様を理解し、パラメータ設定によりこれらを変更するということは困難であることが多い。 It is thought that such internal resource allocations are built into the software as defaults, with the state optimized for common use cases. However, in individual cases, the resource allocations described above can become a bottleneck, leading to a decrease in performance. In addition, it is often difficult for users to understand the specifications within such software and change them by setting parameters.

そこで、過去に行われた実際のI/Oパターンを示すI/Oパターン情報に基づいて上記割り当てをチューニングする。例えば、データ分析部120は、I/Oパターン情報に含まれるファイル構造体のメモリ使用率が閾値(例えば、100%となった回数の平均が3など)を超えた場合に、予め定められたパラメータ(例えば、ファイル構造体のメモリ割り当てを10%増し、リードキャッシュのメモリ割り当てを10%削減するなど)を出力する。例えば、以上のように、データ分析部120や制御部130は、I/Oパターン情報に基づいて、改ざんの検知の他にパフォーマンスのチューニングのための処理を行うよう構成してもよい。 The above allocation is therefore tuned based on I/O pattern information that indicates actual I/O patterns performed in the past. For example, when the memory usage rate of a file structure included in the I/O pattern information exceeds a threshold value (for example, the average number of times it has reached 100% is 3), the data analysis unit 120 outputs a predetermined parameter (for example, increase the memory allocation of the file structure by 10% and reduce the memory allocation of the read cache by 10%). For example, as described above, the data analysis unit 120 and the control unit 130 may be configured to perform processing for tuning performance in addition to detecting tampering based on the I/O pattern information.

[第2の実施形態]
次に、図7、図8を参照して、本開示の第2の実施形態について説明する。第2の実施形態では、ストレージ装置300について説明する。 Second Embodiment
Next, a second embodiment of the present disclosure will be described with reference to Fig. 7 and Fig. 8. In the second embodiment, a storage device 300 will be described.

図7は、ストレージ装置300のハードウェア構成例を示している。図7を参照すると、ストレージ装置300は、一例として、以下のようなハードウェア構成を有している。
・CPU(Central Processing Unit)301(演算装置)
・ROM(Read Only Memory)302(記憶装置)
・RAM(Random Access Memory)303(記憶装置)
・RAM303にロードされるプログラム群304
・プログラム群304を格納する記憶装置305
・ストレージ装置外部の記録媒体310の読み書きを行うドライブ装置306
・ストレージ装置外部の通信ネットワーク311と接続する通信インタフェース307
・データの入出力を行う入出力インタフェース308
・各構成要素を接続するバス309 Fig. 7 shows an example of the hardware configuration of the storage device 300. Referring to Fig. 7, the storage device 300 has, as an example, the following hardware configuration.
・CPU (Central Processing Unit) 301 (arithmetic unit)
ROM (Read Only Memory) 302 (storage device)
RAM (Random Access Memory) 303 (storage device)
Program group 304 loaded into RAM 303
A storage device 305 for storing the programs 304
A drive device 306 that reads and writes data from and to a recording medium 310 outside the storage device.
A communication interface 307 that connects to a communication network 311 outside the storage device
Input/output interface 308 for inputting and outputting data
A bus 309 that connects each component

また、ストレージ装置300は、プログラム群304をCPU301が取得して当該CPU301が実行することで、図8に示す収集部321、検知部322としての機能を実現することが出来る。なお、プログラム群304は、例えば、予め記憶装置305やROM302に格納されており、必要に応じてCPU301がRAM303などにロードして実行する。また、プログラム群304は、通信ネットワーク311を介してCPU301に供給されてもよいし、予め記録媒体310に格納されており、ドライブ装置306が該プログラムを読み出してCPU301に供給してもよい。 In addition, the storage device 300 can realize the functions of the collection unit 321 and detection unit 322 shown in FIG. 8 by having the CPU 301 acquire and execute the group of programs 304. The group of programs 304 is stored in advance in the storage device 305 or ROM 302, for example, and is loaded into the RAM 303 or the like by the CPU 301 for execution as necessary. The group of programs 304 may be supplied to the CPU 301 via the communication network 311, or may be stored in advance in the recording medium 310, and the drive device 306 may read out the programs and supply them to the CPU 301.

なお、図7は、ストレージ装置300のハードウェア構成例を示している。ストレージ装置300のハードウェア構成は上述した場合に限定されない。例えば、ストレージ装置300は、ドライブ装置306を有さないなど、上述した構成の一部から構成されてもよい。 Note that FIG. 7 shows an example of the hardware configuration of the storage device 300. The hardware configuration of the storage device 300 is not limited to the above-described case. For example, the storage device 300 may be configured with only a part of the above-described configuration, such as not having the drive device 306.

収集部321は、バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集する。 The collection unit 321 collects I/O pattern information, which is information corresponding to the operations performed when performing backup processing.

検知部322は、収集部321が収集したI/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する。 The detection unit 322 detects tampering with the data to be backed up based on the I/O pattern information collected by the collection unit 321.

このように、ストレージ装置300は、収集部321と検知部322とを有している。このような構成によると、検知部322は、収集部321が収集したI/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知することが出来る。その結果、改ざんを的確に検知することが可能となる。 As described above, the storage device 300 has a collection unit 321 and a detection unit 322. With this configuration, the detection unit 322 can detect tampering with the data to be backed up based on the I/O pattern information collected by the collection unit 321. As a result, it becomes possible to accurately detect tampering.

なお、上述したストレージ装置300は、当該ストレージ装置300などの情報処理装置に所定のプログラムが組み込まれることで実現できる。具体的に、本発明の他の形態であるプログラムは、ストレージ装置300などの情報処理装置に、バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、収集したI/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する処理を実現させるためのプログラムである。 The above-mentioned storage device 300 can be realized by incorporating a specific program into an information processing device such as the storage device 300. Specifically, a program that is another embodiment of the present invention is a program for causing an information processing device such as the storage device 300 to collect I/O pattern information, which is information corresponding to the operation when performing backup processing, and to realize processing for detecting tampering with the data to be backed up based on the collected I/O pattern information.

また、上述したストレージ装置300などの情報処理装置により実現される改ざん検知方法は、ストレージ装置300などの情報処理装置が、バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、収集したI/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する、という方法である。 The tamper detection method realized by an information processing device such as the storage device 300 described above is a method in which the information processing device such as the storage device 300 collects I/O pattern information, which is information corresponding to the operation when performing backup processing, and detects tampering of the data to be backed up based on the collected I/O pattern information.

上述した構成を有する、プログラム(または記録媒体)、または、改ざん検知方法、の発明であっても、上述したストレージ装置300と同様の作用・効果を有するために、上述した本発明の目的を達成することが出来る。 Even if the invention is a program (or recording medium) or a tamper detection method having the above-mentioned configuration, it has the same action and effect as the above-mentioned storage device 300, and therefore can achieve the above-mentioned object of the present invention.

<付記>
上記実施形態の一部又は全部は、以下の付記のようにも記載されうる。以下、本発明におけるストレージ装置などの概略を説明する。但し、本発明は、以下の構成に限定されない。 <Additional Notes>
A part or all of the above-described embodiment can be described as follows: A storage device and the like according to the present invention will be outlined below. However, the present invention is not limited to the following configuration.

(付記1)
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集する収集部と、
前記収集部が収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する検知部と、
を有する
ストレージ装置。
(付記2)
前記収集部は、ストレージ装置内で前記I/Oパターン情報を収集するとともに、前記バックアップ対象データを送信するクライアント装置から当該クライアント装置内で取得された前記I/Oパターン情報を取得する
付記1に記載のストレージ装置。
(付記3)
前記I/Oパターン情報には、バックアップソフトのログが含まれている
付記1または付記2に記載のストレージ装置。
(付記4)
前記検知部は、前記I/Oパターン情報に含まれる各情報に対して予め付与された特性情報に基づいて、改ざんを検知する
付記1から付記3までのいずれか1項に記載のストレージ装置。
(付記5)
前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を用いた機械学習の結果を用いて改ざんを検知する
付記1から付記4までのうちのいずれか1項にストレージ装置。
(付記6)
前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を成分とする主成分分析を用いて改ざんを検知する
付記1から付記5までのうちのいずれか1項に記載のストレージ装置。
(付記7)
前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を特徴量として予め機械学習により分類しておいた結果を用いて改ざんを検知する
付記1から付記6までのうちのいずれか1項に記載のストレージ装置。
(付記8)
バックアップによる更新前にファイルシステムのスナップショットを作成する制御部を有し、
前記検知部が改ざんを検知した際でもバックアップを失敗させない
付記1から付記7までのうちのいずれか1項に記載のストレージ装置。
(付記9)
前記検知部は、前記I/Oパターン情報に基づいて、所定のパラメータ値を出力する
付記1から付記8までのうちのいずれか1項に記載のストレージ装置。
(付記10)
情報処理装置が、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する
改ざん検知方法。
(付記11)
情報処理装置に、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する
処理を実現させるためのプログラム。 (Appendix 1)
A collection unit that collects I/O pattern information, which is information corresponding to an operation when performing a backup process;
a detection unit that detects tampering with data to be backed up based on the I/O pattern information collected by the collection unit;
A storage device having the above configuration.
(Appendix 2)
The storage device according to claim 1, wherein the collection unit collects the I/O pattern information within the storage device, and acquires the I/O pattern information acquired within a client device from a client device that transmits the data to be backed up.
(Appendix 3)
The storage device according to claim 1 or 2, wherein the I/O pattern information includes a log of a backup software.
(Appendix 4)
The storage device according to any one of claims 1 to 3, wherein the detection unit detects tampering based on characteristic information previously assigned to each piece of information included in the I/O pattern information.
(Appendix 5)
The storage device according to any one of Supplementary Note 1 to Supplementary Note 4, wherein the detection unit detects tampering by using a result of machine learning using information included in the I/O pattern information collected in the past.
(Appendix 6)
The storage device according to any one of claims 1 to 5, wherein the detection unit detects tampering by using principal component analysis, the principal component analysis being information included in the I/O pattern information collected in the past.
(Appendix 7)
The storage device according to any one of claims 1 to 6, wherein the detection unit detects tampering by using the results of classification of information contained in the I/O pattern information collected in the past as features previously performed by machine learning.
(Appendix 8)
A control unit that creates a snapshot of a file system before updating the file system by a backup;
8. The storage device according to claim 1, wherein the detection unit does not cause the backup to fail even when the detection unit detects tampering.
(Appendix 9)
9. The storage device according to claim 1, wherein the detection unit outputs a predetermined parameter value based on the I/O pattern information.
(Appendix 10)
An information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
The tampering detection method detects tampering with data to be backed up based on the collected I/O pattern information.
(Appendix 11)
In the information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
A program for implementing a process of detecting tampering with data to be backed up based on the collected I/O pattern information.

なお、上記各実施形態及び付記において記載したプログラムは、記憶装置に記憶されていたり、コンピュータが読み取り可能な記録媒体に記録されていたりする。例えば、記録媒体は、フレキシブルディスク、光ディスク、光磁気ディスク、及び、半導体メモリ等の可搬性を有する媒体である。 The programs described in the above embodiments and appendices may be stored in a storage device or a computer-readable recording medium. For example, the recording medium may be a portable medium such as a flexible disk, an optical disk, a magneto-optical disk, or a semiconductor memory.

以上、上記各実施形態を参照して本願発明を説明したが、本願発明は、上述した実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明の範囲内で当業者が理解しうる様々な変更をすることが出来る。 The present invention has been described above with reference to the above-mentioned embodiments, but the present invention is not limited to the above-mentioned embodiments. Various modifications that can be understood by a person skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.

100 ストレージ装置
110 I/Oパターン収集部
120 データ分析部
130 制御部
140 通報部
150 記憶装置
200 クライアント装置
210 バックアップソフト
220 収集部
300 ストレージ装置
301 CPU
302 ROM
303 RAM
304 プログラム群
305 記憶装置
306 ドライブ装置
307 通信インタフェース
308 入出力インタフェース
309 バス
310 記録媒体
311 通信ネットワーク
321 収集部
322 検知部

 Reference Signs List 100 Storage device 110 I/O pattern collection unit 120 Data analysis unit 130 Control unit 140 Report unit 150 Storage device 200 Client device 210 Backup software 220 Collection unit 300 Storage device 301 CPU
302 ROM
303 RAM
304 Program group 305 Storage device 306 Drive device 307 Communication interface 308 Input/output interface 309 Bus 310 Recording medium 311 Communication network 321 Collection unit 322 Detection unit

Claims (10)

バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集する収集部と、
前記収集部が収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知する検知部と、
を有し、
前記検知部は、前記I/Oパターン情報に含まれる各情報に対して予め付与された特性情報に基づいて、改ざんを検知し、
前記特性情報は、バックアップにより不変なものであることを示すことができ、
前記検知部は、検知対象となる前記I/Oパターン情報に前記特性情報から外れる情報が含まれる場合に、改ざんを検知する
ストレージ装置。 A collection unit that collects I/O pattern information, which is information corresponding to an operation when performing a backup process;
a detection unit that detects tampering with data to be backed up based on the I/O pattern information collected by the collection unit;
having
The detection unit detects tampering based on characteristic information previously assigned to each piece of information included in the I/O pattern information,
The characteristic information may be indicated as being immutable by a backup;
The detection unit detects tampering when the I/O pattern information to be detected includes information that deviates from the characteristic information. 前記収集部は、ストレージ装置内で前記I/Oパターン情報を収集するとともに、前記バックアップ対象データを送信するクライアント装置から前記ストレージ装置内で収集可能なI/Oパターン情報とは異なる当該クライアント装置内で取得された前記I/Oパターン情報を取得する
請求項1に記載のストレージ装置。 The storage device according to claim 1, wherein the collection unit collects the I/O pattern information within the storage device, and acquires the I/O pattern information acquired within the client device that transmits the data to be backed up, which is different from the I/O pattern information that can be collected within the storage device. 前記I/Oパターン情報には、バックアップソフトのログが含まれている
請求項1または請求項2に記載のストレージ装置。 3. The storage device according to claim 1, wherein the I/O pattern information includes a log of a backup software. 前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を用いた機械学習の結果を用いて改ざんを検知する
請求項1から請求項3までのうちのいずれか1項にストレージ装置。 The storage device according to claim 1 , wherein the detection unit detects tampering by using a result of machine learning using information included in the I/O pattern information collected in the past. 前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を成分とする主成分分析を用いて改ざんを検知する
請求項1から請求項4までのうちのいずれか1項に記載のストレージ装置。 The storage device according to claim 1 , wherein the detection unit detects tampering by using principal component analysis, the principal component being information included in the I/O pattern information collected in the past. 前記検知部は、過去に収集した前記I/Oパターン情報に含まれる情報を特徴量として予め機械学習により分類しておいた結果を用いて改ざんを検知する
請求項1から請求項5までのうちのいずれか1項に記載のストレージ装置。 The storage device according to claim 1 , wherein the detection unit detects tampering by using the results of classification of information contained in the I/O pattern information collected in the past as features previously performed by machine learning. バックアップによる更新前にファイルシステムのスナップショットを作成する制御部を有し、
前記検知部による改ざんの検知に応じてバックアップによるI/Oを制限せずにバックアップ処理を行うとともに検知に応じた通報を行い、前記検知部が改ざんを検知しなかった場合、前記制御部は作成した前記スナップショットを削除する
請求項1から請求項6までのうちのいずれか1項に記載のストレージ装置。 A control unit that creates a snapshot of a file system before updating the file system by a backup;
7. The storage device according to claim 1, wherein, in response to detection of tampering by the detection unit, a backup process is performed without restricting I/O by backup and a notification is issued in response to the detection, and if the detection unit does not detect tampering, the control unit deletes the created snapshot. 前記検知部は、前記I/Oパターン情報に基づいて、所定のパラメータ値を出力する
請求項1から請求項7までのうちのいずれか1項に記載のストレージ装置。 The storage device according to claim 1 , wherein the detection unit outputs a predetermined parameter value based on the I/O pattern information. 情報処理装置が、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知し、
改ざんを検知する際、前記I/Oパターン情報に含まれる各情報に対して予め付与された特性情報に基づいて、改ざんを検知し、
前記特性情報は、バックアップにより不変なものであることを示すことができ、
改ざんを検知する際、検知対象となる前記I/Oパターン情報に前記特性情報から外れる情報が含まれる場合に、改ざんを検知する
改ざん検知方法。 An information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
Detecting tampering with the data to be backed up based on the collected I/O pattern information;
When detecting tampering, the tampering is detected based on characteristic information previously assigned to each piece of information included in the I/O pattern information;
The characteristic information may be indicated as being immutable by a backup;
When detecting tampering, the tampering is detected if the I/O pattern information to be detected includes information that deviates from the characteristic information. 情報処理装置に、
バックアップ処理を行う際の動作に応じた情報であるI/Oパターン情報を収集し、
収集した前記I/Oパターン情報に基づいてバックアップ対象データに対する改ざんを検知し、
改ざんを検知する際、前記I/Oパターン情報に含まれる各情報に対して予め付与された特性情報に基づいて、改ざんを検知し、
前記特性情報は、バックアップにより不変なものであることを示すことができ、
改ざんを検知する際、検知対象となる前記I/Oパターン情報に前記特性情報から外れる情報が含まれる場合に、改ざんを検知する
処理を実現させるためのプログラム。 In the information processing device,
Collect I/O pattern information, which is information corresponding to the operation when performing backup processing;
Detecting tampering with the data to be backed up based on the collected I/O pattern information;
When detecting tampering, the tampering is detected based on characteristic information previously assigned to each piece of information included in the I/O pattern information;
The characteristic information may be indicated as being immutable by a backup;
A program for implementing a process for detecting tampering when the I/O pattern information to be detected includes information that deviates from the characteristic information.
JP2020200366A 2020-12-02 2020-12-02 Storage Device Active JP7670307B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020200366A JP7670307B2 (en) 2020-12-02 2020-12-02 Storage Device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020200366A JP7670307B2 (en) 2020-12-02 2020-12-02 Storage Device

Publications (2)

Publication Number Publication Date
JP2022088107A JP2022088107A (en) 2022-06-14
JP7670307B2 true JP7670307B2 (en) 2025-04-30

Family

ID=81982186

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020200366A Active JP7670307B2 (en) 2020-12-02 2020-12-02 Storage Device

Country Status (1)

Country Link
JP (1) JP7670307B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006302015A (en) 2005-04-21 2006-11-02 Hitachi Ltd Storage system and data management method
JP2018055394A (en) 2016-09-29 2018-04-05 富士通株式会社 Information processing apparatus and program
JP2019505919A (en) 2016-02-01 2019-02-28 シマンテック コーポレーションSymantec Corporation System and method for modifying file backup in response to detecting potential ransomware
US20190236274A1 (en) 2018-01-31 2019-08-01 EMC IP Holding Company LLC Detection of and recovery from ransomware in backup data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006302015A (en) 2005-04-21 2006-11-02 Hitachi Ltd Storage system and data management method
JP2019505919A (en) 2016-02-01 2019-02-28 シマンテック コーポレーションSymantec Corporation System and method for modifying file backup in response to detecting potential ransomware
JP2018055394A (en) 2016-09-29 2018-04-05 富士通株式会社 Information processing apparatus and program
US20190236274A1 (en) 2018-01-31 2019-08-01 EMC IP Holding Company LLC Detection of and recovery from ransomware in backup data

Also Published As

Publication number Publication date
JP2022088107A (en) 2022-06-14

Similar Documents

Publication Publication Date Title
US10997209B2 (en) Creating replicas at user-defined points in time
US9632875B2 (en) Automated and self-adjusting data protection driven by business and data activity events
US8055633B2 (en) Method, system and computer program product for duplicate detection
JP2022552891A (en) Inspecting backups for vulnerabilities
US8806062B1 (en) Adaptive compression using a sampling based heuristic
US20120296878A1 (en) File set consistency verification system, file set consistency verification method, and file set consistency verification program
JPH04299748A (en) File management method and device
US10133757B2 (en) Method for managing data using in-memory database and apparatus thereof
CN114020558A (en) Alarm callback method, platform, system, device, equipment and storage medium
US11949710B2 (en) System and method for efficient early indication of ransomware attack for damage prevention and control
CN114003439B (en) Data backup method, device, equipment and storage medium
CN114518985B (en) Failure indication for storage system commands
JP7670307B2 (en) Storage Device
KR102217143B1 (en) Method and apparatus for detecting sensitive information stored in file system
CN120653205A (en) Garbage collection testing method and device, electronic equipment and storage medium
CN108459927A (en) A kind of data back up method, device and server
CN111078418B (en) Operation synchronization method, device, electronic equipment and computer readable storage medium
CN113691395A (en) Network operation and maintenance method and device, computer equipment and storage medium
CN117743307A (en) Data cleaning method, device and computer equipment
CN108377670A (en) A method for processing services, a service node, a control node and a distributed system
CN113986841A (en) All-node rapid acquisition and analysis system and method for I2P network
JP6167625B2 (en) Packet recording device
JP7180319B2 (en) Information processing device and dump management method for information processing device
US12411975B2 (en) Incremental synchronization of metadata
JP2019175045A (en) Information processing device, information processing method, information processing program, and storage device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231107

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240604

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240730

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20241029

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20241212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20250318

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20250410

R150 Certificate of patent or registration of utility model

Ref document number: 7670307

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150