特許ウォッチ

公開番号2025014372
公報種別公開特許公報(A)
公開日2025-01-30
出願番号2023116871
出願日2023-07-18
発明の名称ストレージシステム及び不正プログラム検知方法
出願人日立ヴァンタラ株式会社
代理人弁理士法人信友国際特許事務所
主分類G06F 3/06 20060101AFI20250123BHJP(計算;計数)
要約【課題】データの圧縮処理を行わなくても、不正プログラムを検知することが可能なストレージシステムを提供する。
【解決手段】ストレージシステム1は、記憶デバイス150に入出力するデータを処理するプロセッサ110を備える。プロセッサ110は、重複するデータを重複排除して記憶デバイス150に格納し、所定の記憶単位における重複するデータの割合である重複率を算出し、データの更新前における重複率とデータの更新後における重複率との変化を所定の記憶単位で検出する重複検出プログラムP3をプロセッサ110上で稼働する。また、プロセッサ110は、重複検出プログラムP3が検出した重複率の変化にかかる閾値を重複率閾値とし、重複率の低下量が重複率閾値を超える場合に、データがランサムウェアにより更新されたことを検知するランサムウェア検知プログラムP4をプロセッサ110上で稼働する。
【選択図】図3
特許請求の範囲【請求項１】
記憶デバイスに入出力するデータを処理するプロセッサを備えたストレージシステムにおいて、
前記プロセッサは、重複するデータを重複排除して前記記憶デバイスに格納し、所定の記憶単位における前記重複するデータの割合である重複率を算出し、
前記プロセッサ上で稼働し、前記データの更新前における重複率とデータの更新後における重複率との変化を所定の記憶単位で検出する重複検出部と、
前記プロセッサ上で稼働し、前記検出した重複率の変化にかかる閾値を重複率閾値とし、前記重複率の低下量が前記重複率閾値を超える場合に、前記データが不正プログラムにより更新されたことを検知する不正プログラム検知部と、を備える
ストレージシステム。
続きを表示（約 2,000 文字）【請求項２】
前記記憶単位ごとに前記データの重複状態を管理する重複状態管理表と、
前記データに行われた操作ごとの操作ログを格納する操作ログリストと、を備え、
前記重複検出部は、前記重複状態管理表に非重複と格納されている前記データに対して前記重複率の変化を算出し、
前記不正プログラム検知部は、前記操作ログに基づいて、前記データが不正プログラムにより更新されたことを検知する
請求項１に記載のストレージシステム。
【請求項３】
前記操作ログには、前記データに対する操作種別として、前記データの名称を変更するリネーム操作が含まれ、
前記不正プログラム検知部は、前記リネーム操作の数にかかる閾値をリネーム操作数閾値とし、前記操作ログリストに格納される、一定期間内における前記リネーム操作の数が、前記リネーム操作数閾値を超える場合に、前記データが前記不正プログラムにより更新されたことを検知する
請求項２に記載のストレージシステム。
【請求項４】
前記操作ログには、前記データに対する操作種別として、前記データが更新されたライト操作が含まれ、
前記不正プログラム検知部は、前記ライト操作により更新される前記データのデータサイズにかかる閾値をデータサイズ閾値とし、前記操作ログリストに格納される、一定期間内における前記ライト操作により更新されたデータのデータサイズが、前記データサイズ閾値を超える場合に、前記データが前記不正プログラムにより更新されたことを検知する
請求項３に記載のストレージシステム。
【請求項５】
前記操作ログには、前記データに対する操作種別として、前記重複検出部によって前記重複率の低下量が前記重複率閾値を超えたことが検出された情報が含まれ、
前記不正プログラム検知部は、前記重複率の低下量が前記重複率閾値を超える数にかかる閾値を低下数閾値とし、前記操作ログリストに格納される、一定期間内における前記重複率の低下量が前記重複率閾値を超えた数が、前記低下数閾値を超える場合に、前記データが前記不正プログラムにより更新されたことを検知する
請求項４に記載のストレージシステム。
【請求項６】
前記不正プログラム検知部は、前記一定期間内における前記リネーム操作の数、前記一定期間内における前記ライト操作により更新されたデータのデータサイズ、及び一定期間内における前記重複率の低下量が前記重複率閾値を超えた数のうち、少なくとも二つの組み合わせを基に、前記データが前記不正プログラムにより更新されたことを検知する
請求項５に記載のストレージシステム。
【請求項７】
前記重複状態管理表に管理される前記データのオフセットに合わせて生成されるフィンガプリントと、前記データを所定の長さで分けたチャンクのチャンク数とを格納する重複チャンク判定表を備え、
前記重複検出部は、前記重複状態管理表に基づき、前記重複状態が判定されていないチャンクのフィンガプリントを算出し、前記重複チャンク判定表に格納される前記フィンガプリントと一致する場合には、算出した前記フィンガプリントと一致するチャンクのチャンク数を加算し、前記重複チャンク判定表に格納される前記フィンガプリントと一致しない場合には、算出した前記フィンガプリントを前記重複チャンク判定表に追加し、前記チャンク数に基づいて前記重複率を計算する
請求項５に記載のストレージシステム。
【請求項８】
前記記憶単位は、ブロック単位、ファイル単位、ファイル種別単位、ディレクトリ単位、又はボリューム単位のいずれかである
請求項７に記載のストレージシステム。
【請求項９】
前記プロセッサ上で稼働し、前記不正プログラム検知部が検知する、前記不正プログラムにより更新された前記データに対する保護処理を行う保護処理部を備える
請求項８に記載のストレージシステム。
【請求項１０】
記憶デバイスに入出力するデータを処理するプロセッサを備えたストレージシステムで用いられる不正プログラム検知方法において、
前記プロセッサが、重複するデータを重複排除して前記記憶デバイスに格納し、所定の記憶単位における前記重複するデータの割合である重複率を算出するステップと、
前記プロセッサが、前記データの更新前における重複率と、前記データの更新後における重複率との変化を所定の記憶単位で検出するステップと、
前記プロセッサが、前記検出した重複率の変化にかかる閾値を重複率閾値とし、前記重複率の低下量が前記重複率閾値を超える場合に、前記データが不正プログラムにより更新されたと判定するステップと、を含む
不正プログラム検知方法。

発明の詳細な説明【技術分野】
【０００１】
本発明は、ストレージシステム及び不正プログラム検知方法に関する。
続きを表示（約 2,200 文字）【背景技術】
【０００２】
近年、ランサムウェアを筆頭とする不正プログラムによるサービス破壊型のサイバー攻撃が急増している。ランサムウェアとしては、ファイルを暗号化し、ファイルの復旧と引き換えに身代金を要求するマルウェアが知られている。マルウェアとは、悪意のあるソフトウェアや悪質なコードである。
【０００３】
ランサムウェアは、運用中のＩＴシステムをサービス停止に追い込むだけでなく、ＩＴシステムのデータ及びバックアップをも破壊することで、ＩＴシステムだけでなく、ＩＴシステムを通じて提供されるビジネス自体に甚大な被害をもたらす。このような被害からデータを保護するため、ランサムウェアを早期に検知し、攻撃前のデータに復元できるストレージが求められている。
【０００４】
特許文献１には、「要求が悪意のあるアクションを示しているとの判定に応答して、要求された操作に関して是正アクションを実行する」と記載されている。
【先行技術文献】
【特許文献】
【０００５】
米国特許出願公開第２０２１／０２１６６２７号明細書
【発明の概要】
【発明が解決しようとする課題】
【０００６】
特許文献１を利用したストレージシステムでは、圧縮が効くデータを圧縮困難なデータで上書きする場合、又は一定期間内のＷｒｉｔｅリクエスト数が多い場合にランサムウェアの可能性があると判断される。しかし、ランサムウェアを検出するためには、必ず圧縮処理を行う必要があり、ストレージシステムの性能が著しく低下する問題があった。
【０００７】
本発明はこのような状況に鑑みて成されたものであり、データの圧縮処理を行わなくても、不正プログラムを検知することを目的とする。
【課題を解決するための手段】
【０００８】
本発明に係るストレージシステムは、記憶デバイスに入出力するデータを処理するプロセッサを備え、プロセッサは、重複するデータを重複排除して記憶デバイスに格納し、所定の記憶単位における重複するデータの割合である重複率を算出し、プロセッサ上で稼働し、データの更新前における重複率とデータの更新後における重複率との変化を所定の記憶単位で検出する重複検出部と、プロセッサ上で稼働し、検出した重複率の変化にかかる閾値を重複率閾値とし、重複率の低下量が重複率閾値を超える場合に、データが不正プログラムにより更新されたことを検知する不正プログラム検知部と、を備える。
【発明の効果】
【０００９】
本発明によれば、データの圧縮処理を行わなくても、重複率の低下量が重複率閾値を超える場合に、データが不正プログラムにより更新されたことを検知することができる。
上記した以外の課題、構成及び効果は、以下の実施形態に係る説明により明らかにされる。
【図面の簡単な説明】
【００１０】
本発明の第１の実施形態に係るストレージシステムの全体構成例を示すブロック図である。
本発明の第１の実施形態に係る重複率を説明するための図である。
本発明の第１の実施形態に係る計算機システムの全体構成例を示すブロック図である。
本発明の第１の実施形態に係る重複状態管理表の一例を示す構成図である。
本発明の第１の実施形態に係る重複チャンク判定表の一例を示す構成図である。
本発明の第１の実施形態に係る操作ログリストの一例を示す構成図である。
本発明の第１の実施形態に係るユーザＩ／Ｏ処理の一例を示すフローチャートである。
本発明の第１の実施形態に係るファイル更新処理の一例を示すフローチャートである。
本発明の第１の実施形態に係る重複検出処理の一例を示すフローチャートである。
本発明の第１の実施形態に係るランサムウェア検知処理の一例を示すフローチャートである。
本発明の第２の実施形態に係る計算機システムの全体構成例を示すブロック図である。
本発明の第２の実施形態に係るファイル種別重複率管理表の一例を示す構成図である。
本発明の第２の実施形態に係る重複検出処理の一例を示すフローチャートである。
本発明の第２の実施形態に係るランサムウェア検知処理の一例を示すフローチャートである。
本発明の第３の実施形態に係る計算機システムの全体構成例を示すブロック図である。
本発明の第３の実施形態に係る重複状態管理表の一例を示す構成図である。
本発明の第３の実施形態に係る操作ログリストの一例を示す構成図である。
本発明の第３の実施形態に係るブロックＩ／Ｏ処理の一例を示すフローチャートである。
本発明の第３の実施形態に係るブロック更新処理の一例を示すフローチャートである。
本発明の第３の実施形態に係る重複検出処理の一例を示すフローチャートである。
本発明の第３の実施形態に係るランサムウェア検知処理の一例を示すフローチャートである。
【発明を実施するための形態】
（【００１１】以降は省略されています）

関連特許