分布式存储文件的恢复方法及装置与流程

1.本公开涉及云计算技术领域，尤其涉及一种分布式存储文件的恢复方法、装置、电子设备及可读存储介质。


背景技术：

2.勒索病毒是一种常见的、危害极大的新型计算机病毒，这种病毒主要通过互联网进行传播。勒索病毒的工作流程为：首先找到待攻击的文件，获取文件及相关信息生成公钥私钥，然后读取文件数据，加密后生成新文件，删除原文件。
3.相关技术中，通过监控磁盘中每个文件的i/o(input/output，输入/输出)操作，然后部署污点文件，监控污点文件的i/o操作，当通过监控发现操作状态异常时，获取终端当下的所有进程，若某个进程满足勒索病毒的任一特定属性，则确定与进程对应的软件为勒索病毒。通过这种方式只能检测已知的勒索病毒，对于未知或变异的勒索病毒，这种后期查杀的方式无法避免原文件被加密并删除的损失。为了避免这种损失，目前采用cdp(continuous data protection，持续数据保护)技术，恢复文件系统上的数据。cdp包括定时和实时两种模式，但是定时cdp会丢失在周期内的数据更新，而实时cdp则需要捕获和拷贝每个i/o，对于修改较频繁的文件，如数据库的底层文件，采用实时cdp技术对系统资源消耗大，影响数据库的性能。同时随着磁盘的容量越来越大，能存储的文件越多，在监控磁盘中文件的修改时，需要遍历磁盘中所有的文件，占用大量磁盘带宽，计算文件校验值，也需要占用大量的cpu(中央处理器，central processing unit)资源。
4.综上，在对磁盘内大量文件进行统一防护时，如何避免因海量文件单独检测导致计算机性能下降是当前亟需解决的问题。


技术实现要素：

5.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种分布式存储文件的恢复方法，避免了虚拟机上的软件被复用或非法使用的问题。
6.为了实现上述目的，本公开实施例提供技术方案如下：
7.第一方面，本公开的实施例提供一种分布式存储文件的恢复方法，应用于超融合系统，所述超融合系统通过分布式存储系统管理；所述方法包括：
8.当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件；所述目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成；所述掩体文件是通过对所述目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件；
9.保存所述目标文件的删除日志；所述删除日志包括：目标文件的文件路径以及位置信息；所述文件路径包括所述目标文件所在的目录以及文件名；所述位置信息包括所述目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号；
10.根据所述删除日志恢复所述目标文件。
11.作为本公开实施例一种可选的实施方式，在创建基于多级链式的掩体文件之前，所述方法还包括：
12.通过分布式存储系统的磁盘获取分布式存储在存储设备中的存储单元文件集合；
13.从所述存储单元文件集合中获取至少一个目标文件。
14.作为本公开实施例一种可选的实施方式，若第一目标文件与第二目标文件存储于同一个目标存储单元中，则所述创建基于多级链式的掩体文件，包括：
15.当第一目标文件被删除时，创建第一掩体文件，并在所述第一掩体文件对应的存储单元格中进行写零填充；所述第一掩体文件创建于所述目标存储单元的第一层；所述第一目标文件的各个数据块存储于所述目标存储单元的第零层；
16.当所述第二目标文件被删除时，创建第二掩体文件，并在所述第二掩体文件对应的存储单元格中进行写零填充；所述第二掩体文件创建于所述目标存储单元的第二层；所述第二目标文件的各个数据块存储于所述目标存储单元的第零层；
17.其中，所述第一掩体文件与所述第二掩体文件形成基于多级链式的掩体文件。
18.作为本公开实施例一种可选的实施方式，在创建基于多级链式的掩体文件之后，所述方法还包括：
19.接收输入输出io访问请求；
20.若掩体文件所在存储单元格有数据，则执行io操作；
21.若掩体文件所在存储单元格为空洞，则依次从掩体文件所在存储单元格的最高层逐层向下进行数据读取。
22.作为本公开实施例一种可选的实施方式，根据第一次io访问请求的访问结果，确定索引数组中每个元素的值；所述索引数组中的每个元素用于表示每个存储有数据块的存储单元格的最高层数；所述最高层数由存储单元创建的掩体文件的数量决定。
23.作为本公开实施例一种可选的实施方式，当再次接收到io访问请求时，根据所述索引数组查找各个数据块的位置，执行io操作。
24.作为本公开实施例一种可选的实施方式，所述根据所述删除日志构造并恢复所述目标文件，包括：
25.根据所述删除日志确定所述目标文件所在的目录以及文件名；
26.根据所述删除日志确定所述目标文件的各个数据块所在存储单元的唯一编号；
27.根据所述删除日志确定所述目标文件的各个数据块创建掩体文件所在的层数；
28.根据所述删除日志确定所述目标文件的各个数据块所在存储单元格的唯一编号；
29.根据所述目标文件所在的目录以及文件名、各个数据块所在存储单元的唯一编号、各个数据块创建掩体文件所在的层数、各个数据块所在存储单元格的唯一编号构造所述目标文件。
30.第二方面，本公开实施例提供一种分布式存储文件的恢复装置，包括：
31.文件创建模块，用于当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件；所述目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成；所述掩体文件是通过对所述目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件；
32.日志保存模块，用于保存所述目标文件的删除日志；所述删除日志包括：目标文件
的文件路径以及位置信息；所述文件路径包括所述目标文件所在的目录以及文件名；所述位置信息包括所述目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号；
33.文件恢复模块，用于根据所述删除日志恢复所述目标文件。
34.作为本公开实施例一种可选的实施方式，所述装置还包括获取模块，所述获取模块用于通过分布式存储系统的磁盘获取分布式存储在存储设备中的存储单元文件集合；从所述存储单元文件集合中获取至少一个目标文件。
35.作为本公开实施例一种可选的实施方式，若第一目标文件与第二目标文件存储于同一个目标存储单元中，则所述创建基于多级链式的掩体文件，包括：当第一目标文件被删除时，创建第一掩体文件，并在所述第一掩体文件对应的存储单元格中进行写零填充；所述第一掩体文件创建于所述目标存储单元的第一层；所述第一目标文件的各个数据块存储于所述目标存储单元的第零层；当所述第二目标文件被删除时，创建第二掩体文件，并在所述第二掩体文件对应的存储单元格中进行写零填充；所述第二掩体文件创建于所述目标存储单元的第二层；所述第二目标文件的各个数据块存储于所述目标存储单元的第零层；其中，所述第一掩体文件与所述第二掩体文件形成基于多级链式的掩体文件。
36.作为本公开实施例一种可选的实施方式，在创建基于多级链式的掩体文件之后，所述方法还包括：接收输入输出io访问请求；若掩体文件所在存储单元格有数据，则执行io操作；若掩体文件所在存储单元格为空洞，则依次从掩体文件所在存储单元格的最高层逐层向下进行数据读取。
37.作为本公开实施例一种可选的实施方式，根据第一次io访问请求的访问结果，确定索引数组中每个元素的值；所述索引数组中的每个元素用于表示每个存储有数据块的存储单元格的最高层数；所述最高层数由存储单元创建的掩体文件的数量决定。
38.作为本公开实施例一种可选的实施方式，所述方法还包括：当再次接收到io访问请求时，根据所述索引数组查找各个数据块的位置，执行io操作。
39.作为本公开实施例一种可选的实施方式，所述文件恢复模块具体用于：根据所述删除日志确定所述目标文件所在的目录以及文件名；根据所述删除日志确定所述目标文件的各个数据块所在存储单元的唯一编号；根据所述删除日志确定所述目标文件的各个数据块创建掩体文件所在的层数；根据所述删除日志确定所述目标文件的各个数据块所在存储单元格的唯一编号；根据所述目标文件所在的目录以及文件名、各个数据块所在存储单元的唯一编号、各个数据块创建掩体文件所在的层数、各个数据块所在存储单元格的唯一编号构造所述目标文件。
40.第三方面，本公开实施例提供一种电子设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述第一方面或第一方面的任一实施方式所述的分布式存储文件的恢复方法。
41.第四方面，本公开实施例提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述第一方面或第一方面的任一实施方式所述的分布式存储文件的恢复方法。
42.本公开提供的分布式存储文件的恢复方法，应用于超融合系统，所述超融合系统通过分布式存储系统管理，当检测到至少一个目标文件被删除时，创建基于多级链式的掩
体文件，保存目标文件的删除日志，根据删除日志恢复目标文件。
43.由于目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成，且掩体文件是通过对目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件，即组成目标文件的各个数据块位于掩体文件的下层，因此掩体文件的作用是隐藏组成目标文件的各个数据块，以使被删除的目标文件通过正常的io无法访问到，从而，勒索病毒无法对目标文件中的数据进行二次破坏或进行数据覆盖，确保了数据安全。又由于在删除目标文件时保存了目标文件的删除日志，所以根据目标文件所在的目录以及文件名、目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号能够重新构造目标文件，进而恢复目标文件。通过创建基于多级链式的掩体文件，可以同时完成对同一磁盘内所有文件进行勒索病毒防护，无需针对文件进行设置，对文件频繁动态删减的场景和海量文件的场景都能实现很好的防护，并且保证在中勒索病毒的情况下，不会丢失任何数据即可恢复原文件。
附图说明
44.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
45.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
46.图1为一个实施例中分布式存储文件的恢复方法的应用场景图；
47.图2为一个实施例中分布式存储文件的恢复方法的流程示意图；
48.图3为一个实施例中分布式存储文件的恢复方法的多级链式掩体文件示意图；
49.图4为一个实施例中分布式存储文件的恢复装置的结构示意图；
50.图5为本公开实施例所述的电子设备的结构示意图。
具体实施方式
51.为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。
52.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。
53.在本公开实施例中，“示例性的”或者“例如”等词是用于表示作例子、例证或说明。本公开实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。此外，在本公开实施例的描述中，除非另有说明，“多个”的含义是指两个或两个以上。
54.本公开提供的一种分布式存储文件的恢复方法，可以应用于如图1所示的应用环境中。该分布式存储文件的恢复方法应用于超融合系统11中。超级融合系统11是由多个宿
主机组成的集群系统，其存储能力是将集群中宿主机的物理磁盘，通过分布式存储系统统一管理并抽象成存储池，提供服务。虚拟机中的虚拟磁盘的数据是由分布式存储系统打散后，存放到集群的多个宿主机的磁盘中。图1中的灰色块代表一个基本存储单元，虚拟磁盘是由多个基本存储单元组合成的一个逻辑上连续的存储空间。当在虚拟磁盘中检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件；保存所述目标文件的删除日志；根据所述删除日志恢复所述目标文件。
55.在一个实施例中，如图2所示，提供一种分布式存储文件的恢复方法，应用于超融合系统，所述超融合系统通过分布式存储系统管理，该方法包括如下步骤：
56.s21、当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件。
57.其中，目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成。
58.具体的，虚拟磁盘接收到文件系统发送的unmap命令时，表明虚拟磁盘中有目标文件被删除。unmap命令用于从主机操作系统、应用程序或虚拟机已删除的块中回收空间。即，unmap命令用于释放低层存储空间，对于目标文件落到的存储单元，unmap命令将向磁盘的指定位置写入0。
59.其中，掩体文件是通过对目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件。稀疏文件是一种计算机文件，它能尝试在文件内容大多为空时更有效率地使用文件系统的空间。稀疏文件的原理是以简短的信息(元数据)表示空数据块，而不是在磁盘上占用实际空间来存储空数据块，只有非空的数据块会按照原样写入磁盘。在读取稀疏文件时，文件系统会按元数据在运行时将这些透明填充为零。
60.具体的，通过掩体文件，被删除的目标文件通过正常的io无法访问到，但是组成目标文件的数据块并没有被删除，只是被“隐藏”，勒索病毒无法发现目标文件，因此无法二次破坏或进行数据覆盖，从而确保文件数据安全。
61.进一步，由于勒索病毒的工作过程是：读取待加密的原文件，生成新的加密文件，删除原文件。在勒索病毒被识别出来之前，系统无法提前预知处理，必须当正常io请求处理。所以通过引入多级链式掩体文件，可以同时完成对同一磁盘内所有文件进行勒索病毒防护，无需针对文件进行设置，对文件频繁动态删减的场景和海量文件的场景都能实现很好的防护。
62.s22、保存所述目标文件的删除日志。
63.其中，所述删除日志包括：目标文件的文件路径以及位置信息。
64.具体的，文件路径包括目标文件所在的目录以及文件名；位置信息包括目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号。
65.示例性的，为了恢复被删除的目标文件，需要记录目标文件的删除日志。
66.另外，虚拟机中对虚拟磁盘的文件系统进行格式化后，才能正常存取文件，主流的文件系统如ext4、xfs、ntfs都支持获取文件所在的磁盘位置。
67.s23、根据所述删除日志恢复所述目标文件。
68.示例性的，如果检测到文件a被勒索病毒删除，可以从删除文件列表中，选择恢复文件a，分布式存储系统将根据删除日志中记录的文件路径和位置数组，重新构造出文件a，
以恢复文件a，并删除文件a对应创建的掩体文件。
69.在一个实施例中，步骤s23(根据所述删除日志构造并恢复所述目标文件)，可以通过如下步骤实现：
70.根据所述删除日志确定所述目标文件所在的目录以及文件名；
71.根据所述删除日志确定所述目标文件的各个数据块所在存储单元的唯一编号；
72.根据所述删除日志确定所述目标文件的各个数据块创建掩体文件所在的层数；
73.根据所述删除日志确定所述目标文件的各个数据块所在存储单元格的唯一编号；
74.根据所述目标文件所在的目录以及文件名、各个数据块所在存储单元的唯一编号、各个数据块创建掩体文件所在的层数、各个数据块所在存储单元格的唯一编号构造所述目标文件。
75.示例性的，通过虚拟机中安装的守护程序agent获取删除日志。具体的，agent执行宿主机发出的命令，例如在宿主机上获取目标文件的位置信息。守护程序agent为宿主机和虚拟机提供了一个数据通道，通过agent访问操作系统，调用操作系统中的文件驱动；文件驱动能够实时监测磁盘文件的变化情况。
76.本公开提供的分布式存储文件的恢复方法，应用于超融合系统，所述超融合系统通过分布式存储系统管理，当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件，保存目标文件的删除日志，根据删除日志恢复目标文件。由于目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成，且掩体文件是通过对目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件，即组成目标文件的各个数据块位于掩体文件的下层，因此掩体文件的作用是遮盖或隐藏对应的目标文件，以使被删除的目标文件通过正常的io无法访问到，从而，勒索病毒无法对目标文件中的数据进行二次破坏或进行数据覆盖，确保了数据安全。又由于在删除目标文件时保存了目标文件的删除日志，所以根据目标文件所在的目录以及文件名、目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号能够重新构造目标文件，进而恢复目标文件。通过创建基于多级链式的掩体文件，可以同时完成对同意磁盘内所有文件进行勒索病毒防护，无需针对文件进行设置，对文件频繁动态删减的场景和海量文件的场景都能实现很好的防护，并且保证在中勒索病毒的情况下，不会丢失任何数据即可恢复原文件。
77.在一个实施例中，在创建基于多级链式的掩体文件之前，通过分布式存储系统的磁盘获取分布式存储在存储设备中的存储单元文件集合；从所述存储单元文件集合中获取至少一个目标文件。
78.示例性的，通过分布式存储系统的磁盘获取分布式存储在存储设备中的存储单元文件a和存储单元文件b。
79.在一个实施例中，若第一目标文件与第二目标文件存储于同一个目标存储单元中，则步骤s21(当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件)，可以通过如下方式实现：
80.(1)、当第一目标文件被删除时，创建第一掩体文件，并在所述第一掩体文件对应的存储单元格中进行写零填充。
81.其中，第一掩体文件创建于目标存储单元的第一层；第一目标文件的各个数据块
存储于所述目标存储单元的第零层。
82.具体的，掩体文件可以遮盖住存储单元的某些存储单元格的数据，如图3所示，图3中的31、32、33(存储单元格中填充的形状为交叉格纹)即掩体文件的掩盖部分。另外，创建掩体文件的大小与存储单元的大小相同，但是掩体文件不占用额外的空间。图3中的每个小单元格是存储单元的最小管理单位：存储单元格。每个存储单元格通常设置为512字节或4k字节，并从0开始编号表示偏移。存储单元格在没写入数据前是空洞。
83.示例性，图3中的文件a的前两个数据块分别存储在存储单元1和存储单元2中的其中一个存储单元格中。当文件a被删除时，两个存储单元都执行unmap操作，此时存储单元1和存储单元2分别创建掩体文件31、掩体文件32，由于两个存储单元中在此之前没有创建其他掩体文件，所以存储单元1和存储单元2创建的掩体文件都属于第1层。具体的，在掩体文件31、掩体文件32对应的存储单元格中写入0(以交叉格纹表示)，表示文件a被删除。
84.(2)、当所述第二目标文件被删除时，创建第二掩体文件，并在所述第二掩体文件对应的存储单元格中进行写零填充。
85.其中，所述第二掩体文件创建于所述目标存储单元的第二层；所述第二目标文件的各个数据块存储于所述目标存储单元的第零层。
86.示例性的，当文件b被删除时，文件b的第二个数据块存储在存储单元2中，此时在第1层的掩体文件上，再创建第2层的掩体文件33，并在对应的存储单元格中写入0(以交叉格纹表示)。
87.从而，第一掩体文件与第二掩体文件形成基于多级链式的掩体文件。
88.在一个实施例中，在执行步骤s21(创建基于多级链式的掩体文件)之后，还执行以下步骤a-c：
89.a、接收输入输出io访问请求。
90.b、若掩体文件所在存储单元格有数据，则执行io操作。
91.c、若掩体文件所在存储单元格为空洞，则依次从掩体文件所在存储单元格的最高层逐层向下进行数据读取。
92.示例性的，当接收到虚拟磁盘的io访问请求时，io请求按照从高层到低层逐级进行处理，如图3中存储单元2的读写方式，io请求从第2层的掩体文件的对应存储单元格进行读取，如果有数据，则完成io操作；如果是空洞，则往下一层执行io操作。
93.进一步，为了避免多级链式文件带来的io放大问题，减少io读取的次数，每个存储的单元设置一个索引数组，数组的大小与存储单元中存储单元格的数量相同，每个数组元素对应一个存储单元格。
94.在一个实施例中，根据第一次io访问请求的访问结果，确定索引数组中每个元素的值。
95.其中，索引数组中的每个元素用于表示每个存储有数据块的存储单元格的最高层数。具体的，最高层数由存储单元创建的掩体文件的数量决定。
96.示例性的，如图3所示，存储单元1的存储单元格301的位置，数组元素对应是1；存储单元2的存储单元格302的位置，数组元素对应是1；存储单元2的存储单元格303的位置，数组元素对应是2。因此，每个存储单元只有在第一次io访问时需要逐级操作，找到掩体文件所在的最高层数后更新索引数组。
97.在一个实施例中，当再次接收到io访问请求时，根据所述索引数组查找各个数据块的位置，执行io操作。
98.具体的，之后的io直接查找索引数组找到对应的位置完成io操作。另外，需要注意的是，每次创建掩体文件或者io写入都可能更新索引数组。
99.在一个实施例中，如图4所示，提供了一种分布式存储文件的恢复装置400，包括：
100.文件创建模块410，用于当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件；所述目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成；所述掩体文件是通过对所述目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件；
101.日志保存模块420，用于保存所述目标文件的删除日志；所述删除日志包括：目标文件的文件路径以及位置信息；所述文件路径包括所述目标文件所在的目录以及文件名；所述位置信息包括所述目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号；
102.文件恢复模块430，用于根据所述删除日志恢复所述目标文件。
103.作为本公开实施例一种可选的实施方式所述装置还包括获取模块，所述获取模块用于通过分布式存储系统的磁盘获取分布式存储在存储设备中的存储单元文件集合；从所述存储单元文件集合中获取至少一个目标文件。
104.作为本公开实施例一种可选的实施方式，若第一目标文件与第二目标文件存储于同一个目标存储单元中，则所述创建基于多级链式的掩体文件，包括：当第一目标文件被删除时，创建第一掩体文件，并在所述第一掩体文件对应的存储单元格中进行写零填充；所述第一掩体文件创建于所述目标存储单元的第一层；所述第一目标文件的各个数据块存储于所述目标存储单元的第零层；当所述第二目标文件被删除时，创建第二掩体文件，并在所述第二掩体文件对应的存储单元格中进行写零填充；所述第二掩体文件创建于所述目标存储单元的第二层；所述第二目标文件的各个数据块存储于所述目标存储单元的第零层；其中，所述第一掩体文件与所述第二掩体文件形成基于多级链式的掩体文件。
105.作为本公开实施例一种可选的实施方式，在创建基于多级链式的掩体文件之后，所述方法还包括：接收输入输出io访问请求；若掩体文件所在存储单元格有数据，则执行io操作；若掩体文件所在存储单元格为空洞，则依次从掩体文件所在存储单元格的最高层逐层向下进行数据读取。
106.作为本公开实施例一种可选的实施方式，根据第一次io访问请求的访问结果，确定索引数组中每个元素的值；所述索引数组中的每个元素用于表示每个存储有数据块的存储单元格的最高层数；所述最高层数由存储单元创建的掩体文件的数量决定。
107.作为本公开实施例一种可选的实施方式，所述方法还包括：当再次接收到io访问请求时，根据所述索引数组查找各个数据块的位置，执行io操作。
108.作为本公开实施例一种可选的实施方式，所述文件恢复模块具体用于：根据所述删除日志确定所述目标文件所在的目录以及文件名；根据所述删除日志确定所述目标文件的各个数据块所在存储单元的唯一编号；根据所述删除日志确定所述目标文件的各个数据块创建掩体文件所在的层数；根据所述删除日志确定所述目标文件的各个数据块所在存储单元格的唯一编号；根据所述目标文件所在的目录以及文件名、各个数据块所在存储单元
的唯一编号、各个数据块创建掩体文件所在的层数、各个数据块所在存储单元格的唯一编号构造所述目标文件。
109.应用本公开实施例，本公开提供的分布式存储文件的恢复装置，应用于超融合系统，所述超融合系统通过分布式存储系统管理，当检测到至少一个目标文件被删除时，创建基于多级链式的掩体文件，保存目标文件的删除日志，根据删除日志恢复目标文件。由于目标文件由存储在至少一个存储单元的至少一个存储单元格的数据块组成，且掩体文件是通过对目标文件的各个数据块所在存储单元格进行写零填充生成的稀疏文件，即组成目标文件的各个数据块位于掩体文件的下层，因此掩体文件的作用是遮盖或隐藏对应的目标文件，以使被删除的目标文件通过正常的io无法访问到，从而，勒索病毒无法对目标文件中的数据进行二次破坏或进行数据覆盖，确保了数据安全。又由于在删除目标文件时保存了目标文件的删除日志，所以根据目标文件所在的目录以及文件名、目标文件的各个数据块所在存储单元的唯一编号、创建掩体文件所在的层数以及所在存储单元格的唯一编号能够重新构造目标文件，进而恢复目标文件。通过创建基于多级链式的掩体文件，可以同时完成对同意磁盘内所有文件进行勒索病毒防护，无需针对文件进行设置，对文件频繁动态删减的场景和海量文件的场景都能实现很好的防护，并且保证在中勒索病毒的情况下，不会丢失任何数据即可恢复原文件。
110.关于分布式存储文件的恢复装置的具体限定可以参见上文中对于分布式存储文件的恢复方法的限定，在此不再赘述。上述分布式存储文件的恢复装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于电子设备的处理器中，也可以软件形式存储于电子设备的处理器中，以便于处理器调用执行以上各个模块对应的操作。
111.本公开实施例还提供了一种电子设备，图5为本公开实施例提供的电子设备的结构示意图。如图5所示，本实施例提供的电子设备包括：存储器51和处理器52，存储器51用于存储计算机程序；处理器52用于调用计算机程序时执行上述方法实施例提供的分布式存储文件的恢复方法中任一实施例所执行的步骤。所述电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，所述电子设备的处理器用于提供计算和控制能力。所述电子设备的存储器包括非易失性存储介质、内存储器。所述非易失性存储介质存储有操作系统和计算机程序。所述内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。所述计算机程序被处理器执行时以实现一种分布式存储文件的恢复方法。所述电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，所述电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
112.本领域技术人员可以理解，图5中示出的结构，仅仅是与本公开方案相关的部分结构的框图，并不构成对本公开方案所应用于其上的计算机设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
113.在一个实施例中，本公开提供的分布式存储文件的恢复装置可以实现为一种计算机的形式，计算机程序可以在如图5所示的电子设备上运行。电子设备的存储器中可存储组成该电子设备的分布式存储文件的恢复装置的各个程序模块，比如，图4中所示的文件创建模块410、日志保存模块420以及文件恢复模块430。各个程序模块构成的计算机程序使得处
理器执行本说明书描述的本公开各个实施例的电子设备的分布式存储文件的恢复方法中的步骤。
114.本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例提供的分布式存储文件的恢复方法。
115.本领域技术人员应明白，本公开的实施例可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
116.处理器可以是中央判断单元(centralprocessingunit，cpu)，还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
117.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。存储器是计算机可读介质的示例。
118.计算机可读介质包括永久性和非永久性、可移动和非可移动存储介质。存储介质可以由任何方法或技术来实现信息存储，信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。根据本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。
119.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
120.以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。