扫描备份的漏洞的制作方法

背景技术：

1.定期地执行漏洞扫描以发现和解决计算机系统上的安全风险。例如，扫描计算机系统以识别计算机系统的应用程序的已知弱点。计算机系统的应用程序的弱点包括使系统容易受到攻击或使存储在系统中的信息受到威胁的任何缺陷。例如，漏洞包括程序错误、弱密码、缺少数据加密、缓冲区溢出、缺少授权、使用损坏的算法、路径遍历、缺少对应用程序重要功能的验证、在安全决策中依赖不可信输入等等。在计算机系统的一般操作期间(诸如，当在系统中处理和存储数据时)可能引入诸如此类的漏洞。当新的工作负载(包括应用程序、虚拟机、数据库等)在计算机系统上运行时，也可能引入漏洞。工作负载可以从外部供应商加载到计算机系统上。国家网络安全ffrdc维护的通用漏洞披露(cve)系统对公开已知的信息安全漏洞进行了跟踪。
2.被扫描漏洞的计算系统可以是处理实时生产数据的主系统。对主系统执行漏洞扫描可能使系统资源紧张并导致主系统遇到性能问题。这可能会导致主系统的管理员降低漏洞扫描的频率，或者更糟的是不执行漏洞扫描以便不降低主系统的性能。这提高了主系统被破坏的可能性。其他系统可能会在主系统上安装代理以执行漏洞扫描。然而，可能需要使用一个或多个更新补丁来维护代理，这可能会导致与主系统相关联的停机时间。
3.在本地管理应用程序和计算机硬件的情况下，操作员通常能够管理和修补任何漏洞。在应用程序和/或计算机硬件是基于云的情况下，例如软件即服务(saas)就是这样，则利用所述应用程序的企业操作员可能对计算基础设施和在该基础设施上运行的应用程序的配置具有较小的控制权。更新saas应用程序时，可能会引入应用程序的以前版本中不存在的新漏洞。


技术实现要素：
附图说明
4.以下具体实施方式和附图中公开了本发明的各个实施方案。
5.图1是示出根据一些实施方案的用于执行漏洞扫描的系统的框图。
6.图2是示出根据一些实施方案的用于执行漏洞扫描的过程的流程图。
7.图3是示出根据一些实施方案的用于还原备份快照的过程的流程图。
8.图4是示出根据一些实施方案的用于选择备份快照的过程的流程图。
9.图5是示出根据一些实施方案的用于确定与备份快照相关联的恢复时间的过程的流程图。
具体实施方式
10.主系统可以托管一个或多个工作负载。工作负载的示例是应用程序、虚拟机、容
器、pod、数据库等。主系统可以耦合到存储系统。主系统可以被配置为执行其数据到存储系统的备份快照。主系统可以根据备份策略执行文件系统数据的备份快照，并将备份快照发送到存储系统。备份快照可以表示系统在特定时间点的状态(例如，文件系统数据的状态或工作负载的状态)。备份快照策略可能要求执行完整备份快照或增量备份快照。完整备份快照可能包括主系统在特定时间点的整个状态。增量备份快照可以包括自主系统的上次备份快照以来已经发生变化的主系统状态。在一些实施方案中，完整备份快照包括工作负载在特定时间点的整个状态。在一些实施方案中，增量备份快照包括自工作负载的上次备份快照以来已经发生变化的工作负载状态。
11.备份快照可用于还原主系统的一个或多个工作负载。还原工作负载可以包括在主系统处初始化工作负载、在另一个计算机系统上初始化工作负载的副本、和/或将工作负载从主系统迁移到另一个计算机系统。存储多个备份快照允许在选择还原工作负载时选择一个或多个工作负载的特定状态。
12.备份快照策略可以指示要定期地(例如，每小时、每天、每周、每月等)执行备份快照。在一些实施方案中，备份快照策略指示当数据的阈值大小(例如，与主系统相关联的数据大小、与工作负载相关联的数据大小)已经发生变化时将对备份快照进行备份。在一些实施方案中，备份快照策略指示将根据来自与主系统相关联的用户的命令来执行备份快照。
13.存储系统可以接收和摄取备份快照中包括的数据。可以使用如2019年8月23日提交的题为“continuous data protection using a write filter(使用写过滤器进行持续数据保护)”的美国专利申请16/549,719中所述的树型数据结构来组织备份快照中包括的数据，所述申请的全部内容以引用方式并入本文。存储系统可以为每个备份快照生成并存储对应树型数据结构。
14.可以将备份快照中包括的内容编入索引。例如，索引可以指示在备份快照中备份了应用程序的哪个版本，在备份快照中备份了虚拟机的哪个版本等。索引还可以指示已对备份快照的哪些部分扫描漏洞。例如，索引可以指示已对应用程序版本扫描漏洞、已对虚拟机版本扫描漏洞或者已对整个备份快照扫描漏洞。
15.存储系统可以扫描备份快照的至少一部分以查找一个或多个漏洞。经扫描部分可以对应于一个或多个工作负载。存储系统可以将工作负载中的一个工作负载(例如，沙盒)还原到临时环境，并对经还原工作负载执行漏洞扫描。将所述一个或多个工作负载还原到临时环境使得在扫描备份快照的漏洞时能够使用被配置为对实时工作负载进行操作的漏洞扫描。
16.执行漏洞扫描可以包括扫描经还原备份快照的多种漏洞类型，诸如程序错误、缺少数据加密、缓冲区溢出或任何其他适当的漏洞。漏洞扫描可以被配置为识别备份快照中的漏洞，所述漏洞与诸如由cve系统跟踪的漏洞等已知漏洞相关。
17.在一些实施方案中，经扫描部分对应于备份快照的整个部分。存储系统可以将对应于备份快照的主系统版本还原到临时环境，并对主系统的经还原版本执行漏洞扫描。有利的是，存储系统可以确定与备份快照的至少一部分相关联的一个或多个漏洞，而不必使用主系统资源来确定一个或多个漏洞。
18.存储系统包括多个存储节点。每个存储节点都有一个对应处理器。在一些实施方案中，存储节点中的多个存储节点一起执行漏洞扫描。在一些实施方案中，存储节点中的一
个存储节点执行漏洞扫描。无论是存储节点中的多个存储节点还是存储节点中的一个存储节点执行漏洞扫描，所述一个或多个存储节点都具有可用于执行漏洞扫描的有限资源量。一个或多个存储节点可以具有要执行的一个或多个主功能(例如，备份数据、复制数据、还原数据等)和/或一个或多个其他任务(例如，垃圾收集、碎片整理、提供测试/开发环境等)。执行漏洞扫描减少了一个或多个存储节点可用于执行一个或多个主功能和/或一个或多个其他任务(例如，垃圾收集、碎片整理、提供测试/开发环境等)的资源总量。如果执行漏洞扫描，则存储系统可以在扫描时段期间(例如，30-60分钟)分配一定量的资源来执行漏洞扫描，并且所述一定量的资源不可重新分配。
19.根据存储系统从主系统接收备份快照数据的频率，存储系统扫描所接收的备份快照中的每一个可能是不切实际和/或不可能的。例如，主系统可以每小时执行一次备份快照。备份快照版本之间已变化的数据量可能很少(例如，小于变化阈值量)。每小时对每个备份快照的至少一部分执行扫描可能不切实际，因为存储系统可能需要将漏洞扫描所需的资源分配给一个或多个其他进程。可能无法对每个备份快照的至少一部分执行扫描，因为存储系统已将漏洞扫描所需的资源分配给一个或多个其他进程。
20.存储系统可以为从主系统接收的备份快照中的每一个分配对应扫描分数。存储系统可以基于与备份快照相关联的对应扫描分数来选择要扫描多个备份快照中的哪一个。与备份快照相关联的扫描分数可以基于多个因素。例如，扫描分数可以基于特定备份快照与最新备份快照之间的快照距离、特定备份快照与前次扫描之间的快照距离、特定备份快照与包括一个或多个严重漏洞的前次扫描之间的快照距离、正在评估的备份快照中的工作负载的状态与包括一个或多个漏洞的备份快照的状态之间的相关性和/或与特定备份快照相关联的变化量。快照距离可以是备份快照之间的时间量、在对应于特定备份快照的快照树与最新备份快照之间的快照树链中的备份快照的数量等。可以定期地更新与备份快照相关联的扫描分数。可以扫描对应扫描分数高于阈值的一个或多个备份快照。这可以确保对足够多的备份快照样本扫描漏洞，而不会对存储系统的资源造成不必要的负担。在一些实施方案中，存储系统使用彩票调度算法来选择要扫描多个备份快照中的哪个。
21.可以将选定备份快照的至少一部分还原到存储系统的临时环境，以创建选定备份快照的至少一部分的经还原实例。可以对选定快照的至少所述部分的经还原实例执行漏洞扫描。漏洞扫描可以发现与选定备份快照相关联的一个或多个漏洞，并为一个或多个所发现的漏洞中的每一个分配对应漏洞分数。所分配的漏洞分数可以基于政府实体为漏洞分配的漏洞分数。例如，政府实体可以使用通用漏洞评分系统(cvss)为漏洞分配分数。
22.可以跟踪与备份快照的多个经扫描部分相关联的一个或多个漏洞。通过跟踪与备份快照的经扫描部分相关联的漏洞，可以以识别和/或修正在生成备份快照时工作负载中存在的漏洞的方式从备份快照还原工作负载。通过这种方式，在从备份快照还原时，可能不会再次引入主系统中已修正的历史漏洞。
23.跟踪与多个经扫描部分中的每一个相关联的一个或多个漏洞可以包括将一个或多个漏洞的指示存储在数据结构中，例如，所述数据结构可以包括每个经扫描部分的一个或多个条目。这些所存储的指示可以与与它们相关的备份快照的相应经扫描部分相关联。通过这种方式，可以通过基于备份快照的给定经扫描部分执行数据结构的搜索来识别与备份快照的给定经扫描部分相关联的一个或多个漏洞。将所存储的指示与备份快照的相应经
扫描部分相关联可以包括存储用于识别备份快照的所述部分的数据，诸如与备份快照相关联的日期、时间和/或元数据。
24.用于存储一个或多个漏洞的数据结构还可以包括与备份快照的未经扫描部分相关的条目。跟踪一个或多个漏洞可以包括：当在选定备份快照的经扫描部分中检测到一个或多个漏洞时，更新数据结构中与不同于选定备份快照的经扫描部分的备份快照部分相对应的条目。通过这种方式，可以生成和维护关于可能存在于备份快照的未经扫描部分中的一个或多个漏洞的信息。
25.一些漏洞可能比其他漏洞更严重。对漏洞的响应可能取决于与漏洞相关联的漏洞分数。例如，漏洞分数小于第一阈值且大于最小漏洞分数(例如，“0”)的漏洞可被认为不严重，并且与所述漏洞相关联的一种或多种补救措施可以是可选的。漏洞分数大于或等于第一阈值但小于第二阈值的漏洞可被认为严重，并且可以推荐针对所述漏洞的一种或多种补救措施。漏洞分数大于或等于第二阈值但小于最大漏洞分数(例如，“10”)的漏洞可被认为非常严重，并且可能需要针对所述漏洞的一种或多种补救措施。存储系统可以存储将备份快照的多个经扫描部分与它们的一个或多个对应漏洞和对应漏洞分数相关联的数据结构。
26.存储系统可以基于与备份快照的经扫描部分相关联的一个或多个对应漏洞来对备份快照的经扫描部分进行排名。可以基于具有最高漏洞分数的一个或多个漏洞中的漏洞来对备份快照的经扫描部分进行排名。例如，备份快照的经扫描部分可以与三个漏洞相关联。存储系统可以使用具有最高漏洞分数的三个漏洞中的漏洞来确定与备份快照的经扫描部分相关联的排名。
27.存储系统可以确定与备份快照的经扫描部分中的每一个相关联的恢复时间。与备份快照的经扫描部分相关联的恢复时间可以基于与还原环境相关联的指定安全态势，与备份快照的经扫描部分相关联的数据将被还原到所述还原环境。例如，一些还原环境可能比其他还原环境具有更高的安全要求。具有高安全态势的还原环境可能需要补救与备份快照的经扫描部分相关联的一个或多个漏洞中的所有漏洞。具有中等安全态势的还原环境可能需要补救所有严重和非常严重的漏洞，而不补救任何不严重漏洞。具有低安全态势的还原环境可能不需要补救一个或多个漏洞中的任何漏洞。
28.备份快照的经扫描部分可能与多个漏洞相关联。存储系统可以过滤需要为还原环境补救的一个或多个漏洞，与备份快照的经扫描部分相关联的数据将被还原到所述还原环境。例如，备份快照的经扫描部分可以与三个漏洞相关联：两个非常严重的漏洞和一个不严重的漏洞。还原环境的安全态势可能具有中等安全态势，并且只需要补救所述两个非常严重的漏洞。存储系统可以基于与两个非常严重的漏洞相关联的补救措施来确定与备份快照的经扫描部分相关联的恢复时间，而不是基于与备份快照的经扫描部分相关联的所有补救措施来确定与备份快照的经扫描部分相关联的恢复时间。这可以减少与还原备份快照的经扫描部分相关联的总恢复时间。在一些实施方案中，存储系统基于是否要补救与备份快照的经扫描部分相关联的所有漏洞、是否要补救与备份快照的经扫描部分相关联的一些漏洞和/或是否不要补救与备份快照的经扫描部分相关联的任何漏洞来计算与备份快照的经扫描部分相关联的对应恢复时间。
29.存储系统可以生成要向备份快照的经扫描部分应用的一种或多种补救措施的排序。例如，存储系统可以确定一种或多种补救措施的序列，所述补救措施要应用于与备份快
照的经扫描部分相关联的数据以还原还原系统(例如，主系统)。
30.与备份快照的经扫描部分相关联的恢复时间可以基于与还原还原系统相关联的前滚时间。前滚时间可以包括将与备份快照的经扫描部分相关联的数据从存储系统提供到还原系统所需的时间量。前滚时间还可以包括还原系统将系统还原到与备份快照的经扫描部分相关联的状态所需的时间量。在一些实施方案中，可以将与虚拟机的特定版本相关联的数据从存储系统提供到还原系统。在一些实施方案中，将与经扫描备份快照相关联的所有数据都从存储系统提供到还原系统。例如，将还原系统还原到主系统的特定版本。
31.与备份快照的经扫描部分相关联的恢复时间可以基于与一种或多种补救措施相关联的累积补丁时间。累积补丁时间是向经还原数据应用一种或多种补救措施所需的时间量。与备份快照的经扫描部分中的每一个相关联的所确定的恢复时间可以基于与一种或多种经排序补救措施相关联的对应累积补丁时间和与备份快照的经扫描部分相关联的对应前滚时间。
32.存储系统可以基于备份快照的经扫描部分可用于还原还原系统的不同场景来确定与备份快照的经扫描部分相关联的多个恢复时间。存储系统可以基于不同的安全态势、不同的前滚时间(例如，还原备份快照的不同部分与还原备份快照的整个部分)、不同的累积补丁时间(例如，应用所有补救措施、一些补救措施、无补救措施)和/或其组合来确定对应恢复时间。
33.存储系统可以接收与识别要还原的备份快照相关联的请求。可以使用备份快照的经扫描部分中的任一个来还原还原系统(诸如，主系统)，然而，与还原系统相关联的用户在选择备份快照的经扫描部分时可能需要指导。与还原系统相关联的用户在选择备份快照的选定经扫描部分的版本时可能需要指导。还原系统可以请求将系统还原到与特定日期或特定时间段(例如，小时范围、日期范围等)相关联的状态。
34.响应于所述请求，存储系统可以提供接口，所述接口指示与所述请求相关联的备份快照的一个或多个经扫描部分及其一个或多个对应漏洞。接口可以显示对应于备份快照的一个或多个经扫描部分的一个或多个条目。对应于备份快照的经扫描部分的条目可以指示与备份快照的经扫描部分相关联的漏洞是否是非常严重、严重和/或不严重。条目可以指示与备份快照的经扫描部分相关联的一个或多个恢复时间。例如，所述条目可以指示与将备份快照的经扫描部分还原到高安全态势还原环境相关联的恢复时间、与将备份快照的经扫描部分还原到中等安全态势还原环境相关联的恢复时间、和/或与将备份快照的经扫描部分还原到低安全态势还原环境相关联的恢复时间。
35.接口可以为与还原系统相关联的用户提供基于安全态势对备份快照的选定经扫描部分的版本进行过滤的能力。例如，与还原系统相关联的用户可以选择“高安全态势”。响应于所述选择，存储系统可以更新接口，以如果备份快照的选定经扫描部分被还原到具有“高安全态势”的还原环境，则关联备份快照的一个或多个经扫描部分及其对应的一个或多个恢复时间。
36.接口可以为与还原系统相关联的用户提供基于恢复时间总量对选定备份快照的版本进行过滤的能力。例如，与还原系统相关联的用户可能有一定时间量来还原还原系统。备份快照的一些经扫描部分可能具有大于所述一定时间量的对应恢复时间。存储系统可以更新接口以基于恢复时间总量对备份快照的经扫描部分进行排名。
37.存储系统还可以显示与经扫描备份快照的不同部分相关联的恢复时间。例如，接口可以指示与还原备份快照中包括的特定工作负载相关联的恢复时间。接口可以指示与还原备份快照中包括的工作负载中的两个工作负载相关联的恢复时间。接口可以指示与还原整个备份快照相关联的恢复时间。接口可以允许与还原系统相关联的用户能够选择要还原的一个或多个工作负载，并且响应于所述选择，存储系统可以更新接口以指示与一个或多个工作负载的选择相关联的对应恢复时间。
38.还原系统可以选择备份快照的经扫描部分中的一个经扫描部分。响应于所述请求，存储系统可以提供与备份快照的选定经扫描部分相关联的数据。响应于接收到所述数据，还原系统可以向所接收的数据应用与备份快照的选定经扫描部分相关联的一种或多种补救措施。
39.图1是示出根据一些实施方案的用于执行漏洞扫描的系统的框图。在所示示例中，系统100包括主系统102和存储系统112。主系统102通过连接110耦合到存储系统112。连接110可以是有线或无线连接。连接110可以是lan、wan、内联网、互联网和/或它们的组合。
40.主系统102是存储文件系统数据的计算系统。文件系统数据可以包括多个文件(例如，内容文件、文本文件等)和与所述多个文件相关联的元数据。主系统102可以包括一个或多个服务器、一个或多个计算装置、一个或多个存储装置、和/或它们的组合。主系统102可以被配置为根据一个或多个备份快照策略将文件系统数据的备份快照发送到存储系统112。在一些实施方案中，备份快照策略指示当数据的阈值大小已经发生变化时或者响应于来自与主系统102相关联的用户的命令将定期地(例如，每小时、每天、每周、每月等)对文件系统数据进行备份。另外地或另选地，备份策略可以基于资源可用性(诸如，主系统102中的存储器和处理器使用情况)动态地确定何时执行备份快照。
41.主系统102可以被配置为运行一个或多个工作负载103。工作负载的示例包括但不限于虚拟机、数据库、应用程序、容器、pod等。主系统102可以包括被配置为存储与主系统102相关联的文件系统数据的一个或多个存储卷(未示出)。与主系统102相关联的文件系统数据包括与一个或多个工作负载103相关联的数据。
42.备份代理104可以被配置为使主系统102执行备份快照(例如，完整备份快照或增量备份快照)。完整备份快照可以包括主系统102在特定时刻的所有文件系统数据。在一些实施方案中，执行一个或多个工作负载103的特定工作负载的完整备份快照，并且特定工作负载的完整备份快照包括在特定时刻与特定工作负载相关联的所有工作负载数据。在一些实施方案中，备份代理104正在主系统102上运行。在一些实施方案中，备份代理104正在一个或多个工作负载103中的一个中运行。在一些实施方案中，备份代理104正在主系统102上运行并且单独的备份代理104正在一个或多个工作负载103中的一个中运行。在一些实施方案中，工作负载包括备份功能并被配置为在没有备份代理104的情况下自行执行备份快照。
43.备份代理104可以被配置为根据存储策略执行备份快照。备份代理104可以接收和/或存储用于识别备份策略的备份策略数据，以便确定何时使主系统102执行备份快照。在这方面，备份代理104可以指示主系统102基于备份策略以预定间隔执行完整或增量备份快照。备份代理104可以监测一个或多个工作负载103以例如基于一个或多个工作负载103中已发生变化的数据量何时超过阈值大小来确定何时执行备份快照。备份代理104可以接收表示主系统102的资源可用性的数据，例如，当前存储器容量、处理器使用情况、存储容量
等。数据代理104可以使用表示资源可用性的数据，使得可以根据主系统102中的可用资源动态地确定备份快照频率。
44.存储系统112包括存储集群，所述存储集群包括多个存储节点111、113、115。尽管示出了三个存储节点，但是存储系统112可以包括n个存储节点。多个存储节点可以包括一个或多个固态驱动器、一个或多个硬盘驱动器或它们的组合。每个存储节点可以具有其自己的对应处理器。存储系统112可以被配置为摄取从主系统102接收的备份快照并且被配置为跨存储集群存储与备份快照相关联的数据。存储系统112可以是如2019年2月27日提交的题为“deploying a cloud instance of a user virtual machine(部署用户虚拟机的云实例)”的美国专利申请16/287,214中所述的辅助存储系统的云版本，所述申请的全部内容以引用方式并入。
45.存储系统112可以接收和摄取与备份快照相关联的数据。存储系统112可以包括文件系统管理器117，文件系统管理器117被配置为使用树型数据结构来组织备份快照的文件系统数据。树型数据结构的示例是可以基于b 树型结构(或在其他实施方案中，其他类型的树型结构)的快照树。存储系统112可以为每个备份快照生成快照树和一个或多个元数据结构。可以将备份快照中包括的内容编入索引。例如，索引可以指示在备份快照中备份了应用程序的哪个版本，在备份快照中备份了虚拟机的哪个版本等。索引还可以指示已对备份快照的哪些部分扫描漏洞。例如，索引可以指示已对应用程序版本扫描漏洞、已对虚拟机版本扫描漏洞或者已对整个备份快照扫描漏洞。
46.如果备份快照对应于主系统102的所有文件系统数据，则对应于备份快照的视图可以包括快照树和一个或多个工作负载元数据结构。快照树可以被配置为存储与主系统102相关联的元数据。工作负载元数据结构可以被配置为存储与一个或多个工作负载103中的一个工作负载相关联的元数据。一个或多个工作负载103中的每一个可以具有对应元数据结构。
47.如果备份快照对应于一个或多个工作负载103中的一个工作负载的所有工作负载数据，则对应于备份快照的视图可以包括快照树和一个或多个工作负载文件元数据结构。快照树可以被配置为存储与一个或多个工作负载103中的一个工作负载相关联的元数据。工作负载文件元数据结构可以被配置为存储与工作负载中包括的工作负载文件相关联的元数据。
48.树型数据结构可用于捕获不同的还原点。树型数据结构允许通过允许快照树的较新版本的节点引用快照树的先前版本的节点来将快照树链链接在一起。快照树的先前版本可以对应于较早的备份快照。例如，对应于第二备份快照的快照树的根节点或中间节点可以引用对应于第一备份快照的快照树的中间节点或叶节点。
49.快照树表示完全水合的还原点，因为它提供了主系统或工作负载在特定时刻的完整视图。完全水合的还原点是无需重建多个备份即可使用它的准备好使用的还原点。代替通过以完整备份开始并向与完整备份相关联的数据应用与一个或多个增量备份相关联的一个或多个数据变化来重建还原点，存储系统112维护完全水合的还原点。可以从快照树中确定在特定时间与主系统102或工作负载相关联的任何文件以及存在相关联参考还原点的文件内容，而不管相关联参考还原是完整参考还原点还是中间参考还原点。
50.快照树可以包括根节点、与根节点相关联的一个或多个中间节点的一个或多个级
别、以及与最低中间级别的中间节点相关联的一个或多个叶节点。快照树的根节点可以包括指向一个或多个中间节点的一个或多个指针。每个中间节点可以包括指向其他节点(例如，较低的中间节点或叶节点)的一个或多个指针。叶节点可以存储文件系统元数据、与小于限制大小的文件相关联的数据、数据砖块的标识符、指向元数据结构(例如，工作负载元数据结构或工作负载文件元数据结构)的指针、指向存储在存储集群上的数据块的指针、节点预留信息、与组合元数据结构相关联的文件偏移信息等。
51.元数据结构(例如，工作负载文件元数据结构或工作负载元数据结构)可以包括根节点、与根节点相关联的一个或多个中间节点的一个或多个级别、以及与最低中间级别的中间节点相关联的一个或多个叶节点。与元数据结构相关联的树型数据结构允许通过允许元数据结构的较新版本的节点引用元数据结构的先前版本的节点来将与工作负载或工作负载文件的不同版本相对应的元数据结构链链接在一起。
52.元数据结构可以与多个块文件相关联。块文件可以包括多个数据块。元数据存储区114可以存储一个或多个元数据结构。在一些实施方案中，元数据结构对应于工作负载。在其他实施方案中，元数据结构对应于工作负载文件。在其他实施方案中，元数据结构对应于工作负载的一部分。在其他实施方案中，元数据结构对应于工作负载文件的一部分。
53.元数据结构的叶节点可以存储值，诸如与一个或多个数据块相关联的数据砖块的标识符。可以使用存储在元数据存储区114中的一个或多个数据结构(例如，列表、表格等)来识别与数据砖块相关联的一个或多个数据块的位置。第一数据结构(例如，块元数据表)可以存储将砖块标识符与一个或多个块标识符以及一个或多个块文件标识符相关联的信息。第二数据结构(例如，块文件元数据表)可以将块文件标识符与存储多个数据块的块文件相关联。在一些实施方案中，第一数据结构和第二数据结构组合为单个数据结构。可以基于块元数据表和块文件元数据表来定位与数据砖块相关联的一个或多个数据块。例如，具有第一砖块标识符的第一数据砖块可以与第一块标识符(例如，sha-1哈希值)相关联。第一块标识符可以与块元数据表结合使用以识别块文件标识符。具有所识别块文件标识符的块文件包括多个数据块。块文件元数据表可用于识别多个数据块的位置。块文件元数据表可以包括块文件内的多个数据块的偏移信息。
54.根据存储系统112从主系统102接收备份快照数据的频率，扫描所接收的备份快照中的每一个可能不切实际和/或不可能。例如，主系统102可以每四个小时执行一次备份快照。备份快照版本之间发生变化的数据量可能很少。每四个小时对每个备份快照的至少一部分执行扫描可能不切实际，因为存储系统112可能需要将漏洞扫描所需的资源分配给一个或多个其他进程。可能无法对每个备份快照的至少一部分执行扫描，因为存储系统112已经将漏洞扫描所需的资源分配给一个或多个其他进程。
55.存储系统112可以存储从主系统102接收的多个备份快照。扫描所有多个备份快照的漏洞可能不切实际和/或不可能。存储系统112可以为从主系统102接收的备份快照中的每一个分配对应扫描分数。存储系统可以基于与备份快照相关联的对应扫描分数来选择要扫描多个备份快照中的哪一个。与备份快照相关联的扫描分数可以基于多个因素。例如，扫描分数可以基于特定备份快照与最新备份快照之间的快照距离、特定备份快照与前次扫描之间的快照距离、特定备份快照与包括一个或多个严重漏洞的前次扫描之间的快照距离、正在评估的备份快照中的工作负载的状态与包括一个或多个漏洞的备份快照的状态之间
的相关性和/或与特定备份快照相关联的变化量。快照距离可以是备份快照之间的时间量、在对应于特定备份快照的快照树与最新备份快照之间的快照树链中的备份快照的数量等。
56.与特定备份快照相关联的变化量可以指自前次备份快照以来存储在主系统102中的生产数据的变化量、自前次备份快照以来主系统102的基础设施的变化量和/或自前次备份快照以来主系统102中的一个或多个工作负载的配置的变化量。存储在主系统102中的生产数据的变化量可以与自执行前次备份快照以来已经存储在主系统102中(诸如，在一个或多个数据库中)的数据量相关。在一些示例中，诸如在工作负载包括一个或多个数据库的情况下，可以基于跟踪和识别一个或多个数据库中的事务的日志文件来确定生产数据的变化量。可以将生产数据的变化量评估为存储在主系统中的总生产数据的比例。
57.主系统102的基础设施的变化量可以与自前次备份快照以来已添加到主系统102或已从主系统102移除的装置的数量或类型相关。在其中在主系统102处添加或移除基础设施与添加和/或移除诸如处理器和/或存储器之类的物理硬件资源相关的示例中，可以将基础设施的变化量评估为自前次备份快照以来在主系统102中已经发生变化的存储器容量或计算能力的函数。另选地，在基础设施的变化与添加和/或移除其他计算装置(诸如，分布式计算架构中的外部服务器)相关的情况下，变化量可以与在主系统102处添加或移除的服务器类型相关。例如，在附加服务器被添加到主系统102并且所述附加服务器包括与主系统102中先前包括的计算装置不同的系统架构和/或操作系统的情况下，可以将基础设施的变化量评估为高。
58.自前次备份快照以来主系统102中一个或多个工作负载的配置的变化量可以与一个或多个工作负载的一个或多个元数据文件的变化、一个或多个工作负载中可执行文件和库等的添加或减少相关。可以通过与备份快照相关联的索引来识别一个或多个工作负载的配置的变化量，其中所述索引包括与备份快照相关联的一个或多个工作负载中的每一个的版本的标识。可以基于上述因素中的任一个或这些因素中的一个或多个的组合来计算扫描分数。
59.可以对扫描分数高于阈值(也称为扫描阈值)的一个或多个备份快照进行扫描。存储系统112中的漏洞检测与计算资源可用性之间存在权衡。通过更频繁地执行漏洞扫描，有可能检测到更多漏洞并可能更早地检测到它们，然而，存储系统112的可用资源可能会减少，从而留下更少的资源来处理来自用户的按需请求和/或执行排定任务。
60.通过将扫描分数与阈值进行比较，可以确保对足够多的备份快照样本扫描漏洞，而不会对存储系统的资源造成不必要的负担。阈值可以是固定值，其被配置使得其允许执行足够数量的漏洞扫描同时还保持用于执行漏洞扫描的计算资源使用量足够低，以允许存储系统112处理来自用户的按需请求和/或执行排定任务。阈值可以被配置使得存储系统112中用于执行漏洞扫描的计算资源不超过预定比例，例如存储系统112中提供的总计算资源的10％。]
61.另选地，可以动态地计算阈值。例如，可以基于存储系统112中当前和/或预测的可用计算资源来动态地确定阈值。在存储系统112正在执行或排定很快执行一个或多个主功能(诸如数据碎片整理)的情况下，可以提高阈值以解决可用计算资源的减少。以这种方式，存储系统112可以被配置使得有足够的可用计算资源来处理来自用户的按需请求，同时还执行漏洞扫描和其他排定任务。类似地，当从用户接收到按需请求时，阈值可以提高到使得
存储系统112有足够的计算资源来继续执行排定任务。为此，可以根据存储系统112中的可用计算资源来确定扫描阈值。在一些实施方案中，存储系统使用彩票调度算法来选择要扫描多个备份快照中的哪个。
62.存储系统112可以包括用于还原和扫描选定快照的至少一部分的临时环境118，以创建选定快照的所述部分的经还原实例。临时环境118的示例是沙盒测试环境。将选定备份快照还原到临时环境118允许对选定备份快照执行漏洞扫描，所述漏洞扫描被配置用于扫描实时工作负载。
63.在一些实施方案中，存储系统112可以将对应于备份快照的主系统102的版本还原到临时环境118，并对主系统的经还原版本执行漏洞扫描。存储系统112可以部分地通过克隆与对应于备份快照的主系统102的版本相关联的视图来还原对应于备份快照的主系统102的版本。在一些实施方案中，通过复制与主系统102的版本相关联的根节点来克隆与对应于备份快照的主系统102的版本相关联的视图。
64.在一些实施方案中，存储系统112可以将对应于备份快照的工作负载103的版本还原到临时环境118，并对工作负载的经还原版本执行漏洞扫描。存储系统112可以部分地通过克隆与对应于备份快照的工作负载103的版本相关联的视图来还原对应于备份快照的工作负载103的版本。在一些实施方案中，通过复制与工作负载103的版本相关联的根节点来克隆与对应于备份快照的工作负载103的版本相关联的视图。可以使用2019年8月23日提交的题为“continuous data protection using a write filter(使用写过滤器进行持续数据保护)”的美国专利申请16/549,719中所述的技术来克隆与对应于备份快照的主系统102的版本相关联的视图和/或与对应于备份快照的工作负载103的版本相关联的视图。存储系统112可以部分地通过在临时环境118中提供对与所克隆视图相关联的数据的访问来进一步还原主系统102或工作负载103的版本。
65.存储系统112可以扫描选定备份快照的经还原部分以查找一个或多个漏洞。存储系统112可以获得与一个或多个应用程序相关联的一个或多个已知漏洞列表。与一个或多个应用程序相关联的一个或多个已知漏洞列表可以包括已知漏洞中的每个漏洞的对应漏洞分数。一个或多个已知漏洞列表可以包括从通用漏洞披露(cve)系统获得的列表。政府实体可以使用cvss来分配对应漏洞分数。选定备份快照的经还原部分可以包括已知漏洞中的至少一个漏洞。选定备份快照的经还原部分的漏洞扫描可以确定与选定备份快照的经还原部分相关联的一个或多个漏洞。存储系统112可以为与选定备份快照的经还原部分相关联的一个或多个所确定的漏洞中的每个漏洞分配对应漏洞分数。
66.存储系统112可以存储跟踪与经扫描备份快照相关联的一个或多个漏洞的数据结构(例如，列表、映射等)。数据结构可以包括多个条目，每个条目对应于备份快照的经扫描部分中的一个经扫描部分。条目可以将备份快照的经扫描部分与一个或多个已知漏洞以及与备份快照的经扫描部分相关联的恢复时间相关联。数据结构可以指示与备份快照的经扫描部分相关联的所有潜在补救措施以及与备份快照的经扫描部分相关联的所有所需补救措施。
67.当从经扫描备份快照中的一个经扫描备份快照还原工作负载的状态时，跟踪与经扫描备份快照相关联的一个或多个漏洞向主系统102和/或存储系统112提供有用的信息。如上所述，可以应主系统102和/或用户的请求从备份快照还原工作负载。当工作负载损坏、
停止工作和/或当工作负载被迁移到不同的生产环境时，可以还原工作负载。通过跟踪与经扫描备份快照相关联的一个或多个漏洞，可以在还原工作负载时识别和修正经扫描备份快照中存在的漏洞。主系统102的操作员可以在检测到实时生产环境(例如，主系统102)上的漏洞时对其进行修补。通过维护关于在主系统102的不同状态下检测到的漏洞(例如，备份快照的经扫描部分中的漏洞)的历史信息，可以防止在从备份快照还原时将先前的漏洞引入主系统102上。
68.存储系统112可以基于对后续选定备份快照执行的漏洞扫描来更新所存储的跟踪一个或多个漏洞的数据结构。例如，假设在第一次，第一备份快照的第一经扫描部分包括虚拟机vm_1，它是由第三方提供的虚拟机的特定版本(例如，v.1.3)，并且在备份快照的第一经扫描部分中未检测到漏洞。在第二次，在第二后续备份快照的第二经扫描部分(包括版本为v.1.3的同一虚拟机vm_1)中检测到一个或多个漏洞。然后，检测到的漏洞与vm_1的特定版本v.1.3相关联。在该示例中，第一备份快照的第一经扫描部分可以包括与第二经扫描部分相同的漏洞，但是由于第一次和第二次执行的漏洞扫描存在差异，所述漏洞未被检测到。
69.所执行的漏洞扫描可能会随着时间的推移而发生变化，其中识别到新的漏洞，发明出新类型的扫描和/或自扫描第一备份快照的第一经扫描部分以来对已知漏洞列表进行了更新。存储系统112可以更新数据结构，使得第一备份快照的第一经扫描部分与在第二备份快照的第二经扫描部分中检测到的漏洞相关联。以这种方式，可以基于与包括漏洞的备份快照的相关性来维护和更新多个备份快照(包括未被选择和扫描的那些备份快照)的漏洞信息。
70.存储系统112可以确定与备份快照的经扫描部分相关联的恢复时间。与备份快照的经扫描部分相关联的恢复时间可以基于与环境相关联的指定安全态势，与备份快照的经扫描部分相关联的数据将在所述环境中还原。例如，一些还原环境可能比其他还原环境具有更高的安全要求。具有高安全态势的还原环境可能需要补救与备份快照的经扫描部分相关联的一个或多个漏洞中的所有漏洞。具有中等安全态势的还原环境可能需要补救所有严重和非常严重的漏洞，而不补救任何不严重漏洞。具有低安全态势的还原环境可能不需要补救一个或多个漏洞中的任何漏洞。
71.备份快照的经扫描部分可能与多个漏洞相关联。存储系统112可以过滤需要为还原环境补救的一个或多个漏洞，与备份快照的经扫描部分相关联的数据将被还原到所述还原环境。例如，备份快照的经扫描部分可以与三个漏洞相关联：两个非常严重的漏洞和一个不严重的漏洞。还原环境的安全态势可能具有中等安全态势，并且只需要补救所述两个非常严重的漏洞。存储系统112可以基于与两个非常严重的漏洞相关联的补救措施来确定与备份快照的经扫描部分相关联的恢复时间，而不是基于与备份快照的经扫描部分相关联的所有补救措施来确定与备份快照的经扫描部分相关联的恢复时间。在一些实施方案中，存储系统基于是否要补救与备份快照的经扫描部分相关联的所有漏洞、是否要补救与备份快照的经扫描部分相关联的一些漏洞和/或是否不要补救与备份快照的经扫描部分相关联的任何漏洞来计算与备份快照的经扫描部分相关联的对应恢复时间。
72.存储系统112可以生成要向备份快照的经扫描部分应用的一种或多种补救措施的排序。例如，存储系统112可以确定一种或多种补救措施的序列，所述补救措施要应用于与备份快照部分的经扫描部分相关联的数据以还原还原系统(例如，主系统)。
73.与备份快照的经扫描部分相关联的恢复时间可以基于与还原还原系统(例如，主系统102)相关联的前滚时间。前滚时间可以包括将与备份快照的经扫描部分相关联的数据从存储系统112提供到还原系统所需的时间量。前滚时间还可以包括还原系统将系统还原到与备份快照的经扫描部分相关联的状态所需的时间量。在一些实施方案中，将与虚拟机的特定版本相关联的数据从存储系统112提供到还原系统。在一些实施方案中，将与备份快照的经扫描部分相关联的所有数据都从存储系统112提供到还原系统。例如，将还原系统还原到主系统102的特定版本。
74.与备份快照的经扫描部分相关联的恢复时间可以基于与一种或多种补救措施相关联的累积补丁时间。累积补丁时间是向经还原数据应用一种或多种补救措施所需的时间量。与经扫描备份快照中的每一个相关联的所确定的恢复时间可以基于与一种或多种补救措施相关联的对应累积补丁时间和与经扫描备份快照的至少一部分相关联的对应前滚时间。
75.存储系统112可以基于备份快照的经扫描部分可用于还原还原系统的不同场景来确定与备份快照的经扫描部分相关联的多个恢复时间。存储系统可以基于不同的安全态势、不同的前滚时间(例如，还原备份快照的不同部分与还原备份快照的整个部分)、不同的累积补丁时间(例如，应用所有补救措施、一些补救措施、无补救措施)和/或其组合来确定对应恢复时间。
76.存储系统112可以接收与识别要还原的备份快照相关联的请求。例如，主系统102可以向存储系统112发送还原整个系统或工作负载中的一个工作负载的请求。可以使用备份快照的经扫描部分中的任一个来还原主系统102，然而，与主系统102相关联的用户在选择备份快照的经扫描部分时可能需要指导。与还原系统相关联的用户在选择备份快照的选定经扫描部分的版本时可能需要指导。还原系统可以请求将系统还原到与特定日期或特定时间段(例如，小时范围、日期范围等)相关联的状态。
77.响应于所述请求，存储系统112可以提供接口，所述接口指示与所述请求相关联的备份快照的一个或多个经扫描部分及其一个或多个对应漏洞。接口可以显示对应于备份快照的一个或多个经扫描部分的一个或多个条目。对应于备份快照的经扫描部分的条目可以指示与备份快照的经扫描部分相关联的漏洞是非常严重、严重和/或不严重。条目可以指示与备份快照的经扫描部分相关联的一个或多个恢复时间。例如，所述条目可以指示与将备份快照的经扫描部分还原到高安全态势还原环境相关联的恢复时间、与将备份快照的经扫描部分还原到中等安全态势还原环境相关联的恢复时间、和/或与将备份快照的经扫描部分还原到低安全态势还原环境相关联的恢复时间。
78.接口可以为与还原系统相关联的用户提供基于安全态势对选定备份快照的版本进行过滤的能力。例如，与还原系统相关联的用户可以选择“高安全态势”。响应于所述选择，存储系统112可以更新接口，以如果选定备份快照被还原到具有“高安全态势”的还原环境，则关联备份快照的一个或多个经扫描部分及其对应的一个或多个恢复时间。
79.接口可以为与还原系统相关联的用户提供基于恢复时间总量对备份快照的选定经扫描部分的版本进行过滤的能力。例如，与还原系统相关联的用户可能有一定时间量来还原还原系统。备份快照的一些经扫描部分可能具有大于所述一定时间量的对应恢复时间。存储系统112可以更新接口以基于恢复时间总量对备份快照的经扫描部分进行排名。
80.存储系统112还可以显示与备份快照的经扫描部分的不同部分相关联的恢复时间。例如，接口可以指示与还原备份快照中包括的特定工作负载相关联的恢复时间。接口可以指示与还原整个备份快照相关联的恢复时间。接口可以允许与还原系统相关联的用户选择要还原的一个或多个工作负载，并且响应于所述选择，存储系统112可以更新接口以指示与一个或多个工作负载的选择相关联的对应恢复时间。
81.请求系统可以选择备份快照的经扫描部分中的一个经扫描部分。响应于所述请求，存储系统112可以提供与备份快照的选定经扫描部分相关联的数据。在一些实施方案中，存储系统112可以遍历对应于备份快照的选定经扫描部分的树型数据结构，以定位与备份快照的选定经扫描部分相关联的数据并将所定位的数据提供给请求系统。响应于接收到所述数据，请求系统可以向所接收的数据应用与选定经扫描备份快照相关联的一种或多种补救措施。
82.图2是示出根据一些实施方案的用于执行漏洞扫描的过程的流程图。在所示示例中，过程200可以由诸如存储系统112等存储系统执行。过程200可以由存储系统周期性地执行。在一些实施方案中，当存储系统具有足够量的资源来执行过程200时，执行过程200。可以针对多个备份快照分别执行过程200以生成多个经扫描备份快照。
83.在202处，接收与多个备份快照相关联的数据。主系统可以执行备份快照并将与主系统相关联的文件系统数据发送到存储系统。备份快照可以是完整备份快照或增量备份快照。备份快照可以是整个主系统的备份，也可以是主系统托管的一个或多个工作负载的备份。可以根据备份快照策略执行备份快照。备份快照策略可以指示当数据的阈值大小已经发生变化时和/或当从与主系统相关联的用户接收到命令时将定期地(例如，每小时、每天、每周、每月等)对文件系统数据进行备份。
84.存储系统可以接收与多个备份快照相关联的数据，存储与多个备份快照相关联的数据，并为多个备份快照生成对应树型数据结构。树型数据结构可以组织和存储与备份快照数据相关联的元数据。树型数据结构的示例是快照树。在一些实施方案中，每个快照树对应于主系统可以还原到的主系统版本。在一些实施方案中，每个快照树对应于主系统上托管的可以将工作负载还原到的工作负载版本。
85.在204处，在多个备份快照中选择要扫描的备份快照。可以基于与备份快照相关联的对应扫描分数来选择要扫描的备份快照。备份快照中的每一个可以具有对应扫描分数。扫描分数可以指示备份快照是否适合漏洞扫描。可以将与备份快照相关联的扫描分数与阈值进行比较。如果扫描分数大于或等于阈值，则可以选择备份快照。这可以确保对足够多的备份快照样本扫描漏洞，而不会对存储系统的资源造成不必要的负担。
86.在206处，将选定备份快照的至少一部分还原到临时环境，以创建选定备份快照的至少一部分的经还原实例。选定快照的所述部分可以对应于主系统托管的工作负载。例如，可以将主系统托管的虚拟机还原到临时环境。在一些实施方案中，选定快照的所述部分是选定快照的整个部分，并且将整个主系统还原到临时环境。
87.在208处，执行对经还原实例的漏洞扫描。可能检测到与经还原实例相关联的一个或多个漏洞。存储系统可以从诸如政府实体等第三方系统获得针对一个或多个所检测到的漏洞的对应漏洞分数。
88.在210处，确定与备份快照的经扫描部分相关联的恢复时间。一个或多个所检测到
的漏洞中的每一个都可以具有对应补救措施。对应补救措施可以具有相关联前滚时间。
89.在212处，跟踪由漏洞扫描识别的备份快照的经扫描部分的一个或多个漏洞。存储系统可以存储跟踪与备份快照的经扫描部分相关联的一个或多个漏洞的数据结构(例如，列表、映射等)。数据结构可以包括多个条目，每个条目对应于备份快照的经扫描部分中的一个经扫描部分。条目可以将备份快照的经扫描部分与一个或多个已知漏洞以及与备份快照的经扫描部分相关联的恢复时间相关联。数据结构可以指示与备份快照的经扫描部分相关联的所有潜在补救措施以及与备份快照的经扫描部分相关联的所有所需补救措施。
90.图3是示出根据一些实施方案的用于还原备份快照的过程的流程图。在所示示例中，过程300可以由诸如存储系统112等存储系统实现。
91.在302处，接收与从多个经扫描备份快照中识别要还原的备份快照相关联的请求。可以使用备份快照的经扫描部分中的任一个来还原还原系统，然而，与还原系统相关联的用户在选择备份快照的经扫描部分时可能需要指导。与还原系统相关联的用户在选择备份快照的选定经扫描部分的版本时可能需要指导。还原系统可以请求将系统还原到与特定日期或特定时间段(例如，小时范围、日期范围等)相关联的状态。存储系统可以接收与识别要还原的备份快照相关联的请求。所述请求可以是还原整个系统或还原工作负载中的一个或多个工作负载的请求。例如，存储系统可以接收将主系统还原到昨天执行的备份快照中的一个备份快照的请求。
92.在304处，响应于所述请求，提供对备份快照的选定经扫描部分的一个或多个漏洞的至少预定识别。
93.存储系统可以提供接口，所述接口指示与所述请求相关联的备份快照的一个或多个经扫描部分及其一个或多个对应漏洞。例如，接口可以显示昨天执行的一个或多个经扫描备份快照。接口可以显示对应于备份快照的一个或多个经扫描部分的一个或多个条目。条目可以指示与备份快照的经扫描部分相关联的一个或多个漏洞。对应于备份快照的经扫描部分的条目可以指示与备份快照的经扫描部分相关联的漏洞是非常严重、严重和/或不严重。条目可以指示与备份快照的经扫描部分相关联的一个或多个恢复时间。例如，所述条目可以指示与将备份快照的经扫描部分还原到高安全态势还原环境相关联的恢复时间、与将备份快照的经扫描部分还原到中等安全态势还原环境相关联的恢复时间、和/或与将备份快照的经扫描部分还原到低安全态势还原环境相关联的恢复时间。
94.接口可以为与还原系统相关联的用户提供基于安全态势对备份快照的选定经扫描部分的版本进行过滤的能力。例如，与还原系统相关联的用户可以选择“高安全态势”。响应于所述选择，存储系统可以更新接口，以如果选定备份快照被还原到具有“高安全态势”的还原环境，则关联备份快照的一个或多个经扫描部分及其对应的一个或多个恢复时间。
95.接口可以为与还原系统相关联的用户提供基于恢复时间总量对备份快照的选定经扫描部分的版本进行过滤的能力。例如，与还原系统相关联的用户可能有一定时间量来还原还原系统。备份快照的一些经扫描部分可能具有大于所述一定时间量的对应恢复时间。存储系统可以更新接口以基于恢复时间总量对备份快照的经扫描部分进行排名。
96.存储系统还可以显示与经扫描备份快照的不同部分相关联的恢复时间。例如，接口可以指示与还原备份快照中包括的特定工作负载相关联的恢复时间。接口可以指示与还原整个备份快照相关联的恢复时间。接口可以允许与还原系统相关联的用户选择要还原的
一个或多个工作负载，并且响应于所述选择，存储系统可以更新接口以指示与一个或多个工作负载的选择相关联的对应恢复时间。
97.接口可以为与还原系统相关联的用户提供选择要补救与备份快照的经扫描部分相关联的一个或多个漏洞中的哪些漏洞的能力。
98.在306处，接收还原备份快照的经扫描部分中的一个经扫描部分的请求。在308处，提供与备份快照的所请求的经扫描部分相关联的数据。在一些实施方案中，存储系统可以遍历对应于备份快照的选定经扫描部分的树型数据结构，以定位与备份快照的选定经扫描部分相关联的数据并将所定位的数据提供给请求系统。响应于接收到所述数据，请求系统可以向所接收的数据应用与备份快照的选定经扫描部分相关联的一种或多种补救措施。
99.图4是示出根据一些实施方案的用于选择备份快照的过程的流程图。在所示示例中，过程400可以由诸如存储系统112等存储系统实现。过程400包括确定备份快照中的每个备份快照的扫描分数以确定是否选择备份快照。在一些实施方案中，可以实现过程400以执行过程200的步骤204中的一些或全部。
100.在402处，确定特定备份快照与最新备份快照之间的快照距离。特定备份快照与最新备份快照之间的快照距离可以是特定备份快照与最新备份快照之间的时间量。特定备份快照与最新备份快照之间的快照距离可以是对应于特定备份快照的快照树与对应于最新备份快照的快照树之间的快照树链中的备份快照的数量。可以根据特定备份快照与最新备份快照之间的快照距离来提高(例如，增加)与特定备份快照相关联的扫描分数。
101.扫描分数可能会提高与快照距离大小成比例的量，使得在特定备份快照与最新备份快照之间经过的时间较长的情况下，扫描分数会提高更大的量。在备份快照之间存在较大快照距离的情况下，可能希望对较大数量的备份快照执行漏洞扫描，例如，因为在主系统102中可能已经发生较大量的变化。在快照距离较小的情况下，可能希望降低扫描备份快照的频率以保留存储系统112中的计算资源。在一些情况下，如果特定备份快照与最新备份快照之间的快照距离大于第一阈值距离，则可以提高扫描分数。
102.在404处，确定特定备份快照与前次扫描之间的快照距离。特定备份快照与前次扫描之间的快照距离可以是特定备份快照与前次扫描之间的时间量。特定备份快照与前次扫描之间的快照距离可以是对应于特定备份快照的快照树与对应于前次扫描的快照树之间的快照树链中的备份快照的数量。可以根据特定备份快照与前次扫描之间的快照距离来提高(例如，增加)与特定备份快照相关联的扫描分数。类似地，对于步骤402，扫描分数提高的量可以与快照距离成比例。通过基于特定备份快照与前次扫描之间的快照距离修改扫描分数，可以以取决于备份快照的频率与期望的扫描频率之间的比率的方式来控制扫描频率。在一些情况下，如果特定备份快照与前次扫描之间的快照距离大于第二阈值距离，则提高扫描分数。
103.在406处，确定特定备份快照与具有一个或多个漏洞的前次扫描之间的快照距离。特定备份快照与最新备份快照之间的快照距离可以是特定备份快照与具有一个或多个漏洞的前次扫描之间的时间量。特定备份快照与具有一个或多个漏洞的前次扫描之间的快照距离可以是对应于特定备份快照的快照树与对应于具有一个或多个漏洞的前次扫描的快照树之间的快照树链中的备份快照的数量。可以根据特定备份快照与具有一个或多个漏洞的前次扫描之间的快照距离来提高(例如，增加)与特定备份快照相关联的扫描分数。扫描
分数提高的量可以与特定快照与具有一个或多个漏洞的扫描之间的快照距离成比例。通过以这种方式修改扫描分数，可以根据对一个或多个漏洞的检测来提高对备份快照执行漏洞扫描的频率。在检测到漏洞的情况下，可能需要提高对备份快照执行漏洞扫描的频率，使得识别到严重性提高的漏洞和/或具有越来越多漏洞的工作负载。扫描分数提高的量可以另外地或另选地与一个或多个漏洞的严重性成比例。以这种方式，在检测到严重漏洞后，可以提高对备份快照执行漏洞扫描的频率，而检测到不太严重的漏洞可能不会导致提高漏洞扫描的频率，从而节省了存储系统112中的计算资源。
104.在一些情况下，如果特定备份快照与具有一个或多个漏洞的前次扫描之间的快照距离大于第三阈值距离，则提高扫描分数。
105.在408处，确定与特定备份快照相关联的变化量。可以根据与特定备份快照相关联的变化量来提高与特定备份快照相关联的扫描分数。变化量可以与与特定备份快照相关联的主系统中的生产数据的变化量或者数据变化量相关。在特定备份快照是增量备份快照的情况下，则与特定备份快照相关联的生产数据的变化量可能与特定备份快照的大小直接相关。在特定备份快照是完整备份快照的情况下，可以基于备份快照中的文件系统元数据和/或与备份快照相关联的索引来确定生产数据的变化量。
106.与特定备份快照相关联的变化量可以另选地或另外地与由特定备份快照表示的主系统的基础设施的变化量相关。主系统的基础设施变化可以包括在主系统102中添加一个或多个计算装置。在主系统102的基础设施发生变化的情况下，可以在主系统102的文件系统元数据中表示该变化。例如，文件系统元数据可以指示主系统102中的工作负载和/或生产数据的新分区和/或存储位置。文件系统元数据可以包括在备份快照中，因此可以从备份快照中确定主系统102的基础设施的变化量。
107.与特定备份快照相关联的变化量可以另选地或另外地与与特定备份快照相关联的一个或多个工作负载的配置的变化量相关。例如，在主系统上运行的一个或多个工作负载的特定版本，诸如虚拟机、数据库、应用程序等的版本。在将虚拟机更新到新版本的示例中，希望对表示经更新虚拟机的备份快照执行漏洞扫描，以识别已随更新版本引入的任何漏洞。一个或多个工作负载的配置可以另选地或另外地指用于实现一个或多个工作负载的主系统中的一个或多个文件系统的组织结构。在与特定备份快照相关联的变化与主系统的一个或多个工作负载的配置变化相关的情况下，与备份快照相关联的索引可用于确定变化量。例如，索引可以指示备份快照中包括的一个或多个工作负载的版本，因此可以用于识别一个或多个工作负载的版本在何处发生了变化。
108.主系统的基础设施的变化量也可以与在主系统中添加新的工作负载相关。与主系统相关联的文件系统元数据可用于识别一个或多个新工作负载，例如自前次备份快照或前次扫描以来已安装在主系统上的应用程序或虚拟机。在一些情况下，如果与特定备份快照相关联的变化量大于阈值量，则提高扫描分数。
109.在410处，基于多个确定为特定备份快照分配一个或多个投票。为特定备份快照分配的投票数可能取决于快照距离的大小以及特定备份快照与前次备份快照或前次扫描之间的变化量。
110.可以基于特定备份快照与包括一个或多个漏洞的前次备份快照之间的相关性，为特定备份快照分配一个或多个投票。例如，在前次备份快照包括第一版本的工作负载w1(其
包括一个或多个漏洞)，并且特定备份快照包括工作负载w1的情况下，可以为特定备份快照分配一个或多个投票。在这种情况下为特定备份快照分配的投票数可能取决于与工作负载的w1版本相关联的一个或多个漏洞的严重性。在其他示例中，如果特定备份快照包括工作负载w_2，则可以为其分配一个或多个投票，工作负载w 2是第一工作负载w1的更新版本，其被发现包括一个或多个漏洞。
111.在一些情况下，如果快照距离大于第一阈值距离、第二阈值距离或第三阈值距离，则可以为特定备份快照分配投票。如果变化量大于阈值量，则可以为特定备份快照分配投票。与备份快照相关联的扫描分数可以是与备份快照相关联的投票总数。
112.在一些实施方案中，在402、404、406和408中执行的确定具有对应权重。在决定是否扫描备份快照以查找一个或多个漏洞时，可以为一些确定赋予比其他确定更大的权重，并且所述权重可以用于上述投票分配。
113.可以预定与确定402、404、406和408中的每一个相关联的权重。例如，可以执行优化以选择针对确定402、404、406和408的权重集，其旨在使存储系统112的用于执行漏洞扫描的计算资源最小化，同时使检测到多个备份快照中的严重漏洞的可能性最大化。
114.另选地，可以动态地确定与确定402、404、406和408中的每一个相关联的权重。也就是说，可以在操作期间修改权重，使得它们对来自存储系统112的反馈进行响应。所述反馈可以包括关于用于执行漏洞扫描的计算资源量的反馈和/或关于被检测到的漏洞数量的反馈。
115.与确定402、404、406和408相关联的权重可以另外地取决于评估中的特定备份快照的内容和/或特性。例如，一些工作负载可能容易出现由于这些工作负载配置的频繁变化而产生的漏洞，并且还可以以使得快速修补所检测到的漏洞的方式进行操作。在这种情况下，检测前次备份快照中的漏洞可能不与检测后续备份快照中的漏洞密切互相关。当评估包括诸如此类的工作负载的备份快照时，可以提高与备份快照的变化量相关联的权重，同时可以降低与特定备份快照与包括一个或多个漏洞的备份快照之间的快照距离相关联的权重。以这种方式，可以基于与备份快照中的每一个相关的因素逐案优化备份快照的选择。与特定备份快照相关联的索引可用于确定是否应该为特定备份快照修改权重。例如，在索引识别备份快照中包括的工作负载的情况下，则可以相应地修改权重，所述工作负载已知具有影响引入漏洞的方式的一个或多个特性。另选地或另外地，存储系统112可以存储和分析多个备份快照的特性以识别主系统102上正在备份的工作负载的趋势。这些趋势可用于动态地修改与确定402、404、406和408中的每一个相关联的权重。
116.在412处，基于与特定备份快照相关联的投票量来选择特定备份快照。将与备份快照相关联的投票总数与扫描阈值进行比较。如果投票总数大于扫描阈值，则可以扫描特定备份快照以查找一个或多个漏洞。如果投票总数不大于扫描阈值，则可能不会扫描特定备份快照以查找一个或多个漏洞。
117.在阈值数量的备份快照之后，响应于用户命令等，可以定期地(例如，在每个备份快照之后，在每四个备份快照之后等)执行402、404、406和408中做出的确定。
118.图5是示出根据一些实施方案的用于确定与备份快照相关联的恢复时间的过程的流程图。在所示示例中，过程500可以由诸如存储系统112等存储系统实现。在一些实施方案中，可以实现过程500以执行过程200的步骤210中的一些或全部。
119.在502处，基于与还原环境相关联的安全态势来对一个或多个漏洞进行过滤。可以将与备份快照的至少经扫描部分相关联的数据还原到还原系统。还原系统可以在具有对应安全态势的环境(例如，网络安全区域)中进行操作。对应安全态势可以由与还原系统相关联的用户指定。备份快照的经扫描部分可能与一个或多个漏洞相关联。与环境相关联的安全态势可能规定要过滤一个或多个漏洞(如果有的话)。
120.备份快照的经扫描部分可能与多个漏洞相关联。存储系统可以过滤需要为还原环境补救的一个或多个漏洞，与备份快照的经扫描部分相关联的数据将被还原到所述还原环境。例如，备份快照的经扫描部分可以与三个漏洞相关联：两个非常严重的漏洞和一个不严重的漏洞。还原环境的安全态势可能具有中等安全态势，并且只需要补救所述两个非常严重的漏洞。存储系统可以基于与两个非常严重的漏洞相关联的补救措施来确定与备份快照的经扫描部分相关联的恢复时间，而不是基于与经扫描快照相关联的所有补救措施来确定与备份快照的经扫描部分相关联的恢复时间。在一些实施方案中，存储系统基于是否补救与备份快照的经扫描部分相关联的所有漏洞、是否补救与备份快照的经扫描部分相关联的一些漏洞和/或是否不补救与备份快照的经扫描部分相关联的任何漏洞来计算与备份快照相关联的对应恢复时间。
121.在504处，生成与一个或多个经过滤漏洞相关联的一种或多种补救措施的排序。例如，存储系统可以确定一种或多种补救措施的序列，所述补救措施要应用于与备份快照的经扫描部分相关联的数据以还原还原系统(例如，主系统)。
122.在506处，确定与备份快照的选定经扫描部分相关联的数据的前滚时间。前滚时间可以包括将与备份快照的经扫描部分相关联的数据从存储系统提供到还原系统所需的时间量。前滚时间还可以包括还原系统将系统还原到与备份快照的经扫描部分相关联的状态所需的时间量。
123.在一些实施方案中，可以将与虚拟机的特定版本相关联的数据从存储系统提供到还原系统。在一些实施方案中，将与经扫描备份快照相关联的所有数据都从存储系统提供到还原系统。例如，将还原系统还原到主系统的特定版本。
124.在508处，确定与一种或多种经排序补救措施相关联的累积补丁时间。累积补丁时间是向经还原数据应用一种或多种经排序补救措施所需的时间量。补救措施可以包括应用软件补丁、更改应用程序配置、删除文件等。经排序补救措施中的每一个都可以具有相关联的补丁时间。
125.在510处，基于所确定的前滚时间和所确定的累积补丁时间来确定恢复时间。恢复时间可以是所计算的累积补丁时间和所计算的前滚时间之和。恢复时间可以是加权累积补丁时间和加权前滚时间之和。
126.可以以多种方式实现本发明，包括实现为：过程；设备；系统；物质的组成；体现在计算机可读存储介质上的计算机程序产品；和/或处理器，诸如被配置为执行存储在耦合到处理器的存储器上和/或由其提供的指令的处理器。在本说明书中，这些实现方式或本发明可能采取的任何其他形式可以称为技术。通常，在本发明的范围内可以改变所公开过程的步骤的顺序。除非另有说明，否则描述为被配置为执行任务的诸如处理器或存储器之类的部件可以实现为临时被配置为在给定时间执行任务的通用部件或被制造为执行任务的特定部件。如本文所用，术语“处理器”是指被配置为处理数据(诸如计算机程序指令)的一个
或多个装置、电路和/或处理核。
127.提供了对本发明的一个或多个实施方案的详细描述以及说明本发明原理的附图。结合此类实施方案描述了本发明，但本发明不限于任何实施方案。本发明的范围仅由权利要求书限定，并且本发明涵盖许多替代、修改和等同物。为了提供对本发明的透彻理解，在描述中阐述了许多具体细节。这些细节是出于示例的目的提供的，并且可以在没有这些具体细节中的一些或全部的情况下根据权利要求实践本发明。为了清楚起见，没有详细描述与本发明相关的技术领域中已知的技术材料，从而不会不必要地模糊本发明。
128.虽然已经为了清楚理解的目的而较详细地描述了前述实施方案，但是本发明不限于所提供的细节。此外，也存在实现本发明的许多替代方式。所公开的实施方案是说明性的而不是限制性的。