近年来,许多企业为了提高协同办公能力,将高价值的资产文件存储于网络附加存储（Network Attached Storage,NAS）中。而勒索软件是一种通过绑架或加密用户高价值文件进行勒索的木马。因此,NAS也成为了勒索软件的主要攻击目标之一。为减轻勒索软件对企业的影响,通常企业会采用文件备份的方式对勒索文件进行恢复。但由于备份方式存在延迟,将导致部分文件信息丢失。同时勒索软件可能嵌入到备份文件中,导致备份库感染。因此,本文采用基于实时流量高效存储的勒索文件恢复方案。而以此种方式进行勒索文件恢复时,现有的存储索引系统无法满足高吞吐和低时延需求,将导致数据包丢失和无法及时响应等问题,进而影响勒索文件还原的完整度与实时性。针对上述问题,本文通过设计索引策略和优化存储方案,提出了一种面向勒索文件恢复的网络流量分级存储方案。针对以流量重组方式恢复勒索文件的过程中,相关存储索引系统存在低吞吐量和高时延问题,本文系统从整体上采用分级架构,将数据包源和索引元数据分别存储到HDD（Hadr Disk Drive）和SDD（Solid State Disk）上,使其获得更好的综合性能。针对系统的低吞吐量问题,本文首先采用DPDK技术,利用其用户态、轮询和零拷贝等特点,以提升系统捕包的吞吐量;然后,采用mmap文件映射方案减少系统中断和拷贝时间,以提升HDD的吞吐量;最后采用SDPK技术的用户态和轮询等技术降低处理时间,以提升SSD吞吐量。针对系统索引时间较高的问题,本文设计了两级索引策略,对索引特征进行一级过滤,以减少I/O次数;同时,设计完全K叉索引树结构,以简化索引路径,使索引时间复杂度降为O（1）,实现微秒级响应。针对勒索文件恢复,本文根据SMB文件传输协议特点并基于TCP流重组的方式对勒索文件进行恢复。本文基于流量重组实现一个面向勒索文件恢复的分级存储系统,其中包括流量捕获、流索引以及文件恢复模块。同时,分别对其不同功能模块进行测试,实验表明本系统较其他系统性能均有显著的提升。综合对比,本系统比n2disk10g的整体存储性提高1.5倍,简单查询时延降低约97.3%,在DC P4800上范围查询时延降低约82.8%,在DC P3700上范围查询时延降低了16.7%。与相关恢复软件Foremost等相比,本系统在还原度较高的情况下支持较为广泛的文件类型还原。