JP2989487B2 - Virus check system - Google Patents
Virus check systemInfo
- Publication number
- JP2989487B2 JP2989487B2 JP6200360A JP20036094A JP2989487B2 JP 2989487 B2 JP2989487 B2 JP 2989487B2 JP 6200360 A JP6200360 A JP 6200360A JP 20036094 A JP20036094 A JP 20036094A JP 2989487 B2 JP2989487 B2 JP 2989487B2
- Authority
- JP
- Japan
- Prior art keywords
- virus
- program
- virus check
- way function
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Description
【0001】[0001]
【産業上の利用分野】本発明は、ウィルスチェックシス
テムに係り、特に、ネットワークを介して物理的に離れ
た計算機システム上で実行されたウィルスチェックシス
テム処理の結果を収集する機能を持つウィルスチェック
システムに関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a virus check system, and more particularly, to a virus check system having a function of collecting the results of a virus check system process executed on a computer system physically separated via a network. About.
【0002】[0002]
【従来の技術】計算機システム上で処理を実行するプロ
グラムファイルに対し、あらかじめ本来の処理とは無関
係な処理を行なう部分を追加し、利用者がプログラムフ
ァイルを使用して処理の実行を開始した時点で利用者の
意図しない不正な処理を実行させることを目的としたウ
ィルスプログラムと呼ばれる不正プログラムが存在す
る。2. Description of the Related Art When a user starts execution of a process using a program file, a portion for performing a process unrelated to the original process is added to a program file for executing a process on a computer system in advance. There is a malicious program called a virus program which aims to execute an unauthorized process that is not intended by the user.
【0003】このウィルスプログラムは、悪意のある者
が作成し、利用者が認識しにくい方法を使ってプログラ
ムファイルに追加されるため、特定のプログラムファイ
ルに対しウィルスプログラムが追加されているかどうか
を、そのプログラムファイルの利用前にチェックする必
要がある。[0003] Since this virus program is created by a malicious person and added to the program file using a method that is difficult for the user to recognize, it is determined whether a virus program has been added to a specific program file. It is necessary to check before using the program file.
【0004】従来、ウィルスプログラムのチェックには
次のような方法がとられていた。Conventionally, the following method has been used for checking a virus program.
【0005】(1)ウィルスプログラムが追加されてい
ない段階のプログラムファイルをフロッピーディスクの
ような他の処理によって影響を受けない媒体上に複写・
保存し、利用者によって実行されるプログラムファイル
とこのプログラムファイルを随時比較することによっ
て、プログラムファイルへウィルスプログラムが追加さ
れているか否かを確認する。(1) Copy a program file in a stage where a virus program has not been added to a medium unaffected by other processing such as a floppy disk.
It is determined whether a virus program has been added to the program file by saving and comparing the program file executed by the user with the program file as needed.
【0006】(2)特定のウィルスプログラムについ
て、そのコードを保持し、任意のプログラムファイル中
にそのコードパターンが含まれているかどうかを検索す
ることにより、プログラムファイルへウィルスプログラ
ムが追加されているか否かを確認する。(2) Whether or not a virus program has been added to a program file by holding the code of a specific virus program and searching whether or not the code pattern is included in an arbitrary program file Check if.
【0007】(1)の方法では、利用者が使用する全て
のプログラムファイルについて、それがウィルスプログ
ラムを追加されていない状態でのファイルを保存してお
かねばならず、現実に利用されるプログラムファイルの
数が膨大であることからその実現は困難であり、主に
(2)の方法がウィルスチェックに使用されている。In the method (1), all the program files used by the user must be stored in a state where the virus program has not been added to the program files. Because of the enormous number, it is difficult to realize it, and the method (2) is mainly used for virus check.
【0008】[0008]
【発明が解決しようとする課題】ところで、(2)の方
法を実施する場合、ウィルスチェックを行なうに当たっ
て、ウィルスプログラムの追加を直ちに確認できるよう
にするために、全てのプログラムファイルに対しウィル
スチェックを実行する頻度を大きくする必要がある。When the method (2) is performed, a virus check is performed on all program files so that the addition of a virus program can be immediately confirmed when performing the virus check. It needs to be done more frequently.
【0009】そのために、チェック対象となるプログラ
ムファイルが記憶されている補助記憶装置にアクセスで
きる計算機について、ウィスルチェックプログラムを随
時起動できるように設定し、例えばチェック対象となる
プログラムファイルを使用する場合には、その直前に自
動的にウィルスチェックプログラムを起動し、そのプロ
グラムファイルに対しウィルスチェックを行なうように
する必要がある。For this purpose, a computer that can access the auxiliary storage device storing the program file to be checked is set so that the virus check program can be started at any time. For example, when the program file to be checked is used. It is necessary to automatically start a virus check program immediately before that and check the program file for viruses.
【0010】しかしながら、この方法では、ウィルスチ
ェックプログラムのプログラムファイル自身が同じ計算
機からアクセス可能な補助記憶装置上に記憶されるた
め、ウィルスチェックプログラム自身にウィルスプログ
ラムが追加されてしまう可能性があり、ウィルスプログ
ラムが追加されてしまった場合は、チェック結果を信頼
できないという問題が発生する。However, in this method, since the program file of the virus check program itself is stored on the auxiliary storage device accessible from the same computer, the virus program may be added to the virus check program itself. If a virus program is added, there is a problem that the check result cannot be trusted.
【0011】この問題は、ウィルスチェックプログラム
自身は、フロッピーディスクのような他の処理に影響を
受けない媒体上に記憶しておき、ウィルスチェック実行
時にのみ計算機からアクセスする(例えばフロッピーデ
ィスクドライブに挿入する)ことにより、解消すること
ができる。The problem is that the virus check program itself is stored on a medium such as a floppy disk which is not affected by other processes, and is accessed from the computer only when the virus check is executed (for example, inserted into a floppy disk drive). By doing so).
【0012】しかし、フロッピーディスクのフロッピー
ディスクドライブへの挿入操作などの物理的な操作を行
なう必要があり、ウィルスチェック処理の実行頻度を上
げるためには多くの手間が必要となってしまう。特に、
ウィルスチェックの対象となる計算機が複数ある場合は
大きな障害となる。However, it is necessary to perform a physical operation such as an operation of inserting a floppy disk into a floppy disk drive, and much trouble is required to increase the frequency of execution of the virus check process. Especially,
If there are a plurality of computers to be checked for viruses, this becomes a major obstacle.
【0013】本発明の目的は、ウィルスプログラムが追
加されているか否かを効率良くチェックし、かつ信頼性
の高いチェック結果を得ることができるウィルスチェッ
クシステムを提供することである。An object of the present invention is to provide a virus check system capable of efficiently checking whether a virus program has been added and obtaining a highly reliable check result.
【0014】[0014]
【課題を解決するための手段】上記目的を達成するため
に、本発明は、基本的には、特定のファイル中に格納さ
れたプログラムに基づき処理を実行する計算機システム
を末端システムとして位置付け、この末端システムでの
ウィルスチェックプログラムによるチェック結果を受信
し、末端システムで使用しているプログラムがウィルス
プログラムに侵されているかどうかを監視する中央管理
システムとから構成したものである。In order to achieve the above object, the present invention basically positions a computer system that executes processing based on a program stored in a specific file as a terminal system. It comprises a central management system that receives the check result of the virus check program in the end system and monitors whether the program used in the end system is infected by a virus program.
【0015】すなわち、ウィルスチェックプログラムを
一方向性関数によって変換する一方向性関数計算手段
と、この一方向性関数計算手段の変換結果を転送する転
送手段とを備えた末端システムと、この末端システムの
ウィルスチェックプログラムの複写を保存する保存手段
と、この保存手段に保存されているウィルスチェックプ
ログラムを一方向性関数によって変換する一方向性関数
計算手段と、この一方向性関数計算手段の変換結果と前
記末端システムの転送手段から転送された一方向性関数
計算手段の変換結果とを比較し、両者が一致するか否か
を検出する照合手段とを備える中央管理システムとから
構成したものである。That is, an end system including one-way function calculating means for converting a virus check program by a one-way function, transfer means for transferring the conversion result of the one-way function calculation means, and this end system Storage means for storing a copy of the virus check program, a one-way function calculation means for converting the virus check program stored in the storage means by a one-way function, and a conversion result of the one-way function calculation means And a comparison unit for comparing the conversion result of the one-way function calculation unit transferred from the transfer unit of the end system, and a matching unit for detecting whether or not the two match each other. .
【0016】さらに、この基本構成に対し、末端システ
ムには、前記ウィルスチェックプログラムによる検出結
果と前記一方向性関数計算手段の変換結果とを1組に併
合し、前記転送手段により中央管理システムに転送させ
る併合手段をさらに設け、前記中央管理システムは、前
記照合手段の照合結果と末端システムから転送されて来
たウィルスチェックプログラムによる検出結果とを管理
者に通知する通知手段をさらに設けたことを特徴とす
る。Further, in contrast to this basic configuration, the end system combines the detection result of the virus check program and the conversion result of the one-way function calculation means into one set, and transfers the result to the central management system by the transfer means. The central management system further includes notifying means for notifying an administrator of the result of the comparison by the comparing means and the result of detection by the virus check program transferred from the end system. Features.
【0017】また、前記中央管理システムには、前記末
端システムに対し前記ウィルスチェックプログラムによ
るウィルスプログラムの検出処理を一定期間毎に指令す
る手段をさらに設けたことを特徴とする。Further, the central management system further comprises means for instructing the end system to detect a virus program by the virus check program at regular intervals.
【0018】さらに、前記末端システムおよび中央管理
システムの一方向性関数計算手段には、ウィルスチェッ
クプログラムの他に、システムに固有の情報を組み合わ
せて変換を実行させることを特徴とする。Further, the one-way function calculating means of the terminal system and the central management system is characterized in that the conversion is executed by combining information unique to the system in addition to the virus check program.
【0019】[0019]
【作用】上記構成によれば、末端システムは、ウィルス
プログラムが追加されているかどうかをチェックするた
めのウィルスチェックプログラムを一方向性関数によっ
て変換し、その変換結果を中央管理システムに転送す
る。According to the above arrangement, the end system converts a virus check program for checking whether a virus program has been added by a one-way function, and transfers the conversion result to the central management system.
【0020】ここで、一方向性関数とは、入力データの
一部が変わると、全く別のコードに変わり、変換前の入
力データが予測不能になるデータに変換する関数のこと
である。Here, the one-way function is a function that, when a part of the input data changes, changes to a completely different code, and converts the input data before conversion into data that becomes unpredictable.
【0021】これに対し、中央管理システムは、末端シ
ステムのウィルスチェックプログラムの複写を予め保存
しているが、ウィルスチェックに際しては、この保存さ
れているウィルスチェックプログラムを一方向性関数に
よって変換し、その変換結果と末端システムから転送さ
れた一方向性関数計算手段の変換結果とを比較し、両者
が一致するならば、ウィルスプログラムが追加されてい
ないものと認定し、不一致の時は、ウィルスプログラム
が追加されているものと認定し、その認定結果を管理者
に通知する。On the other hand, the central management system stores a copy of the virus check program of the end system in advance, but at the time of virus check, the stored virus check program is converted by a one-way function. The conversion result is compared with the conversion result of the one-way function calculation means transferred from the terminal system. If the two match, it is determined that the virus program has not been added. Is added, and the result of the certification is notified to the administrator.
【0022】これにより、フロッピーディスクドライブ
への挿入操作などの物理的な操作を行なう必要がなくな
り、効率良くウィルスチェックを行うことができる。Thus, there is no need to perform a physical operation such as an operation of inserting the disk into the floppy disk drive, and the virus can be efficiently checked.
【0023】また、ウィルスチェックプログラム自身が
ウィルスプログラムに侵されているかどうかが判るた
め、信頼性の高いチェック結果を得ることができる。Further, since it is known whether or not the virus check program itself is affected by the virus program, a highly reliable check result can be obtained.
【0024】さらに、ウィルスチェックプログラムによ
る検出結果と前記一方向性関数計算手段の変換結果とを
1組に併合し、中央管理システムに転送する構成にあっ
ては、末端システムのプログラムがどのようなウィルス
プログラムに侵されているかどうかを知ることができ
る。Further, in a configuration in which the result of detection by the virus check program and the result of conversion by the one-way function calculating means are combined into one set and transferred to the central management system, You can know if you are infected by a virus program.
【0025】また、中央管理システムから末端システム
に対しウィルスチェックプログラムによるウィルスプロ
グラムの検出処理を一定期間毎に指令する構成にあって
は、管理者は一定期間毎にウィルスチェック結果を自動
的に得ることができる。In a configuration in which the central management system instructs the end system to detect a virus program by the virus check program at regular intervals, the administrator automatically obtains a virus check result at regular intervals. be able to.
【0026】さらに、末端システムおよび中央管理シス
テムの一方向性関数計算手段には、ウィルスチェックプ
ログラムの他に、システムに固有の情報を組み合わせて
変換を実行させることにより、ウィルスプログラムがウ
ィルスチェックプログラムを複写し、その複写ウィルス
チェックプログラムから一方向性関数変換を行い、この
変換結果を用いて中央管理システムに対してはウィルス
プログラムが侵入していないという、偽のチェック結果
を転送したとしても、これが偽のチェック結果であるこ
とを直ちに検出することができる。Furthermore, the one-way function calculating means of the terminal system and the central management system causes the virus check program to execute conversion by combining information unique to the system in addition to the virus check program. Copy, perform a one-way function conversion from the copied virus check program, and use this conversion result to transfer a false check result indicating that no virus program has entered the central management system. Immediate detection of a false check result is possible.
【0027】[0027]
【実施例】以下、本発明の実施例を図面により説明す
る。Embodiments of the present invention will be described below with reference to the drawings.
【0028】図1は本発明のウィルスチェックシステム
の一実施例を示すシステム構成図であり、複数の末端シ
ステム102〜104がネットワーク101を介して中
央管理システム105に接続されている。FIG. 1 is a system configuration diagram showing an embodiment of a virus check system according to the present invention. A plurality of end systems 102 to 104 are connected to a central management system 105 via a network 101.
【0029】これら末端システムおよび中央管理システ
ム102〜105は汎用的な計算機システムで構成さ
れ、末端システム102〜104は補助記憶装置106
〜111を備え、また中央管理システム105は補助記
憶装置112,113を備えている。The terminal systems and the central management systems 102 to 105 are constituted by general-purpose computer systems.
To 111, and the central management system 105 includes auxiliary storage devices 112 and 113.
【0030】補助記憶装置106、108、110、1
12は本システムのウィルスチェックプログラムを格納
するための補助記憶装置であり、107、109、11
1は本システムによってウィルスチェックの対象となる
他の一般プログラムを記憶するための補助記憶装置であ
る。113は複数回にわたって実行されたウィルスチェ
ック処理の結果を順次記憶するための補助記憶装置であ
る。Auxiliary storage devices 106, 108, 110, 1
Reference numeral 12 denotes an auxiliary storage device for storing a virus check program of the present system.
Reference numeral 1 denotes an auxiliary storage device for storing other general programs to be checked for viruses by the present system. Reference numeral 113 denotes an auxiliary storage device for sequentially storing the results of the virus check processing executed a plurality of times.
【0031】図2は、末端システムおよび中央管理シス
テムの詳細構成を示す機能ブロック図であり、末端シス
テムは102を代表して示している。FIG. 2 is a functional block diagram showing a detailed configuration of the terminal system and the central management system.
【0032】末端システム102は、ウィルスチェック
処理部とそれ以外の部分から成っている。The terminal system 102 comprises a virus check processing unit and other parts.
【0033】203は、中央管理システム105からの
ウィルスチェック処理開始リクエスト(データ)をネッ
トワーク101から受信するためのデータ受信部であ
る。Reference numeral 203 denotes a data receiving unit for receiving a virus check processing start request (data) from the central management system 105 from the network 101.
【0034】204は、ウィルスチェックプログラムを
補助記憶装置106から読み込み、末端システム上で動
作させるためのプログラム起動部である。Reference numeral 204 denotes a program starting unit for reading the virus check program from the auxiliary storage device 106 and operating it on the terminal system.
【0035】205は、ウィルスチェック処理の結果
(データ)をネットワーク101を介して中央管理シス
テム105に転送するためのデータ送信部である。A data transmission unit 205 transfers the result (data) of the virus check process to the central management system 105 via the network 101.
【0036】206は、本システムの初期化段階で設定
・記録されたシリアル番号に「1」を加えるためのシリ
アル番号加算部である。Reference numeral 206 denotes a serial number adding unit for adding "1" to the serial number set and recorded in the initialization stage of the present system.
【0037】207は、任意長のビット列を入力データ
とし、そのデータを一方向関数によって不可逆なより短
いビット列に変換するための一方向性関数計算部であ
る。Reference numeral 207 denotes a one-way function calculator for using a bit string of an arbitrary length as input data and converting the data into an irreversible shorter bit string using a one-way function.
【0038】208は、有限種類の既知のウィルスプロ
グラムについて、コードパターンが特定のプログラムフ
ァイル中に存在するかどうか検索するウィルスプログラ
ムパターン検索部である。Reference numeral 208 denotes a virus program pattern search unit that searches for a finite type of known virus programs to determine whether a code pattern exists in a specific program file.
【0039】209は、補助記憶装置106に格納され
ているウィルスチェックプログラムである。このウィル
スチェックプログラム209から起動されるウィルスチ
ェック処理部にはデータ送信部205〜ウィルスプログ
ラムパターン検索部208の各部分が含まれている。Reference numeral 209 denotes a virus check program stored in the auxiliary storage device 106. The virus check processing unit started by the virus check program 209 includes the data transmission unit 205 to the virus program pattern search unit 208.
【0040】210,211は、ウィルスプログラムが
追加されているかどうかのチェック対象となる一般のプ
ログラムファイルである。Reference numerals 210 and 211 are general program files to be checked for whether a virus program has been added.
【0041】212は、ウィルスチェック開始リクエス
トを各末端システム102,103,104のデータ受
信部203に送信するためのデータ送信部である。Reference numeral 212 denotes a data transmission unit for transmitting a virus check start request to the data reception unit 203 of each of the end systems 102, 103, and 104.
【0042】213は、各末端システム102〜104
によるウィルスチェック処理の結果を受信するためのデ
ータ受信部である。Reference numeral 213 denotes each terminal system 102 to 104
This is a data receiving unit for receiving the result of the virus check processing by.
【0043】214は、ウィルスチェック管理者により
各末端システム102〜104に対してウィルスチェッ
ク処理の開始を指示するためのウィルスチェック開始リ
クエスト作成部である。Reference numeral 214 denotes a virus check start request creation unit for instructing each of the end systems 102 to 104 to start a virus check process by a virus check manager.
【0044】この場合、ウィルスチェック開始リクエス
トは、ウィルスチェック管理者によって端末装置等の入
力装置から直接作成するか、あるいはタイマ機能などを
利用して定期的にあるいは随時自動的に作成する。In this case, the virus check start request is created directly from an input device such as a terminal device by the virus check manager, or is automatically created periodically or as needed using a timer function or the like.
【0045】215は、本システムの初期化段階で設定
・記録されたシリアル番号に「1」を加えるためのシリ
アル番号加算部である。Reference numeral 215 denotes a serial number adding unit for adding "1" to the serial number set and recorded in the initialization stage of the system.
【0046】216は、一方向性関数計算部である。Reference numeral 216 denotes a one-way function calculator.
【0047】217は、一方向性関数計算部207およ
び216によって算出された一方向性関数の計算結果を
入力し、それらの値が一致しているかどうか判別する照
合部である。Reference numeral 217 denotes a collation unit which inputs the calculation results of the one-way function calculated by the one-way function calculation units 207 and 216, and determines whether or not the values match.
【0048】218は、各末端システム102〜104
から受信したウィルスチェック処理の結果を記録してお
くためのウィルスチェック結果蓄積部である。Reference numeral 218 denotes each terminal system 102-104.
This is a virus check result accumulation unit for recording the result of the virus check process received from the server.
【0049】219は蓄積部218に記録されている各
末端システム102〜104でのウィルスチェック処理
の結果を解析し、管理者が読みやすい形で出力するため
のウィルスチェック結果解析部である。Reference numeral 219 denotes a virus check result analysis unit for analyzing the result of the virus check processing in each of the end systems 102 to 104 recorded in the storage unit 218 and outputting the result in a format that is easy for the administrator to read.
【0050】220は、本システムの初期化時に複写・
保存される末端システム上のウィルスチェックプログラ
ムである。Reference numeral 220 denotes a copy / copy operation when the system is initialized.
This is the virus check program on the end system that is stored.
【0051】図3は、末端システム102から中央管理
システム105に送信されるウィルスチェック処理の結
果を含んだメッセージの構成図である。FIG. 3 is a configuration diagram of a message including the result of the virus check process transmitted from the end system 102 to the central management system 105.
【0052】図3において、301は、このメッセージ
を送信した末端システムのウィルスチェック処理部のプ
ログラムファイルの一方向性関数による計算結果であ
る。In FIG. 3, reference numeral 301 denotes a calculation result by the one-way function of the program file of the virus check processing unit of the end system that transmitted this message.
【0053】302〜304はウィルスチェックで検出
された既知のウィルスプログラムの名称(あるいはI
D)である。Reference numerals 302 to 304 denote the names of known virus programs (or I
D).
【0054】305〜307は、302〜304のそれ
ぞれのウィルスプログラムについてそれらが追加されて
いると判断されたプログラムファイルの数である。Reference numerals 305 to 307 denote the number of program files for which it has been determined that the virus programs 302 to 304 have been added.
【0055】308〜312は、302〜304のそれ
ぞれのウィルスプログラムについてそれらが追加されて
いると判断されたプログラムファイルの名称(あるいは
ID)である。Reference numerals 308 to 312 denote the names (or IDs) of the program files for which it has been determined that the virus programs 302 to 304 have been added.
【0056】なお、308については、302に記述の
ウィルスAに関しては追加されていると判断されたプロ
グラムファイルが存在しなかった場合であり、空欄とな
る。Note that 308 is blank when there is no program file determined to have been added for virus A described in 302.
【0057】図4および図5は、本システムの処理の流
れを示すフローチャートである。FIGS. 4 and 5 are flowcharts showing the flow of the processing of this system.
【0058】以下、図4および図5に従って本システム
の処理の内容を説明する。The contents of the processing of the present system will be described below with reference to FIGS.
【0059】まず、ステップ401〜403では初期化
処理を行なう。First, in steps 401 to 403, an initialization process is performed.
【0060】具体的には、中央管理システム105側で
シリアル番号を乱数として算出する(ステップ40
1)。この場合のシリアル番号は単なる正数値でもいい
が、日付やユーザIDのような予想しにくい構造を持っ
た値であれば必ずしも完全な乱数である必要はない。Specifically, the central management system 105 calculates the serial number as a random number (step 40).
1). In this case, the serial number may be a simple positive number, but it is not necessarily required to be a complete random number as long as the value has a structure that is difficult to predict, such as a date or a user ID.
【0061】次に、ここで作成されたシリアル番号をシ
リアル番号加算部215に記録し、同時に各末端システ
ム102〜104にネットワーク101を通じて送信す
る(ステップ402)。Next, the serial number created here is recorded in the serial number adding unit 215, and at the same time, transmitted to each of the terminal systems 102 to 104 via the network 101 (step 402).
【0062】各末端システム102〜104側では、受
信したシリアル番号をシリアル番号加算部215に記録
する(ステップ403)。この場合、シリアル番号を記
録する場所は補助記憶装置上などで良いが、ウィルスプ
ログラムによって予想されない場所に自由に設定できる
のが望ましい。Each of the terminal systems 102 to 104 records the received serial number in the serial number adding unit 215 (step 403). In this case, the location where the serial number is recorded may be on an auxiliary storage device or the like, but it is desirable that the serial number can be freely set at a location not expected by the virus program.
【0063】ウィルスチェック処理は、ウィルスチェッ
ク開始リクエスト作成部214上でリクエストを作成
し、これを各末端システム102〜104に送信するこ
とによって実行される。The virus check process is executed by creating a request on the virus check start request creating unit 214 and transmitting it to each of the end systems 102 to 104.
【0064】ここで、ウィルスチェック開始リクエスト
の作成は、端末装置等の入力装置を使用して管理者が手
動で作成する方法や、中央管理システム105上のタイ
マ機能を利用して定期的に自動的に作成する方法、ある
いはウィルスチェック対象となる各末端システム102
〜104の利用頻度が小さい時間帯を予約する形で作成
する方法などが考えられる。Here, the virus check start request is created manually by an administrator using an input device such as a terminal device or automatically by using a timer function on the central management system 105. Method of creating a system or each end system 102 to be checked for viruses
A method of creating a time zone in which the use frequency of the data items 104 to 104 is small is conceivable.
【0065】また、ウィルスチェック開始リクエスト
は、複数の末端システム102〜104のそれぞれにつ
いて別々に作成するが、同じリクエストメッセージを複
写して全ての末端システム102〜104に同時に送信
するようにしてもよい。The virus check start request is separately created for each of the plurality of end systems 102 to 104. The same request message may be copied and transmitted to all the end systems 102 to 104 at the same time. .
【0066】このようにして作成されたウィルスチェッ
ク開始リクエストは、該当する末端システム102,1
03,104に対しデータ送信部212から送信される
(ステップ404)。The virus check start request thus created is sent to the corresponding end system 102,1.
03 and 104 are transmitted from the data transmission unit 212 (step 404).
【0067】末端システム102では、データ受信部2
03でウィルスチェック開始リクエストを受信し(ステ
ップ405)、補助記憶措置106のウィルスチェック
プログラム209を参照し、ウィルスチェック処理部を
プログラム起動部204によって起動する(ステップ4
06)。In the terminal system 102, the data receiving unit 2
03, a virus check start request is received (step 405), and the virus check processing unit is started by the program start unit 204 by referring to the virus check program 209 of the auxiliary storage unit 106 (step 4).
06).
【0068】起動されたウィルスチェック処理部は、ま
ず補助記憶措置106からウィルスチェックプログラム
を取り出し、シリアル番号加算部206に記録されてい
るシリアル番号データと連結したデータを作成する(ス
テップ407)。The activated virus check processing unit first takes out the virus check program from the auxiliary storage unit 106 and creates data linked to the serial number data recorded in the serial number addition unit 206 (step 407).
【0069】この連結データを一方向性関数計算部20
7への入力データとして一方向性関数による変換を行な
う(ステップ408)。The concatenated data is converted to a one-way function
Then, the conversion by the one-way function is performed as input data to 7 (step 408).
【0070】次に、末端システム102内で作動してい
る全てのプログラムファイルをリストアップし(ステッ
プ409)、その各々についてウィルスプログラムパタ
ーン検索部208によってウィルスチェック処理を実行
する(ステップ410)。Next, all program files operating in the end system 102 are listed (step 409), and a virus check process is executed for each of them by the virus program pattern search unit 208 (step 410).
【0071】ここで得られたウィルスチェック結果、す
なわち、どのプログラムファイルがどの種のウィルスプ
ログラムを追加されているかというデータをステップ4
08で得られた一方向性関数の計算結果と合わせて、図
3に示したテーブルに格納し、データ送信部205から
中央管理システム105に送信する(ステップ41
1)。The obtained virus check result, that is, data indicating which program file has been added with which kind of virus program, is stored in step 4.
In addition to the calculation result of the one-way function obtained in step 08, the data is stored in the table shown in FIG.
1).
【0072】中央管理システム105では、データ受信
部213によって末端システム102からのウィルスチ
ェック処理の結果を受信する。受信した結果はウィルス
チェック結果蓄積部218によって補助記憶装置113
に格納する。In the central management system 105, the result of the virus check process from the end system 102 is received by the data receiving unit 213. The received result is stored in the auxiliary storage device 113 by the virus check result storage unit 218.
To be stored.
【0073】一方、中央管理システム105では、シリ
アル番号加算部215に記録されているシリアル番号
と、補助記憶装置112に複写格納されている該当する
末端システム102のウィルスチェックプログラム22
0とを連結し(ステップ412)、そのデータを一方向
性関数計算部216への入力として、一方向性関数によ
る変換を行う(ステップ413)。On the other hand, in the central management system 105, the serial number recorded in the serial number adding section 215 and the virus check program 22 of the corresponding end system 102 copied and stored in the auxiliary storage device 112 are stored.
0 is concatenated (step 412), and the data is used as an input to the one-way function calculation unit 216 to perform conversion by a one-way function (step 413).
【0074】次に、補助記憶措置113から取り出され
た末端システム201から受信した一方向性関数による
変換結果301と、ステップ413の結果とを照合部2
17によって比較する(ステップ414)。Next, the collation unit 2 compares the conversion result 301 of the one-way function received from the terminal system 201 extracted from the auxiliary storage unit 113 with the result of step 413.
17 (step 414).
【0075】この比較結果と、ウィルスチェック処理の
結果302〜312をウィルスチェック管理者に通知す
る(ステップ415)。The result of the comparison and the results 302 to 312 of the virus check processing are notified to the virus check manager (step 415).
【0076】もし、一方向性関数による変換結果301
とステップ413の変換結果が一致していなければ、末
端システム102のウィルスチェックプログラム209
自身がウィルスプログラムに侵されていることになるの
で、管理者は比較結果が一致しているか否かによってウ
ィルスチェックプログラム209自身に異常があるかど
うかを判断することができる。If the conversion result 301 by the one-way function 301
If the result of the conversion in step 413 does not match, the virus check program 209 of the end system 102
Since the virus check program 209 itself is invaded by the virus program, the administrator can determine whether or not the virus check program 209 itself has an abnormality based on whether or not the comparison results match.
【0077】ここで、中央管理システム105の管理下
にある全ての末端システム102〜104に対しウィル
スチェック処理を実行させた場合は(ステップ41
6)、シリアル番号加算部215に記録されているシル
アル番号を「1」増加させる。同時に各末端システム1
02〜104でもシリアル番号加算部206に記録され
ているシリアル番号を「1」増加させ、全ての末端シス
テムのウィルスチェック処理を終了する。Here, when the virus check processing is executed for all the end systems 102 to 104 under the control of the central management system 105 (step 41)
6) The serial number recorded in the serial number adding unit 215 is increased by "1". At the same time each terminal system 1
Also in 02 to 104, the serial number recorded in the serial number adding unit 206 is incremented by "1", and the virus check processing of all the end systems is completed.
【0078】このシリアル番号は、本実施例のシステム
に固有の情報であり、ウィルスプログラムはこのシリア
ル番号を知り得ない。従って、末端システム102〜1
04および中央管理システム105の一方向性関数計算
部206,216においてウィルスチェックプログラム
の他に、システムに固有のシリアル番号を組み合わせて
変換を実行させることにより、ウィルスプログラムがウ
ィルスチェックプログラム209を複写し、その複写ウ
ィルスチェックプログラムから一方向性関数変換を行
い、この変換結果を用いて中央管理システム105に対
してはウィルスプログラムが侵入していないという、偽
のチェック結果を転送したとしても、照合部217での
比較結果が不一致となり、偽のチェック結果であること
を直ちに検出することができる。This serial number is information unique to the system of this embodiment, and the virus program cannot know this serial number. Therefore, the terminal systems 102-1
In addition, the one-way function calculation units 206 and 216 of the central management system 105 and the one-way function calculation units 206 and 216 cause the virus check program to execute conversion by combining the serial number unique to the system, so that the virus check program 209 is copied. Even if a false check result indicating that no virus program has entered the central management system 105 using the converted result is transferred from the copied virus check program to the central At 217, the comparison result becomes inconsistent, and a false check result can be immediately detected.
【0079】[0079]
【発明の効果】以上の説明から明らかなように本発明に
おいては、末端システムが使用するウィルスチェックプ
ログラムを一方向性関数によって変換し、その変換結果
を中央管理システムに転送させると共に、中央管理シス
テムにおいても予め複写保存している末端システムのウ
ィルスチェックプログラムを一方向性関数によって変換
し、その変換結果と末端システムから転送された一方向
性関数計算手段の変換結果とを比較し、両者が一致する
ならば、ウィルスプログラムが追加されていないものと
認定し、不一致の時は、ウィルスプログラムが追加され
ているものと認定し、その認定結果を管理者に通知する
ようにしたので、フロッピーディスクドライブへの挿入
操作などの物理的な操作を行なう必要がなくなり、効率
良くウィルスチェックを行うことができる。As is apparent from the above description, according to the present invention, the virus check program used by the terminal system is converted by a one-way function, and the conversion result is transferred to the central management system. In step (1), the virus check program of the terminal system, which has been copied and stored in advance, is converted by the one-way function, and the conversion result is compared with the conversion result of the one-way function calculation means transferred from the terminal system, and the two match. If so, it is determined that the virus program has not been added, and if they do not match, it is determined that the virus program has been added, and the result of the certification is notified to the administrator. There is no need to perform physical operations such as insertion into the It is possible to perform the click.
【0080】また、ウィルスチェックプログラム自身が
ウィルスプログラムに侵されているかどうかが判るた
め、信頼性の高いチェック結果を得ることができる。Further, since it is known whether or not the virus check program itself is affected by the virus program, a highly reliable check result can be obtained.
【0081】さらに、ウィルスチェックプログラムによ
る検出結果と前記一方向性関数計算手段の変換結果とを
1組に併合し、中央管理システムに転送する構成にあっ
ては、末端システムのプログラムがどのようなウィルス
プログラムに侵されているかどうかを知ることができ
る。Further, in a configuration in which the detection result by the virus check program and the conversion result of the one-way function calculation means are combined into one set and transferred to the central management system, You can know if you are infected by a virus program.
【0082】また、中央管理システムから末端システム
に対しウィルスチェックプログラムによるウィルスプロ
グラムの検出処理を一定期間毎に指令する構成にあって
は、管理者は一定期間毎にウィルスチェック結果を自動
的に得ることができる。In a configuration in which the central management system instructs the end system to detect a virus program by the virus check program at regular intervals, the administrator automatically obtains the virus check result at regular intervals. be able to.
【0083】さらに、末端システムおよび中央管理シス
テムの一方向性関数計算手段には、ウィルスチェックプ
ログラムの他に、システムに固有の情報を組み合わせて
変換を実行させることにより、ウィルスプログラムがウ
ィルスチェックプログラムを複写し、その複写ウィルス
チェックプログラムから一方向性関数変換を行い、この
変換結果を用いて中央管理システムに対してはウィルス
プログラムが侵入していないという、偽のチェック結果
を転送したとしても、これが偽のチェック結果であるこ
とを直ちに検出することができる。Further, the one-way function calculating means of the terminal system and the central management system causes the virus check program to execute conversion by combining information unique to the system in addition to the virus check program, so that the virus program can execute the virus check program. Copy, perform a one-way function conversion from the copied virus check program, and use this conversion result to transfer a false check result indicating that no virus program has entered the central management system. Immediate detection of a false check result is possible.
【図1】本発明のウィルスチェックシステムの一実施例
を示すシステム構成図である。FIG. 1 is a system configuration diagram showing one embodiment of a virus check system of the present invention.
【図2】図1の実施例の末端システムおよび中央管理シ
ステムの詳細構成を示す機能ブロック図である。FIG. 2 is a functional block diagram showing a detailed configuration of a terminal system and a central management system of the embodiment of FIG. 1;
【図3】末端システムから中央管理システムに転送され
るデータの構造図である。FIG. 3 is a structural diagram of data transferred from an end system to a central management system.
【図4】ウィルスチェック処理の流れを示すフローチャ
ートである。FIG. 4 is a flowchart illustrating a flow of a virus check process.
【図5】図4の続きを示すフローチャートである。FIG. 5 is a flowchart showing a continuation of FIG. 4;
101…ネットワーク、102〜104…末端システ
ム、105…中央管理システム、106〜113…補助
記憶装置、203,213…データ受信部、205,2
12…データ送信部、206,215…シリアル番号加
算部、207,216…一方向性関数計算部、208…
ウィルスプログラムパターン検索部、209,220…
ウィルスチェックプログラム、210,211…プログ
ラムファイル、218…ウィルスチェック結果蓄積部、
219…ウィルスチェック結果解析部。101: Network, 102 to 104: Terminal system, 105: Central management system, 106 to 113: Auxiliary storage device, 203, 213: Data receiving unit, 205, 2
12 data transmission unit, 206, 215 serial number adding unit, 207, 216 one-way function calculation unit, 208
Virus program pattern search unit, 209, 220 ...
Virus check program, 210, 211 ... program file, 218 ... virus check result storage unit,
219: Virus check result analysis unit.
フロントページの続き (56)参考文献 特開 平4−100147(JP,A) 特開 平4−338823(JP,A) 特開 平4−163627(JP,A) 特開 平4−100147(JP,A) B.Schneier”ONE−WA Y HASHING FUNCTION S(Using Cryptograp hic Algorithm for Hashing”Doctor Dob b’s Journal(1991−9) (58)調査した分野(Int.Cl.6,DB名) G06F 9/06 Continuation of the front page (56) References JP-A-4-100147 (JP, A) JP-A-4-338823 (JP, A) JP-A-4-163627 (JP, A) JP-A-4-100147 (JP) , A) B. Schneier "ONE-WA Y HASHING FUNCTION S (Using Cryptograp hic Algorithm for Hashing" Doctor Dob b's Journal (1991-9) (58) investigated the field (Int.Cl. 6, DB name) G06F 9/06
Claims (3)
せることを目的としたウィルスプログラムが含まれてい
ることをウィルスチェックプログラムによって検出する
ウィルスチェックシステムにおいて、 前記ウィルスチェックプログラムを一方向性関数によっ
て変換する一方向性関数計算手段と、この一方向性関数
計算手段の変換結果と前記ウィルスチェックプログラム
による検出結果とを1組に併合し、転送する転送手段と
を備えた末端システムと、 前記末端システムのウィルスチェックプログラムの複写
を保存する保存手段と、この保存手段に保存されている
ウィルスチェックプログラムを一方向性関数によって変
換する一方向性関数計算手段と、この一方向性関数計算
手段の変換結果と前記末端システムの転送手段から転送
された一方向性関数計算手段の変換結果とを比較し、両
者が一致するか否かを検出する照合手段と、この照合手
段による照合結果と前記末端システムの転送手段から転
送された前記ウィルスチェックプログラムによる検出結
果を通知する通知手段とを備える中央管理システムと、
から成るウィルスチェックシステム。1. A virus check system for detecting, by a virus check program, that a specific file contains a virus program intended to execute an illegal process, wherein the virus check program includes a one-way function. One-way function calculating means for converting by using the one-way function calculating means and the virus check program
System comprising a transfer means for combining and transferring the detection results obtained by the above-mentioned methods into one set, a storage means for storing a copy of the virus check program of the end system, and a virus check program stored in the storage means Is converted by a one-way function, and the conversion result of the one-way function calculation means is compared with the conversion result of the one-way function calculation means transferred from the transfer means of the terminal system. a matching means for detecting whether or not they match, the verification hands
The verification result by the step and transfer from the transfer means of the terminal system
Detection result by the sent virus check program
A central management system including a notification unit for notifying a result ,
Virus check system.
テムに対し前記ウィルスチェックプログラムによるウィ
ルスプログラムの検出処理を一定期間毎に指令する手段
をさらに備えることを特徴とする請求項1記載のウィル
スチェックシステム。2. The system according to claim 1, wherein the central management system includes the terminal system.
Virus by the virus check program
2. The virus check system according to claim 1, further comprising means for instructing a virus program detection process at regular intervals .
ムの一方向性関数計算手段は、ウィルスチェックプログ
ラムの他に、システムに固有の情報を組み合わせて変換
を行うことを特徴とする請求項1または2記載のウィル
スチェックシステム。3. The end system and a central management system.
The one-way function calculation means for the virus check program
In addition to RAM, combine and convert information unique to the system
Virus checking system according to claim 1 or 2, wherein the performing.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6200360A JP2989487B2 (en) | 1994-08-25 | 1994-08-25 | Virus check system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP6200360A JP2989487B2 (en) | 1994-08-25 | 1994-08-25 | Virus check system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0863352A JPH0863352A (en) | 1996-03-08 |
| JP2989487B2 true JP2989487B2 (en) | 1999-12-13 |
Family
ID=16423011
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP6200360A Expired - Fee Related JP2989487B2 (en) | 1994-08-25 | 1994-08-25 | Virus check system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2989487B2 (en) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3848684B2 (en) | 1996-03-22 | 2006-11-22 | 株式会社日立製作所 | Computer network system management method and computer used in computer network system |
| US7711714B2 (en) | 1998-09-22 | 2010-05-04 | Hitachi, Ltd. | Method and a device for sterilizing downloaded files |
| WO2000048063A1 (en) * | 1999-02-15 | 2000-08-17 | Hewlett-Packard Company | Trusted computing platform |
| JP3761147B2 (en) * | 2000-06-07 | 2006-03-29 | 日本電信電話株式会社 | Information display system and gateway device |
| KR20040089386A (en) * | 2003-04-14 | 2004-10-21 | 주식회사 하우리 | Curative Method for Computer Virus Infecting Memory, Recording Medium Comprising Program Readable by Computer, and The Device |
| JP2005050184A (en) * | 2003-07-30 | 2005-02-24 | Hitachi Ltd | Device and program for detecting code modification and equipment loan system using them |
| US7770785B2 (en) * | 2005-06-13 | 2010-08-10 | Qualcomm Incorporated | Apparatus and methods for detection and management of unauthorized executable instructions on a wireless device |
| JP4818868B2 (en) * | 2006-10-05 | 2011-11-16 | 日本電信電話株式会社 | Quarantine network system using virtual terminal, method for quarantining virtual terminal, and program for quarantining virtual terminal |
-
1994
- 1994-08-25 JP JP6200360A patent/JP2989487B2/en not_active Expired - Fee Related
Non-Patent Citations (1)
| Title |
|---|
| B.Schneier"ONE−WAY HASHING FUNCTIONS(Using Cryptographic Algorithm for Hashing"Doctor Dobb’s Journal(1991−9) |
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0863352A (en) | 1996-03-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4651947B2 (en) | System and method for providing a flexible and durable hardware ID based on time and weight | |
| US7818739B2 (en) | Virus detection system, method and computer program product for handheld computers | |
| JP6048038B2 (en) | Information processing apparatus, program, and information processing method | |
| CN101809566B (en) | Efficient file hash identifier computation | |
| US7917481B1 (en) | File-system-independent malicious content detection | |
| JP5483116B2 (en) | Maintenance system, maintenance method, and maintenance program | |
| JP2010182019A (en) | Abnormality detector and program | |
| US8176555B1 (en) | Systems and methods for detecting malicious processes by analyzing process names and process characteristics | |
| JP3830389B2 (en) | Internet-based remote data and file recovery system and method | |
| JP5376258B2 (en) | Maintenance system, maintenance method, and maintenance program | |
| US20090138969A1 (en) | Device and method for blocking autorun of malicious code | |
| JP2010146457A (en) | Information processing system and program | |
| US7685174B2 (en) | Automatic regeneration of computer files | |
| JP2989487B2 (en) | Virus check system | |
| JP2000200208A (en) | Method and device for file backup, and program recording medium | |
| US20030115446A1 (en) | System and method for verifying database security across multiple platforms | |
| WO2014075504A1 (en) | Security control method and device for running application | |
| CN109189652A (en) | A kind of acquisition method and system of close network terminal behavior data | |
| JP2008140102A (en) | Information processor, leak information determination method and program | |
| CN100353277C (en) | Implementing method for controlling computer virus through proxy technique | |
| JP4331440B2 (en) | Information management server, information processing apparatus, information management system, control method therefor, and program | |
| JP2010182020A (en) | Illegality detector and program | |
| JP4857199B2 (en) | Information asset management system, log analysis device, and log analysis program | |
| CN113553243A (en) | Remote error detection method | |
| SudalaiMuthu | Volatile Kernel Rootkit Hidden Process Detection in Cloud Computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |