JP2015153298A - Restoration device, restoration system, restoration method, and program - Google Patents
Restoration device, restoration system, restoration method, and program Download PDFInfo
- Publication number
- JP2015153298A JP2015153298A JP2014028457A JP2014028457A JP2015153298A JP 2015153298 A JP2015153298 A JP 2015153298A JP 2014028457 A JP2014028457 A JP 2014028457A JP 2014028457 A JP2014028457 A JP 2014028457A JP 2015153298 A JP2015153298 A JP 2015153298A
- Authority
- JP
- Japan
- Prior art keywords
- snapshot
- virtual disk
- restoration
- virtual
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims description 13
- 241000700605 Viruses Species 0.000 claims abstract description 123
- 208000015181 infectious disease Diseases 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims 1
- 230000009385 viral infection Effects 0.000 description 16
- 230000002155 anti-virotic effect Effects 0.000 description 12
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- UPPPRUGHDBCPEF-UHFFFAOYSA-N Nic 17 Natural products CC(C(O)CC(=O)C)c1ccc2C3C4OC4C5(O)CC=CC(=O)C5(C)C3CCc2c1 UPPPRUGHDBCPEF-UHFFFAOYSA-N 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
- Retry When Errors Occur (AREA)
Abstract
Description
本発明は、仮想マシンの復元装置、復元システム、復元方法、および、プログラム、特に、ウィルスに感染した仮想マシンの復元に関する。 The present invention relates to a virtual machine restoration device, a restoration system, a restoration method, and a program, and more particularly, to restoration of a virtual machine infected with a virus.
仮想化環境においては、1台の物理サーバ上に複数の仮想サーバが稼働している。この環境では、複数の仮想サーバが、物理サーバのNIC(Network Interface Card)やメモリなどを共用している。このため、1台の仮想サーバがウィルスに感染した場合、物理サーバの環境と比較すると、他の仮想サーバへ感染する可能性は高まる。 In a virtual environment, a plurality of virtual servers are operating on one physical server. In this environment, a plurality of virtual servers share a physical server NIC (Network Interface Card), memory, and the like. For this reason, when one virtual server is infected with a virus, the possibility of infecting other virtual servers is higher than that of a physical server environment.
また、クラウド環境やシンクライアント環境においては、1台の物理サーバ上に、異なる複数のユーザが管理している仮想サーバや仮想化されたPC(Personal Computer)が存在する。このため、このような仮想環境で仮想サーバがウィルスに感染した時には、他の仮想サーバや仮想化されたPCには影響を与える可能性が高まる。 In a cloud environment or a thin client environment, a virtual server and a virtualized PC (Personal Computer) managed by a plurality of different users exist on one physical server. For this reason, when a virtual server is infected with a virus in such a virtual environment, there is an increased possibility of affecting other virtual servers and virtualized PCs.
したがって、仮想化環境において、ある仮想サーバがウィルスに感染した場合は、短時間かつ安全に復元作業を完了できる事が望ましい。この問題に関連して、以下の技術が開示されている。 Therefore, in a virtual environment, when a certain virtual server is infected with a virus, it is desirable that the restoration operation can be completed safely in a short time. In relation to this problem, the following techniques are disclosed.
特許文献1は、差分バックアップを行う場合に検出される更新ブロックに基づいて更新ファイルを特定し、更新されたファイルについてのみ、ウィルススキャンを行う記憶制御装置を開示する。
特許文献2は、ホストOS(Operating System)がゲストOSに割り当てられたCPU(Central Processing Unit)とメモリの内容をスナップショットとして作成する仮想計算機システムを開示する。このシステムは、ゲストOSが異常停止した時、スナップショットを用いてゲストOSを復元する。 Patent Document 2 discloses a virtual computer system in which a host OS (Operating System) creates a CPU (Central Processing Unit) assigned to a guest OS and memory contents as a snapshot. This system restores the guest OS using a snapshot when the guest OS stops abnormally.
特許文献3は、1台のサーバ上に複数の仮想マシンを作成し、1台の仮想マシンでウィルス対策ソフトウェアを動作させ、他の仮想マシンは、この1台を介してハードウェアにアクセスする方法を開示する。この方法は、ウィルス対策ソフトウェアを各仮想マシンで動作させる必要性を回避させる。 Patent Document 3 is a method of creating a plurality of virtual machines on one server, operating anti-virus software on one virtual machine, and allowing other virtual machines to access the hardware via this one machine. Is disclosed. This method avoids the need to run anti-virus software on each virtual machine.
上述の文献は、いずれも、ウィルスに感染した仮想サーバを、短時間かつ安全に復元作業する為の技術を開示しない。特許文献1の装置はファイルを復元するものではないうえ、差分データに基づいてファイルを復元したとしても、復元後のファイルについては安全性を確認しない。特許文献2のシステムのスナップショットは、ウィルスに感染したゲストOSを復元する物ではないうえ、復元後のゲストOSについては安全性を確認しない。本発明は、上記課題を解決する手段を提供することを目的とする。
None of the above documents disclose a technique for safely restoring a virtual server infected with a virus in a short time. The device of
本発明の一実施形態にかかる復元装置は、仮想マシンの仮想ディスクを格納する仮想ディスク記憶手段の更新情報から、スナップショットを取得して管理情報記憶手段に格納する取得手段と、前記スナップショットの取得後、更新されたウィルスチェックファイルを前記管理情報記憶手段に格納する更新手段と、前記スナップショットに基づいて復元された前記仮想ディスクの内容のウィルスチェックを、更新された前記ウィルスチェックファイルを用いて実行するチェック手段と、前記仮想マシンの感染を検出すると、前記ウィルスチェックで感染が無いと判断された前記スナップショットに基づいて復元された前記仮想ディスクの内容を、前記仮想ディスク記憶手段に格納する復元手段と、を備える。 A restoration apparatus according to an embodiment of the present invention includes an acquisition unit that acquires a snapshot from update information of a virtual disk storage unit that stores a virtual disk of a virtual machine, and stores the snapshot in a management information storage unit; After the acquisition, an update unit that stores an updated virus check file in the management information storage unit, and a virus check of the contents of the virtual disk restored based on the snapshot is performed using the updated virus check file. When the virtual machine infection is detected, the contents of the virtual disk restored based on the snapshot determined to be free of infection by the virus check are stored in the virtual disk storage means. Restoring means.
本発明の一実施形態にかかる復元方法は、仮想マシンの仮想ディスクを格納する仮想ディスク記憶手段の更新情報から、スナップショットを取得して記憶し、前記スナップショットの取得後、更新されたウィルスチェックファイルを記憶し、前記スナップショットに基づいて復元された前記仮想ディスクの内容のウィルスチェックを、更新された前記ウィルスチェックファイルを用いて実行し、前記仮想マシンの感染を検出すると、前記ウィルスチェックで感染が無いと判断された前記スナップショットに基づいて復元された前記仮想ディスクの内容を、前記仮想ディスク記憶手段に格納する。 A restoration method according to an embodiment of the present invention acquires and stores a snapshot from update information of a virtual disk storage unit that stores a virtual disk of a virtual machine, and updates the virus after acquiring the snapshot. A file is stored, and the virus check of the contents of the virtual disk restored based on the snapshot is executed using the updated virus check file. When an infection of the virtual machine is detected, the virus check The contents of the virtual disk restored based on the snapshot determined to be free of infection are stored in the virtual disk storage means.
本発明は、仮想化環境において仮想マシンがウィルスに感染した場合の迅速かつ安全な復元手段を提供する。 The present invention provides a quick and safe restoration means when a virtual machine is infected with a virus in a virtual environment.
<第1の実施の形態>
本発明にかかる管理サーバ装置30は、仮想マシン11がウィルスに感染した場合に早期に自動復元できるように、運用中に仮想マシン11の仮想ディスク14のスナップショット42を採取しておく。ウィルスチェック装置20は、仮想ディスク14のスナップショット42してウィルスチェックを実施しておく。仮想マシン11がウィルスに感染した場合、管理サーバ装置30は、採取したスナップショット42に基づいて仮想ディスク14のデータを復元する事で、早期に仮想マシン11を復元させる。
<First Embodiment>
The
(構成)
図1は、本実施の形態の復元システム70の構成図である。復元システム70は、仮想化基盤として使用される物理サーバ装置10、ウィルスチェック装置20、管理サーバ装置30と仮想マシン11のデータを保存しておく管理情報記憶部40を包含する。
(Constitution)
FIG. 1 is a configuration diagram of a
物理サーバ装置10は、仮仮想ディスク記憶部17と物理NIC16を備えたコンピュータであり、そのプロセッサ(図示されない)によりVMM15(Virtual Machine Monitor)を実行し、1以上の仮想マシン11を実現する。仮想ディスク記憶部17は、例えば、物理的なディスク装置である。
The
仮想マシン11は、仮想NIC13と仮想ディスク14を備え、その内部でゲストOS(図示されず)やアンチウィルスプログラム12等のソフトウェアを実行する。アンチウィルスプログラム12は、ウィルスチェックを実施するソフトウェアである。VMM15は、物理NIC16を用いて仮想NIC13を実現し、仮想ディスク記憶部17を用いて仮想ディスク14を実現する。
The virtual machine 11 includes a
仮想マシン11は通常、仮想NIC13、VMM15と物理NIC16を経由して外部の機器と通信を行う。さらに、仮想マシン11は通常、仮想ディスク14、VMM15を経由して仮想ディスク記憶部17に対して入出力を行う。即ち、仮想マシン11が、仮想ディスク14を対象に入出力を行うと、それに対応して、VMM15が仮想ディスク記憶部17に対して入出力を行う。
The virtual machine 11 normally communicates with external devices via the
ウィルスチェック装置20はウィルスチェックを行うチェック部22、ウィルスチェック用の最新のエンジンとパターンファイルを取得する更新部21、管理サーバ装置30との通信を行う通信部(図示されず)を備える。
The
チェック部22は、スナップショット42にアクセスして、ウィルスチェック処理を実施する。チェック部22は、管理サーバ装置30から仮想マシン情報を取得し、ウィルスチェックを実施する対象となるスナップショット42を抽出する。
The
更新部21は、提供装置50に対して定期的に最新のウィルスチェック用のエンジンとパターンファイルの有無を確認する。提供装置50に最新のエンジンとパターンファイルが存在する場合、更新部21はその取得を行い、管理情報記憶部40のウィルスチェックファイル43に保存し、チェック部22に通知する。
The updating
更新部21とチェック部22は、論理回路で構成される。更新部21とチェック部22は、コンピュータであるウィルスチェック装置20のメモリに格納されて、ウィルスチェック装置20のプロセッサで実行されるソフトウェアによって、実現されても良い。
The
管理サーバ装置30は、ポイント設定部32、取得部33、復元部34、仮想マシン情報記憶部31と管理サーバ装置30、物理サーバ装置10との通信を行う通信部(図示されず)とを備える。取得部33は、VMM15と連携して、仮想マシン11の仮想ディスクのマスタイメージ41とスナップショット42を作成する。さらに、取得部33は、仮想マシン情報記憶部31に格納されている仮想マシン情報の管理、更新を行う。
The
復元部34は、仮想マシン11のウィルス感染が検出されたとき、仮想マシン情報、仮想ディスクのマスタイメージ41とスナップショット42に基づいて、その仮想ディスク14の復元を行う。さらに、復元部34は、仮想マシン11の電源ON/OFF、仮想NIC13のリンクダウン/リンクアップなどを行う。ここで仮想NIC13のリンクダウン、リンクアップは、物理NIC16のリンクダウン、リンクアップに相当する操作を仮想的に行う事を意味する。物理環境におけるこれらの操作は、通常人手で行われる。
When the virus infection of the virtual machine 11 is detected, the
復元部34は、仮想ディスク14の復元を次のようにして行う。スナップショット42が、仮想ディスク14の内容全体を含んでいるとき、復元部34は、仮想ディスク14の内容をスナップショット42の内容で置換する。スナップショット42が前の世代との差分データだけを含んでいるとき、復元部34は、仮想ディスクのマスタイメージ41をベースに、復元したい世代の前の世代のスナップショット42を用いて、更新を時系列に重ねていくロールフォワードを行う。
The
ポイント設定部32は、後述するチェックポイントを作成して、その情報を仮想マシン情報に登録する。
The
ポイント設定部32、取得部33と復元部34は、論理回路で構成される。ポイント設定部32、取得部33と復元部34は、コンピュータである管理サーバ装置30のメモリに格納されて、管理サーバ装置30のプロセッサで実行されるソフトウェアによって、実現されても良い。仮想マシン情報記憶部31は、ディスク装置等の記憶装置である。
The
管理情報記憶部40は、仮想マシン11ごとに、仮想ディスクのマスタイメージ41、各世代のスナップショット42、最新のウィルスチェック用のエンジンとパターンファイルの情報(ウィルスチェックファイル43)を格納する。管理情報記憶部40は、ディスク装置等の記憶装置、あるいは、ディスク装置等を備えたファイルサーバ装置である。
The management
なお、ウィルスチェック装置20と管理サーバ装置30は、1台の装置として実装しても良い。その場合、当該装置は復元装置60と呼ばれる。
The
図2は、管理サーバ装置30の仮想マシン情報記憶部31が格納する仮想マシン情報の構成を示す図である。仮想マシン情報は、各仮想マシン11の、名称、スナップショットリスト、チェックポイントの日時、保存するスナップショット42の世代数、エンジンとパターンファイルの最新バージョン番号とウィルスチェック状態を包含する。ここで、バージョン番号は、チェック部22がスナップショット42のチェックに用いたエンジンとパターンファイルのバージョン番号である。
FIG. 2 is a diagram illustrating a configuration of virtual machine information stored in the virtual machine
スナップショットリストは、取得されているスナップショット42対応に、取得日時を記憶している。ウィルスチェック状態は、取得されているスナップショット42対応に、最新バージョンのエンジンとパターンファイルを用いたウィルスチェックが完了しているかどうかを記憶している。 The snapshot list stores the acquisition date and time corresponding to the acquired snapshot 42. The virus check state stores whether or not the virus check using the latest version engine and pattern file has been completed in correspondence with the acquired snapshot 42.
チェックポイントについて説明する。仮想マシン11がウィルスに感染した場合、復元部34は、過去に採取したスナップショット42に基づいて、仮想ディスク14の内容を復元する。しかし、過去に採取したスナップショット42が、既にウィルスに感染している可能性がある。このような場合は、復元部34は、スナップショット42の採取日時が新しいものから順に使用して復元していき、安全が確認されるスナップショット42が見つかるまで過去のスナップショット42に遡る。
A check point will be described. When the virtual machine 11 is infected with a virus, the
しかし、古い日時に採取したスナップショット42が、例えば、セキュリティパッチを適用する前のスナップショット42である場合が有る。その場合、復元部34が、その古いスナップショット42まで遡って復元してしまうと、セキュリティ被害を拡大させる危険性がある。
However, the snapshot 42 collected at the old date and time may be, for example, the snapshot 42 before the security patch is applied. In that case, if the
このような事態の発生を防止する為、本実施形態の管理サーバ装置30のポイント設定部32は、どの時点で採取されたスナップショット42までなら遡って良いかを示すために、仮想マシン情報にチェックポイントの日時を記録する。そして、復元部34は、過去に採取したスナップショット42のうち、チェックポイントが設定されている日時以前に取得されたスナップショット42にまでは遡らないようにする。
In order to prevent the occurrence of such a situation, the
本実施形態の管理サーバ装置30は、仮想マシン11がウィルスに感染した場合に、仮想ディスク14のデータを、過去に採取したスナップショット42で置換等する。このため、ログやデータが、スナップショット42の採取時の状態に戻ってしまい、ログやデータに関して不整合が発生する場合がある。そのため、本実施の形態の管理サーバ装置30を適用する場合、ログやデータ部分については仮想マシン11とは別領域に格納することが望ましい。なお、システム部分とデータ部分を分離して運用する技術は、システム部分を共有して仮想マシン11を起動(ブート)するような構成で利用されている。
When the virtual machine 11 is infected with a virus, the
(動作)
本実施の形態の復元システム70の動作は、図3に示す仮想マシン11の作成、図4に示す仮想マシン11のスナップショット42の作成、図5に示す仮想マシン11のウィルスチェック、および、図6に示す仮想マシン11がウィルス感染した場合の復元に分けられる。
(Operation)
The operation of the
図3は、仮想マシン11の作成の動作を示すフローチャートである。仮想ディスクのマスタイメージ41が存在しない場合、物理サーバ装置10の管理者から管理サーバ装置30の取得部33に対して仮想マシン11の作成が指示される(F11)。
FIG. 3 is a flowchart showing the operation of creating the virtual machine 11. When the
管理サーバ装置30の取得部33は、仮想マシン11の仮想ディスクのマスタイメージ41を作成する(F12)。その時、取得部33は、仮想マシン11を初期設定し、当該仮想マシン11の情報を仮想マシン情報に記録する(F13)。ここで、初期設定は、例えば、仮想ディスクのマスタイメージ41をベースにした仮想マシン11の作成、仮想ハードウェアの設定やセキュリティ設定、および、全ての仮想マシン11で利用されるアプリケーションのインストールである。その後、取得部33は、例えば、仮想マシン11の管理者に対し、仮想マシン11の作成完了を通知する。
The
仮想マシン11の管理者は、管理サーバ装置30から仮想マシン11の情報を受取り後、仮想マシン11の運用を開始する(F14)。この時点では仮想マシン11は初期状態である。仮想マシン11の管理者は、仮想マシン11の構成を変更(例えば、仮想ハードウェアの設定変更、独自のアプリケーションのインストール、セキュリティパッチ適用)を、VMM15またはゲストOSに指示する(F15)。
The administrator of the virtual machine 11 starts the operation of the virtual machine 11 after receiving the information of the virtual machine 11 from the management server device 30 (F14). At this point, the virtual machine 11 is in an initial state. The administrator of the virtual machine 11 instructs the
VMM15またはゲストOSからの通知により構成変更を検出した時、取得部33は、仮想マシン11のスナップショット42を作成し、スナップショット42の情報を仮想マシン情報のスナップショットリストに登録する(F16)。
When the configuration change is detected by the notification from the
この時、当該構成変更が、例えばセキュリティパッチの適用であって、以前に取得したスナップショット42による復元が適切でなく、チェックポイントの更新が必要と判断した時(F17でYes)、取得部33は、仮想マシン情報にチェックポイントを設定する(F18)。具体的には、取得部33は、最後に作成したスナップショット42の作成日時をチェックポイントの日時として登録する。
At this time, when the configuration change is, for example, application of a security patch, and it is determined that restoration by the previously acquired snapshot 42 is not appropriate and checkpoint update is necessary (Yes in F17), the
チェックポイントの設定後、または、設定しない場合(F17でNo)、取得部33は、構成変更指示(F15)の待ち合わせに戻る。F15からF18までの一連の流れは、仮想マシン11運用中に、例えば、仮想マシン11の構成を変更など)する度に実施される。
After the checkpoint is set or not set (No in F17), the
図4は、仮想マシン11のスナップショット42の取得動作を示すフローチャートである。仮想マシン11のスナップショット42は仮想マシン11を運用中、自動的に採取される。 FIG. 4 is a flowchart showing the operation of acquiring the snapshot 42 of the virtual machine 11. The snapshot 42 of the virtual machine 11 is automatically collected while the virtual machine 11 is operating.
仮想マシン11が起動しているときに、管理サーバ装置30の取得部33が、時間間隔を開けて、例えば、定期的に、仮想マシン11のスナップショット42を作成する(F22)。スナップショット42を作成した場合、取得部33は、スナップショット42の情報を仮想マシン情報のスナップショットリストに追加する(F23)。その後、取得部33は、仮想マシン情報の「保存するスナップショットの世代数」と実際に作成されたスナップショット42の数を比較して(F24)、必要に応じて古いスナップショット42を削除する(F25)。
When the virtual machine 11 is activated, the
図5は、仮想マシン11のウィルスチェック動作を示すフローチャートである。ウィルスチェック装置20のチェック部22は、仮想マシン11のスナップショット42に対してウィルスチェックを行う。
FIG. 5 is a flowchart showing the virus check operation of the virtual machine 11. The
まず、更新部21は、提供装置50から最新のウィルスチェック用のエンジン、パターンファイルを取得した場合、管理情報記憶部40のウィルスチェックファイル43に格納し、チェック部22に通知する(F31)。チェック部22は、仮想マシン11のスナップショット42に対してウィルスチェックを行う。このため、チェック部22は、スナップショットリスト、チェックポイントの日時、ウィルスチェック状態といった仮想マシン情報を、管理サーバ装置30に要求する(F32)。
First, when the
管理サーバ装置30から仮想マシン情報を受け取った後(F33)、チェック部22はスナップショット42の中で最新のエンジン、パターンファイルでのウィルスチェックが未実施であるスナップショット42の中から日時が最新のスナップショット42を抽出する(F34)。スナップショット42が抽出できた場合(F35でYes)、チェック部22は、抽出したスナップショット42がチェックポイントより新しい日時かを確認し(F36でYes)、当該スナップショット42に対してウィルスチェックを実施する(F37)。
After receiving the virtual machine information from the management server device 30 (F33), the
ウィルスチェックが正常に完了した後、チェック部22は、管理サーバ装置30に通知を行い管理サーバ装置30の取得部33が、仮想マシン情報のウィルスチェック状態を更新する(F38)。F37のウィルスチェックで感染を検出した場合、チェック部22は、一世代前のスナップショット42を対象にウィルスチェックを行う(F35乃至F37)。
After the virus check is normally completed, the
全てのスナップショット42が、ウィルスチェック実施済みである場合など、仮想マシン情報からウィルスチェックの対象となるスナップショット42が抽出できない場合(F35でNo)、チェック部22はウィルスチェック処理を終了する(F39)。また、抽出したスナップショット42がチェックポイントの日時と同じまたはそれより古い場合(F36でNo)も、チェック部22はウィルスチェック処理を終了する(F39)。
If the snapshot 42 that is subject to virus check cannot be extracted from the virtual machine information, such as when all the snapshots 42 have been virus-checked (No in F35), the
図6は、仮想ディスク14の復元動作を示すフローチャートである。仮想マシン11の運用中にウィルスに感染した場合、復元部34は仮想ディスク14の復元処理を行う。
FIG. 6 is a flowchart showing the restoration operation of the
先ず、仮想マシン11上で動作しているアンチウィルスプログラム12が、当該仮想マシン11のウィルス感染を検知する(F401)と、ウィルス感染情報を管理サーバ装置30の復元部34に通知する。復元部34は、感染した仮想マシン11から仮想NIC13をリンクダウンすることをVMM15に指示する(F403)。VMM15が仮想NIC13のリンクダウンを実行した(F404)後、復元部34は、仮想ディスク14を最新のスナップショット42を用いて復元する(F405)。なお、仮想ディスク14の復元は、物理的には、VMM15を介して仮想ディスク記憶部17に行われる。
First, when the
ここで、復元部34は、復元した仮想ディスク14のスナップショット42が最新のエンジン、パターンファイルを利用してウィルスチェック済みかを確認する(F406)。チェック済みであれば(F406でYes)、復元部34は、仮想マシン11へ仮想NIC13をリンクアップするようにVMM15に指示する(F411)。これを受けて、VMM15は、仮想NIC13をリンクアップし(F412)、仮想マシン11の運用を再開し、復元部34に通知する(F413)。復元部34は、ウィルス感染と復元の事実を、例えば、仮想マシン管理者に通知する(F414)。
Here, the
F406にてウィルスチェックが未実施の場合(F406でNo)、復元部34は、ウィルスチェック装置20のチェック部22にウィルスチェックを依頼し、チェック部22は、最新のエンジン、パターンファイルを利用して仮想マシン11のウィルスチェックを行う(F407)。ウィルスチェックの結果、チェック部22がウィルス感染を確認しない場合(F408でNo)は、F411、F412、F413、F414の順に処理を行い、仮想マシン11の運用を再開する。
If virus check is not performed in F406 (No in F406), the
チェック部22がウィルス感染を確認した場合(F408でYes)、管理サーバ装置30の復元部34は、1世代前のスナップショット42を用いて復元することを検討する。具体的には、復元部34は、1世代前のスナップショット42の採取日時が、チェックポイントの日時より新しい日時であれば(F409でYes)、1世代前のスナップショット42に基づいて復元する(F410)。その後、復元部34は、スナップショット42がウィルスチェック済かの確認を行う(F406)。1世代前のスナップショット42の取得日時が、チェックポイントの日時と同じまたは古い日時の場合は(F409でNo)、復元に使用できるスナップショット42が無い。このため、復元部34は、例えば、仮想マシン管理者にウィルス感染と自動復元できなかった事実を通知する(F414)。
When the
(効果)
第1の効果は、仮想マシン11がウィルス感染してしまった場合に、仮想マシン11を早期にウィルス感染していない状態に復旧できることである。その理由は、仮想マシン11のスナップショット42を事前に取得しておき、ウィルスチェック装置20によってスナップショット42を最新のエンジン、パターンファイルで、予めウィルスチェックしておくからである。このため、仮想マシン11がウィルス感染した場合、管理サーバ装置30の復元部34は、スナップショット42をもとに仮想ディスク14を復元するだけで、ウィルス感染していない状態に復旧できる。
(effect)
The first effect is that when the virtual machine 11 is infected with a virus, the virtual machine 11 can be restored to a state where it is not infected with a virus at an early stage. The reason is that the snapshot 42 of the virtual machine 11 is acquired in advance, and the
第2の効果は、仮想マシン11をウィルス感染した場合に人手を介さず、自動的に復旧できることである。その理由は、復元部34が、仮想マシン11の仮想NIC13のリンクダウンやリンクアップの制御、スナップショット42のウィルスチェック状況確認を実行するからである。これによって、ウィルス感染していないスナップショット42に基づく復旧といった一連のウィルス感染時の復旧作業は、管理サーバ装置30自身の処理と管理サーバ装置30に指示されたウィルスチェック装置20やVMM15によって実現する。
The second effect is that when the virtual machine 11 is infected with a virus, it can be automatically recovered without human intervention. The reason is that the
第3の効果は、復元されたあとの状態が安全なことである。その理由は、スナップショット42が取得された後に、チェック部22が、取得後にアップデートされたウィルスチェックエンジンやパターンファイルを用いてウィルスチェックを行うからである。チェック部22は、スナップショット42の取得時に発見されていなかった、新種のウィルスも検出できる。
The third effect is that the restored state is safe. The reason is that after the snapshot 42 is acquired, the
<第1の実施の形態の変形>
第1の実施の形態では、図6に示す仮想ディスク14の復元において、スナップショット42がウィルスチェック未実施状態であった場合(F406でNo)、ウィルスチェック装置20のチェック部22によってウィルスチェックを実施する(F407)。本変形例では、このウィルスチェックを仮想マシン11上のアンチウィルスプログラム12が実行する。図7は、この変形例における仮想ディスク14の復元動作を示すフローチャートである。
<Modification of First Embodiment>
In the first embodiment, in the restoration of the
先ず、仮想マシン11上で動作しているアンチウィルスプログラム12が、当該仮想マシン11のウィルス感染を検知する(F501)と、ウィルス感染情報を管理サーバ装置30の復元部34に通知する。復元部34は、感染した仮想マシン11から仮想NIC13をリンクダウンすることをVMM15に指示する(F503)。VMM15が仮想NIC13のリンクダウンを実行した(F504)後、復元部34は、仮想ディスク14を最新のスナップショット42を用いて復元する(F505)。
First, when the
ここで、復元部34は、復元した仮想ディスク14のスナップショット42が最新のエンジン、パターンファイルを利用してウィルスチェック済みかを確認する(F506)。チェック済みであれば(F506でYes)、復元部34は、仮想マシン11へ仮想NIC13をリンクアップするようにVMM15に指示する(F512)。これを受けて、VMM15は、仮想NIC13をリンクアップし(F513)、仮想マシン11の運用を再開し、復元部34に通知する(F514)。復元部34は、ウィルス感染と復元の事実を、例えば、仮想マシン管理者に通知する(F515)。
Here, the
F506にてウィルスチェックが未実施の場合(F506でNo)、復元部34は、仮想マシン11上のアンチウィルスプログラム12に対してウィルスチェックを依頼する。アンチウィルスプログラム12は、管理情報記憶部40上のウィルスチェックファイル43から最新のエンジンとパターンファイルを取得し(F507)、仮想マシン11上にてウィルスチェックを実施する(F508)。ここで、アンチウィルスプログラム12はウィルス感染の有無を確認し、ウィルスに感染してなければ((F509でNo)、F513,F514、F515の順に処理を行い、仮想マシン11の運用を再開する。
If no virus check is performed in F506 (No in F506), the
アンチウィルスプログラム12がウィルス感染を確認した場合(F509でYes)、管理サーバ装置30の復元部34は、1世代前のスナップショット42を用いて復元することを検討する。具体的には、復元部34は、1世代前のスナップショット42の採取日時が、チェックポイントの日時より新しい日時であれば(F510でYes)、1世代前のスナップショット42に基づいて復元する(F511)。その後、復元部34は、スナップショット42がウィルスチェック済かの確認を行う(F506)。1世代前のスナップショット42の取得日時が、チェックポイントの日時と同じまたは古い日時の場合は(F510でNo)、復元に使用できるスナップショット42が無い。このため、復元部34は、例えば、仮想マシン管理者にウィルス感染と自動復元できなかった事実を通知する(F515)。
When the
<第2の実施の形態>
図8は、本実施の形態の復元装置60の構成図である。復元装置60は、更新部21、チェック部22、取得部33、復元部34を備える。
<Second Embodiment>
FIG. 8 is a configuration diagram of the
取得部33は、仮想マシン11の仮想ディスク14を格納する仮想ディスク記憶部17の更新情報から、スナップショット42を取得して管理情報記憶部40に格納する。更新部21は、スナップショット42の取得後、更新されたウィルスチェックファイル43を管理情報記憶部40に格納する。
The
チェック部22は、スナップショット42に基づいて復元された仮想ディスク14の内容のウィルスチェックを、更新されたウィルスチェックファイル43を用いて実行する。る復元部34は、仮想マシン11の感染を検出すると、ウィルスチェックで感染が無いと判断されたスナップショット42に基づいて復元された仮想ディスク14の内容を、仮想ディスク記憶部17に格納する。
The
更新部21、チェック部22、取得部33、及び、復元部34は、論理回路で構成される。更新部21、チェック部22、取得部33、及び、復元部34は、コンピュータである復元装置60のメモリに格納されて、復元装置60のプロセッサで実行されるソフトウェアによって、実現されても良い。
The
本実施の形態の第1の効果は、仮想マシン11がウィルス感染してしまった場合に、仮想マシン11を早期にウィルス感染していない状態に復旧できることである。その理由は、仮想マシン11のスナップショット42を事前に取得しておき、ウィルスチェック装置20によってスナップショット42を最新のエンジン、パターンファイルで、予めウィルスチェックしておくからである。このため、仮想マシン11がウィルス感染した場合、管理サーバ装置30の復元部34は、スナップショット42をもとに仮想ディスク14を復元するだけで、ウィルス感染していない状態に復旧できる。
The first effect of the present embodiment is that when the virtual machine 11 has been infected with a virus, the virtual machine 11 can be recovered to a state where it has not been infected with a virus at an early stage. The reason is that the snapshot 42 of the virtual machine 11 is acquired in advance, and the
第2の効果は、復元されたあとの状態が安全なことである。その理由は、スナップショット42が取得された後に、チェック部22が、取得後にアップデートされたウィルスチェックエンジンやパターンファイルを用いてウィルスチェックを行うからである。チェック部22は、スナップショット42の取得時に発見されていなかった、新種のウィルスも検出できる。
The second effect is that the state after restoration is safe. The reason is that after the snapshot 42 is acquired, the
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。 Although the present invention has been described with reference to the embodiments, the present invention is not limited to the above embodiments. Various changes that can be understood by those skilled in the art can be made to the configuration and details of the present invention within the scope of the present invention.
10 物理サーバ装置
11 仮想マシン
12 アンチウィルスプログラム
13 仮想NIC
14 仮想ディスク
15 VMM
16 物理NIC
17 仮想ディスク記憶部
20 ウィルスチェック装置
21 更新部
22 チェック部
30 管理サーバ装置
31 仮想マシン情報記憶部
32 ポイント設定部
33 取得部
34 復元部
40 管理情報記憶部
41 仮想ディスクのマスタイメージ
42 スナップショット
43 ウィルスチェックファイル
50 提供装置
70 復元システム
10 Physical server device
11 Virtual machine
12 Antivirus program
13 Virtual NIC
14 Virtual disks
15 VMM
16 Physical NIC
17 Virtual disk storage
20 Virus check device
21 Update Department
22 Check section
30 Management server device
31 Virtual machine information storage
32 point setting section
33 Acquisition Department
34 Restoration section
40 Management information storage
41 Virtual disk master image
42 Snapshot
43 Virus check file
50 Providing device
70 Restoration system
Claims (10)
前記スナップショットの取得後、更新されたウィルスチェックファイルを前記管理情報記憶手段に格納する更新手段と、
前記スナップショットに基づいて復元された前記仮想ディスクの内容のウィルスチェックを、更新された前記ウィルスチェックファイルを用いて実行するチェック手段と、
前記仮想マシンの感染を検出すると、前記ウィルスチェックで感染が無いと判断された前記スナップショットに基づいて復元された前記仮想ディスクの内容を、前記仮想ディスク記憶手段に格納する復元手段と、を備える、復元装置。 An acquisition unit that acquires a snapshot from the update information of the virtual disk storage unit that stores the virtual disk of the virtual machine and stores the snapshot in the management information storage unit;
An update unit that stores the updated virus check file in the management information storage unit after obtaining the snapshot;
Checking means for executing a virus check of the contents of the virtual disk restored based on the snapshot using the updated virus check file;
Restoration means for storing in the virtual disk storage means the contents of the virtual disk restored based on the snapshot determined to be free of infection by the virus check upon detection of infection of the virtual machine , Restore device.
前記取得手段は、前記スナップショットを、時間間隔をおいて複数回取得し、
前記復元手段は、前記チェックポイント作成以降に作成された、前記スナップショットに基づいて復元された前記仮想ディスクの内容を前記仮想ディスク記憶手段に格納する、請求項1の復元装置。 When a configuration change of the virtual machine is detected, a point setting means for creating and storing a checkpoint is further provided,
The acquisition means acquires the snapshot a plurality of times at time intervals,
2. The restoration apparatus according to claim 1, wherein the restoration unit stores the contents of the virtual disk created after the checkpoint creation and restored based on the snapshot in the virtual disk storage unit.
前記復元手段は、前記仮想マシンの感染を検出すると、前記ウィルスチェック済みの前記スナップショットに基づいて復元された前記仮想ディスクの内容を前記仮想ディスク記憶手段に格納する、請求項2の復元装置。 When the check means detects an update of the virus check file, it executes a virus check of the contents of the virtual disk restored based on the snapshot stored in the management information storage means,
The restoration device according to claim 2, wherein when the restoration unit detects an infection of the virtual machine, the restoration unit stores the contents of the virtual disk restored based on the snapshot that has been virus-checked in the virtual disk storage unit.
前記復元手段は、前記仮想マシンの感染を検出すると、最も新しい前記スナップショットを特定して前記チェック手段に前記ウィルスチェックを実行させ、前記ウィルスチェックで感染が無いと判断されると、特定した前記スナップショットに基づいて復元された前記仮想ディスクの内容を前記仮想ディスク記憶手段に格納する、請求項2の復元装置。 The check means performs virus check of the contents of the virtual disk restored based on the snapshot specified by the restoration means,
The restoration means, when detecting an infection of the virtual machine, identifies the latest snapshot and causes the check means to execute the virus check, and if the virus check determines that there is no infection, the identified means The restoration device according to claim 2, wherein the contents of the virtual disk restored based on a snapshot are stored in the virtual disk storage means.
前記管理情報記憶手段と、
請求項1乃至4の何れかの記載された復元装置と、を包含する復元システム。 A server device comprising the virtual disk storage means and executing the virtual machine;
The management information storage means;
A restoration system including the restoration device according to claim 1.
前記スナップショットの取得後、更新されたウィルスチェックファイルを記憶し、
前記スナップショットに基づいて復元された前記仮想ディスクの内容のウィルスチェックを、更新された前記ウィルスチェックファイルを用いて実行し、
前記仮想マシンの感染を検出すると、前記ウィルスチェックで感染が無いと判断された前記スナップショットに基づいて復元された前記仮想ディスクの内容を、前記仮想ディスク記憶手段に格納する、復元方法。 From the update information of the virtual disk storage means for storing the virtual disk of the virtual machine, a snapshot is acquired and stored,
After obtaining the snapshot, store the updated virus check file,
Performing a virus check of the contents of the virtual disk restored based on the snapshot using the updated virus check file;
A restoration method, wherein when the infection of the virtual machine is detected, the contents of the virtual disk restored based on the snapshot determined not to be infected by the virus check are stored in the virtual disk storage unit.
前記スナップショットを、時間間隔をおいて複数回取得し、
前記チェックポイント作成以降に作成された、前記スナップショットに基づいて復元された前記仮想ディスクの内容を前記仮想ディスク記憶手段に格納する、請求項6の復元方法。 Upon detecting a configuration change of the virtual machine, create and store a checkpoint,
Take the snapshot multiple times at time intervals,
The restoration method according to claim 6, wherein the contents of the virtual disk created after the checkpoint creation and restored based on the snapshot are stored in the virtual disk storage unit.
前記仮想マシンの感染を検出すると、前記ウィルスチェック済みの前記スナップショットに基づいて復元された前記仮想ディスクの内容を前記仮想ディスク記憶手段に格納する、請求項7の復元方法。 When detecting an update of the virus check file, a virus check is performed on the contents of the virtual disk restored based on the stored snapshot,
8. The restoration method according to claim 7, wherein when an infection of the virtual machine is detected, the contents of the virtual disk restored based on the snapshot that has been virus-checked are stored in the virtual disk storage unit.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014028457A JP6337498B2 (en) | 2014-02-18 | 2014-02-18 | Restoration apparatus, restoration system, restoration method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014028457A JP6337498B2 (en) | 2014-02-18 | 2014-02-18 | Restoration apparatus, restoration system, restoration method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2015153298A true JP2015153298A (en) | 2015-08-24 |
JP6337498B2 JP6337498B2 (en) | 2018-06-06 |
Family
ID=53895430
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014028457A Active JP6337498B2 (en) | 2014-02-18 | 2014-02-18 | Restoration apparatus, restoration system, restoration method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6337498B2 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018013921A (en) * | 2016-07-20 | 2018-01-25 | 日本電信電話株式会社 | Virtual server inspection system and virtual server inspection method |
WO2018123061A1 (en) * | 2016-12-28 | 2018-07-05 | デジタルア-ツ株式会社 | Information processing device and program |
JP2019165411A (en) * | 2018-03-20 | 2019-09-26 | 富士ゼロックス株式会社 | Information processing apparatus, method, and program |
JP2020115267A (en) * | 2019-01-17 | 2020-07-30 | Necソリューションイノベータ株式会社 | Virtual machine management device, virtual machine management method, and program |
JP2021164004A (en) * | 2020-03-30 | 2021-10-11 | 横河電機株式会社 | Communication processing apparatus, program, and communication processing method |
US11379143B2 (en) | 2020-04-15 | 2022-07-05 | Hitachi, Ltd. | Storage system and computer system |
JP2022537079A (en) * | 2019-08-16 | 2022-08-23 | グーグル エルエルシー | Behavior-based VM resource capture for forensics |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060136720A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
US20060137010A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Method and system for a self-healing device |
US20080016564A1 (en) * | 2005-08-16 | 2008-01-17 | Emc Corporation | Information protection method and system |
JP2009505295A (en) * | 2005-08-16 | 2009-02-05 | イーエムシー コーポレイション | Information protection method and system |
US20110289584A1 (en) * | 2010-05-18 | 2011-11-24 | Computer Associates Think, Inc. | Systems and methods to secure backup images from viruses |
-
2014
- 2014-02-18 JP JP2014028457A patent/JP6337498B2/en active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060136720A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
US20060137010A1 (en) * | 2004-12-21 | 2006-06-22 | Microsoft Corporation | Method and system for a self-healing device |
JP2006178936A (en) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | Computer security management, such as in virtual machine or hardened operating system |
JP2006178934A (en) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | Method and system for self-healing device |
US20080016564A1 (en) * | 2005-08-16 | 2008-01-17 | Emc Corporation | Information protection method and system |
JP2009505295A (en) * | 2005-08-16 | 2009-02-05 | イーエムシー コーポレイション | Information protection method and system |
US20110289584A1 (en) * | 2010-05-18 | 2011-11-24 | Computer Associates Think, Inc. | Systems and methods to secure backup images from viruses |
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018013921A (en) * | 2016-07-20 | 2018-01-25 | 日本電信電話株式会社 | Virtual server inspection system and virtual server inspection method |
WO2018123061A1 (en) * | 2016-12-28 | 2018-07-05 | デジタルア-ツ株式会社 | Information processing device and program |
JPWO2018123061A1 (en) * | 2016-12-28 | 2019-10-31 | デジタルア−ツ株式会社 | Information processing apparatus and program |
US11368472B2 (en) | 2016-12-28 | 2022-06-21 | Digital Arts Inc. | Information processing device and program |
JP2019165411A (en) * | 2018-03-20 | 2019-09-26 | 富士ゼロックス株式会社 | Information processing apparatus, method, and program |
JP7059733B2 (en) | 2018-03-20 | 2022-04-26 | 富士フイルムビジネスイノベーション株式会社 | Information processing equipment, methods and programs |
JP2020115267A (en) * | 2019-01-17 | 2020-07-30 | Necソリューションイノベータ株式会社 | Virtual machine management device, virtual machine management method, and program |
JP2022537079A (en) * | 2019-08-16 | 2022-08-23 | グーグル エルエルシー | Behavior-based VM resource capture for forensics |
JP7144642B2 (en) | 2019-08-16 | 2022-09-29 | グーグル エルエルシー | Behavior-based VM resource capture for forensics |
JP2021164004A (en) * | 2020-03-30 | 2021-10-11 | 横河電機株式会社 | Communication processing apparatus, program, and communication processing method |
JP7400587B2 (en) | 2020-03-30 | 2023-12-19 | 横河電機株式会社 | Communication processing device, program, and communication processing method |
US11379143B2 (en) | 2020-04-15 | 2022-07-05 | Hitachi, Ltd. | Storage system and computer system |
Also Published As
Publication number | Publication date |
---|---|
JP6337498B2 (en) | 2018-06-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6337498B2 (en) | Restoration apparatus, restoration system, restoration method, and program | |
US20200319979A1 (en) | System and method of restoring a clean backup after a malware attack | |
US8127412B2 (en) | Network context triggers for activating virtualized computer applications | |
EP3120279B1 (en) | Integrity assurance and rebootless updating during runtime | |
US11290492B2 (en) | Malicious data manipulation detection using markers and the data protection layer | |
US11579985B2 (en) | System and method of preventing malware reoccurrence when restoring a computing device using a backup image | |
EP3724801B1 (en) | Anti-virus file system cache for operating system remediation | |
US8055614B1 (en) | Method and apparatus for providing single instance restoration of data files | |
US11556428B2 (en) | Backup system including a data protection area and a read-only volume used by a controller to read a copy of backup data from the data protection area | |
JP2010044613A (en) | Anti-virus method, computer, and program | |
JP5191849B2 (en) | Virtual machine security management system and virtual machine security management method | |
US11483325B2 (en) | Differencing engine for digital forensics | |
JP6489239B2 (en) | Communication apparatus, system, method, and program | |
US11922199B2 (en) | Associating security tags to continuous data protection checkpoints/snapshots/point-in-time images | |
CN110889112B (en) | Software operation unified control system and method based on white list mechanism | |
US10528375B2 (en) | Maintaining security system information in virtualized computing environments | |
KR101512462B1 (en) | Method for analyzing update of malicious code on analysis sytem of malicious code based on culture | |
JP2017204173A (en) | Data protection program, data protection method, and data protection system | |
US11663332B2 (en) | Tracking a virus footprint in data copies | |
JP2014225302A (en) | Virus detection program, virus detection method, and computer | |
JP6632942B2 (en) | Virtual server inspection system and virtual server inspection method | |
US9372992B1 (en) | Ensuring integrity of a software package installer | |
KR101512456B1 (en) | METHOD FOR RELOADING OS THROUGH network ON ANALYSIS SYTEM OF MALICIOUS CODE BASED ON CULTURE | |
JP2013061994A (en) | Virus detection program, virus detection method, monitoring program, monitoring method, and computer | |
US20240111865A1 (en) | Cyber recovery forensics kit configured to send return malware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170116 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20171129 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20171205 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180116 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180410 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180423 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6337498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |