JP5472604B2 - プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム - Google Patents
プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム Download PDFInfo
- Publication number
- JP5472604B2 JP5472604B2 JP2009234205A JP2009234205A JP5472604B2 JP 5472604 B2 JP5472604 B2 JP 5472604B2 JP 2009234205 A JP2009234205 A JP 2009234205A JP 2009234205 A JP2009234205 A JP 2009234205A JP 5472604 B2 JP5472604 B2 JP 5472604B2
- Authority
- JP
- Japan
- Prior art keywords
- quarantine
- file
- virtual file
- reflection
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
れ、又はファイルが開かれる。このため、悪意を持つ可能性のあるプロセス、又は悪意を持つ可能性のあるファイルは、仮想領域の中に閉じ込められるので、セキュリティが確保される。また、特許文献2に開示された方法によれば、一部のプロセスのみを隔離でき、コンピュータ全体を隔離しなくても済むので、上述した問題を解消できると考えられる。
前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする。
前記プロセス検疫装置は、
前記検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする。
(a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと
、
(b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを有している、ことを特徴とする。
コンピュータに、
(a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
(b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、外部からの指示に応じて、前記仮想ファイル空間に格納されている前記仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを実行させる、ことを特徴とする。
本発明では、プロセスに対して、それによる、ファイル、ネットワーク、及び他のプロセス等のコンピュータリソースへのアクセスを禁止制御するサンドボックス技術が利用される(例えば、特開2007−280255号公報及び特開2006−127127号公報参照。)。サンドボックス技術は、例えば、ウィルスへの感染が懸念されるようなセキュリティホールを有しているため、最新バージョンへのアップデートが必要であると判定されたプロセス(以後、「検疫対象プロセス」という。)が、コンピュータ上に確認された時に利用される。
以下、本発明の実施の形態におけるプロセス検疫装置、検疫システム、及びプロセスファイル処理方法について、図1〜図6を参照しながら説明する。最初に、図1を用いて、本実施の形態におけるプロセス検疫装置100及び検疫システム30の全体構成を説明する。図1は、本発明の実施の形態における検疫装置及び検疫システムの全体構成を示すブロック図である。
1と、検疫ファイル空間作成部112と、検疫ポリシー適用部113とを備えている。この構成により、プロセス起動検知部110は、検疫対象プロセス106の起動の検知、検疫ファイル空間の設定を行うことができる。
、チェック結果から適合状態を判定する。
ワーク通信をブロック又は非ブロックする通信制御を行う。
態をチェックする。具体的には、セキュリティポリシーチェック装置150は、コンピュータ上のプログラムの最新バージョンへのアップデートが未実施かどうかを検査し、該プログラムが検疫対象となっているかどうかをチェックする。また、セキュリティポリシーチェック装置150は、ウィルスチェック装置160によるウィルスチェックが適切に実施されているかどうかもチェックする。
テップA11)。次に、検疫ファイル空間読込部111は、起動が捕らえられたプロセスに対応する検疫ファイル空間領域が、一時保管領域101に保管されているかどうかを判定する(ステップA12)。
20 ネットワーク
30 検疫システム
100 プロセス検疫装置
101 一時保管領域
102 検疫ポリシー格納領域
103 検疫ファイル空間領域
104 実体ファイル空間領域
105 チェック結果格納領域
106 検疫対象プロセス
110 プロセス起動検知部
111 検疫ファイル空間読込部
112 検疫ファイル空間作成部
113 検疫ポリシー適用部
120 プロセス終了検知部
121 検疫ファイル空間保管部
122 検疫ファイル空間破棄部
130 ファイル反映部
131 反映対象ファイル選択部
132 反映対象ファイルチェック部
133 検疫隔離期間チェック部
134 反映実行部
140 サンドボックス検疫装置
141 ネットワーク制御部
142 プロセス間通信制御部
143 ファイルアクセス制御部
150 セキュリティポリシーチェック装置
160 ウィルスチェック装置
Claims (20)
- 外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とするプロセス検疫装置。 - 前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、プロセス終了検知部を、更に備えている、請求項1に記載のプロセス検疫装置。
- 前記ファイル反映部が、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項1に記載のプロセス検疫装置。
- 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項3に記載のプロセス検疫装置。
- 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項3又は4に記載のプロセス検疫装置。
- 検疫対象プロセスに対して制限を与えるサンドボックス検疫装置と、前記サンドボックス検疫装置と連携するプロセス検疫装置とを備え、
前記プロセス検疫装置は、
前記検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、プロセス起動検知部と、
前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ファイル反映部とを備えている、ことを特徴とする検疫システム。 - 前記プロセス検疫装置が、更に、プロセス終了検知部を備え
前記プロセス終了検知部が、前記検疫対象プロセスの終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、請求項6に記載の検疫システム。 - 前記ファイル反映部が、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項6に記載の検疫システム。
- 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項8に記載の検疫システム。
- 前記ファイル反映部が、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項8又は9に記載の検疫システム。
- (a)コンピュータによって、外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
(b)前記コンピュータによって、前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを有している、ことを特徴とするファイル処理方法。 - (c)前記コンピュータによって、前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、ステップを更に有している、請求項11に記載のファイル処理方法。
- 前記(b)のステップにおいて、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項11に記載のファイル処理方法。
- 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項13に記載のファイル処理方法。
- 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項13又は14に記載のファイル処理方法。
- コンピュータに、
(a)外部のサンドボックス検疫装置による制限の対象となっている検疫対象プロセスの起動の検知を行い、前記起動を検知した場合に、前記検疫対象プロセスによって使用される仮想ファイルが格納された仮想ファイル空間を、仮想記憶領域に設定する、ステップと、
(b)前記(a)のステップにおける前記検疫対象プロセスの実行が終了した場合に、前記仮想ファイル空間に格納されている前記仮想ファイルが、予め定められたセキュリティポリシーに適合しているかどうかを判定し、前記セキュリティポリシーに適合している前記仮想ファイルについて、外部からの指示に応じて、当該仮想ファイルの内容を、前記サンドボックス検疫装置が管理する実体的な記憶領域に格納されている実体ファイルに反映させる、ステップとを実行させる、ことを特徴とするプログラム。 - (c)前記検疫対象プロセスの実行の終了の検知を行い、前記終了を検知した場合に、外部からの指示に応じて、前記仮想ファイル空間を廃棄又は保管する、ステップを更に前記コンピュータに実行させる、請求項16に記載のプログラム。
- 前記(b)のステップにおいて、前記仮想ファイルが前記セキュリティポリシーに適合している場合に、前記セキュリティポリシーについての判定時から、設定された期間が経過していることを条件にして、前記仮想ファイルの選択を受け付け、そして、選択された前記仮想ファイルについて前記反映を実行する、請求項16に記載のプログラム。
- 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、予め設定されたリストへの登録の有無、改竄の有無、及び対応する前記実体ファイルの更新による衝突の発生の有無の少なくとも一つを判定し、判定結果に基づいて、前記反映を実行するかどうかを決定する、請求項18に記載のプログラム。
- 前記(b)のステップにおいて、前記仮想ファイルの選択の受け付け後に、選択された前記仮想ファイルに対して、コンピュータウィルスに感染していないかどうかを判定し、感染していない場合に、前記反映を実行する、請求項18又は19に記載のプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009234205A JP5472604B2 (ja) | 2009-10-08 | 2009-10-08 | プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2009234205A JP5472604B2 (ja) | 2009-10-08 | 2009-10-08 | プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011081652A JP2011081652A (ja) | 2011-04-21 |
JP5472604B2 true JP5472604B2 (ja) | 2014-04-16 |
Family
ID=44075632
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009234205A Expired - Fee Related JP5472604B2 (ja) | 2009-10-08 | 2009-10-08 | プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5472604B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11244051B2 (en) | 2016-12-11 | 2022-02-08 | Fortinet, Inc. | System and methods for detection of cryptoware |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP5907419B2 (ja) * | 2012-03-26 | 2016-04-26 | 日本電気株式会社 | 分散処理システム、分散処理方法および分散処理プログラム |
KR101563657B1 (ko) | 2015-05-15 | 2015-10-27 | 주식회사 블랙포트시큐리티 | 샌드박싱 된 윈도우 응용프로그램 외부로의 데이터 전송방법 |
RU2618946C1 (ru) * | 2015-12-18 | 2017-05-11 | Акционерное общество "Лаборатория Касперского" | Способ блокировки доступа к данным на мобильных устройствах с использованием API для пользователей с ограниченными возможностями |
JP6998002B1 (ja) * | 2021-09-30 | 2022-02-14 | 株式会社グローバル・ネット・アドベンチャーズ | 脆弱性診断装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4350562B2 (ja) * | 2004-03-12 | 2009-10-21 | エヌ・ティ・ティ・コムウェア株式会社 | ファイルアクセス制御装置、ファイルアクセス制御方法およびファイルアクセス制御プログラム |
US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
CN100489728C (zh) * | 2004-12-02 | 2009-05-20 | 联想(北京)有限公司 | 一种建立计算机中可信任运行环境的方法 |
-
2009
- 2009-10-08 JP JP2009234205A patent/JP5472604B2/ja not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11244051B2 (en) | 2016-12-11 | 2022-02-08 | Fortinet, Inc. | System and methods for detection of cryptoware |
Also Published As
Publication number | Publication date |
---|---|
JP2011081652A (ja) | 2011-04-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7571482B2 (en) | Automated rootkit detector | |
US8397297B2 (en) | Method and apparatus for removing harmful software | |
US8646080B2 (en) | Method and apparatus for removing harmful software | |
US7669059B2 (en) | Method and apparatus for detection of hostile software | |
US8925076B2 (en) | Application-specific re-adjustment of computer security settings | |
US8635663B2 (en) | Restriction of program process capabilities | |
US8239947B1 (en) | Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system | |
US7841006B2 (en) | Discovery of kernel rootkits by detecting hidden information | |
US9129111B2 (en) | Computer protection against malware affection | |
US9767280B2 (en) | Information processing apparatus, method of controlling the same, information processing system, and information processing method | |
KR101122787B1 (ko) | 보안관련 프로그래밍 인터페이스 | |
US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
US7845008B2 (en) | Virus scanner for journaling file system | |
US20050172337A1 (en) | System and method for unpacking packed executables for malware evaluation | |
US20060230454A1 (en) | Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing | |
US20070094654A1 (en) | Updating rescue software | |
WO2009094371A1 (en) | Trusted secure desktop | |
JP5472604B2 (ja) | プロセス検疫装置、検疫システム、ファイル処理方法、及びプログラム | |
JP6238093B2 (ja) | マルウェアリスクスキャナー | |
US20110302655A1 (en) | Anti-virus application and method | |
CN101414329B (zh) | 删除正在运行中的病毒的方法 | |
JP2016189201A (ja) | コンピュータセキュリティのためのイノキュレータ及び抗体 | |
JP4020376B2 (ja) | Wwwサーバシステム保護方法 | |
US20240111860A1 (en) | Systems and methods for preventing hollowing attack | |
RU2659738C1 (ru) | Система и способ обнаружения вредоносного скрипта |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120905 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20130829 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130904 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131029 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140108 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140121 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |