JP5573216B2 - File quarantine apparatus and file quarantine method - Google Patents
File quarantine apparatus and file quarantine method Download PDFInfo
- Publication number
- JP5573216B2 JP5573216B2 JP2010032362A JP2010032362A JP5573216B2 JP 5573216 B2 JP5573216 B2 JP 5573216B2 JP 2010032362 A JP2010032362 A JP 2010032362A JP 2010032362 A JP2010032362 A JP 2010032362A JP 5573216 B2 JP5573216 B2 JP 5573216B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- virtual machine
- quarantine
- unit
- update
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、ファイルの検疫処理を行うファイル検疫装置に関する。 The present invention relates to a file quarantine apparatus that performs a file quarantine process.
外部から持ち込まれた端末に内在するコンピュータウィルスが特定のネットワークに侵入することを防止するための技術として、検疫ネットワークが知られている。例えば、検疫ネットワークにおいては、外部から持ち込まれた端末が社内システムにアクセスすると、当該端末に記録されたファイルがウィルス感染していないかどうかを検疫し、ウィルス感染していない端末のみにネットワーク接続を認める。これにより、ウィルス感染した端末のネットワーク接続を防止して、社内システムを安全に運用することができる(例えば、特許文献1参照。)。また、検疫の後ウィルス感染が認められると、ウィルス感染されていないクリーンなOS(オペレーティング・システム)を別に立ち上げてウィルス駆除を行う方法も知られている(例えば、特許文献2)。 A quarantine network is known as a technique for preventing a computer virus existing in a terminal brought from outside from entering a specific network. For example, in a quarantine network, when a terminal brought in from the outside accesses an in-house system, the file recorded on the terminal is quarantined to see if it is infected with a virus. Admit. Thereby, the network connection of the virus infected terminal can be prevented and the in-house system can be operated safely (for example, refer to Patent Document 1). In addition, when virus infection is recognized after quarantine, a method is also known in which a clean OS (operating system) that is not infected with a virus is started up to remove the virus (for example, Patent Document 2).
しかしながら、上記のような検疫を行う場合、ウィルススキャンに時間がかかるため検疫中に端末を使用することができなくなる、という問題がある。このような問題に対して、ウィルス感染のある行為を行わなかった端末のウィルススキャンを免除することや(例えば、特許文献3参照。)、端末の種別(例えば、デスクトップPC等。)に応じてウィルススキャンを免除することが知られている(例えば、特許文献4参照。)。 However, when performing the quarantine as described above, there is a problem that it becomes impossible to use the terminal during the quarantine because virus scanning takes time. In response to such a problem, exemption from virus scanning of a terminal that has not performed an action with virus infection (for example, refer to Patent Document 3), or the type of terminal (for example, desktop PC). It is known to exempt virus scanning (see, for example, Patent Document 4).
ウィルススキャンにかかる時間を短縮させるその他の方法として、端末内の全ファイルに対してウィルススキャンを行うのではなく、ファイルの更新日付等の情報に基づいて、外部使用中に作成または更新されたファイルのみに対してウィルススキャンを行うことが考えられる。しかしながら、ファイルの更新日付等の情報はウィルス等が不当に書き換えてしまう可能性があるため、ファイルの更新日付等の情報に基づいて、ウィルススキャンの対象ファイルを判断することは好ましいとはいえない。 Another way to reduce virus scanning time is to create a file that was created or updated during external use based on information such as the file update date, rather than scanning all files on the device for viruses. It is conceivable to scan for viruses only. However, since information such as the file update date may be illegally rewritten by a virus or the like, it is not preferable to determine the target file for virus scanning based on information such as the file update date. .
また、図1は、OSのシステムコールの利用履歴を解析して、実際に書き込みが発生したファイルを特定する方法の一例を示す図である。この方法では、OSのカーネルまたは入出力のAPI(Application Program Interface)を実現するライブラリを改変することで、システムコールの監視用インタフェース(I/F)部11を実現し、このインタフェースを通じてシステムコールの履歴を取得する。OSではファイルやネットワーク等の資源はシステムコールを介して操作されるため、システムコールの履歴を取得することで更新されたファイルを抽出できる。つまり、取得したシステムコールの履歴をシステムコール管理機能部12で分析し、ファイル操作に関するシステムコールの利用から書き換えが発生したファイルを特定できる。
FIG. 1 is a diagram illustrating an example of a method for analyzing a use history of an OS system call and specifying a file in which writing has actually occurred. In this method, a system call monitoring interface (I / F)
図1の外出判定機能部13では、端末がイントラネットに接続されているか、外出中であるかを判定し、判定結果に基づいて検疫ネットワークのクライアントソフトの起動や、書き換えが発生したファイルの特定動作の制御を行う。例えば、外出からの帰着時の検疫では、外出中に書き換えが発生したファイル(新規・変更ファイル表に名前のあるファイル)をウィルス対策プログラムでウィルススキャンを行う。
The outing
このように、図1の方法では、ユーザが利用しているOS上のソフトウェアでファイルに対するシステムコールの履歴等を収集して、書き換えが発生したファイルを特定している。しかし、この方法では、書き換えられたファイルを特定するプログラムとウィルスプログラム等が同じOS領域内で実行されるため、データの改ざん等の攻撃によりファイルの更新履歴が改ざんされると、ウィルスに感染したファイルがウィルス検査対象から除外される場合がある。そのため、検疫対象となるファイルを精度よく特定することができない。 As described above, in the method of FIG. 1, the history of system calls for files is collected by software on the OS used by the user, and the file in which rewriting has occurred is specified. However, in this method, since the program that identifies the rewritten file and the virus program are executed in the same OS area, if the file update history is altered by an attack such as data alteration, the virus is infected. Files may be excluded from virus scanning. For this reason, it is impossible to accurately specify a file to be quarantined.
本発明は、上記のような点に鑑みてなされたものであり、検疫対象となるファイルを精度よく特定して、検疫処理を短時間で終了させることのできるファイル検疫装置を提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a file quarantine apparatus capable of accurately identifying a file to be quarantined and ending the quarantine process in a short time. And
上記の目的を達成するために、以下に開示するファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備える。 In order to achieve the above object, a file quarantine apparatus disclosed below accesses a physical data area by accepting a request from a user virtual machine that executes processing based on a user operation and the user virtual machine In the virtual machine management unit, based on the output of the file monitoring unit, a file monitoring unit that monitors a file requested to be updated from the user virtual machine to the virtual machine management unit, An update file list creation unit that creates an update file list indicating which files are updated for the user virtual machine, and a computer virus quarantine process for the files indicated in the update file list A quarantine processing unit for executing
本願明細書の開示によれば、検疫対象となるファイルを精度よく特定して検疫処理を短時間で終了させることのできるファイル検疫装置を提供することが可能となる。 According to the disclosure of the specification of the present application, it is possible to provide a file quarantine apparatus that can accurately specify a file to be quarantined and finish the quarantine process in a short time.
以下においては、本発明の実施形態について図面を用いて具体的に説明する。 Hereinafter, embodiments of the present invention will be specifically described with reference to the drawings.
[1.第1の実施形態]
本実施形態にかかるファイル検疫装置は、CPUを備えるコンピュータ装置によって構成される。例えば、パーソナルコンピュータ、スマートフォンまたは携帯電話等が、このコンピュータ装置に該当する。以下においては、外出先では公衆LAN等に接続可能であり、かつ、社内においては社内ネットワークに接続可能であるノート型パーソナルコンピュータを、本実施形態にかかるファイル検疫装置の一例として用いる場合について説明する。本実施形態において、仮想マシンとは、1または複数のコンピュータ装置上で、擬似的に稼働する1つのコンピュータ装置をいう。
[1. First Embodiment]
The file quarantine apparatus according to the present embodiment is configured by a computer apparatus including a CPU. For example, a personal computer, a smartphone, a mobile phone, or the like corresponds to this computer apparatus. In the following, a case will be described in which a notebook personal computer that can be connected to a public LAN or the like when away from home and can be connected to an in-house network as an example is used as an example of a file quarantine apparatus according to the present embodiment. . In the present embodiment, a virtual machine refers to one computer device that operates in a pseudo manner on one or more computer devices.
本実施形態にかかるファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備える。このように、本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンから独立して作成・管理された更新ファイルリストに基づいて検疫を行うので、改ざんのおそれがほぼなくなり、検疫対象となるファイルを精度よく特定して、検疫処理を短時間で終了させることができる。 The file quarantine apparatus according to the present embodiment includes a user virtual machine that executes processing based on a user operation, a virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area, and the user For the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit and a file monitoring unit that monitors the file requested to be updated from the virtual machine management unit to the virtual machine management unit An update file list creation unit that creates an update file list indicating which file has been updated, and a quarantine process unit that executes a computer virus quarantine process on the files indicated in the update file list. Prepare. As described above, since the file quarantine apparatus according to the present embodiment performs quarantine based on the updated file list created and managed independently from the user virtual machine, there is almost no possibility of falsification, and the file to be quarantined. Can be accurately identified, and the quarantine process can be completed in a short time.
また、本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されているか否かを判断するネットワーク接続判断部をさらに備え、前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する。このため、ウィルスに感染した疑いのあるファイルのみを抽出して、効率的に検疫処理を行うことができる。 The file quarantine apparatus according to the present embodiment further includes a network connection determination unit that determines whether or not the file quarantine apparatus is connected to a predetermined network, and the update file list creation unit includes the file quarantine apparatus in the network connection determination unit. Is determined not to be connected to the predetermined network, the update file list is created. For this reason, it is possible to extract only files that are suspected of being infected with a virus and efficiently perform a quarantine process.
また、本実施形態にかかるファイル検疫装置は、検疫処理が実行されている間、前記ユーザ用仮想マシンの動作を停止させる。このため、ユーザ用仮想マシンがウィルスに感染していた場合であっても、ウィルスの感染拡大を防止して、その被害を最小に抑えることができる。また、ユーザ用仮想マシンと制御用仮想マシンとの間におけるディスク・ストレージの競合を回避して、安全にファイル検疫処理を実行することができる。 In addition, the file quarantine apparatus according to the present embodiment stops the operation of the user virtual machine while the quarantine process is being executed. For this reason, even if the user virtual machine is infected with a virus, the spread of the virus can be prevented and the damage can be minimized. Further, it is possible to safely execute the file quarantine process while avoiding a disk storage conflict between the user virtual machine and the control virtual machine.
[1−1.システム構成]
図2は、上記ファイル検疫装置の構成例を示す図である。ファイル検疫装置1は、仮想マシン管理部2、制御用仮想マシン3およびユーザ用仮想マシン4を動作可能に構成され、ネットワーク・インタフェース9およびディスク・ストレージ5を有している。仮想マシン管理部2、制御用仮想マシン3およびユーザ用仮想マシン4は、相互に通信可能である。ディスク・ストレージ5は、仮想マシン管理部2のみが直接アクセス可能な物理データ領域である。制御用仮想マシン3およびユーザ用仮想マシン4は、仮想マシン管理部2を介してディスク・ストレージ5に間接的にアクセス可能である。なお、図2において、制御用仮想マシン3およびユーザ用仮想マシン4は、それぞれ1つしか記載されていないが、2つ以上存在してもよい。
[1-1. System configuration]
FIG. 2 is a diagram illustrating a configuration example of the file quarantine apparatus. The
図2に示すファイル検疫装置1が動作させるユーザ用仮想マシン4は、アプリケーション41およびOS(オペレーティング・システム)42を備える。また、制御用仮想マシン3は、ネットワーク接続判断部31、動作管理部32および検疫処理部33を備える。さらに、仮想マシン管理部2は、ファイル監視部21および更新ファイルリスト作成部22を備える。
The user
ネットワーク・インタフェース9は、社内ネットワークや公衆LANに接続するためのものである。アプリケーション41およびOS42は、ユーザ操作に基づく処理を実行するためのものである。
The network interface 9 is for connecting to an in-house network or a public LAN. The
制御用仮想マシン3のネットワーク接続判断部31は、ユーザ用仮想マシン4のネットワーク・インタフェース9が、所定ネットワークに接続されているか否かを判断するためのものである。動作管理部32は、検疫処理部33において検疫処理が実行されている間、ユーザ用仮想マシン4の動作を停止させ、または、この停止を解除させるためのものである。検疫処理部33は、更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行するためのものである。更新ファイルリストのデータ形式は特に限定されないが、例えば、テーブル形式で記録されてもよい。
The network
仮想マシン管理部2のファイル監視部21は、ユーザ用仮想マシン4から仮想マシン管理部2に対して更新が依頼されたファイルを監視するためのものである。更新ファイルリスト作成部22は、ファイル監視部21の出力に基づいて、仮想マシン管理部2において更新されたファイルがいずれであるかを示す更新ファイルリストを作成するためのものである。
The
なお、図2のファイル検疫装置1において示した各機能部は、プログラムによって実現されるCPUの機能を含む概念である。ここで、プログラムとは、CPUにより直接実行可能なプログラムだけでなく、ソース形式のプログラム、圧縮処理がされたプログラム、暗号化されたプログラム等を含む概念である。
Note that each functional unit shown in the
[1−2.ファイル検疫装置1のハードウェア構成]
図3は、図2に示したファイル検疫装置1を、CPUを用いて実現したハードウェア構成の例を示す図である。上記ファイル検疫装置1は、ディスプレイ201、CPU202、メモリ203、キーボード/マウス204、ハードディスク205、CD−ROMドライブ(光学式ドライブ)206および通信回路207を備える。ハードディスク205には、仮想マシン管理プログラム205a、仮想マシンデータ領域205b、ファイル検疫処理プログラム205cおよび更新ファイルリスト205d等が記録される。
[1-2. Hardware configuration of file quarantine apparatus 1]
FIG. 3 is a diagram illustrating an example of a hardware configuration in which the
仮想マシン管理プログラム205aまたはファイル検疫処理プログラム205cは、CD−ROMドライブ206を介して、例えばCD−ROM206a等の光学式ディスクに記録されたプログラムを読み出してインストールされたものである。CPU23は、仮想マシン管理プログラム205b、ファイル検疫処理プログラム205cまたは、制御用仮想マシン3もしくはユーザ用仮想マシン4内で実行されるOS等に基づく処理を実行する。
The virtual
図2に示したファイル検疫装置1を構成する仮想マシン管理部2は、CPU202上において仮想マシン管理プログラム205aを実行することによって実現される。なお、仮想マシン管理部2は、仮想化技術を実現するための管理プログラムの実行により生成される機能部であり、例えば、ハイパーバイザがこれに該当する。また、仮想マシン管理部2における、ファイル監視部21および更新ファイルリスト作成部22も、CPU202上において仮想マシン管理プログラム205aを実行することによって実現される。
The virtual
また、制御用仮想マシン3およびユーザ用仮想マシン4の起動プログラムは、仮想マシン管理プログラム205aに含まれてもよいし、他の装置から読み出されるものであってもよい。
The activation programs for the control
図2に示したファイル検疫装置1を構成する制御用仮想マシン3における、ネットワーク接続判断部31、動作管理部32および検疫処理部33は、CPU202上においてファイル検疫処理プログラム205cを実行することによって実現される。図2に示したファイル検疫装置1を構成するディスク・ストレージ5の一部は、ハードディスク205に記録される仮想マシンデータ領域205bに該当する。
The network
[1−3.ファイル検疫装置1の起動]
図4は、ファイル検疫装置1の起動時におけるフローチャートの一例を示す図である。電源投入を受けて、ファイル検疫装置1のCPU202は、仮想マシン管理部2を起動し(オペレーション(以下Opとする。)301)、続いて制御用仮想マシン3を起動し(Op302)、最後にユーザ用仮想マシン4を起動する(Op303)。
[1-3. Start of file quarantine apparatus 1]
FIG. 4 is a diagram illustrating an example of a flowchart when the
上記仮想マシン管理部2は、Type1型のハイパーバイザを用いた例である。ハイパーバイザとは、コンピュータの仮想化技術の一つである仮想マシン(バーチャルマシン)を実現するための制御プログラムをいう。Type1型のハイパーバイザは、ハードウェア上で直接稼働してホストOSの仮想マシンを起動するものや、ホストOSのカーネルに組み込まれて稼働するものがある。また、ホストOSの仮想マシンは、ゲストOSの仮想マシンを起動する。
The virtual
なお、Type2型のハイパーバイザは、ハードウェア上でまずホストOSが稼働し、ホストOS上でハイパーバイザが仮想し、さらにハイパーバイザ上でゲストOSの仮想マシンを稼働させるものである。よって、本実施形態のファイル検疫装置においては、ホストOSとしての制御用仮想マシン上でハイパーバイザである仮想マシン管理部が起動し、さらに仮想マシン管理部上でゲストOSとしてのユーザ用仮想マシン4を起動する構成としてもよい。
In the
仮想マシン管理部2の起動後において、ファイル監視部21および更新ファイルリスト作成部22をそれぞれ機能させるためのプログラムが起動する。制御用仮想マシン3の起動時後において、ネットワーク接続判断部31、動作管理部32および検疫処理部33をそれぞれ機能させるためのプログラムが起動する。ユーザ用仮想マシン4の起動後において、所定のアプリケーション41およびOS42をそれぞれ機能させるためのプログラムが起動する。
After the virtual
[1−4.制御用仮想マシン3の処理(1)]
図5は、制御用仮想マシン3における処理のフローチャートの一例を示す図である。CPU202は、ネットワーク接続判断処理を実行する(Op501)。図6は、ネットワーク接続判断処理のフローチャートの一例を示す図である。このネットワーク接続判断処理は、メモリ203に常駐して実行される。
[1-4. Processing of control virtual machine 3 (1)]
FIG. 5 is a diagram illustrating an example of a flowchart of processing in the control
OP601においてCPU203は、ネットワーク・インタフェースの状態を監視し(Op601)、変化があれば、ネットワーク・インタフェースの状態変化の内容を判断する(Op602)。例えば、この状態変化が「ON→OFF」の場合、オフラインと判定する(Op603)。つまり、この場合は社内ネットワークに接続していないと判断できる。一方、この状態変化が「OFF→ON」の場合、さらに、社内ネットワーク上に存在する検疫サーバと通信可能か否かを判断し(Op606)、通信可能であれば(Op606、Yes)、社内ネットワークに接続していると判定し(Op607)、通信可能でなければ(Op606、No)、オフラインと判定する(Op608)。
In OP601, the
また、OP601においてCPU203は、ネットワーク・インタフェースの状態を監視し(Op601)、変化がなければ、ネットワーク・インタフェースの状態を判断する(Op604)。例えば、この状態がONを維持している場合、検疫サーバと通信可能か否かを判断し(Op606)、通信可能であれば(Op606、Yes)、社内ネットワークに接続していると判定し(Op607)、通信可能でなければ(Op606、No)、オフラインと判定する(Op608)。一方、この状態がOFFを維持していると判断する場合、オフラインと判定する(Op605)。
In OP601, the
図5に戻りCPU202は、上記Op501においてユーザ用仮想マシンが社内ネットワークに接続していると判断できない場合(Op502、No)、その旨を仮想マシン管理部2に通知する(Op503)。
Returning to FIG. 5, if the
[1−5.仮想マシン管理部2の処理]
図7は、仮想マシン管理部2における処理のフローチャートの一例を示す図である。図8Aは、ユーザ用仮想マシン4から依頼を受けた命令に基づいて更新ファイルリストを作成する例を示す図である。具体的には、アプリケーション41やOS42の実行により、ディスク・ストレージ5に記録されたデータを操作する必要が生じると、ユーザ用仮想マシン4は、仮想マシン管理部2にファイル更新依頼を行う。この場合において、仮想マシン管理部2が、ユーザ用仮想マシン4から依頼されたファイル更新命令を抽出して、更新対象となったファイルがいずれであるかを示す更新ファイルリストを作成する図である。
[1-5. Processing of virtual machine management unit 2]
FIG. 7 is a diagram illustrating an example of a flowchart of processing in the virtual
仮想マシン管理部2の共有メモリ空間801においては、ユーザ用仮想マシン4からの命令は、FIFO(First In, First Out)方式で順次蓄積される(命令1〜命令m)。ここで、共有メモリ空間801は、仮想マシン管理部2だけでなく、ユーザ用仮想マシン4からもアクセス(書き込み)可能である。
In the shared memory space 801 of the virtual
仮想マシン管理部2のファイル監視部21を機能させるCPU203は、共有メモリ空間801のバッファ上に未処理コマンドがあるか否かを判断する(Op701)。CPU202は、共有メモリ空間801のバッファ上に命令が記録されていれば、その命令を読み出す。(Op702)。例えば、図8Aにおいて、共有メモリ空間801に記録されている「命令1〜命令m」の中から、「命令1」81が読み出される。なお、読み出された命令は順次削除される。
The
CPU202は、読み出した命令を一旦ディスク・ストレージ5に転送する(Op703)。転送後、CPU202は、ユーザ用仮想マシン4が社内ネットワークに接続しているか否かを判断し(Op704)、接続していなければ下記Op705〜Op707の処理を実行し、接続すればOp701に戻って処理を繰り返す。つまり、Op704の処理は、制御用仮想マシン3からの通知に基づいて判断される(図5のOp503またはOp505)。
The
Op705においてCPU202は、読み出した命令が書き込み命令か否かを判断し(Op704)、書き込み命令であれば(Op705、Yes)専用メモリ空間802にコピーする(Op706)。例えば、共有メモリ空間801の「命令1」81が、専用メモリ空間802の「命令n」82としてコピーされる。
In Op 705, the
図8Bは、ユーザ用仮想マシン4から仮想マシン管理部4に通知される命令のデータ構造の一例を示す図である。このデータ構造には、命令識別85、セクタ番号86および実データ87が含まれる。読み出した命令が書き込み命令であるか否かは、命令識別85のデータが「書き込み」を示すものであるか否かによって判断すればよい。ここで、専用メモリ空間802は、仮想マシン管理部2からだけアクセス(書き込み/読み出し)可能であり、ユーザ用仮想マシン4からはアクセスすることはできない。
FIG. 8B is a diagram illustrating an example of a data structure of a command notified from the user
CPU202は、更新ファイルリスト作成部22を機能させて、更新ファイルリスト作成処理を実行する(Op707)。図9は、更新ファイルリスト作成処理のフローチャートの一例を示す図である。
The
CPU202は、専用メモリ空間から1命令を読み出す(Op901)。例えば、図8Aに示した専用メモリ空間802の「命令1」83を読み出す。なお、専用メモリ空間802における各命令は、FIFO(First In, First Out)方式で順次蓄積されている(命令1〜命令n)。
The
CPU202は、上記Op901において読み出した命令のセクタ番号86に基づいて書き込み先を特定する(Op902)。書き込み先の特定方法は、ユーザ用仮想マシン4が採用するファイルシステムによって異なるが、下記においてはファイルシステムにFATが採用されている場合の特定方法について説明する。
The
図10Aは、ユーザ用仮想マシン4のためにディスク・ストレージ5において割り当てられるディスク領域の一例を示す図である。このディスク領域は、ユーザ用仮想マシン4が採用するOSのファイルシステムとして機能する。例えば、ファイルシステムとしてFAT(File Allocation Table)を採用した場合、ファイルシステムには、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104が含まれる。なお、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104には、一例として最小の記録単位であるセクタの位置を示すセクタ番号「0001〜2000」、「1001〜2000」、「2001〜3000」および「3001〜4000」がそれぞれ割り当てられているものとする。
FIG. 10A is a diagram illustrating an example of a disk area allocated in the
図10Bは、FAT領域102の一例を示す図である。FAT領域102は、後述するデータ領域104においてファイルのデータが記録されているクラスタの位置を示すクラスタ番号111および、このクラスタ番号に継続するクラスタの位置を示す後続クラスタ番号112を含んで構成される。つまり、クラスタ番号と後続クラスタ番号とを終端記号113まで辿ることで、データ領域104において1つのファイルがどこに記録されているのかを把握できる。なお、クラスタとは、連続する複数のセクタをまとめて管理するための単位をいう。
FIG. 10B is a diagram illustrating an example of the
図10Cは、ルートディレクトリ103の一例を示す図である。ルートディレクトリ103は、ファイル名121、拡張子122、属性123、予約領域124、時刻125、日付126、先頭クラスタ番号127およびファイルサイズ128を含んで構成される。特に、ルートディレクトリ103を参照することにより、ファイル名121と先頭クラスタ番号127の対応関係が把握できる。
FIG. 10C is a diagram illustrating an example of the
図10Dは、データ領域104の一例を示す図である。データ領域104は、クラスタ番号131および実データ132を含んで構成される。クラスタ番号131が「401」のクラスタには実データ132としてファイル名「a」のデータの一部が記録される(aのデータ(1))。同様にクラスタ番号「402」のクラスタには、aのデータ(1)に継続する、ファイル名「a」のデータの一部が記録され(aのデータ(2))、クラスタ番号「403」のクラスタにはaのデータ(2)に継続する、ファイル名「a」のデータの一部が記録される(aのデータ(3))。
FIG. 10D is a diagram illustrating an example of the
専用メモリ空間802から命令が1つ読み出された場合、CPU202は、セクタ番号86に基づいて、これに対応する書き込み先を判断する。例えば、上述したように、予約領域101、FAT領域102、ルートディレクトリ103およびデータ領域104には、クラスタ番号の範囲が予め割り当てられているので、セクタ番号86が「0001〜2000」であれば予約領域であり、「1001〜2000」であればFAT領域であり、「2001〜3000」であればルートディレクトリであり、「3001〜4000」であればデータ領域であると判断することができる。よって、図8Bのセクタ番号「3208」は、「3001〜4000」の範囲であるので、データ領域と判断される。
When one instruction is read from the
なお、書き込み先が予約領域である場合にはマスターブートレコード(MBR)等の重要ファイルの書き換えであるため、処理を注しして、警告メッセージをディスプレイ出力するように構成してもよい。 Note that when the write destination is a reserved area, since an important file such as a master boot record (MBR) is rewritten, processing may be performed and a warning message may be output on the display.
CPU202は、書き込み先がFAT領域102またはデータ領域104であると判断した場合には、書き込み先のファイル名を取得し(Op906)、取得したファイル名を更新ファイルリストに追加する(Op907)。例えば、図8Bに示す命令データが読み出された場合、セクタ番号86「3208」が含まれるクラスタのクラスタ番号が「401」であるとすると、図10Cのルートディレクトリに記録された先頭クラスタ番号127「401」に基づいてファイル名121「a」のファイルに対する書き込みであると判断する。
If the
なお、セクタ番号86が「3216」であった場合には、これに含まれるクラスタのクラスタ番号「402」を求めた後、図10Bに示したFAT領域102からクラスタ番号を逆に辿ることで、ファイルが記録されている領域の先頭クラスタ番号「401」を取得して、これに対応するファイル名121が「a」であることを認識してもよい。
If the
一方、CPU202は、書き込み先がルートディレクトリであると判断した場合には、さらに書き込み内容を判断する(Op904)。CPU202は、図10Cに示すルートディレクトリにおいて、書き込み内容が「ファイル名の変更」であると判断した場合、更新ファイルリストのファイル名を変更する(Op905)。また、書き込み内容が「ファイルの追加」であると判断した場合、上記Op906においてファイル名を取得した後、更新ファイルリストにファイル名を追加する(Op907)。
On the other hand, if the
図8Cは、更新ファイルリスト205d(図2)の一例を示す図である。更新ファイルリスト205dには、ファイル名91および更新日時92が記録される。なお、更新ファイルリスト205dは、仮想マシン管理部2において、制御用仮想マシン3からアクセス可能な領域に作成される。例えば、仮想マシン管理部2のファイル公開機能によってアクセス可能なデータ領域に作成される。
FIG. 8C is a diagram showing an example of the
[1−5.制御用仮想マシン3の処理(2)]
図5のOp503において制御用仮想マシン3が仮想マシン管理部2に社内ネットワークに接続していない旨の通知を行った後においても、図5のOp501において説明したネットワーク接続判断処理(図6)が繰り返し実行されている。制御用仮想マシン3を機能させるCPU202は、ネットワーク接続判断処理においてユーザ用仮想マシン4が社内ネットワークに接続していると判断した場合(Op504、Yes)、仮想マシン管理部2にその旨を通知する(Op505)。例えば、ノート型パーソナルコンピュータであるファイル検疫装置1が外出先から社内ネットワークに接続された場合がこれに該当する。
[1-5. Processing of control virtual machine 3 (2)]
Even after the control
仮想マシン管理部2のCPU202は、ユーザ用仮想マシン4が社内ネットワークに接続している旨の通知を受けた場合、図7のOp704においてOp705〜Op707の処理を実行しない。つまり、更新ファイルリストの作成処理を実行しない。これにより、ユーザ用仮想マシン4が社内ネットワークに接続していない期間に更新されたファイルのみについて、更新ファイルリストを作成することができる。
When receiving the notification that the user
Op505の後においてCPU202は、検疫実施処理を実行する(Op506)。図11は、検疫実施処理のフローチャートの一例を示す図である。CPU202は、検疫実施処理を実行する場合、まずユーザ用仮想マシン4を一時的に停止させる(Op1101)。具体的には、図2に示した動作管理部32の機能を用いて、ユーザ用仮想マシン4を一時的に停止させる。
After Op 505, the
CPU202は、ユーザ用仮想マシン4のディスク領域をマウントする(Op1102)。これらの処理により、制御用仮想マシン3が、ディスク・ストレージ5においてユーザ用仮想マシン4に割り当てられたディスク領域を、ユーザ用仮想マシン4と競合することなく安全に使用することができる。
The
続いてCPU202は、検疫クライアント処理を実行する(Op1103)。図12は、検疫クライアント処理のフローチャートの一例を示す図である。検疫クライアント処理を実行するCPU202は、検疫クライアントを起動する(Op1201)。例えば、検疫クライアントは、制御用仮想マシン3内において生成された新たな仮想マシンとして実行される。図13は、検疫処理部33において実行される検疫クライアント1301の構成例を示す図である。検疫クライアント1301は、ウィルス対策プログラム1302およびパターンファイル1303を含んで構成される。
Subsequently, the
検疫クライアント1301を起動すると、CPU202は検疫クライアント内においてウィルス対策プログラム1302を実行させる(Op1202)。ウィルス対策プログラム1302を実行するCPU202は、ファイル検疫装置1とネットワークを介して接続されたウィルス対策サーバ1312にアクセスしてパターンファイル1303を更新する。
When the
次に、CPU202は、仮想マシン管理部2に保持されている更新ファイルリスト205dを読み込む(Op1204)。図8Cに示したように、更新ファイルリスト205dには、更新対象となったファイル名が含まれているため、CPU202は、このファイル名に対応する各ファイルについてウィルススキャンを実行する(Op1205)。このため、全ファイルのウィルススキャンを回避して、検疫処理を迅速に行うことができる。
Next, the
また、検疫クライアント1301は、検疫サーバ1311と接続可能に構成される。検疫サーバ1311は、検疫クライアント1301から通知された検疫処理結果に基づいて、ファイル検疫装置1が社内ネットワークに接続可能であることを認証する(Op1206)。例えば、検疫処理結果によって社内ネットワークに重大な被害を及ぼす可能性が低いと判断される場合、検疫サーバ1311がファイル検疫装置1を認証することにより、LAN機器等の設定が変更されてファイル検疫装置1が社内ネットワークに接続可能となる。
The
図11に戻って、Op1103の検疫クライアント処理が終了すると、CPU202は、ウィルスがない場合またはウィルス駆除に成功した場合(O1104、Yes)、ユーザ用仮想マシン4のディスク領域のマウントを解除した後(Op1105)、ユーザ用仮想マシン4の一時停止を解除する(Op1107)。
Returning to FIG. 11, when the quarantine client processing of Op1103 is completed, the
一方、CPU202は、ウィルスが検出された場合またはウィルス駆除に失敗した場合に(O1104、No)、ディスプレイ201にウィルス感染した可能性がある旨のメッセージを表示する(Op1106)。
On the other hand, when a virus is detected or virus removal fails (O1104, No), the
図5において、Op506の検疫実施処理が終了すると、制御用仮想マシン3を実行するCPU202は、Op502に戻り処理(Op502〜Op506)を繰り返す。
In FIG. 5, when the quarantine execution process of Op 506 is completed, the
この実施形態において、ファイル監視部21は、一例として、図7のOp701〜Op705の処理機能を含む。更新ファイルリスト作成部22は、一例として、図7のOp707および図9の処理機能を含む。検疫処理部33は、一例として、図5のOp506、図11および図12の処理機能を含む。ネットワーク接続判断部31は、一例として、図5のOp501および図6の処理機能を含む。動作管理部32は、一例として、図11のOp1101およびOp1107の処理機能を含む。
In this embodiment, the
[1−6.変形例]
本実施形態にかかるファイル検疫装置は、ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える構成としてもよい。これにより、他のコンピュータ装置に更新ファイルリストを与え、該他のコンピュータ装置に検疫処理を実行させるファイル検疫補助装置としても機能させることができる。
[1-6. Modified example]
The file quarantine apparatus according to the present embodiment includes a user virtual machine that executes processing based on a user operation, a virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area, and the user For the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit and a file monitoring unit that monitors the file requested to be updated from the virtual machine management unit to the virtual machine management unit An update file list creation unit that creates an update file list indicating which file has been updated may be provided. Accordingly, it is possible to provide an update file list to another computer apparatus and to function as a file quarantine auxiliary apparatus that causes the other computer apparatus to execute a quarantine process.
[2.第2の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、制御用仮想マシン3の検疫処理部33が、制御用仮想マシン3内において実行されるのではなく、別途起動される検疫用仮想マシンにおいて実行される例について説明する。
[2. Second Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the
一般的に、検疫に用いるウィルス対策プログラムが利用するパターンファイルは検疫対象とするOSの種類によって異なる。制御用仮想マシン3のOSと、ユーザ用仮想マシン4のOSが異なる場合、各OSが採用するファイルシステムも異なるため、制御用仮想マシン3が認識可能なパターンファイルを用いてユーザ用仮想マシン4のファイルを検疫することは困難である。
Generally, a pattern file used by an anti-virus program used for quarantine varies depending on the type of OS to be quarantined. When the OS of the control
本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンを制御する制御用仮想マシンをさらに備え、前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる。よって、検疫用仮想マシンを用いて、制御用仮想マシンの処理負荷を分散させることができる。また、ユーザ用仮想マシンと共通するファイルシステムを採用する検疫用仮想マシンを用いて検疫処理を実行することができる。 The file quarantine apparatus according to the present embodiment further includes a control virtual machine that controls a user virtual machine, and the control virtual machine activates the quarantine virtual machine as a quarantine processing unit, and causes the quarantine virtual machine to The quarantine process is executed, and the quarantine virtual machine is stopped when the quarantine process is completed. Therefore, the processing load of the control virtual machine can be distributed using the quarantine virtual machine. In addition, the quarantine process can be executed using a quarantine virtual machine that employs a file system common to the user virtual machine.
本実施形態にかかるファイル検疫装置は、制御用仮想マシン実行部は、前記ユーザ用仮想マシン実行部のOSに応じて、起動させる検疫用仮想マシン実行部のOSを決定する。よって、ユーザ用仮想マシンと制御用仮想マシンのOSが異なっている場合であっても、検疫用仮想マシンのOSをユーザ用仮想マシンと一致させることにより、同一のファイルシステムにおいて管理されているファイルを取り扱うことができる。 In the file quarantine apparatus according to the present embodiment, the control virtual machine execution unit determines the OS of the quarantine virtual machine execution unit to be activated in accordance with the OS of the user virtual machine execution unit. Therefore, even if the OSs of the user virtual machine and the control virtual machine are different, the files managed in the same file system by matching the OS of the quarantine virtual machine with the user virtual machine. Can be handled.
[2−1.システム構成、ハードウェア構成および各部の処理]
図14は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図14においては、図2の構成に比べて、制御用仮想マシン3から検疫処理部33が削除され、ファイル検疫装置1内において検疫用仮想マシン6が追加されている。
[2-1. System configuration, hardware configuration and processing of each part]
FIG. 14 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
検疫用仮想マシン6は、制御用仮想マシン3によって、別の仮想マシンとして起動される。検疫用仮想マシン6の機能は、図2において示した検疫処理部33と同様である。また、この場合、検疫用仮想マシン6は、ユーザ用仮想マシン4と同一のOSを実行する仮想マシンとして起動される。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
The quarantine
[3.第3の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、図11の検疫実施処理が、ネットワーク接続判断部31によって制御される場合だけではなく、ユーザ指示を受けて所定条件を満たす場合にも実行される例について説明する。
[3. Third Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the quarantine execution process of FIG. 11 is executed not only when controlled by the network
例えば、長期間の外出が続く場合においては、外出中に更新されるファイル数が多くなり、帰着後の処理が長くなる可能性がある。この際に、外出中に最新のウィルスパターンでウィルス検査を行うことができれば、帰着後の検疫処理の時間を短縮させることができる。本実施形態においては、検疫処理の時間を短縮させるため、ウィルス対策のパターンファイルを配布するサーバをイントラネットだけでなく、インターネット等を通じて外出先からアクセス可能とする。 For example, when the user goes out for a long period of time, the number of files updated while going out increases, and there is a possibility that the processing after the return will be longer. At this time, if the virus inspection can be performed with the latest virus pattern while going out, the time of the quarantine process after the return can be shortened. In this embodiment, in order to shorten the time of the quarantine process, the server that distributes the anti-virus pattern file can be accessed not only from the intranet but also from the outside.
本実施形態にかかるファイル検疫装置は、最新のウィルスパターンファイルを取得可能であるか否かを判断するパターンファイル取得可否判断部を備え、検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する。よって、社内ネットワークに接続した後にウィルス対策サーバからパターンファイルを取得しなくても、効率的に検疫処理を行うことができる。 The file quarantine apparatus according to the present embodiment includes a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired, and the quarantine processing unit includes the latest virus in the pattern file acquisition availability determination unit. When it is determined that the pattern file can be acquired, a computer virus quarantine process is executed based on the updated file list. Therefore, the quarantine process can be efficiently performed without acquiring the pattern file from the antivirus server after connecting to the in-house network.
[3−1.システム構成、ハードウェア構成および各部の処理]
図15は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図15においては、図2の構成に比べて、パターンファイル取得可否判断部34が追加されている。
[3-1. System configuration, hardware configuration and processing of each part]
FIG. 15 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
ユーザ操作を受けると、パターンファイル取得可否判断部34を機能させるCPU202は、ネットワーク・インタフェース9を介して、パターンファイルが取得可能か判断する。例えば、公衆LANを介して所定のサーバにアクセスしてパターンファイルが取得可能か否かを判断する。取得可能であれば、図11に示した検疫実施処理のフローチャートを実行する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
Upon receiving a user operation, the
[4.第4の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、ネットワーク接続判断部31からの制御によって作成された更新ファイルリスト205dに基づいて検疫対象のファイルを特定するのではなく、ネットワーク非接続期間記録部を設けておき、ネットワークに接続していなかった期間に更新されたファイルを特定して検疫処理を行う例について説明する。
[4. Fourth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, instead of specifying the file to be quarantined based on the updated
例えば、社内ネットワークに接続していない場合にのみ更新ファイルリストを作成するのではなく、更新時のタイムスタンプを含む更新ファイルリストを常時作成しておき、ネットワークに非接続であった期間の情報に基づいてウィルススキャンの対象とすべきファイルを特定する。 For example, instead of creating an update file list only when not connected to the corporate network, an update file list that includes a time stamp at the time of update is always created, and information about the period when the network was disconnected is used. Based on this, identify the files to be scanned for viruses.
本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部を備え、更新ファイルリスト作成部によって作成される更新ファイルリストは、各ファイルについてのタイムスタンプを含み、検疫処理部は、ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する。よって、常時更新ファイルリストを作成していた場合であっても、精度よく対象ファイルを特定して効率的に検疫処理を行うことができる。 The file quarantine apparatus according to the present embodiment includes a network non-connection period recording unit that records a period in which the file was not connected to a predetermined network, and the update file list created by the update file list creation unit is a time for each file. The quarantine processing unit includes a stamp, and determines a target file for the quarantine processing based on the period recorded by the network non-connection period recording unit and the time stamp. Therefore, even when the constantly updated file list is created, the target file can be accurately identified and the quarantine process can be performed efficiently.
[4−1.システム構成、ハードウェア構成および各部の処理]
図16は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図16においては、図2の構成に比べて、ネットワーク非接続期間記録部35が追加されている。また、更新ファイルリスト作成部22を機能させるCPU202は、常時更新ファイルリスト205dを作成しており、ネットワーク接続判断部31から更新ファイルリスト作成部22への制御命令は行われない。
[4-1. System configuration, hardware configuration and processing of each part]
FIG. 16 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
ネットワーク接続判断部31を機能させるCPU202は、は、ネットワーク非接続期間記録部35に対して、ネットワークの接続状態を通知する。これを受けて、ネットワーク非接続期間記録部35を機能させるCPU202は、ネットワークが非接続である期間を記録する。例えば、非接続と判断された時刻と接続と判断された時刻を記録する。
The
検疫処理部33を機能させるCPU202は、ネットワーク非接続期間記録部35からネットワークが非接続であった期間を取得し、更新ファイルリストのファイル更新日付が、ネットワークが非接続である期間に該当するファイルをスキャン対象ファイルとして特定する。例えば、スキャン対象ファイルを特定する処理は、図11に示した検疫実施処理のOp1103の前に実行すればよい。また、図12に示した検疫クライアント処理のOp1204前に実行してもよい。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
The
[5.第5の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、第1の実施形態のように、ネットワーク接続判断部31からの制御によって作成された更新ファイルリスト205dに基づいて検疫対象のファイルを特定するのではなく、第4の実施形態と同様に、ネットワーク非接続期間記録部を設けておき、ネットワークに接続しない期間に更新されたファイルを特定して検疫処理を行う例について説明する。但し、本実施形態においては、ネットワーク接続判断部がウィルススキャンの対象ファイルを特定する。
[5. Fifth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, as in the first embodiment, the file to be quarantined is not specified based on the updated
本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部を備え、更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、ネットワーク接続判断部は、前記期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する。よって、常時更新ファイルリストを作成していた場合であっても、精度よく対象ファイルを特定して効率的に検疫処理を行うことができる。 The file quarantine apparatus according to the present embodiment includes a network non-connection period recording unit that records a period of time when the file was not connected to a predetermined network, and the update file list created by the update file list creation unit includes The network connection determining unit includes a time stamp, and determines a target file for the quarantine process based on the period and the time stamp. Therefore, even when the constantly updated file list is created, the target file can be accurately identified and the quarantine process can be performed efficiently.
[5−1.システム構成、ハードウェア構成および各部の処理]
図17は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図17においては、図2の構成に比べて、ネットワーク非接続期間記録部35が追加されている。また、更新ファイルリスト作成部22を機能させるCPU202は、常時更新ファイルリスト205dを作成しており、ネットワーク接続判断部31から更新ファイルリスト作成部22への制御命令は行われない。
[5-1. System configuration, hardware configuration and processing of each part]
FIG. 17 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
ネットワーク接続判断部31を機能させるCPU202は、更新ファイルリスト205dおよびネットワーク非接続期間記録部35からの社内ネットワークの非接続期間に基づいて、ウィルススキャン対象のファイルを決定する。図18は、本実施形態の制御用仮想マシン3における処理フローチャートである。図18においては、図5に対して、Op503aおよびOp505aが変更され、Op505bが追加されている。すなわち、Op503aおよびOp505aにおいて、ネットワーク非接続期間記録部35に社内ネットワークの接続/非接続が通知される。また、Op506の前にスキャン対象ファイルの決定を行う(Op505b)。なお、図4、図6〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
The
[6.第6の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイルが記録されている記録領域を複写してスキャン対象ファイルの特定を行う例について説明する。
[6. Sixth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, an example will be described in which a file to be recorded is copied to specify a scan target file.
例えば、ディスクに対するセクタ単位の書き込みから実際に書き換えが発生したファイルを特定する場合に、ディスクに対する書き込みとディスクの現在の状態から判定する必要がある。しかし、ディスクの現在の状態を対象ファイル特定のための解析作業に用いると、解析の終了まで実際の書き込みを行うことができない。本実施形態においては、書き込みの遅延を回避するため、ユーザ環境が利用するディスク領域の複写(写し)を外出時に作成しておき、解析作業とユーザ環境によるディスクの書き換えを並行して行う。ディスクの複写(写し)の作成は、ネットワーク接続判断部からの通知を契機として行う。 For example, when specifying a file that has actually been rewritten from sector-by-sector writing to the disk, it is necessary to determine from the writing to the disk and the current state of the disk. However, if the current state of the disk is used for analysis work for specifying the target file, actual writing cannot be performed until the analysis is completed. In this embodiment, in order to avoid a delay in writing, a copy (copy) of a disk area used by the user environment is created when the user goes out, and the analysis work and the disk rewrite by the user environment are performed in parallel. Creation of a copy (copy) of a disk is triggered by notification from the network connection determination unit.
本実施形態にかかるファイル検疫装置は、所定ネットワークに接続されているか否かを判断するネットワーク接続判断部と、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域を複製して、複写領域を作成する記録領域複製部とをさらに備え、前記更新ファイルリスト作成部は、前記複写領域に記録されたファイルに基づいて前記更新ファイルリストを作成する。よって、複写した記録領域により、効率的に更新ファイルリストを作成することができる。 In the file quarantine apparatus according to the present embodiment, a network connection determination unit that determines whether or not the file quarantine apparatus is connected to a predetermined network, and the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network. A recording area duplicating unit that duplicates a recording area of a file for a user virtual machine managed by the virtual machine management unit and creates a copying area, and the update file list creating unit includes: The update file list is created based on the files recorded in the copy area. Therefore, an updated file list can be efficiently created from the copied recording area.
[6−1.システム構成、ハードウェア構成および各部の処理]
図19は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図19においては、図2の構成に比べて、仮想マシン管理部2における記録領域複製部23が追加されている。記録領域複製部23を機能させるCPU202は、ネットワーク接続判断部31からの通知を受けると、ディスク・ストレージ5の原本領域51を複写領域52に複写する処理を行う。ここで原本領域とは、ユーザ用仮想マシン4に割り当てられた領域であって元のファイルが記録されている領域である。
[6-1. System configuration, hardware configuration and processing of each part]
FIG. 19 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
また、更新ファイルリスト作成部22を機能させるCPU202は、複写領域52に基づいて更新ファイルリスト205dを作成する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。さらに、検疫処理部33は、原本領域51および複写領域52のいずれに対して検疫処理を実施してもよい。
The
[7.第7の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイルが記録されている記録領域に仮想ディスクを用いて、スキャン対象ファイルの特定を行う例について説明する。
[7. Seventh Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, an example in which a scan target file is specified using a virtual disk in a recording area in which a file is recorded will be described.
例えば、書き込みが発生したファイルを特定する処理(更新ファイル作成処理)に、実際のディスクの内容を用いる場合は、その他の処理による書き込みを遅延させることがある。本実施形態では仮想ディスク機能を利用することにより、その他の処理による書き込みを遅延させることなく更新ファイル作成処理を可能とする。 For example, when the actual contents of the disk are used for the process of specifying the file in which writing has occurred (update file creation process), writing by other processes may be delayed. In this embodiment, by using the virtual disk function, update file creation processing can be performed without delaying writing by other processing.
具体的には、仮想ディスク機能を用いることにより、原本領域を保持した状態で、変更内容を差分領域において管理する。これにより、仮想マシン管理部2の外部からは常に最新のディスク内容が参照でき、仮想マシン管理部2の内部からは原本領域が参照できる。
Specifically, by using the virtual disk function, the change contents are managed in the difference area while the original area is held. Thereby, the latest disk contents can always be referred from the outside of the virtual
本実施形態にかかるファイル検疫装置は、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域は、原本領域と差分領域とから構成され、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを前記差分領域に記録する仮想記録領域であり、前記更新ファイルリスト作成部は、前記原本領域および前記差分領域に記録されたファイルに基づいて前記更新ファイルリストを作成する。よって、差分領域の内容を原本領域に反映させて、効率的に更新ファイルリストを作成することができる。 In the file quarantine apparatus according to the present embodiment, a file recording area for a user virtual machine managed by the virtual machine management unit includes an original area and a difference area. A virtual recording area for recording a file requested to be updated by a machine management unit in the difference area, wherein the update file list creating unit is configured to update the file based on the files recorded in the original area and the difference area; Create a file list. Therefore, the update file list can be efficiently created by reflecting the contents of the difference area in the original area.
[7−1.システム構成、ハードウェア構成および各部の処理]
図20は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図20においては、図2の構成に比べて、仮想マシン管理部2における仮想ディスク機能部24が追加されている。仮想ディスク機能部24は、ネットワーク接続判断部31からの通知を受けると、ディスク・ストレージ5の差分領域55を原本領域56に反映させる処理を行う。ここで原本領域とは、ユーザ用仮想マシン4に割り当てられた領域であって元のファイルが記録されている領域である。
[7-1. System configuration, hardware configuration and processing of each part]
FIG. 20 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
また、更新ファイルリスト作成部22は、差分領域55および原本領域56に基づいて更新ファイルリスト205dを作成する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
The update file
[8.第8の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、ファイル名とセクタ情報との対応関係に基づいてスキャン対象ファイルの特定を行う例について説明する。
[8. Eighth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, an example in which a scan target file is specified based on the correspondence between a file name and sector information will be described.
例えば、予めディスク領域の内容からファイル(パス名)とそのファイルが実際に格納されているセクタの番号の対応表を作成しておくことにより、更新ファイルリスト作成処理において、書き込み命令の対象となったファイルを容易に特定することができる。 For example, by creating a correspondence table of the file (path name) and the sector number where the file is actually stored from the contents of the disk area in advance, it becomes the target of the write command in the update file list creation process. Can easily identify the file.
本実施形態にかかるファイル検疫装置は、ユーザ用仮想マシンがアクセス可能なファイルと、物理データ領域において前記ファイルが記録されている位置情報との対応関係を保持した対応関係保持部を備え、更新ファイルリスト作成部は、ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する。よって、ファイルと記録位置との対応関係に基づいて、効率的に更新ファイルリストを作成することができる。 The file quarantine apparatus according to the present embodiment includes a correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area, and an update file The list creation unit creates an update file list based on the output of the file monitoring unit and the correspondence relationship holding unit. Therefore, the update file list can be efficiently created based on the correspondence between the file and the recording position.
[8−1.システム構成、ハードウェア構成および各部の処理]
図21は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図21においては、図2の構成に比べて、仮想マシン管理部2における対応関係保持部25が追加されている。対応関係保持部25は、ディスク・ストレージ5においてユーザ用仮想マシン4に割り当てられた領域に記録されているファイルとその位置情報であるセクタ情報とを対応付けて記録したものである。対応関係保持部25は、ネットワーク接続判断部31からの通知を受けて作成してもよいし、任意のタイミングで作成してもよい。
[8-1. System configuration, hardware configuration and processing of each part]
FIG. 21 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
また、更新ファイルリスト作成部22は、対応関係保持部25に基づいて更新ファイルリスト205dを作成する。図22は、対応関係保持部25の一例を示す図である。例えば、対応関係保持部25には、ファイル名221、セクタ番号(1)222、セクタ番号(2)223、…、セクタ番号(n)224等が記録される。
The update file
更新ファイルリスト作成部22を機能させるCPU202は、図8Bに示した書き込み命令がセクタ番号86と合致するセクタ番号を対応関係保持部25(セクタ番号(1)222、セクタ番号(2)223、…、セクタ番号(n)224)から抽出し、このセクタ番号に対応付けられたファイル名を更新ファイルリスト205dに記録する。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
The
[9.第9の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、更新ファイルリスト205dを仮想マシン管理部2と制御用仮想マシン3との共有メモリに作成する。
[9. Ninth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In this embodiment, the
例えば、社内ネットワークに接続後においては、更新ファイルリスト205dにファイル名が存在するファイルに対してウィルスチェック処理が行われる。上述したように、更新ファイルリスト205dは、例えば、仮想マシン管理部2のファイル公開機能を用いて制御用仮想マシン3からアクセス可能に設定される。しかし、仮想マシン管理部2と制御用仮想マシン3との共有メモリに更新ファイルリスト205dを作成しておけば、ファイル公開機能を用いる必要はない。
For example, after connecting to the in-house network, a virus check process is performed on a file whose file name exists in the
本実施形態にかかるファイル検疫装置は、更新ファイルリスト作成部が作成する更新ファイルリストは、仮想マシン管理部および制御用仮想マシンが共通してアクセスできる領域に記録される。よって、仮想マシン管理部2の処理負荷を低減させて、効率的に更新ファイルリストを公開することができる。
In the file quarantine apparatus according to the present embodiment, the update file list created by the update file list creation unit is recorded in an area that can be commonly accessed by the virtual machine management unit and the control virtual machine. Therefore, it is possible to reduce the processing load on the virtual
[9−1.システム構成、ハードウェア構成および各部の処理]
図22は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図22においては、図2の構成に比べて、仮想マシン管理部2と制御用仮想マシン3との共有メモリ26に更新ファイルリスト205dが作成される。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
[9-1. System configuration, hardware configuration and processing of each part]
FIG. 22 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
[10.第10の実施形態]
本実施形態にかかるファイル検疫装置も、第1の実施形態と同様に、CPUを備えるコンピュータ装置(例えば、ノート型パーソナルコンピュータ。)によって構成される。本実施形態においては、更新ファイル作成部22の処理を仮想マシン管理部2ではなく制御用仮想マシン3において実行する。
[10. Tenth Embodiment]
Similarly to the first embodiment, the file quarantine apparatus according to the present embodiment is configured by a computer device (for example, a notebook personal computer) including a CPU. In the present embodiment, the process of the update
例えば、制御用仮想マシン3から仮想マシン管理部2のディスク・ストレージ5にアクセス可能に設定しておくことにより、制御用仮想マシン3において更新ファイルリスト作成処理を実行可能である。
For example, by setting the control
本実施形態にかかるファイル検疫装置において、更新ファイルリスト作成部は、前記制御用仮想マシンにおいて実行される。よって、仮想マシン管理部2の処理負荷を低減させて、効率的に更新ファイルリストを公開することができる。
In the file quarantine apparatus according to the present embodiment, the update file list creation unit is executed in the control virtual machine. Therefore, it is possible to reduce the processing load on the virtual
[10−1.システム構成、ハードウェア構成および各部の処理]
図24は、本実施形態にかかるファイル検疫装置のシステムの構成例を示す図である。また、本実施形態にかかるファイル検疫装置1のハードウェアの構成例は、第1の実施形態で説明した図3と同様である。図24においては、図2の構成に比べて、制御用仮想マシン3において更新ファイルリスト作成部22が設けられ、更新ファイルリスト25dも制御用仮想マシン3に保持される。なお、制御用仮想マシン3からディスク・ストレージ5にアクセス可能とする設定は、仮想マシン管理部2のファイル公開機能によって実現すればよい。なお、図4〜図13において説明した各部の具体的な処理内容は、第1の実施形態と同様である。
[10-1. System configuration, hardware configuration and processing of each part]
FIG. 24 is a diagram illustrating a configuration example of a system of the file quarantine apparatus according to the present embodiment. The hardware configuration example of the
[11.その他の実施形態]
[11−1.実施形態の組み合わせ]
上記第1〜第10の実施形態において説明した構成の一部または全部を、2以上組み合わせた構成としてもよい。
[11. Other Embodiments]
[11-1. Combination of Embodiments]
A part or all of the configurations described in the first to tenth embodiments may be combined.
[11−2.各機能ブロックの実現方法]
上記実施形態においては、図2等に示す各機能ブロックを、ソフトウェアを実行するCPUの処理によって実現している。しかし、その一部もしくは全てを、ロジック回路等のハードウェアによって実現してもよい。なお、プログラムの一部の処理をさらに、オペレーティング・システム(OS)にさせるようにしてもよい。
[11-2. Realization method of each functional block]
In the above embodiment, each functional block shown in FIG. 2 and the like is realized by processing of a CPU that executes software. However, some or all of them may be realized by hardware such as a logic circuit. In addition, you may make it make an operating system (OS) further process a part of program.
以上の実施形態に関し、更に以下の付記を開示する。 Regarding the above embodiment, the following additional notes are disclosed.
(付記1)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、
前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備えるファイル検疫装置。
(Appendix 1)
A user virtual machine that executes processing based on user operations;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
Based on the output of the file monitoring unit, an update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit;
A file quarantine apparatus comprising: a quarantine processing unit that executes a computer virus quarantine process on the files indicated in the update file list.
(付記2)
所定ネットワークに接続されているか否かを判断するネットワーク接続判断部をさらに備え、
前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する、付記1に記載のファイル検疫装置。
(Appendix 2)
A network connection determination unit for determining whether or not the device is connected to a predetermined network;
The file quarantine apparatus according to
(付記3)
前記検疫処理部において検疫処理が実行されている間、前記ユーザ用仮想マシンの動作を停止させる動作管理部をさらに備える、付記1または2に記載のファイル検疫装置。
(Appendix 3)
The file quarantine apparatus according to
(付記4)
前記ユーザ用仮想マシンを制御する制御用仮想マシンをさらに備え、
前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる、付記1〜3のいずれか一項に記載のファイル検疫装置。
(Appendix 4)
A control virtual machine for controlling the user virtual machine;
The control virtual machine activates the quarantine virtual machine as a quarantine processing unit, causes the quarantine virtual machine to execute the quarantine process, and stops the quarantine virtual machine when the quarantine process ends. The file quarantine apparatus according to any one of 1 to 3.
(付記5)
前記制御用仮想マシン実行部は、前記ユーザ用仮想マシン実行部のOSに応じて、起動させる検疫用仮想マシン実行部のOSを決定する、付記4に記載のファイル検疫装置。
(Appendix 5)
The file quarantine apparatus according to
(付記6)
最新のウィルスパターンファイルを取得可能であるか否かを判断するパターンファイル取得可否判断部をさらに備え、
前記検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する、付記1〜5のいずれか一項に記載のコンピュータ装置。
(Appendix 6)
It further comprises a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired,
The quarantine processing unit executes computer virus quarantine processing based on the updated file list when the pattern file acquisition availability determination unit determines that the latest virus pattern file can be acquired. The computer apparatus as described in any one of.
(付記7)
所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部をさらに備え、
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記検疫処理部は、前記ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、付記1または3〜7のいずれか一項に記載のファイル検疫装置。
(Appendix 7)
A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The quarantine processing unit determines a target file for the quarantine processing based on a period recorded by the network disconnection period recording unit and the time stamp, according to any one of
(付記8)
所定ネットワークに接続されていなかった期間を記録するネットワーク非接続期間記録部をさらに備え、
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記ネットワーク接続判断部は、前記期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、付記1または3〜7のいずれか一項に記載のファイル検疫装置。
(Appendix 8)
A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The file quarantine apparatus according to any one of
(付記9)
所定ネットワークに接続されているか否かを判断するネットワーク接続判断部と、
前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域を複製して、複写領域を作成する記録領域複製部とをさらに備え、
前記更新ファイルリスト作成部は、前記複写領域に記録されたファイルに基づいて前記更新ファイルリストを作成する、付記1〜8のいずれか一項に記載のファイル検疫装置。
(Appendix 9)
A network connection determination unit for determining whether or not the device is connected to a predetermined network;
When the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network, the file connection area for the user virtual machine managed by the virtual machine management unit is copied. A recording area duplicating unit for creating a duplicating area;
The file quarantine apparatus according to any one of
(付記10)
前記仮想マシン管理部において管理されるユーザ用仮想マシンのためのファイルの記録領域は、原本領域と差分領域とから構成され、前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを前記差分領域に記録する仮想記録領域であり、
前記更新ファイルリスト作成部は、前記原本領域および前記差分領域に記録されたファイルに基づいて前記更新ファイルリストを作成する、付記1〜8のいずれか一項に記載のファイル検疫装置。
(Appendix 10)
The file recording area for the user virtual machine managed by the virtual machine management unit is composed of an original area and a difference area, and the virtual machine management unit requests an update from the user virtual machine. A virtual recording area for recording the recorded file in the difference area,
The file quarantine apparatus according to any one of
(付記11)
前記ユーザ用仮想マシンがアクセス可能なファイルと、前記物理データ領域において前記
ファイルが記録されている位置情報との対応関係を保持した対応関係保持部をさらに備え、
前記更新ファイルリスト作成部は、前記ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する、付記1〜10のいずれか一項に記載のファイル検疫装置。
(Appendix 11)
A correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area;
The file quarantine apparatus according to any one of
(付記12)
前記更新ファイルリスト作成部が作成する更新ファイルリストは、前記仮想マシン管理部および前記制御用仮想マシンが共通してアクセスできる領域に記録される、付記1〜11のいずれか一項に記載のファイル検疫装置。
(Appendix 12)
The update file list created by the update file list creation unit is recorded in an area that can be accessed in common by the virtual machine management unit and the control virtual machine. Quarantine equipment.
(付記13)
前記更新ファイルリスト作成部は、前記制御用仮想マシンにおいて実行される、付記1〜12のいずれか一項に記載のファイル検疫装置。
(Appendix 13)
The file quarantine apparatus according to any one of
(付記14)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンと、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える、ファイル検疫補助装置。
(Appendix 14)
A user virtual machine that executes processing based on user operations;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit; File quarantine aid.
(付記15)
ファイル検疫装置をコンピュータを用いて実現するためのファイル検疫プログラムであって、
ユーザ操作に基づく処理を実行するユーザ用仮想マシンを実行する処理と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する処理と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視処理と、
前記ファイル監視処理の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成処理と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理とをコンピュータに実行させる、ファイル検疫プログラム。
(Appendix 15)
A file quarantine program for realizing a file quarantine apparatus using a computer,
A process for executing a user virtual machine for executing a process based on a user operation;
A process of receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring process for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation process for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring process;
A file quarantine program for causing a computer to execute a computer virus quarantine process for a file indicated in the update file list.
(付記16)
ユーザ操作に基づく処理を実行するユーザ用仮想マシンを実行する工程と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する工程と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視工程と、
前記ファイル監視工程の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成工程と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理を実行する検疫処理工程とを含むファイル検疫方法。
(Appendix 16)
Executing a user virtual machine for executing processing based on a user operation;
Receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring step of monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation step for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring step;
And a quarantine process for executing a computer virus quarantine process on the files indicated in the update file list.
1:ファイル検疫装置
2:仮想マシン管理部
3:制御用仮想マシン
4:ユーザ用仮想マシン
5:ディスク・ストレージ
9:ネットワーク・インタフェース
21:ファイル監視部
22:更新ファイルリスト作成部
31:ネットワーク接続判断部
32:動作管理部
33:検疫処理部
41:アプリケーション
42:OS
1: File quarantine device 2: Virtual machine management unit 3: Control virtual machine 4: User virtual machine 5: Disk storage 9: Network interface 21: File monitoring unit 22: Update file list creation unit 31: Network connection determination Unit 32: Operation management unit 33: Quarantine processing unit 41: Application 42: OS
Claims (11)
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部と、
前記更新ファイルリストに示されたファイルに対して、コンピュータウィルスの検疫処理を実行する検疫処理部とを備えるファイル検疫装置。 A user virtual machine that performs processing;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
Based on the output of the file monitoring unit, an update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit;
A file quarantine apparatus comprising: a quarantine processing unit that executes a computer virus quarantine process on the files indicated in the update file list.
前記更新ファイルリスト作成部は、前記ネットワーク接続判断部において前記ファイル検疫装置が前記所定ネットワークに接続されていないと判断される場合に、前記更新ファイルリストを作成する、請求項1に記載のファイル検疫装置。 A network connection determination unit for determining whether or not the device is connected to a predetermined network;
The file quarantine according to claim 1, wherein the update file list creation unit creates the update file list when the network connection determination unit determines that the file quarantine apparatus is not connected to the predetermined network. apparatus.
前記制御用仮想マシンは、検疫処理部として検疫用仮想マシンを起動させ、当該検疫用仮想マシンに前記検疫処理を実行させ、前記検疫処理が終了した場合に当該検疫用仮想マシンを停止させる、請求項1〜3のいずれか一項に記載のファイル検疫装置。 A control virtual machine for controlling the user virtual machine;
The control virtual machine starts a quarantine virtual machine as a quarantine processing unit, causes the quarantine virtual machine to execute the quarantine process, and stops the quarantine virtual machine when the quarantine process ends. Item 4. The file quarantine apparatus according to any one of Items 1 to 3.
前記検疫処理部は、パターンファイル取得可否判断部において最新のウィルスパターンファイルを取得可能であると判断される場合に、前記更新ファイルリストに基づいてコンピュータウィルスの検疫処理を実行する、請求項1〜5のいずれか一項に記載のファイル検疫装置。 It further comprises a pattern file acquisition availability determination unit that determines whether or not the latest virus pattern file can be acquired,
The quarantine processing unit executes a computer virus quarantine process based on the updated file list when it is determined by the pattern file acquisition availability determination unit that the latest virus pattern file can be acquired. The file quarantine apparatus according to any one of 5.
前記更新ファイルリスト作成部によって作成される前記更新ファイルリストは、各ファイルについてのタイムスタンプを含み、
前記検疫処理部は、前記ネットワーク非接続期間記録部によって記録された期間と前記タイムスタンプとに基づいて、前記検疫処理の対象ファイルを決定する、請求項1または3〜6のいずれか一項に記載のファイル検疫装置。 A network non-connection period recording unit that records a period of time when the network was not connected to the predetermined network;
The update file list created by the update file list creation unit includes a time stamp for each file,
The said quarantine process part determines the object file of the said quarantine process based on the period and the said time stamp which were recorded by the said network non-connection period recording part. The file quarantine unit described.
前記更新ファイルリスト作成部は、前記ファイル監視部の出力および前記対応関係保持部に基づいて更新ファイルリストを作成する、請求項1〜7のいずれか一項に記載のファイル検疫装置。 A correspondence relationship holding unit that retains a correspondence relationship between a file accessible by the user virtual machine and position information where the file is recorded in the physical data area;
The file quarantine apparatus according to claim 1, wherein the update file list creation unit creates an update file list based on an output of the file monitoring unit and the correspondence relationship holding unit.
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視部と、
前記ファイル監視部の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成部とを備える、ファイル検疫補助装置。 A user virtual machine that performs processing;
A virtual machine management unit that receives a request from the user virtual machine and accesses a physical data area;
A file monitoring unit for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation unit that creates an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring unit; File quarantine aid.
処理を実行するユーザ用仮想マシンを実行する処理と、
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する処理と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視処理と、
前記ファイル監視処理の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成処理と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理とをコンピュータに実行させる、ファイル検疫プログラム。 A file quarantine program for realizing a file quarantine apparatus using a computer,
A process of executing a user virtual machine that executes the process;
A process of receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring process for monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation process for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring process;
A file quarantine program for causing a computer to execute a computer virus quarantine process for a file indicated in the update file list.
前記ユーザ用仮想マシンからの依頼を受け付けて、物理データ領域にアクセスする仮想マシン管理部を実行する工程と、
前記ユーザ用仮想マシンから前記仮想マシン管理部に対して更新が依頼されたファイルを監視するファイル監視工程と、
前記ファイル監視工程の出力に基づいて、前記仮想マシン管理部において前記ユーザ用仮想マシンのために更新されたファイルがいずれであるかを示す更新ファイルリストを作成する更新ファイルリスト作成工程と、
前記更新ファイルリストに示されたファイルに対するコンピュータウィルスの検疫処理を実行する検疫処理工程とを含むファイル検疫方法。 Executing a user virtual machine for executing the process;
Receiving a request from the user virtual machine and executing a virtual machine management unit that accesses a physical data area; and
A file monitoring step of monitoring a file requested to be updated from the user virtual machine to the virtual machine management unit;
An update file list creation step for creating an update file list indicating which file is updated for the user virtual machine in the virtual machine management unit based on the output of the file monitoring step;
And a quarantine process for executing a computer virus quarantine process on the files indicated in the update file list.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010032362A JP5573216B2 (en) | 2010-02-17 | 2010-02-17 | File quarantine apparatus and file quarantine method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010032362A JP5573216B2 (en) | 2010-02-17 | 2010-02-17 | File quarantine apparatus and file quarantine method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2011170504A JP2011170504A (en) | 2011-09-01 |
JP5573216B2 true JP5573216B2 (en) | 2014-08-20 |
Family
ID=44684588
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010032362A Expired - Fee Related JP5573216B2 (en) | 2010-02-17 | 2010-02-17 | File quarantine apparatus and file quarantine method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5573216B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6686309B2 (en) * | 2015-07-14 | 2020-04-22 | 富士通株式会社 | Information processing equipment |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003216445A (en) * | 2002-01-23 | 2003-07-31 | Hitachi Ltd | Checking method of computer virus |
US7581253B2 (en) * | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Secure storage tracking for anti-virus speed-up |
EP1862935A1 (en) * | 2005-03-03 | 2007-12-05 | Intelligent Wave Inc. | Network connection control program, network connection control method, and network connection control system |
US7676845B2 (en) * | 2005-03-24 | 2010-03-09 | Microsoft Corporation | System and method of selectively scanning a file on a computing device for malware |
EP1933248A1 (en) * | 2006-12-12 | 2008-06-18 | secunet Security Networks Aktiengesellschaft | Method for secure data processing on a computer system |
US8011010B2 (en) * | 2007-04-17 | 2011-08-30 | Microsoft Corporation | Using antimalware technologies to perform offline scanning of virtual machine images |
US20090007100A1 (en) * | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Suspending a Running Operating System to Enable Security Scanning |
JP5028218B2 (en) * | 2007-10-30 | 2012-09-19 | 株式会社日立製作所 | Storage control device, storage system, and storage control device control method |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
-
2010
- 2010-02-17 JP JP2010032362A patent/JP5573216B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2011170504A (en) | 2011-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2811404B1 (en) | Virtual desktop implementation method, device and system | |
US9852001B2 (en) | Compliance-based adaptations in managed virtual systems | |
JP5904514B1 (en) | Method of automatically applying an update to a snapshot of a virtual machine, and its computer system and computer system program | |
JP5066613B2 (en) | Security management apparatus and method, and program | |
RU2432605C1 (en) | Method of extending server-based desktop virtual machine architecture to client machines and machine-readable medium | |
US9424058B1 (en) | File deduplication and scan reduction in a virtualization environment | |
US9038062B2 (en) | Registering and accessing virtual systems for use in a managed system | |
US9870151B1 (en) | Backup time deduplication of common virtual disks from virtual machine backup images | |
JP4931255B2 (en) | Virtualized file system | |
US20130247045A1 (en) | Automatic optimization for virtual systems | |
US11556428B2 (en) | Backup system including a data protection area and a read-only volume used by a controller to read a copy of backup data from the data protection area | |
JP5728812B2 (en) | Distributed information processing system and distributed storage system | |
US20170053118A1 (en) | Changed Block Tracking Driver for Agentless Security Scans of Virtual Disks | |
US8612994B1 (en) | Methods and systems for activating and deactivating virtualization layers | |
WO2007022687A1 (en) | System and method for security control of operating system | |
JPWO2005103909A1 (en) | Security maintenance method, data storage device, security maintenance server, and recording medium recording the program | |
US9665582B2 (en) | Software, systems, and methods for enhanced replication within virtual machine environments | |
JP5573216B2 (en) | File quarantine apparatus and file quarantine method | |
US11663332B2 (en) | Tracking a virus footprint in data copies | |
JP5439559B2 (en) | Security management apparatus and method, and program | |
JP5710547B2 (en) | Information processing apparatus, monitoring method, and monitoring program | |
US20240111857A1 (en) | Secure execution of a file on a copy device in a virtualized computing environment | |
JP6687844B2 (en) | Malware analysis device, malware analysis method, and malware analysis program | |
CN117581205A (en) | Virtualization engine for virtualizing operations in a virtualized system | |
WO2021221609A1 (en) | Managing file dependency management in virtual machines |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20130108 |
|
RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20130701 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20130702 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20131125 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20131217 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140214 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140304 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140501 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20140603 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20140616 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5573216 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
LAPS | Cancellation because of no payment of annual fees |