JPH06110718A - Virus protection system - Google Patents
Virus protection systemInfo
- Publication number
- JPH06110718A JPH06110718A JP4261336A JP26133692A JPH06110718A JP H06110718 A JPH06110718 A JP H06110718A JP 4261336 A JP4261336 A JP 4261336A JP 26133692 A JP26133692 A JP 26133692A JP H06110718 A JPH06110718 A JP H06110718A
- Authority
- JP
- Japan
- Prior art keywords
- file
- access
- virus
- client
- version
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
【0001】[0001]
【産業上の利用分野】本発明はクライアント/サーバシ
ステムにおけるサーバのウィルス防御方式に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a virus protection system for a server in a client / server system.
【0002】[0002]
【従来の技術】近年、低価格で高性能なパソコン(P
C)・ワークステーション(WS)の出現とネットワー
ク技術の進歩により、ファイルをクライアント/サーバ
方式で共有するシステムが増えている。このシステム
は、図12に示すように、独立して動作するのに必要な
ファイルしか持たない多数の小型計算機(クライアン
ト)16−1〜Nと、大量のファイルを保持する少数の
(1つだけでもよい)大型計算機(サーバ)15をネッ
トワーク17で接続した構成である。この方式により、
これまで個々の計算機で重複して保持していたファイル
を、1カ所に集中管理でき、クライアントが変わっても
ファイルをコピーして移動させる必要がない。さらに、
クライアントには、大型のディスクを登載する必要がな
く、安価でコンパクトな計算機を使える。2. Description of the Related Art In recent years, personal computers (P
C) With the advent of workstations (WS) and the progress of network technology, an increasing number of systems share files in a client / server manner. As shown in FIG. 12, this system includes a large number of small computers (clients) 16-1 to 16-N that have only the files necessary to operate independently and a small number (only one) that holds a large number of files. However, the configuration is such that a large-scale computer (server) 15 is connected via a network 17. With this method,
Files that have been duplicately held by individual computers can be centrally managed in one place, and there is no need to copy and move files even if the client changes. further,
The client does not need to have a large disk installed and can use an inexpensive and compact computer.
【0003】また、最近、PCを中心にウィルスと呼ば
れる計算機に障害を起こすプログラムによる被害が色々
と報告されている。このプログラムは、予め設定された
時期になると計算機内のファイルを消去したりOSの基
本的なプログラムを破壊したりするもので、プログラム
やOS等を経由して他のプログラムに伝染する機能を持
っている。ウィルスに感染したプログラムを実行する
と、まず、他のプログラムにもウィルスを感染させるた
め、ウィルスプログラムはその計算機からアクセス可能
な全ファイル/ディレクトリを調べ、ウィルスの感染可
能なプログラムやウィルス感染したプログラムを格納可
能なディレクトリを見つける。また、感染可能なプログ
ラムを順次読み出してウィルスプログラムを組み込んで
から書き戻したり、ウィルス感染したプログラムを格納
可能なディレクトリに書き込む。さらに、その計算機の
プログラム実行を制御するOSにもウィルスプログラム
を組み込み、OSが起動される毎に感染を試みる。な
お、ウィルスチェッカと呼ばれるウィルスの存在を確認
するプログラムも開発されている。In addition, recently, various damages have been reported by a program called a virus, which mainly causes damage to a computer, such as a PC. This program deletes files in the computer or destroys the basic OS program at a preset time, and has the function of transmitting to other programs via the program or OS. ing. When a program infected with a virus is executed, other programs are also infected with the virus. Therefore, the virus program checks all the files / directories accessible from the computer, and checks the programs that can be infected with the virus and the programs infected with the virus. Find a storable directory. In addition, programs that can be infected are sequentially read and a virus program is installed and then written back, or a program that has been infected with a virus is written to a storable directory. Further, a virus program is also incorporated in the OS that controls the program execution of the computer, and infection is tried each time the OS is started. A program called a virus checker that confirms the presence of a virus has also been developed.
【0004】これまでは、フロッピー・ディスク等の媒
体を介してウィルス感染する場合が主な経路で、各計算
機の管理者が身元のはっきりしないプログラムを実行し
ないように注意すれば良く、その被害もウィルスプログ
ラムを実行した計算機に限られた。しかし、クライアン
ト/サーバ方式のシステムでは、ユーザのファイルはす
べてサーバに格納されており、各クライアントからそれ
らにアクセスできる必要がある。よって、クライアント
からサーバ内の全ファイルが原則としてアクセス可能で
あり、1人の不注意なユーザによるウィルス感染したプ
ログラムの実行が、サーバ内の全ファイルに感染し、さ
らに全クライアントに障害をもたらす危険性がある。よ
って、ウィルス防御手段がファイルサーバには必須であ
る。しかし、従来のファイルサーバにはアクセス権によ
る方法しかなく不十分であった。以下、従来のファイル
サーバで採られているアクセス権方式とその問題点につ
いて簡単に説明する。Up to now, the main route has been to infect a virus through a medium such as a floppy disk. It is sufficient for the administrator of each computer to take care not to execute a program whose identity is unclear, and the damage is also caused. Limited to the computer that executed the virus program. However, in the client / server system, all the files of the user are stored in the server, and it is necessary for each client to be able to access them. Therefore, in principle, all files in the server can be accessed from the client, and execution of a virus-infected program by one careless user can infect all files in the server and cause a failure to all clients. There is a nature. Therefore, virus protection means is indispensable for the file server. However, the conventional file server is insufficient because there is only a method based on the access right. The access right method adopted in the conventional file server and its problems will be briefly described below.
【0005】クライアント/サーバシステムにおける、
ファイルサーバ20とクライアント25の構成を図13
に示す。ファイルサーバ20は、クライアントからのフ
ァイル要求を受け取る要求受信手段21と、ファイルへ
のアクセス権を検査するアクセス権検査手段22と、フ
ァイルやそのアクセス属性の読み出し書き込みを行うフ
ァイルアクセス手段23と、実際に多数のファイルを保
持するファイル保持手段24から構成される。一方、ク
ライアント25は、サーバ内にあるファイルを必要とす
る応用プログラム26と、現在クライアント25を使っ
ているユーザの識別子を保持するユーザ識別子保持手段
27と、応用プログラム26の指示に従ってサーバへ要
求を送り出す要求送信手段28から構成される。なお、
ユーザ識別子保持手段27内の識別子は、クライアント
25がサーバ20へ論理的接続(ログインやマウント)
を行った時に設定される。論理的接続ではパスワード検
査等を行い、正規のユーザであることを確認している。In the client / server system,
The configurations of the file server 20 and the client 25 are shown in FIG.
Shown in. The file server 20 includes a request receiving unit 21 that receives a file request from a client, an access right checking unit 22 that checks an access right to a file, a file access unit 23 that reads and writes a file and its access attribute, and actually. The file holding means 24 holds a large number of files. On the other hand, the client 25 requests the server according to the application program 26 that requires a file in the server, the user identifier holding unit 27 that holds the identifier of the user who is currently using the client 25, and the instruction of the application program 26. It is composed of a request transmitting means 28 for sending out. In addition,
As for the identifier in the user identifier holding means 27, the client 25 logically connects to the server 20 (login or mount).
It is set when you do. In the logical connection, the password is checked and it is confirmed that the user is a legitimate user.
【0006】このシステムの動作について簡単に説明す
る。まず、クライアントの応用プログラム26が、ファ
イル名前とアクセス種別(読み出し/書き込み)を指定
してアクセス要求を要求送信手段28に伝える。この要
求を受け取った要求送信手段28は、ユーザ識別子保持
手段27からユーザ識別子を読み出して、ファイル名、
アクセス種別、ユーザ識別子からなるファイル要求を作
成してサーバ20に送る。The operation of this system will be briefly described. First, the application program 26 of the client specifies the file name and the access type (read / write) and transmits the access request to the request transmission means 28. Upon receiving this request, the request transmitting means 28 reads the user identifier from the user identifier holding means 27,
A file request including an access type and a user identifier is created and sent to the server 20.
【0007】サーバ20側では、この要求を要求受信手
段21が受け取り、この要求内容に従って、ユーザ識別
子のユーザが、ファイル名のファイルへ、アクセス種別
のアクセスを行うものとして、ファイルアクセス手段2
3へアクセス要求を伝える。この要求を受け取ったファ
イルアクセス手段23は、まず指定されたファイルのア
クセス属性をファイル保持手段24から取り出し、アク
セス種別、ユーザ識別子とともにアクセス権検査手段2
2に送る。アクセス権検査手段22では、格納されてい
たアクセス属性を解析し、このファイルはユーザ識別子
のユーザに対してアクセス種別のアクセスが許されてい
るか検査する。この結果がファイルアクセス手段に伝え
られ、許可される場合にのみアクセス種別のアクセスが
ファイル保持手段24内のファイル名のファイルに対し
て行われる。On the server 20 side, the request receiving means 21 receives this request, and the user having the user identifier accesses the file having the file name by the access type according to the content of the request.
The access request is transmitted to 3. Upon receiving this request, the file access means 23 first extracts the access attribute of the designated file from the file holding means 24, and the access right inspection means 2 together with the access type and the user identifier.
Send to 2. The access right inspection means 22 analyzes the stored access attribute, and inspects whether or not this file allows access of the access type to the user of the user identifier. The result is transmitted to the file access means, and only when the access is permitted, the access of the access type is performed on the file having the file name in the file holding means 24.
【0008】ここで、応用プログラム26がウィルスに
感染している場合を考える。応用プログラムを実行する
とウィルスプログラムが動き出す。ウィルスプログラム
はサーバ内のファイルへウィルスを感染させようと試
み、ファイル名とアクセス種別を指定してアクセスを要
求送信手段28に伝える。要求送信手段28は、ユーザ
識別子保持手段27から現在クライアントを使っている
ユーザのユーザ識別子を読み出して、アクセス要求を作
成してサーバ20に送る。Consider a case where the application program 26 is infected with a virus. The virus program starts running when the application program is executed. The virus program attempts to infect a file in the server with a virus, specifies the file name and the access type, and transmits the access to the request transmission means 28. The request transmitting unit 28 reads the user identifier of the user who is currently using the client from the user identifier holding unit 27, creates an access request, and sends it to the server 20.
【0009】サーバ20側では、この要求を要求受信手
段21が受け取り、ファイルアクセス手段23へ伝え
る。ファイルアクセス手段23は、まず指定されたファ
イルのアクセス属性をファイル保持手段24から取り出
して、アクセス種別やユーザ識別子とともアクセス検査
手段22に送る。アクセス検査手段22では、格納され
ていたアクセス属性を解析し、このファイルがユーザ識
別子のユーザにアクセス種別のアクセスが許可されてい
るかを検査する。許可されている場合にのみ、ファイル
アクセス手段23はファイル保持手段24内のファイル
に対してアクセスを行う。よって、各ユーザがアクセス
(特に変更)できるファイル/ディレクトリの属性を非
常に限られたものに設定することにより、サーバ内の大
部分のファイルにはアクセス検査手段22からアクセス
許可が出ず、ウィルスプログラムが感染できるプログラ
ムは非常に制限される。On the server 20 side, the request receiving means 21 receives this request and transmits it to the file access means 23. The file access unit 23 first extracts the access attribute of the designated file from the file holding unit 24 and sends it to the access inspection unit 22 together with the access type and the user identifier. The access inspection means 22 analyzes the stored access attributes, and inspects whether or not this file allows access of the access type to the user having the user identifier. Only when permitted, the file access means 23 accesses the file in the file holding means 24. Therefore, by setting the attributes of the files / directories that each user can access (particularly change) to very limited attributes, most of the files in the server will not be given access permission from the access checking means 22, and viruses will not be released. The programs that a program can infect are very limited.
【0010】以上のように、サーバ側ではユーザ識別子
とアクセス属性を用いてファイルへのアクセスを制限し
ており、結果としてウィルスプログラムを実行したユー
ザが変更を許されているプログラムにしか影響が及ばな
い。よって、ファイルへのアクセス権方式を用いて、ウ
ィルスプログラムを実行したユーザの範囲内にウィルス
汚染の影響を抑えられる。しかし、本方式には次のよう
な問題点がある。As described above, the server side limits the access to the file by using the user identifier and the access attribute, and as a result, only the program which the user who executes the virus program is allowed to change is affected. Absent. Therefore, the influence of virus contamination can be suppressed within the range of the user who executed the virus program by using the file access right method. However, this method has the following problems.
【0011】第1に、ウィルスプログラムを実行したユ
ーザが管理している他のプログラムやディレクトリには
アクセス許可が常に出ているので、それにウィルスが感
染するのを防げない。First, since access permission is always issued to other programs and directories managed by the user who has executed the virus program, it is not possible to prevent the virus from being infected.
【0012】第2に、一般にはユーザ毎に別々にプログ
ラムやディレクトリが存在するのではなく、共通のプロ
グラムやディレクトリ、即ちウィルス感染の可能なプロ
グラムやウィルスプログラムを格納可能なディレクトリ
が存在する。よって、あるユーザがウィルスプログラム
を実行すると、共通のプログラムに感染していたり、デ
ィレクトリにウィルス感染プログラムを格納したりす
る。よって、それ以降にそのプログラムを実行したユー
ザにもウィルス汚染が及んでしまう。Second, generally, there is not a separate program or directory for each user, but a common program or directory, that is, a program capable of virus infection or a directory capable of storing a virus program. Therefore, when a certain user executes a virus program, it is infected with a common program or the virus infected program is stored in a directory. Therefore, the virus is contaminated to the user who executed the program after that.
【0013】第3に、ウィルスプログラムを実行してク
ライアントのOSに感染した場合、そのクライアントを
そのまま他のユーザが使うと、OS内のウィルスプログ
ラムが作動してそのユーザにアクセスの許されているプ
ログラム/ディレクトリにまで感染してしまう。Thirdly, when a virus program is executed and the OS of a client is infected, if the client is used by another user as it is, the virus program in the OS operates and the user is allowed to access. It even infects programs / directories.
【0014】第4に、このようなサーバには先のアクセ
ス権によってアクセスが禁止されない特権ユーザが存在
しており、クライアント/サーバシステムを管理・運用
している。よって、特権ユーザとしてウィルスプログラ
ムをクライアントかサーバで実行すると、サーバ内の全
プログラムに感染させることが可能となる。さらに、こ
れらの感染原因は複合して作用し、一層感染の範囲を広
げてしまう。Fourth, such a server has a privileged user whose access is not prohibited by the above access right, and manages / operates the client / server system. Therefore, when a virus program is executed by a client or a server as a privileged user, all programs in the server can be infected. Furthermore, these causes of infection act in combination, further expanding the range of infection.
【0015】また、サーバ内の全ファイルと全クライア
ントに感染する可能性があるので、ウィルスチェッカが
ウィルスが存在しないことや感染が及んでいる範囲を確
認するには、全ファイルと全クライアントを検査する必
要があり、ファイル数やクライアント数に比例した膨大
な作業を必要とする。Further, since all files and all clients in the server may be infected, the virus checker inspects all files and all clients in order to confirm the absence of virus and the range of infection. It requires a huge amount of work in proportion to the number of files and clients.
【0016】[0016]
【発明が解決しようとする課題】以上のように、従来の
アクセス権方式ではサーバ内にウィルスが感染するのを
完全に防げないばかりでなく、サーバ内にウィルスが存
在しないことやウィルス感染の範囲を確認するのに膨大
な作業が必要であった。本発明は、ウィルス感染の範囲
を推定するとともに感染したプログラムを元にもどすウ
ィルス防御方式を提供することを目的とする。As described above, not only the conventional access right method cannot completely prevent the virus from being infected in the server, but also the fact that there is no virus in the server and the range of virus infection. It took a lot of work to check. An object of the present invention is to provide a virus protection method that estimates the range of virus infection and restores the infected program to the original.
【0017】[0017]
【課題を解決するための手段および作用】本発明のウィ
ルス防御方式は、ファイルアクセスを要求する複数のク
ライアントと、これら各クライアントからのファイルア
クセスに応じてファイルアクセスを行うサーバとから構
成されるクライアント/サーバシステムにおいて、前記
サーバに、前記各クライアントからのアクセス要求に従
って、前記複数のクライアントのファイルアクセスの履
歴およびクライアント間におけるファイルアクセスの依
存関係を管理する第1の管理手段と、前記各クライアン
トからのファイル変更要求に応じて変更対象ファイルの
バージョンを追加作成し、各ファイル毎にバージョンを
管理する第2の管理手段と、前記第1の管理手段で管理
されているファイルアクセスの履歴を解析してウィルス
検査の必要性の有無を検出すると共に、前記クライアン
ト間におけるファイルアクセスの依存関係に従って検査
対象のファイルおよびクライアントを追跡する解析手段
と、所定のウィルス検査の結果にしたがって前記各ファ
イル毎に不要バージョンを削除する手段とを具備するこ
とを特徴とする。A virus protection system of the present invention is a client comprising a plurality of clients requesting file access and a server for performing file access according to file access from each of these clients. / Server system, the first managing means for managing the file access history of the plurality of clients and the file access dependency among the clients, in accordance with the access request from each of the clients, and the server. Of the file to be changed according to the file change request of the second file, and the second access means for managing the version for each file and the history of file access managed by the first access means are analyzed. The need for virus testing And an analyzing unit for detecting the file to be inspected and the client according to the file access dependency between the clients, and a unit for deleting an unnecessary version for each file according to the result of a predetermined virus inspection. It is characterized by doing.
【0018】このシステムにおいては、第2の管理手段
によるバージョン管理によって、既存のファイルを損な
うことなくファイル変更が行なわれる。よって、いつで
もウィルス感染等によって変更が加えられたバージョン
を削除し、前の状態に戻すことができる。また、第1の
管理手段が管理しているクライアント間のファイルの依
存関係およびファイルアクセスの履歴を用いることによ
り、ウィルス感染の可能性のあるファイルを必ずシステ
ム管理者に警報できるとともに、その検査結果に基づい
てバージョンをもとに戻しているので、ウィルスが感染
したバージョンは必ず削除される。よって、ウィルス感
染を完全に防御できる。In this system, the version management by the second management means allows the files to be changed without damaging the existing files. Therefore, the version that has been changed due to virus infection or the like can be deleted at any time and the previous state can be restored. Also, by using the file dependency relationship between the clients and the file access history managed by the first management means, the system administrator can be alerted to the file that may be infected by a virus, and the inspection result Since the version is reverted based on, the virus-infected version is always deleted. Therefore, virus infection can be completely prevented.
【0019】さらに、解析手段が常に情報を解析してウ
ィルス存在の可能性をチェックしているので、ウィルス
感染しても広範囲に広がる前に発見できる。また、クラ
イアント間の依存関係の情報を使ってウィルス感染の可
能性があるクライアントやファイルを限定できる。よっ
て、サーバ内におけるウィルスの存在や存在するときの
感染範囲を確認するのに少数のファイルやクライアント
を検査するだけでよい。Further, since the analyzing means constantly analyzes the information to check the possibility of the presence of the virus, even if the virus is infected, it can be detected before it spreads over a wide area. In addition, it is possible to limit the clients and files that may be infected by a virus by using the dependency information between clients. Therefore, it is only necessary to inspect a small number of files and clients to check the presence of viruses in the server and the extent of infection when they exist.
【0020】[0020]
【実施例】以下に本発明の実施例を説明する。図1は本
発明のウィルス防御方式を適用して構成した、サーバ1
とクライアント10からなるクライアント/サーバシス
テムの構成図である。EXAMPLES Examples of the present invention will be described below. FIG. 1 shows a server 1 configured by applying the virus protection system of the present invention.
2 is a block diagram of a client / server system including a client 10 and
【0021】サーバ1は、クライアントからのアクセス
要求を受け取る要求受信手段2と、クライアントからの
アクセス要求に従ってクライアント間やファイル間の依
存関係を作成保持する依存保持手段3と、ファイルへの
変更(挿入、削除、更新)をファイルに直接反映せずに
バージョンを作って管理するバージョン管理手段4と、
ファイルの読み書きを行うファイルアクセス手段5と、
実際に多数のファイルを保持するファイル保持手段6
と、依存保持手段3が保持しているクライアント間やフ
ァイル間の依存関係を解析しウィルス検査の必要性をシ
ステム管理者に警報する解析警報手段7から構成され
る。一方、クライアント10は、サーバ内にあるファイ
ルを必要とする応用プログラム11と、応用プログラム
11の指示に従いサーバ2へアクセス要求を送り出す要
求送信手段12から構成される。このシステムの動作に
ついて以下で簡単に示す。 (1)クライアントの応用プログラム11がファイル名
とアクセス種別(読み出し、書き込み)からなるアクセ
ス要求を要求送信手段12に伝える。 (2)この要求を受け取った要求送信手段12は、クラ
イアント名を含むファイル要求を作成してサーバ1に送
る。 (3)サーバ1では、この要求を要求受信手段2が受け
取り、ファイル名、アクセス種別およびクライアント名
をバージョン管理手段4に伝える。The server 1 includes a request receiving means 2 for receiving an access request from a client, a dependency holding means 3 for creating and holding a dependency relationship between clients and files according to an access request from the client, and a change (insertion) to a file. , Delete, update) and manage the version by creating a version without directly reflecting it in the file,
File access means 5 for reading and writing files,
File holding means 6 for actually holding a large number of files
And analysis warning means 7 for analyzing the dependency relationship between clients and files held by the dependency holding means 3 and warning the system administrator of the necessity of virus inspection. On the other hand, the client 10 is composed of an application program 11 that requires a file in the server and a request transmission unit 12 that sends an access request to the server 2 according to an instruction from the application program 11. The operation of this system is briefly described below. (1) The application program 11 of the client sends an access request consisting of a file name and an access type (reading, writing) to the request transmitting means 12. (2) Upon receiving this request, the request sending means 12 creates a file request including the client name and sends it to the server 1. (3) In the server 1, the request receiving means 2 receives this request and transmits the file name, access type and client name to the version managing means 4.
【0022】(4)バージョン管理手段4は、指定され
たファイル名のファイルがすでに管理されているか調べ
る。もし、管理されていなければ、ファイル保持手段6
に存在するかをファイルアクセス手段5に問い合わせた
後、管理対象ファイルとして登録する。(4) The version management means 4 checks whether the file having the specified file name is already managed. If not managed, file holding means 6
After inquiring the file access means 5 whether the file exists, the file is registered as a management target file.
【0023】(5)次に、バージョン管理手段4は、登
録された情報に従って、指定されたファイルにアクセス
種別のアクセスが可能か調べ、そのアクセス形態(読み
出し、挿入、更新、削除)を決定する。なお、アクセス
可能な場合にのみアクセス処理が継続する。(5) Next, the version management means 4 checks whether the specified file can be accessed by the access type according to the registered information, and determines the access mode (read, insert, update, delete). . The access process is continued only when the access is possible.
【0024】(6)さらに、バージョン管理手段4は、
確定したアクセス形態、ファイル名、クライアント名を
依存保持手段3に伝えるとともに、既存ファイルの内容
を損なわないよう、バージョンを作るファイル要求に変
えてファイルアクセス手段5に伝える。(6) Further, the version management means 4 is
The determined access form, file name, and client name are transmitted to the dependency holding means 3, and a file request for creating a version is transmitted to the file access means 5 so as not to damage the contents of the existing file.
【0025】(7)ファイルアクセス手段5は、要求さ
れたファイルアクセスをファイル保持手段6内のファイ
ルに対して行い、その結果がバージョン管理手段4、要
求受信手段2、要求送信手段12を経由して応用プログ
ラム11に伝えられる。(7) The file access means 5 performs the requested file access to the file in the file holding means 6, and the result is passed through the version management means 4, the request receiving means 2 and the request transmitting means 12. And transmitted to the application program 11.
【0026】(8)一方、確定したアクセス形態、ファ
イル名、クライアント名を受け取った依存保持手段3
は、その情報を元にクライアント間やファイル間の依存
関係を作成保持し、その情報を解析警報手段7に提供す
る。(8) On the other hand, the dependency holding means 3 which has received the determined access form, file name and client name
Creates and holds dependencies between clients and files based on the information, and provides the information to the analysis warning means 7.
【0027】(9)解析警報手段7は依存保持手段3の
情報を常に解析し、ウィルス検査の必要がある場合には
システム管理者に検査すべきクライアントやプログラム
とともに警報する。また、システム管理者からのウィル
ス検査の結果に基づき、ウィルス感染の危険性が無くも
はや必要なくなったバージョンやウィルスに感染してい
たファイルのバージョンをバージョン管理手段4に伝え
る。(9) The analysis warning means 7 always analyzes the information of the dependency holding means 3 and warns the system administrator together with the client and the program to be inspected when a virus inspection is necessary. Also, based on the result of the virus inspection from the system administrator, the version management unit 4 is informed of the version that is no longer required to be infected with the virus and is no longer needed or the version of the file infected with the virus.
【0028】(10)バージョン管理手段4は、もはや
必要が無くなったバージョンの削減と、ウィルスに感染
したファイルの古いバージョンへの復元を行う。また、
登録されているそのファイルに関する情報を更新する。(10) The version management means 4 reduces the versions that are no longer needed and restores the virus-infected file to the old version. Also,
Update information about the registered file.
【0029】ここで、応用プログラム11がウィルスに
感染しており、ファイルA,B,Cへこのウィルスが伝
染する場合を考える。応用プログラムを実行するとウィ
ルスプログラムが動き出す。ウィルスプログラムはサー
バ内のファイルA,B,Cへ感染を試み、図2に示す順
序でファイル名とアクセス種別を指定してアクセス要求
を要求送信手段12に伝える。要求送信手段はこれらア
クセス要求からサーバ1へのファイル要求を作成して送
る。Here, consider a case where the application program 11 is infected with a virus and the virus is transmitted to the files A, B, and C. The virus program starts running when the application program is executed. The virus program tries to infect the files A, B, and C in the server, specifies the file name and access type in the order shown in FIG. 2, and transmits the access request to the request transmission means 12. The request sending means creates and sends a file request from the access request to the server 1.
【0030】サーバ1側では、これらの要求を要求受信
手段2が受け取り、そのファイル名、アクセス種別、ク
ライアント名をバージョン管理手段4に伝える。バージ
ョン管理手段4は、これらのファイルをバージョン管理
されるものとして登録し、そのアクセス形態(参照、挿
入、更新、削除)を決定する(図3参照)。さらに、ア
クセス形態が更新の場合には、その更新要求を、既存の
ファイル内容を失わないように新しいバージョンファイ
ルを作る、削除の場合には何もしない、といったアクセ
ス要求に変えてファイルアクセス手段5に伝える。ファ
イルアクセス手段5は、これらのアクセスをファイル保
持手段6内のファイルに対して行い、その結果をバージ
ョン管理手段4、要求受信手段2、要求送信手段12を
経由して応用プログラム11に伝える。よって、クライ
アントからのアクセス要求の処理後には、図4に示すよ
うに、ファイルA,B,Cはそれぞれバージョンa1 ,
b1 ,c1 からウィルスに感染したバージョンa2 ,b
2 ,c2 に変わる。しかし、バージョンa1 ,b1 ,c
1 のファイルも変更が加えられずに残っているので、あ
とでバージョンa1 ,b1 ,c1 に戻すことで復元が可
能である。On the server 1 side, the request receiving means 2 receives these requests and transmits the file name, access type and client name to the version managing means 4. The version management unit 4 registers these files as those to be version-managed and determines the access form (reference, insertion, update, deletion) (see FIG. 3). Further, when the access form is update, the update request is changed to an access request such that a new version file is created so as not to lose the contents of the existing file, and nothing is done in the case of deletion. Tell. The file access means 5 makes these accesses to the file in the file holding means 6 and sends the result to the application program 11 via the version management means 4, the request receiving means 2 and the request transmitting means 12. Therefore, after processing the access request from the client, as shown in FIG. 4, the files A, B, and C are version a 1 , respectively.
Virus infected version a 2 , b from b 1 , c 1
2 and c 2 . However, the versions a 1 , b 1 , c
Since the file of 1 also remains without being changed, it can be restored by returning to the versions a 1 , b 1 , and c 1 later.
【0031】また、バージョン管理手段4は、決定した
アクセス形態、ファイル名、クライアント名を依存保持
手段3に伝える。依存保持手段3は、これまでに保持し
ていたクライアント間とファイル間の依存関係にこれら
の情報を追加する。よって、クライアント10における
ファイル間の依存関係の情報として図3が追加され、ク
ライアント10についてのファイル依存関係の情報は図
5のようになる。The version management means 4 also informs the dependency holding means 3 of the determined access form, file name, and client name. The dependency holding unit 3 adds these pieces of information to the dependency relationship between the client and the file that has been retained so far. Therefore, FIG. 3 is added as the information on the dependency relationship between files in the client 10, and the information on the file dependency relationship for the client 10 is as shown in FIG.
【0032】解析警報手段7はこの依存関係の情報を常
に解析し、ウィルス存在の可能性を示すアクセスパター
ンがないか調べる。もし、該当するアクセスパターンが
発見されウィルス検査の必要がある場合には、システム
管理者に検査すべきクライアントやファイルを指定して
警報する。よって、この例の場合、図5に示すように3
つものファイル更新が短時間に連続して行われているこ
とが発見され、ウィルス検査すべきクライアントとして
クライアント10、検査すべきファイルとしてP(Pは
応用プログラム11が格納されているファイル),A,
B,Cがシステム管理者へ警報される。システム管理者
は、ウィルスチェッカなどの手段で、ウィルスの存在を
調ベ、ファイルP,A,B,C内のウィルスを発見す
る。この結果をシステム管理者は解析警報手段7に入力
する。解析警報手段7は、ウィルスに感染していた場合
にはそのファイルの新しいバージョンを、感染していな
かった場合には古いバージョンを不要なバージョンとし
てバージョン管理手段4に伝え、不必要なバージョンを
削除する。よって、この例ではファイルP,A,B,C
の新しいバージョン即ち、ファイルPのp1 、ファイル
A,B,Cのa2 ,b2 ,c2 がそれぞれ削除され、ウ
ィルスが感染する前のファイルバージョンに復元され
る。The analysis warning means 7 always analyzes this dependency information to check whether there is an access pattern indicating the possibility of virus presence. If a corresponding access pattern is found and virus inspection is required, the system administrator is alerted by specifying the client or file to be inspected. Therefore, in the case of this example, as shown in FIG.
It was discovered that one file was continuously updated in a short time, and the client 10 is a client to be inspected for viruses, P is a file to be inspected (P is a file in which the application program 11 is stored), A ,
B and C are alerted to the system administrator. The system administrator checks the existence of the virus by means such as a virus checker and discovers the virus in the files P, A, B, and C. The system administrator inputs this result to the analysis warning means 7. The analysis alert means 7 informs the version management means 4 of a new version of the file as a unnecessary version if it is infected with a virus, and an old version as an unnecessary version if it is not infected, and deletes unnecessary versions. To do. Therefore, in this example, files P, A, B, C
, I.e., p 1 of file P and a 2 , b 2 , and c 2 of files A, B, and C are deleted, respectively, and restored to the file version before the virus infection.
【0033】なお、これらのウィルスに感染したバージ
ョンp1 ,a2 ,b2 ,c2 のどれかを他のクライアン
トが参照していた場合、依存保持手段3には、図6のよ
うなクライアント間の依存関係が保持されている。よっ
て、解析警報手段7は、ウィルス感染したバージョンp
1 を参照しているクライアントBとその参照の後で更新
されたファイルDを検査するようにシステム管理者にさ
らに警報する。このシステム管理者とのウィルス検査の
やりとりはウィルス感染の可能性があるバージョンがな
くなるまで続けられる。When another client refers to any one of the versions p 1 , a 2 , b 2 and c 2 infected with these viruses, the dependency holding means 3 includes a client as shown in FIG. The dependencies between them are retained. Therefore, the analysis alerting means 7 uses the virus-infected version p.
Further alert the system administrator to check client B referencing 1 and file D updated after that reference. This exchange of virus checks with the system administrator continues until there is no version that may be infected with a virus.
【0034】次に、従来のアクセス権方式で問題となっ
た場合を考える。本方式では、バージョン管理手段4に
より既存のファイルを古いバージョンとして残し、シス
テム管理者によりウィルスに感染していないことが確認
された場合だけそれを削除しているので、ウィルスに感
染したことが判った時はいつでもウィルス感染の影響を
取り除ける。よって、第1の場合でもウィルス感染を防
げる。また、依存保持手段3ではファイル間の依存関係
とクライアント間依存関係を保持しており、解析警報手
段7は第2の場合でも第3の場合でもその感染の可能性
のあるファイルを追跡でき、システム管理者の検査によ
りウィルス感染の影響を取り除ける。さらに、本方式は
アクセス権を全く使っていないので、第4の場合でも防
御できる。最後に、本方式では、依存保持手段3の依存
情報を元に感染の可能性のあるクライアントやファイル
を求めるとともに、解析警報手段7が常に依存情報を解
析してウィルスの感染が大きく広がる前にシステム管理
者に警報するので、ウィルスチェッカなどでウィルスが
存在しないことや感染が及んでいる範囲を確認するにも
少数のファイルやクライアントを検査するだけでよい。
最後に、本実施例を構成する各要素の具体例について説
明する。Next, consider a case where a problem occurs in the conventional access right method. In this method, the version management means 4 leaves the existing file as an old version, and deletes it only when the system administrator confirms that it is not infected with a virus. The effects of virus infection can be removed at any time. Therefore, virus infection can be prevented even in the first case. Further, the dependency holding unit 3 holds the dependency relation between files and the client dependency relation, and the analysis alarming unit 7 can trace the file which may be infected in the second case and the third case, The influence of virus infection can be removed by the inspection of the system administrator. Furthermore, since this method does not use any access right, it can protect even in the fourth case. Finally, in this method, the client and the file that may be infected are obtained based on the dependency information of the dependency holding unit 3, and the analysis alert unit 7 always analyzes the dependency information before the virus infection spreads greatly. Since it alerts the system administrator, it is only necessary to inspect a small number of files and clients to check the presence of viruses and the extent of infection with virus checkers.
Finally, a specific example of each element that constitutes this embodiment will be described.
【0035】要求送信手段12と要求受信手段2は、ク
ライアント/サーバシステムに必須の構成要素である。
UNIXのクライアント/サーバ型ファイルシステムN
FSを例にとると、要求送信手段12はNFSクライア
ントとその通信プログラム(XDR,RPC,UDP,
IP)に相当し、要求受信手段2はNFSサーバとその
通信プログラムに相当し、その仕様はTCP/IPの標
準化組織(IAB:Internet Activit
es Board)からRFCとして公開されている。
よって、当業者にとっては自明であるのでこれ以上の説
明はここでは省略する。The request sending means 12 and the request receiving means 2 are essential components in the client / server system.
UNIX client / server file system N
Taking the FS as an example, the request transmitting means 12 includes an NFS client and its communication program (XDR, RPC, UDP,
The request receiving unit 2 corresponds to an NFS server and its communication program, and its specifications are TCP / IP standardization organizations (IAB: Internet Activit).
es Board) published as RFC.
Therefore, it will be obvious to those skilled in the art, and further description is omitted here.
【0036】ファイル保持手段6は磁気ディスク、又は
光ディスク、又は半導体メモリ等からなる不揮発性の記
憶媒体で、多数のファイルを保持し、その読み出し/書
き込みが可能なものである。一般には、磁気ディスク装
置が用いられる。The file holding means 6 is a non-volatile storage medium composed of a magnetic disk, an optical disk, a semiconductor memory or the like, which holds a large number of files and is capable of reading / writing. Generally, a magnetic disk device is used.
【0037】ファイルアクセス手段5は、ファイル名
(またはその識別子)からファイル保持手段内における
そのファイルの格納位置を求め、アクセス要求に従って
ファイルの読み出し/書き込みを行うものである。UN
IXを例にとると、ファイルシステムがこれに相当し、
その詳細は文献「UNIXカーネルの設計:共立出版、
Maurice J Bach著)に述べられている。The file access means 5 obtains the storage position of the file in the file holding means from the file name (or its identifier), and reads / writes the file according to the access request. UN
Taking IX as an example, the file system corresponds to this,
For details, refer to the document “UNIX Kernel Design: Kyoritsu Publishing,”
Maurice J Bach).
【0038】バージョン管理手段4は、ファイルへの変
更(挿入、削除、更新)をファイル保持手段6内のファ
イルを損なうことなく実現するため、バージョン(版)
を作成してその情報を管理する。バージョン情報を管理
するバージョン情報テーブルは、図7に示すように、フ
ァイル名フィールドと、複数のバージョンフィールドと
から構成されており、ユーザから見えるファイルのファ
イル名と、その各バージョンの実際のファイル名の対応
関係を保持している。バージョンフィールドの一番左の
ファイル名がもっとも古いバージョンを意味し、もっと
も右が最新のバージョンを意味する。また、(dele
ted)は削除されたことを意味する。よって、図7に
おいてDEFファイルは削除されていることを表わす。
このテーブルを使ったバージョン管理手段4の概略フロ
ーを図8に示す。The version management means 4 realizes a change (insertion, deletion, update) to a file without damaging the file in the file holding means 6, so that the version (version)
Create and manage that information. As shown in FIG. 7, the version information table that manages version information is composed of a file name field and a plurality of version fields. The file name of a file that can be seen by the user and the actual file name of each version. Holds the correspondence relationship of. The leftmost file name in the version field means the oldest version, and the rightmost means the latest version. In addition, (del
ted) means deleted. Therefore, in FIG. 7, the DEF file is deleted.
A schematic flow of the version management means 4 using this table is shown in FIG.
【0039】すなわち、バージョン管理手段4は、ま
ず、指定されたファイル名のファイルがすでに管理され
ているか調べる(ステップS1)。もし、管理されてい
なければ、ファイル保持手段6に存在するかをファイル
アクセス手段5に問い合わせた後、管理対象ファイルと
して登録する(ステップS2)。次に、バージョン管理
手段4は、登録された情報に従って、指定されたファイ
ルにアクセス種別のアクセスが可能か調べ、そのアクセ
ス形態(読み出し、挿入、更新、削除)を決定する(ス
テップS3,S4)。なお、アクセス不可能な場合に
は、エラーとなり処理が中断される。That is, the version management means 4 first checks whether the file having the designated file name is already managed (step S1). If the file is not managed, the file access unit 5 is inquired whether it exists in the file holding unit 6 and then registered as a management target file (step S2). Next, the version management means 4 checks whether the specified file can be accessed by the access type according to the registered information, and determines the access mode (read, insert, update, delete) (steps S3, S4). . If the access is impossible, an error occurs and the processing is interrupted.
【0040】さらに、バージョン管理手段4は、確定し
たアクセス形態、ファイル名、クライアント名を依存保
持手段3に伝えるとともに、既存ファイルの内容を損な
わないよう、バージョンを作るファイル要求に変えてフ
ァイルアクセス手段5に伝える(ステップS5)。例え
ば、アクセス形態が参照の場合には、図7のテーブルの
フィールドがサーチされ、最も右側の最新のバージョー
ンが見つけられ、それがファイルアクセス手段5によっ
て読み出される(ステップS6)。アクセス形態が挿入
の場合には、新しいバーション名のファイルが作成され
てファイル保持手段6に登録されると共に、そのバーシ
ョン名がバージョンフィールドの先頭に書き込まれる
(ステップS7)。アクセス形態が削除の場合には、フ
ィールドの最右端に(deleted)が書き込まれる
(ステップS8)。アクセス形態が更新の場合には、新
しいバージョン名のファイルが作成され、それがファイ
ル保持手段6に登録されると共に、新しいバージョン名
がフィールドの最右端に書き込まれる(ステップS
9)。なお、ウィルス検査の結果、もはや不要になった
バージョンはテーブルからその名前が削除されるとき
に、ファイル保持手段6からも実際に削除される。Further, the version management means 4 transmits the decided access form, file name, and client name to the dependency holding means 3, and changes the file request to make a version so as not to damage the contents of the existing file. 5 (step S5). For example, when the access form is reference, the field in the table of FIG. 7 is searched to find the latest rightmost version of the version, which is read by the file access means 5 (step S6). If the access form is insertion, a file with a new version name is created and registered in the file holding means 6, and the version name is written at the beginning of the version field (step S7). If the access form is deletion, (deleted) is written at the right end of the field (step S8). If the access form is update, a file with a new version name is created, registered in the file holding means 6, and the new version name is written in the rightmost end of the field (step S).
9). As a result of the virus check, the version that is no longer needed is actually deleted from the file holding means 6 when its name is deleted from the table.
【0041】依存保持手段3は、バージョン管理手段5
からのアクセス形態、ファイル名、クライアント名に基
づいて、クライアント間とファイル間の依存関係を作成
保持する。依存関係を保持する依存関係テーブルは、図
9に示すように、各クライアント毎に存在し、ファイル
名、アクセス形態、ポインタフィールドから構成されて
いる。各テーブルはそのクライアントで実行されたファ
イルアクセスの内、ウィルス感染の範囲を限定するのに
必要なものが格納されている。図10に依存保持手段3
の依存関係テーブルを作成するフローを示す。なお、ウ
ィルス検査の結果、もはや不要になった情報は削除され
る。The dependency holding means 3 is the version management means 5
Create and hold a dependency between clients and files based on the access form, file name, and client name from. As shown in FIG. 9, the dependency relationship table holding the dependency relationships exists for each client, and is composed of a file name, an access form, and a pointer field. Each table stores the file access executed by the client, which is necessary to limit the range of virus infection. Dependency holding means 3 shown in FIG.
7 shows a flow of creating a dependency table of. Information that is no longer needed as a result of the virus inspection is deleted.
【0042】すなわち、まず、アクセス形態が参照か否
かが判断され(ステップS11)、参照以外の場合に
は、クライアント名で指定されたテーブルにファイル名
と対応するアクセス形態が追加される(ステップS1
2)。一方、アクセス形態が参照の場合には、指定され
たファイルの更新,挿入がテーブルにすでにあるか否か
が判断され(ステップS13)、存在する場合には、ク
ライアント名で指定されたテーブルに、ファイル名とア
クセス形態が追加されると共に、ステップS13で見つ
けた更新、挿入のエントリ間がポインタで結合される
(ステップS14)。解析警報手段7は次の4つを処理
する。 (1)依存保持手段3の情報を常に解析し、次に示すよ
うなウィルス検査が必要なアクセスパターンがあるか調
べる。 パターンA; ウィルス動作の可能性を示すアクセスパ
ターン a.サーバ全体で予め定められた頻度以上のファイル変
更が行われる。 b.1つのクライアントで予め定められた頻度以上のフ
ァイル変更が行われる。 c.予め定められた名前のファイルが変更される。 パターンB; ウィルスの存在が判明したとき、その影
響が広範囲に及ぶ可能性があるアクセスパターン a.1つのクライアントで累積のファイル変更が予め定
めた回数を越える。 b.1つの変更されたファイルで累積の参照が予め定め
た回数を越える。 (2)ウィルス検査が必要な場合、ウィルス検査するク
ライアントとファイルを次のようにして求めて、システ
ム管理者に警報する。That is, first, it is judged whether or not the access form is reference (step S11), and if it is other than reference, the access form corresponding to the file name is added to the table designated by the client name (step S11). S1
2). On the other hand, when the access form is reference, it is determined whether or not the specified file has already been updated or inserted in the table (step S13), and if it exists, it is added to the table specified by the client name. The file name and access form are added, and the update and insertion entries found in step S13 are linked by a pointer (step S14). The analysis warning means 7 processes the following four. (1) The information in the dependency holding means 3 is constantly analyzed to check if there is an access pattern that requires virus inspection as described below. Pattern A: Access pattern indicating possibility of virus operation a. The files are changed more than a predetermined frequency in the entire server. b. A file is changed more than a predetermined frequency by one client. c. The file with the predetermined name is changed. Pattern B: When a virus is found to exist, its access pattern may have a widespread effect a. Cumulative number of file changes in one client exceeds a predetermined number. b. Cumulative references exceed a predetermined number of times in one modified file. (2) When virus inspection is necessary, the client and file to be inspected for virus are obtained as follows and the system administrator is alerted.
【0043】パターンAの場合は、アクセスパターン内
で変更されているファイル、アクセスパターンの前で参
照されたファイル、アクセスパターンが発見されたクラ
イアントを検査対象にする。パターンBの場合は、アク
セスパターンが発見されたクライアント、又はアクセス
パターンに含まれるファイルを検査対象にする。 (3)システム管理者が行ったウィルス検査の結果に基
づいて、次のようにしてもはや不要になったバージョン
を求めてバージョン管理手段に伝える。 ・ウィルスに感染したいないことがわかった場合、その
バージョンより前のものを不要なバージョンとする。 ・ウィルスに感染していることがわかった場合、そのバ
ージョンより後のものを不要なバージョンとする。In the case of pattern A, a file changed in the access pattern, a file referenced before the access pattern, and a client in which the access pattern is found are set as inspection targets. In the case of pattern B, the client in which the access pattern is found or the file included in the access pattern is set as the inspection target. (3) Based on the result of the virus inspection performed by the system administrator, the version no longer needed is obtained and transmitted to the version managing means as follows.・ If you find that you are not infected with a virus, consider the version before that as an unnecessary version.・ If you find out that you are infected with a virus, make the version after that version unnecessary.
【0044】(4)システム管理者が行ったウィルス検
査の結果に基づいて、次のようにしてさらにウィルス検
査が必要なファイルやクライアントを求めシステム管理
者に警報する。 ・ウィルスが発見されたファイルを参照したクライアン
ト。 ・ウィルスが発見されたクライアントで変更されたファ
イル。(4) Based on the result of the virus inspection performed by the system administrator, the system administrator is alerted to the files and clients that need further virus inspection as follows. -Client that referred to the file where the virus was found. Files modified on the client where the virus was found.
【0045】なお、この実施例では、ウィルスに感染し
た可能性を検出する機能と感染していた場合に元に戻す
機能が提供されているだけである。よって、感染したか
否かの判断は、システム管理者等がウィルスチェッカ等
の別の手段を使うことを想定していた。これではシステ
ム管理者の仕事が大変になってしまうので、次に、ウィ
ルスに感染したか否かを判断する感染判断機能について
述べる。In this embodiment, only the function of detecting the possibility of being infected with a virus and the function of returning to the original state when the virus is infected are provided. Therefore, it has been assumed that the system administrator or the like uses another means such as a virus checker to determine whether or not the computer is infected. This will make the system administrator's job harder, so next, I will describe the infection judgment function that judges whether or not a virus has been infected.
【0046】ウィルス感染をサーバで検出するには、ま
ず、クライアント又はサーバにウィルスが何時でも感染
させられるような被感染ファイルを用意し、クライアン
ト側にある被感染ファイルの内容をウィルスが感染する
前にサーバ側にコピーを取って置く。そして、サーバ側
にある被感染ファイルに対してはそのファイルが更新ア
クセスが起きないか、クライアント側にある被感染ファ
イルに対しては定期的にサーバ内にあるコピーと比較し
て変更された形跡がないかを調査する。もし、更新アク
セスや更新された形跡があれば、その更新アクセスに出
したクライアントやその更新された形跡のあるクライア
ントはウィルスに感染している事を意味し、ウィルス感
染を検出できる。以下、図11を参照して具体的に説明
する。図11はウィルス検出のためのシステム構成であ
る。In order to detect a virus infection on the server, first, prepare an infected file that can infect the client or server with the virus at any time, and before the virus infects the contents of the infected file on the client side. Put a copy on the server side. Then, for the infected file on the server side, update access does not occur for that file, or for the infected file on the client side, it is regularly changed compared with the copy in the server. Investigate whether there is any. If there is an update access or an updated trace, it means that the client that issued the update access or the client that has the updated trace is infected with a virus, and the virus infection can be detected. Hereinafter, a specific description will be given with reference to FIG. FIG. 11 shows a system configuration for virus detection.
【0047】クライアントには、誰でもアクセスできる
被感染ファイルBが存在する。サーバには、誰でもアク
セス出来る被感染ファイルAと、その被感染ファイルA
に対する更新を監視するファイル更新監視手段と、クラ
イアントにある被感染ファイルBのコピーファイルと、
定期的にクライアント内の被感染ファイルBの内容とサ
ーバ内の被感染ファイルBのコピーファイルの内容が一
致するか比較監視するファイル比較監視手段が存在す
る。ここで、クライアントでウィルスプログラムが起動
された場合を考える。The infected file B that can be accessed by anyone exists in the client. Infected file A that anyone can access to the server and the infected file A
A file update monitoring means for monitoring updates to the file, a copy file of the infected file B on the client,
There is a file comparison and monitoring unit that periodically compares and monitors whether the content of the infected file B in the client matches the content of the copy file of the infected file B in the server. Here, consider a case where a virus program is started on the client.
【0048】(1)まず、ウィルスプログラムは、自分
自身を感染させられるファイルを探す。ここで、ウィル
スプログラムは、サーバ内の誰でもアクセス出来る被感
染ファイルAやクライアント内の誰でもアクセス出来る
被感染ファイルBを発見する。 (2)次に、ウィルスプログラムは、発見したファイル
に対してウィルス感染を試み、ファイルの更新を行な
う。よって、被感染ファイルA,Bは更新され、ウィル
スが感染してしまう。ここで、サーバ内にある被感染フ
ァイルAに対する更新は、サーバ内のファイル更新監視
手段により検出され、ファイル更新を要求したクライア
ントにウィルスプログラムが存在する事が判る。(1) First, the virus program searches for a file that can infect itself. Here, the virus program finds an infected file A accessible by anyone in the server and an infected file B accessible by anyone in the client. (2) Next, the virus program attempts to infect the found file with a virus and updates the file. Therefore, the infected files A and B are updated and the virus is infected. Here, the update of the infected file A in the server is detected by the file update monitoring means in the server, and it can be seen that the virus program exists in the client that requested the file update.
【0049】(3)サーバ内のファイル比較監視手段
は、定期的にクライアント内の被感染ファイルとサーバ
内のそのコピーを比較し、一致しているか検査する。こ
こで、クライアント内の被感染ファイルBは、ウィルス
プログラムによりステップ2で更新されているので、一
致しない。よって、被感染ファイルBがあるクライアン
トにウィルスプログラムが存在することが判る。(3) The file comparison and monitoring means in the server periodically compares the infected file in the client with its copy in the server and checks whether they match. Here, the infected file B in the client does not match because it has been updated in step 2 by the virus program. Therefore, it is understood that the virus program exists in the client having the infected file B.
【0050】以上のように、クライアントにウィルスプ
ログラムが存在すれば、サーバ内の被感染ファイルAか
クライアント内の被感染ファイルBのどちらかが変更さ
れ、ファイル更新監視手段かファイル比較監視手段によ
りウィルスの存在が検出される。As described above, if the virus program exists in the client, either the infected file A in the server or the infected file B in the client is changed, and the virus is updated by the file update monitoring means or the file comparison monitoring means. The presence of is detected.
【0051】なお、被感染ファイルA,Bは、テキスト
ファイルに限定するものではなく、コマンドファイル、
ライブラリファイル、実行ファイル、OS自身を格納す
るファイルなど計算機に格納されるあらゆる種類のファ
イルを用いることができる。以上のように、この実施例
においては、バージョン管理手段4によるバージョン管
理によって、既存のファイルを損なうことなくファイル
変更が行なわれる。よって、いつでもウィルス感染等に
よって変更が加えられたバージョンを削除し、前の状態
に戻すことができる。また、依存保持手段3が管理して
いるクライアント間のファイルの依存関係およびファイ
ルアクセスの履歴を用いることにより、ウィルス感染の
可能性のあるファイルを必ずシステム管理者に警報でき
るとともに、その検査結果に基づいてバージョンをもと
に戻しているので、ウィルスが感染したバージョンは必
ず削除される。よって、ウィルス感染を完全に防御でき
る。The infected files A and B are not limited to text files, but command files,
Any kind of file stored in the computer such as a library file, an execution file, a file storing the OS itself can be used. As described above, in this embodiment, the version management by the version management means 4 allows the file to be changed without damaging the existing file. Therefore, the version that has been changed due to virus infection or the like can be deleted at any time and the previous state can be restored. Further, by using the dependency relationship of the files between the clients managed by the dependency holding means 3 and the file access history, it is possible to always alert the system administrator of a file that may be infected with a virus, and to check the inspection result. Since the versions are reverted based on this, the virus-infected version is always deleted. Therefore, virus infection can be completely prevented.
【0052】さらに、解析警報手段7が常に情報を解析
してウィルス存在の可能性をチェックしているので、ウ
ィルス感染しても広範囲に広がる前に発見できる。ま
た、クライアント間の依存関係の情報を使ってウィルス
感染の可能性があるクライアントやファイルを限定でき
る。よって、サーバ内におけるウィルスの存在や存在す
るときの感染範囲を確認するのに少数のファイルやクラ
イアントを検査するだけでよい。Further, since the analysis alarm means 7 constantly analyzes the information to check the possibility of the presence of the virus, even if the virus is infected, it can be detected before it spreads over a wide area. In addition, it is possible to limit the clients and files that may be infected by a virus by using the dependency information between clients. Therefore, it is only necessary to inspect a small number of files and clients to check the presence of viruses in the server and the extent of infection when they exist.
【0053】[0053]
【発明の効果】以上のように、本ウィルス防御機能では
サーバ内にウィルスが感染するのを完全に防げるばかり
でなく、サーバ内にウィルスが存在しないことやウィル
ス感染の範囲を確認するのも少数のファイルを検査する
だけでよい。よって非常に効率の良いウィルス対策を実
現できる。As described above, this virus protection function not only completely prevents the virus from infecting the server, but also confirms that there is no virus in the server and confirms the range of virus infection. You just have to inspect the files in. Therefore, very efficient virus countermeasures can be realized.
【図1】この発明の一実施例に係わるウィルス防御方式
を実現するためのクライアント/サーバシステムの構成
を示すブロック図。FIG. 1 is a block diagram showing the configuration of a client / server system for realizing a virus protection system according to an embodiment of the present invention.
【図2】同実施例のシステムにおけるクライアントから
のアクセス要求の一例を示す図。FIG. 2 is a diagram showing an example of an access request from a client in the system of the embodiment.
【図3】同実施例のシステムにおいてサーバで確認され
るアクセス形態の一例を示す図。FIG. 3 is a diagram showing an example of an access form confirmed by a server in the system of the embodiment.
【図4】同実施例のシステムにおいてサーバで管理され
るバージョン関係の一例を示す図。FIG. 4 is a diagram showing an example of version relationships managed by a server in the system of the embodiment.
【図5】同実施例のシステムにおいてサーバで管理され
るクライアントのファイル依存関係を示す図。FIG. 5 is a diagram showing file dependency relationships of clients managed by the server in the system of the embodiment.
【図6】同実施例のシステムにおいてサーバで管理され
るクライアント間の依存関係を示す図。FIG. 6 is a diagram showing a dependency relationship between clients managed by a server in the system of the embodiment.
【図7】同実施例のシステムにおいてサーバで管理され
るバージョン管理テーブルの一例を示す図。FIG. 7 is a diagram showing an example of a version management table managed by the server in the system of the embodiment.
【図8】同実施例のシステムにおいてサーバ内で実行さ
れるバージョン管理動作の一例を示すフローチャート。FIG. 8 is a flowchart showing an example of a version management operation executed in the server in the system of the embodiment.
【図9】同実施例のシステムにおいてサーバで管理され
る依存関係テーブルの一例を示す図。FIG. 9 is a diagram showing an example of a dependency relationship table managed by a server in the system of the embodiment.
【図10】同実施例のシステムにおいてサーバ内で実行
される依存関係テーブル作成動作の一例を示すフローチ
ャート。FIG. 10 is a flowchart showing an example of a dependency relationship table creating operation executed in the server in the system of the embodiment.
【図11】同実施例のシステムで採用されるウイルス検
査方式の一例を説明するための図。FIG. 11 is a diagram for explaining an example of a virus inspection method adopted in the system of the embodiment.
【図12】従来のクライアント/サーバシステムを概念
的に示すブロック図。FIG. 12 is a block diagram conceptually showing a conventional client / server system.
【図13】従来のクライアント/サーバシステムにおけ
るファイルアクセス動作を説明するための図。FIG. 13 is a diagram for explaining a file access operation in a conventional client / server system.
1…サーバ、2…要求受信手段、3…依存関係保持手
段、4…バージョン管理手段、5…ファイルアクセス手
段、6…ファイル保持手段、7…解析警報手段、10…
クライアント。1 ... Server, 2 ... Request receiving means, 3 ... Dependency holding means, 4 ... Version management means, 5 ... File access means, 6 ... File holding means, 7 ... Analysis warning means, 10 ...
client.
Claims (3)
イアントと、これら各クライアントからのファイルアク
セスに応じてファイルアクセスを行うサーバとから構成
されるクライアント/サーバシステムにおいて、 前記サーバは、前記各クライアントからのアクセス要求
に従って、前記複数のクライアントのファイルアクセス
の履歴およびクライアント間におけるファイルアクセス
の依存関係を管理する第1の管理手段と、 前記各クライアントからのファイル変更要求に応じて変
更対象ファイルのバージョンを追加作成し、各ファイル
毎にバージョンを管理する第2の管理手段と、 前記第1の管理手段で管理されているファイルアクセス
の履歴を解析してウィルス検査の必要性の有無を検出す
ると共に、前記クライアント間におけるファイルアクセ
スの依存関係に従って検査対象のファイルおよびクライ
アントを追跡する解析手段と、 所定のウィルス検査の結果にしたがって前記各ファイル
毎に不要バージョンを削除する手段とを具備することを
特徴とするクライアント/サーバシステムのウィルス防
御方式。1. A client / server system comprising a plurality of clients that request file access and a server that performs file access according to the file access from each of these clients, wherein the server is First management means for managing file access histories of the plurality of clients and file access dependencies among the clients according to an access request, and a version of a file to be changed in response to a file change request from each client A second management unit that creates and manages a version for each file, and a history of file access managed by the first management unit are analyzed to detect the necessity of virus inspection, and File between clients Client / server, characterized in that it comprises: an analyzing means for tracing the file to be inspected and the client in accordance with the dependency relationship of the access, and a means for deleting an unnecessary version for each of the files according to the result of a predetermined virus inspection. System virus protection method.
グラムと、そのアクセス要求をネットワーク経由でサー
バに伝える要求送信手段から構成される複数のクライア
ントと、 クライアントからのアクセス要求を受け取る要求受信手
段と、この要求に従ってファイルアクセスを行うファイ
ルアクセス手段と、ファイルを記憶しているファイル保
持手段とから構成されるサーバとをネットワークで接続
したクライアント/サーバシステムにおいて、 前記サーバに、ファイル変更(挿入、削除、更新)が必
要な場合にそのファイルの新しいバージョンを作成管理
し、ファイル保持手段内のすでに存在するファイルを損
なうこと無くファイル変更を実現するとともに、指定さ
れた不必要なバージョンを削除するバージョン管理手段
と、 バージョン管理手段が行ったファイルアクセスの履歴か
ら、ファイルを挿入・更新したクライアントとそのファ
イルを参照したクライアントとの間の依存関係と、各ク
ライアント内でのファイルアクセスの順序関係によるフ
ァイル間の依存関係を作成保持する依存保持手段と、 依存保持手段の情報を常に解析し、ウィルス検査の必要
がないか調べ、必要な場合にはシステム管理者にすべて
検査すべきクライアントとファイルを指定して警報する
とともに、システム管理者がウィルス検査した結果を元
に解析し、不必要となったバージョンをバージョン管理
手段に伝え、さらに検査の必要なクライアントやファイ
ルをシステム管理者に警報する解析警報手段を有し、 システム管理者が解析警報手段の指示に従いクライアン
トやファイルのウィルス検査を行い、その結果を解析警
報手段に教えることを特徴とするウィルス防御方式。2. An application program for requesting access to a file, a plurality of clients comprising request transmitting means for transmitting the access request to a server via a network, request receiving means for receiving an access request from the client, and In a client / server system in which a server including a file access unit that performs a file access according to a request and a file holding unit that stores a file is connected via a network, a file change (insert, delete, update) is performed on the server. ) Creates and manages a new version of the file when it is needed, realizes the file change without damaging the existing file in the file holding means and deletes the specified unnecessary version. , Version tube From the history of file access performed by the management means, the dependency relationship between the client that inserted / updated the file and the client that referenced the file and the dependency relationship between the files due to the order of file access in each client Always analyze the dependency holding means created and held, and the information of the dependency holding means to check whether there is a need for virus inspection, and if necessary, alert the system administrator by specifying all clients and files to be checked and The system administrator analyzes the virus based on the result of the virus check, informs the version management means of the unnecessary version, and has the analysis and alerting means to alert the system administrator of the clients and files that need to be inspected. The system administrator inspects the client and files for viruses according to the instructions of the analysis alert method. , Virus protection system, characterized in that teach the result to the analysis warning means.
を有することを特徴とする請求項2記載のウィルス防御
方式。3. The virus protection system according to claim 2, wherein the server further has a virus inspection unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP4261336A JPH06110718A (en) | 1992-09-30 | 1992-09-30 | Virus protection system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP4261336A JPH06110718A (en) | 1992-09-30 | 1992-09-30 | Virus protection system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH06110718A true JPH06110718A (en) | 1994-04-22 |
Family
ID=17360410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP4261336A Pending JPH06110718A (en) | 1992-09-30 | 1992-09-30 | Virus protection system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JPH06110718A (en) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5918008A (en) * | 1995-06-02 | 1999-06-29 | Fujitsu Limited | Storage device having function for coping with computer virus |
| JP2003091429A (en) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | Data batch protection system |
| JP2006178934A (en) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | Method and system for self-healing device |
| JP2008171415A (en) * | 1995-09-26 | 2008-07-24 | Trend Micro Inc | Virus detection and removal apparatus for computer network |
| JP2009500706A (en) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | Method and apparatus for dealing with malware |
| JP2009146444A (en) * | 2009-03-23 | 2009-07-02 | Fujitsu Ltd | Device and file processing method |
| JP2009176132A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | Virus suffering range prediction system |
| JP2011248763A (en) * | 2010-05-28 | 2011-12-08 | Canon Inc | Information processor and information processing method |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| WO2016072310A1 (en) * | 2014-11-05 | 2016-05-12 | キヤノン電子株式会社 | Specification device, control method thereof, and program |
| JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
| US10326792B2 (en) | 2012-12-07 | 2019-06-18 | Canon Denshi Kabushiki Kaisha | Virus intrusion route identification device, virus intrusion route identification method, and program |
| JP2020501209A (en) * | 2016-12-29 | 2020-01-16 | ドロップボックス, インコーポレイテッド | Malware detection and restoration of content items |
| JP2021022393A (en) * | 2016-08-08 | 2021-02-18 | ナムソフト カンパニー,リミテッド | Method and system for blocking phishing or ransomware attack |
-
1992
- 1992-09-30 JP JP4261336A patent/JPH06110718A/en active Pending
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5918008A (en) * | 1995-06-02 | 1999-06-29 | Fujitsu Limited | Storage device having function for coping with computer virus |
| USRE44131E1 (en) | 1995-06-02 | 2013-04-02 | Fujitsu Limited | Storage device having function for coping with computer virus |
| JP2008171415A (en) * | 1995-09-26 | 2008-07-24 | Trend Micro Inc | Virus detection and removal apparatus for computer network |
| JP2003091429A (en) * | 2001-09-17 | 2003-03-28 | Tomoki Noguchi | Data batch protection system |
| JP2006178934A (en) * | 2004-12-21 | 2006-07-06 | Microsoft Corp | Method and system for self-healing device |
| US8418250B2 (en) | 2005-06-30 | 2013-04-09 | Prevx Limited | Methods and apparatus for dealing with malware |
| US11379582B2 (en) | 2005-06-30 | 2022-07-05 | Webroot Inc. | Methods and apparatus for malware threat research |
| JP2009500706A (en) * | 2005-06-30 | 2009-01-08 | プレヴィクス リミテッド | Method and apparatus for dealing with malware |
| US10803170B2 (en) | 2005-06-30 | 2020-10-13 | Webroot Inc. | Methods and apparatus for dealing with malware |
| US8726389B2 (en) | 2005-06-30 | 2014-05-13 | Prevx Limited | Methods and apparatus for dealing with malware |
| US8763123B2 (en) | 2005-06-30 | 2014-06-24 | Prevx Limited | Methods and apparatus for dealing with malware |
| US8479174B2 (en) | 2006-04-05 | 2013-07-02 | Prevx Limited | Method, computer program and computer for analyzing an executable computer file |
| JP2009176132A (en) * | 2008-01-25 | 2009-08-06 | Sky Co Ltd | Virus suffering range prediction system |
| JP2009146444A (en) * | 2009-03-23 | 2009-07-02 | Fujitsu Ltd | Device and file processing method |
| JP2011248763A (en) * | 2010-05-28 | 2011-12-08 | Canon Inc | Information processor and information processing method |
| US10326792B2 (en) | 2012-12-07 | 2019-06-18 | Canon Denshi Kabushiki Kaisha | Virus intrusion route identification device, virus intrusion route identification method, and program |
| JPWO2016072310A1 (en) * | 2014-11-05 | 2017-08-17 | キヤノン電子株式会社 | Specific device, control method thereof, and program |
| US10382477B2 (en) | 2014-11-05 | 2019-08-13 | Canon Denshi Kabushiki Kaisha | Identification apparatus, control method therefor, and storage medium |
| WO2016072310A1 (en) * | 2014-11-05 | 2016-05-12 | キヤノン電子株式会社 | Specification device, control method thereof, and program |
| JP2021022393A (en) * | 2016-08-08 | 2021-02-18 | ナムソフト カンパニー,リミテッド | Method and system for blocking phishing or ransomware attack |
| JP2020501209A (en) * | 2016-12-29 | 2020-01-16 | ドロップボックス, インコーポレイテッド | Malware detection and restoration of content items |
| JP2018160170A (en) * | 2017-03-23 | 2018-10-11 | 富士通株式会社 | Output program, information processing apparatus, output method, generating program, and generating method |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8495037B1 (en) | Efficient isolation of backup versions of data objects affected by malicious software | |
| US9306956B2 (en) | File system level data protection during potential security breach | |
| JP4881348B2 (en) | Distributed virus scanning of stored data | |
| US7653647B2 (en) | System and method for determining file system data integrity | |
| US8332363B2 (en) | Storage system and data management method of the same | |
| JPH06110718A (en) | Virus protection system | |
| US11556428B2 (en) | Backup system including a data protection area and a read-only volume used by a controller to read a copy of backup data from the data protection area | |
| EP3989092A1 (en) | Malicious activity detection and remediation in virtualized file servers | |
| JP2008305405A (en) | Multi-protocol unified file-locking | |
| KR20060051383A (en) | System and method of aggregating the knowledge base of antivirus software applications | |
| US7793142B2 (en) | Automatically freezing functionality of a computing entity responsive to an error | |
| US20140143283A1 (en) | Method and system for creating virtual editable data objects by using a read-only data set as baseline | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| Vokorokos et al. | Application security through sandbox virtualization | |
| US20060156030A1 (en) | Data processing system and method | |
| US20230289443A1 (en) | Malicious activity detection, validation, and remediation in virtualized file servers | |
| US20220318208A1 (en) | Virtualized file servers and methods to persistently store file system event data | |
| US8042185B1 (en) | Anti-virus blade | |
| US20230325095A1 (en) | Cloud Based Interface for Protecting and Managing Data Stored in Networked Storage Systems | |
| CN100353277C (en) | Implementing method for controlling computer virus through proxy technique | |
| US11567826B2 (en) | Detect and triage data integrity issue for virtual machine | |
| US11663332B2 (en) | Tracking a virus footprint in data copies | |
| Park et al. | RPS: An extension of reference monitor to prevent race-attacks | |
| JP7304452B2 (en) | backup system | |
| JP2005258498A (en) | Server restoration method |