WO2004075056A1 - ウイルスチェック装置及びシステム - Google Patents

Abstract

　本発明は、ウイルス監視にハードウェアを用いて、ネットワークを介して取得されるディジタルデータから高速にコンピュータウイルスを検出する。本発明は、通信ネットワーク005を介して他の情報処理装置と通信可能な情報処理端末002において、ハードウェア回路で構成されたウイルスチェック装置001をネットワーク005の入力通信路側に設け、ウイルスチェック装置001によって、ネットワーク005からの入力データからウイルスをチェックする。入力データと照合されるウイルスパターンをハードウェアにより変更するには、ハードウェア回路を着脱自在とするか、或いは、書換え可能な論理デバイスをハードウェア回路に用いる。サーバ004のウイルス定義情報又はこれに基づいて生成される制御データをウイルスチェック装置001に送ることによって、論理デバイスのウイルスパターンを書き換えることができる。

Description

明細書 ウィルスチェヅク装置及ぴシステム 技術分野

この発明は、 ハードウェアを用いて、 通信ネヅ トワーク或いはストレ一ジデバ イスを介して取得するディジ夕ルデ一夕から高速に "コンピュータウィルス"或 いは単に "ウィルス" と呼ばれる有害デ一夕を検出するウィルスチェック装置及 びシステムに関する。 背景技術

通信ネットワークに接続するコンピュータが増えるにつれ、 通信ネヅ トワーク を流れるデ一夕の量は飛躍的に増加している。 これらのデ一夕の中には、 利用者 や管理者が容認しない情報やコンビュ一夕の動作を阻害するようなソフトウエア などの " (コンピュータ） ウィルス" が含まれるので、 ネットワーク等の通信路 を流れるデ一夕を監視し、 ウィルスからコンピュータ資源や情報等を保全する必 要性が高くなつている。

このようなウィルスの監視は、 従来より、 個々のコンピュータやデータを中継 する機器等において専用ソフトウェアを用いて行われており、 例えば、 特許文献

1に示されるとおりである。

【特許文献' 1】 特表 2 0 0 1— 5 0 8 5 6 4号公報

しかしながら、 ネットワーク等の通信路の転送速度の向上に従い通信路を流れ るデ一夕量は増大しており、 このような通信路の高速化により、 ソフトウェアの 処理速度がいずれ追従できなくなり、 ウィルス監視ソフトウェアでは、 パーソナ ルコンピュータの C P U負荷が高くなつて隘路となることが予想される。

一方、 ハードウエアはソフトウエアと比較して高速に動作することが可能であ り、 通信路のデ一夕を遅延を抑えて高速に監視することが可能である。 しかし、 一般に、 ウィルスチェック用ハードウェア内の監視目標となるデ一夕 （ウィルス チェックパターン） を変更するためには機器を変更する必要があり、 日々変化す る監視対象データに対応する用途には不向きである。 発明の開示

この発明は、 このような事情に鑑み、 ウィルス監視にハードウェアを用いるこ とにより、 ネットワーク或いはストレ一ジデバイスを介して取得されるディジ夕 ルデ一夕から高速に有害デ一夕 （ウィルス） を検出することができるウィルスチ エック装置及びシステムを提供することを目的とする。

この発明の主たる特徴によると、 通信ネットワークを介して他の情報処理装置 と通信可能な情報処理端末において、 逋信ネットワーク或いはストレージデバイ スの入力通信路側に設けられ、 通信ネットヮ一ク或いはストレ一ジデバイスから の入力デ一夕からウィルスをチェヅクするハードウェア回路 （0 1 5 ) を備える ウィルスチヱック装置 〔請求項 1〕 が提供される。 なお、 括弧書きは、 理解の便 のために例示的に付記したもので、 後述する実施例において対応する記号等を表 わしており、 以下においても同様である。

また、 この発明の別の特徴によると、 サーバ装置と、 サーバ装置と通信ネット ワークを介して通信可能に接続される情報処理端末と、 情報処理端末の通信ネッ トワーク或いはストレ一ジデバイスの入力通信路側に設けられたウィルスチエツ ク装置 （0 0 1 , 1 0 1 ) とから成り、 サーバ装置は、 ウィルス定義情報を更新 可能に蓄積するウィルス定義フアイルと、 該ウィルス定義情報に基づいて生成さ れる制御デ一夕を送信する制御デ一夕 （コンフィグレーションデ一夕） の送信部 とを備え、 ウィルスチェック装置は、 通信ネットワーク或いはストレージデバイ スから上記情報処理端末への入力デ一夕からウィルスをチェックするハードウヱ ァ回路 （0 1 5 ) を備え、 ハードウェア回路は、 サーバ装置からの制御データに 基づいて、入力デ一夕と照合されるウィルスパ夕一ンを更新する制御部（0 2 1 ) を有するウィルスチヱヅクシステム 〔請求項 8〕 が提供される。

この発明によるウィルスチヱック装置のハ一ドウヱァ回路は、 入力デ一夕を保 持するデ一夕入力部 （ 0 3 0 ) と、 ウィルスパターンを保持するウィルス定義部 と入力デ一夕をウィルスパターンと照合するパターン照合部 （0 3 1 ) とを有す る論理デバイスを備える 〔請求項 4 , 9〕 構成にすることができる。 この発明によるウィルスチェック装置は、入力通信路の媒体中に挿入される〔請 求項 2〕 構成としたり、 情報処理端末の通信ネッ トワークへのイン夕一フヱ一ス に追加して設けられる 〔請求項 3〕 構成とすることができる。 また、 ウィルスチ エック装置のハードウェア回路は、 着脱自在に実装される 〔請求項 5〕 構成とす ることができる。 さらに、 他の情報処理装置から通信ネットワークを介して送信 される制御デ一夕によって書換え可能である 〔請求項 6〕 構成としたり、 他の情 報処理装置から通信ネットワークを介して送信される制御データに基づいて論理 デバイスを書き換える書換え制御部 （02 1) を備える 〔請求項 7〕 ことができ る。

〔作用〕

この発明によるウィルスチェックでは、 例えば、 通信機能を有するパーソナル コンピュータ （PC) のように、 インターネットのような広域ネットワークゃィ —サネット （Ethe rne t、 登録商標） のような LANなどの通信ネヅ トヮ —クを介して他の情報処理装置と通信可能な情報処理端末において、 ウィルスチ エック用ハードウエアを用いて、 通信ネットワークから入力されてくるデ一夕を ウィルス特徴デ一夕と照合することにより、 ウィルスのパーソナルコンピュータ 等への侵入をリアルタイムに検知することができる。 すなわち、 ハードウェアは ソフトウヱァに比べ高速な処理が可能であり、 ウィルスチェックをネットワーク に挿入もしくはネヅ トワークカード （N I C、 Netwo rk I nt e rf a c e Card) に追加したハ一ドウエアで行うことにより、 高速に有害データ 即ちウイルスを検出し、 ウィルスの侵入阻止や除去などの対応する対策を講じる ことができる。

また、 ハ一ドウエアはウィルス定義ファイルの変更が困難であるという問題に 対して、 この発明では、 入力デ一夕と照合されるウィルスパターンをハードゥエ ァにより変更するために、 ハードウェア回路を着脱自在とするか、 或いは、 書換 え可能な論理デバィスをハードゥエア回路に用いる。 論理デバィスのウィルスパ 夕一ンを書き換える場合は、 サーバ装置のウィルス定義情報又はこの情報に基づ いて生成される制御デ一夕をウィルスチェヅク装置に送ることで、 ウィルスパ夕 ーンを更新する。 特に、 論理デバイスを書換え可能とする点については、 ウィルス定義と照合部 分についてプログラマブルロジックデバイス （ P L D ： Programmable Logic Device ) のような書換え可能な論理デバイスを用いることができる。例えば、 P LDは、 容易に回路の変更が可能であり、 このような論理デバイスはハードゥエ ァなので高速動作を維持することができる。 従って、 通信ネットワークが高速化 してトラフィヅクが増大しても、 端末パソコンの CPUに負荷をかけることなく 高速にウィルス検査を実施することができる。

さらに、 PLDなどの書換え可能な論理デバイスに書き込む制御データ （コン フィグレーシヨンデータ） は、 通信ネットワークを介してサーバ装置などから配 信することができる。 このためには、 ウィルスチェック装置内に P I C等の小規 模 CPU、 F 1 a s hメモリなど制御を一時的に蓄積するための記憶領域を付加 し、 P LDを更新する制御部を設けるだけでよい。 また、 コンフィグレーション デ一夕が大きくなるときには、 差分を用いたりデ一夕圧縮技術を用いることも可 能である。

サーバ装置による制御デ一夕 （PLDコンフィグレーションデ一夕） を配信す る方式を説明すると、 例えば、 データが装置のバッファに蓄積完了したとして、 通信がアイ ドルになったときに装置内の CPU (P I Cなど） がネットワークを 停止する。 PLDを書換えモードにして、 デ一夕を書き換えた後、 リスタートす る。 制御データがウィルスチェック装置のバッファに蓄積完了したとして、 通信 がアイ ドルになったときに装置内の CPU (P I Cなど） がネットワークを停止 する。 PLDを書換えモードにして、 データを書き換えた後、 リス夕一トする。 なお、 制御デ一夕を端末側に配信する場合、 デジタル署名や暗号化などのセキュ ァな仕組みを利用することが好ましい。

この発明によるウィルスチェック装置は、 ネヅトワークの通信路に挿入するこ とができる。 通信プロトコルを合わせれば、 全ゆる通信路 （ネットワーク、 ID Eケーブル、 デ一夕バスなど） に揷入可能である。 この発明によるウィルスチェ ック装置をコンピュータの外付け装置として用いる場合は電源の供給が必要であ るが、 供給方法には制約はなく、 通常の商用電源コンセントから供給する方法の 他に、 たとえば、 イーサネット （Et he rne t) のケーブル経由で供給する ことも可能である。 また、 U S B接続のネットワークアダプタに組み込んだり、 I E E E 1 3 9 4接続のネットワークアダプタに組み込むこともできる。

また、 ウィルスチェック装置をコンピュータ端末に内蔵させることもできる。 例えば、 コンピュータに内蔵されるイーサネット （E t h e r n e t ) アダプタ カード （N I C ) 上に組み込むこともできる。 コンピュータに内蔵された無線 L A Nアダプタや無線 L A N用 P C M C I Aカードアダブ夕等についても同様であ る。

この発明によるウィルスチェヅクシステムでは、 コンピュータ等の端末装置側 においては、 ウィルスチェック用のハードウエア回路にウィルス定義を構成され る。 この場合、 ウィルス定義を定数としてあらかじめ構成された回路に埋め込む こともできる。 また、 ウィルス定義ファイルはサーバ上に置き、 その後、 書換え 可能論理デバィス（ P L D )用の論理合成ソフトウエアを使用して制御データ（ P L Dコンフィグレーションデ一夕） を生成させることができる。 これらの一連の 生成過程は、 サーバ上で全て行っても良いし、 ウィルス定義をそのまま装置へ酡 信することもできるし、 或いは、 途中の段階のものを端末装置へ配信して、 残り の処理を端末装置上で行うように実装することも可能である。

この発明によるウィルスチヱック装置では、 実施例 （第 3図、 第 4図） で詳述 するように、 論理回路 （論理デバイス） を用いてウィルス定義と通信路を流れる デ一夕の比較を行う。 この場合、 前処理 （コンテンツ以外の除去） を施されたデ —夕は、論理回路の入力部（F I F O )を通過する間にウィルス定義と比較され、 ウィルス定義と符合しなければそのまま通過し、 符合 （一致） した場合は、 警報 情報を出力し、 例えば、 パケットの削除やパケットの受け取り先への通知など、 適宜、 必要な処理を行うことができる。

この発明によると、上述したように、通信路等を通過するディジ夕ルデ一夕を、 ウィルスチェックハードウェア （ウィルスチェヅ力一） によって、 高速に照合す るようにしているので、 特に、 1 G b p sを超えるような高速なデ一夕転送を行 うシステムに対して、 極めて有効である。 図面の簡単な説明 第 1図は、 この発明の一実施例によるウィルスチヱヅクシステム全体の構成例 を表わす図である。

第 2図は、 この発明の一実施例によるウィルスチェヅク装置 （ウィルスチェヅ 力一） の一構成例 〔 1〕 を表わす図である。

第 3図は、 この発明の一実施例によるウィルスチェック装置におけるウィルス 照合器の一構成例を表わす図である。

第 4図は、 この発明の一実施例によるウィルスチェック装置におけるバイ トー 致検出器の一構成例を表わす図である。

第 5図は、 この発明の一実施例によるウィルスチェック装置におけるウィルス 照合器の他の構成例 〔2〕 を表わす図である。

第 6図は、 この発明の一実施例によるウィルスチェヅク装置におけるウィルス 照合器の別の構成例 〔3〕 を表わす図である。

第 7図は、 この発明の一実施例によるウィルスチェックパ夕一ン書換器の一構 成例を表わす図である。

第 8図は、 この発明の一実施例による双方向性のウィルスチェック装置 （双方 向ウィルスチヱヅ力一） の一構成例を示す図である。

第 9図は、 この発明の一実施例によるウィルスチェックパターン書換器のゥィ ルスチェッカーへの組込構成例を表わす図である。

第 1 0図は、 この発明の一実施例によるウィルスチェヅクパ夕一ン書換装置の 別設構成例を表わす図である。

第 1 1図は、 この発明の一実施例による P C端末によるウィルスチェヅクパ夕 一ン書換構成例を表わす図である。

第 1 2図は、 この発明の一実施例によるウィルスチヱヅクパターンの生成工程 例を表わす図である。

第 1 3図は、 この発明の一実施例による圧縮ウィルスチヱヅクパ夕一ンの生成 工程例を表わす図である。

第 1 4図は、 この発明の一実施例によるウィルスチェックパターンの書換フロ 一を表わす図である。

第 1 5図は、 第 1図に示した例とは異なる本発明の別の実施例によるウィルス チェックシステム全体の構成例を表わす図である。

第 16図は、 第 15図に示されるウィルスチヱッカ一の詳細を示す図であり、 第 2図で示した LANの模式図をストレ一ジデバイスに適用した一例を示した図 である。

第 17図は、 コントローラの詳細を示す図である。

第 18図は、 USBコントローラへの実装例を示す図である。 発明を実施するための最良の形態

以下、 図面を参照しつつ、 この発明の好適な実施例を詳述する。 なお、 各図面 では、 電源供給に係る要素等、 回路動作に必要であってもこの発明の要旨に直接 関係のない要素の記述は省略している。

〔システムの全体構成〕

第 1図は、 この発明の一実施例によるウィルスチヱヅクシステムの全体構成を 概略的に示している。 本体装置であるコンピュータ （図中符号 002 ) は、 通信 ネットワーク （図中符号 005) との入力通信路側にウィルスチェック用ハード ゥヱァ装置 （本発明の装置、 図中符号 001) が挿入されており、 このハードウ エア装置は、 本明細書において "ウィルスチェッカー" と呼ばれる。 ウィルスチ ェヅ力一 001とコンピュータ 002を結ぶ通信ネヅ トワーク（図中符号 006 ) は通信ネットワーク 005と同じ媒体でも異なる媒体でも本発明の機能には影響 はなく、 ィ一サネット （Et he rnet, 登録商標） などの有線ネヅ トワーク でも、 無線 LANなどの無線ネットワークでも適用可能である。 例えば、 005 が 100BASE— TXで 006が 10BASE— Tの場合などである。 コンピ ュ一夕 002はパーソナルコンピュータ （PC；、 パソコン） の他、 ワークステ一 シヨン、 Mac int o shコンピュータ、 コンピュータ 'クラス夕、 大型コン ピュ一夕、 PDA (Pe rs onal D igi t a l As s i s t ant) など通信ネットワークに接続される計算機類であれば何でもよい。 このウィルス チェッカ一は、 通信ネットワークから入力されてくるデータをウィルス特徴デ一 夕 （ウィルスパターン） と照合することにより、 ウィルスのコンピュータ等への 侵入をリアルタイムに検知あるいは阻止することができる。 また、 ウィルスチェ ヅカ一のウィルスパターン及び照合機能デバイスは再構成可能な P LD (P ro g r a mm ab l e Logi c Devi ce) や FPGA (F i e l d P r o g: r amma b 1 e Gat e A r r a y ) で構成することができ、 この 場合、 必要時に通信ネットワーク上のサーバ （図中符号 004) から最新のウイ ルスパターンを受信し、 それを用いて再構成を行うことができる。 サーバ 004 は、 パーソナルコンピュータやワークステーションなど、 インターネットに接続 され、 他のコンピュータに対してデ一夕を配信する能力を持つものであれば何で もよい。 また、 サーバ 004は、 ウィルスチェッカー 001と直接つながってい ても、 第 1図のように通信デ一夕を中継する機能を持つネットワーク ·ハブ （図 中符号 003) を介してつながっていても、 また、 他の中継や LAN (Lo ca 1 Area N e t w o r k)同士を接続する機能を有する機器類で接続されて いてもよい。

第 2図は、 ウィルスチェヅカ一 001を、 片方向の通信ネットワーク中に接続 した一例を模式的に示した図である。 第 2図中、 符号 005はデ一夕が流れてく る通信ネットワーク （外部からのデ一夕入力路） 、 006はコンピュータ◦ 02 側の通信ネットワークである。 013は通信ネットワーク上の電気的な信号を 1 バイト （8ビット） 幅のディジ夕ルデータに変換する処理回路、 0 14はバイ ト 幅のネットヮ一クデ一夕を導く配線、 015はバイトデ一夕を高速に比較 ·照合 するウィルス照合器、 016はウィルスデータが除去されたバイトデ一夕を導く 配線、 017はバイトデ一夕を通信ネットワーク上の電気的な信号に変換する処 理回路である。 ウィルス照合器 0 15は再構成可能なデバイスを用いて実装され る。 たとえば、 Al t er a社や X i 1 i nx社などの製品である C P L Dや F PGAなどを用いる。 ウィルス照合器 015のもう一つの出力信号 019はウイ ルスを検出したことを示す信号であり、 ウィルスの検出をコンピュータやユーザ に通知するためのウィルス検出通知器 020に入力される。 ウィルス検出信号 0 19は、 ウィルスを検出したことと検出したウィルスの種類をウィルス検出通知 器 020に知らせる。 ウィルス検出通知器 020は、 検出したウィルスの情報を LEDなどで表示してュ一ザに通知する、 ウィルスを検出したネヅトヮ一クデ一 夕の 006への出力を阻止する、 コンピュータ 002に対して検出したウィルス の情報を通知するなど、 コンピュータ 0 0 2が必要とする様々な機能を実装する ことが可能である。 第 2図中、 符号 0 2 1はウィルスパターン書換器で、 L A N 経由で供給される最新版のウィルスパターンを記録し、 ウィルス照合器を更新す る操作を行う。

通信ネヅトワーク 0 0 5上をコンビュ一夕 0 0 2に向かってくるネヅトワーク デ一夕は、 すべて処理回路 0 1 3でバイ トデ一夕に変換され、 ウィルス照合器 0 1 5に導かれる。 ウィルス照合器 0 1 5では、 導かれたネヅ トワークデータを、 そのまま又は前処理を行い、 内部に構成された照合回路により高速に監視してパ 夕一ンとの比較を行い、 その判定結果をウィルス検出信号 0 1 9として用途に応 じて適切な形で出力する。

ウィルス照合器 0 1 5の実装に再構成可能な論理デバイス （P L D、 F P G A など） を用いることにより、 ウィルスパターンに変更が生じた場合は、 ウィルス 照合器 0 1 5を最新のウィルスパターンに即した回路に再構成することで対応で きる。 また、 このウィルス照合器 0 1 5の回路はハ一ドウエアであるため、 高速 な比較が可能であり、 ネットワークデ一夕通信に大きな遅延を引き起こすことな く、 なおかつ、 コンピュータ 0 0 2に負荷をかけることもなく、 ネットワークデ —夕の監視を行うことができる。

ウィルス照合器 0 1 5の内部は第 3図のように実装することもできる。 図中、 符号 0 3 0はネヅトワークデ一夕 0 1 4を受け取ってウィルスパターンの長さ以 上のバイ トデ一夕を保持する F I F Oであり、 F I F Oに保持されたネヅトヮ一 クバイ トデ一夕 0 3 1はバイ トー致照合器 0 3 2に対してバイ ト単位で出力され、 0 3 2はバイ ト単位でウィルスパターンとの照合を行う。 バイ トー致照合器 0 3 2は入力されるネットヮ一クデ一夕バイ ト 0 3 1を、 常時ウィルスパターンを照 合し続け、 一致を検出した瞬間にウィルス信号 0 1 9を出力することが可能であ る。 再構成可能なデバイスで 0 1 5を構成する場合は、 構成が固定的な F I F O の部分を再構成可能ディバスに含めることも、 含めないことも可能である。

バイ トー致検出器 0 3 2の、 1つのウィルスパターンと照合するための回路構 成を第 4図に示す。 図中符号 0 4 1はバイ ト比較器であり、 ネットワークデ一夕 を 1バイ ト単位でウィルスパターンと比較する。 バイ ト比較器 0 4 1の列は、 ゥ ィルスパターンを構成するバイ トデ一夕の並びに沿って定数比較回路として実装 され、 並べられるので、 その出力信号であるバイ ト一致信号 0 4 2が全て一致し た場合は、 入力されたネットワーク上のデータ中にウィルスが含まれることを示 す。 一致信号統合器 0 4 0は、 バイ トー致信号が全て一致を示した場合にウィル ス検出信号 0 1 9を生成するような回路である。

第 3図のウィルス照合器 0 1 5は、 1つのウィルスパターンに対する照合を実 現するための実装例であるが、 この構成を拡張することにより、 同時に複数個の ウィルスパターンに対する照合を実現することが可能である。 第 5図は第 3図の 拡張方法の一つを示す。 これは、 F I F Oの出力を複数のバイ ト一致検出器 0 3 2に分配して、 異なるウィルスパターンに対して同時に照合を行う方法である。 バイト一致検出器 0 3 2には、 第 4図の構成を使用することが可能であり、 それ それのバイ トー致検出器 0 3 2が異なるウィルスパターンに対する照合を行う。 この構成では、 複数のバイ ト一致検出器 0 3 2の出力から、 1つのウィルス検出 信号 0 1 9を生成するためにウィルス検出統合器 0 3 3を用いる。 これは、 複数 のバイトー致検出器 0 3 2のうちのどれか 1つから個別ウィルス信号 0 3 4が出 力された場合に、 ウィルスが検出されたことと検出されたウィルスの種類を示す 信号であるウィルス検出信号 0 1 9を生成する回路である。

また、 第 3図のウィルス照合器 0 1 5は、 第 6図のようにしても拡張が可能で ある。 第 6図では、 第 3図のウィルス照合器 0 1 5、 すなわち単一段ウィルス照 合器 0 5 0をその一部として含む。 そして、 図のように単一段ウィルス照合器 0 5 0を従属接続して、 複数のウィルスパターンに対して、 順次比較を行うことが 可能となる。 この場合も第 5図の構成同様、 複数のウィルス検出信号を統合する ために、 複数段ウィルス検出統合器 0 5 2を用いる。 この複数段ウィルス検出統 合器も、 第 5図のウィルス検出統合器と同じ機能を有し、 複数のウィルス照合器 0 5 0のうちのどれか 1つから単一段ウィルス信号 0 5 1が出力された場合に、 ウィルスが検出されたことと検出されたウィルスの種類を示す信号であるウィル ス検出信号 0 1 9を生成する回路である。

なお、 第 3図のウィルス照合器 0 1 5の拡張には、 第 5図の方法と第 6図の方 法を同時に適用してもよい。 第 7図に、 ウィルスパターン書換器 021の実装例を示す。 この例では、 書換 パターン検出器 060が、 常時、 ネヅ トワークデータバイ ト 014を監視し、 ゥ ィルスパターンの更新データを示す印のついたデ一夕列を検出した場合に、 書換 パ夕一ン一致検出信号 063を生成して、 パターン書換器 062を起動する。 書 換パ夕一ン検出器 060の実装には、 第 3図のウィルス照合器と全く同じハード ウェア構成を用いることもでき、 また、 同等な機能を有する他の構成を用いるこ とも可能である。 書換パ夕一ンバッファメモリ 061はネヅトヮ一クデ一夕バイ ト 014に流れるデ一夕バイ ト列のうち、 ある長さの最新のデータを常に保持す る機能を持つ。 書換パ夕一ンバッファメモリ 06 1が保持するデ一夕バイ トの長 さは、 書換パターン長の最大値よりも長い値に設定する。 書換パターン一致検出 信号 063により起動されたパ夕一ン書換器 062は、 書換パターン操作信号 0 64を介して書換パターンバッファメモリ 061のデ一夕更新を停止させ、 続い て、ウィルス照合器 015の動作を停止させる。次に、パターン書換器 062は、 書換パターンバッファメモリ 061中に保持されている更新用のウィルスパ夕一 ンを用いて、 ウィルス照合器 015内部に用いられている再構成可能ディバスを 更新する。 更新方法などは、 実装に使用している再構成可能デバイスごとに適切 な方法を用いる。 更新が終了した後、 書換パターンバッファメモリ 061の動作 を再閧させ、 続いて、 ウィルス照合器 015の動作も再開させる。

第 2図のウィルスチェッカ一は、 通信ネットワークが片方向にデ一夕をやり取 りする場合の例を示したが、 この実装を用いて通常の通信ネットワークの形態で ある双方向データ通信路用に拡張した例を第 8図に示す。 図中、 符号 001は第 2図に示したようなウィルスチェッカ一であり、 通信ネットワーク 005と 00 6は双方向のネヅトワークである。 双方向ウィルスチェヅカ一 101に入力され た通信ネットヮ一クデ一夕は、 双方向信号分離器 102によって片方向ずつの信 号の流れに分離され、 ウィルスチェッカ一を通過後、 再度、 双方向信号分離器 1 02によって双方向信号に統合される。 双方向信号分離器 102には、 イーサネ ヅト用の NI C (Netwo rk Int erf ac e Card) のネヅ トヮ ーク入力部に使用されるハイプリッドと呼ばれる回路などを用いて実装すること ができる。 第 9図を用いて、ウィルス照合器 0 1 5のパターン書き換えを説明する。まず、 ネヅトワーク'ノヽブ 0 0 3などを介して通信ネヅトワーク 0 0 5につながってい るか、 もしくはイン夕一ネット上に存在するサーバ 0 0 4が、 ある特定の印をつ けたウィルスパターン更新デ一夕を、 ウィルスチェッカ一 0 0 1に入力されるよ うな何らかの方法で通信ネットワーク 0 0 5に出力する。 たとえば、 ウィルスチ エツ力一 0 0 1が入力側に挿入されているコンピュータ 0 0 2に対する通信デー 夕として出力する方法や、 可能な場合にはブロードキャストなどの通信方法で出 力することも可能である。 ウィルスチェッカ一 0 0 1内部では、 通信ネットヮ一 クデ一夕はネッ トヮ一クデ一夕バイ ト 0 1 4としてウィルス照合器 0 1 5やウイ ルスパターン書換器 0 2 1に入力されているが、 ウィルスパターン更新デ一夕の 印のついたネッ トヮ一クデ一夕をウィルスパターン書換器 0 2 1が認識すると、 前々節の説明のようにウィルスパターン更新データを取り出して、 ウィルス照合 器の機能を停止させ、 パターン書き換え信号 1 1 0を用いてウィルス照合器 0 1 5を再構成した後に再起動する。

第 9図では、 ウィルスパターン書換器 0 2 1はウィルスチェッカ一0 0 1の内 部に組み込まれているが、 第 1 0図のように外部ウィルスパターン書き換え装置 1 2 0としてウィルスチェッカ一 0 0 1の外部に実装することも可能である。 こ の構成の場合は、 外部ウィルスパターン書き換え装置 1 2 0をウィルスチェッカ — 0 0 1に常時接続した状態にして、 ウィルスパターンを自動更新することもで きるが、 更新が必要になったときにのみ外部ウィルスパターン書き換え装置 1 2 0をウィルスチェッカ一 0 0 1に接続して、 ユーザの手で書き換え操作を行うこ とも可能である。

さらに、 第 1 1図のようにウィルスパターン書換機能を外部に置き、 かつ、 コ ンピュー夕 0 0 2に通信ネヅトワーク 0 0 6とは別の媒体によって、 あるいは通 信ネヅトワーク 0 0 6を用いて接続し、 コンピュータ 0 0 2上のソフトウエアを 利用してウィルスパターンの書き換えを行うことも可能である。この構成の場合、 通常動作時にはウィルスチェッカ一 0 0 1はコンピュータ 0 0 2から独立して動 作しているが、 コンビュ一夕 0 0 2にウィルスパターン更新データが到着した場 合には、 コンピュータ 0 0 2がウィルスチェッカー 0 0 1の動作を停止して、 P Cウィルスチェッカ一パターン書換ィンターフェ一ス 130を介してウィルス照 合器 015を書き換え、 再起動することにより、 ウィルスパターンの更新を実現 することも可能である。 また、 この構成の場合、 必要になったときにサーバ 00 4がコンピュータ 002に対してウィルスパターン更新デ一夕を送ることも可能 であり、 あるは、 コンピュータ 002が能動的かつ定期的にサーバ 004に対し てウィルスパ夕一ン更新データの存在をチェックすることも可能である。 また、 両者を併用することも、 ユーザの指示により更新のチェックや更新操作を行うこ とも可能である。 さらに、 ウィルス照合器 015を構成する再構成可能デバイス をこの装置から取り外し、 市販のデ一夕書き込み装置を用いてコンピュータ 00 2内のデ一夕をこの再構成可能デバイスに書き込むことでウィルスパターンの更 新を実現することも可能である。

ウィルスチェッカ一 001が用いるウィルスパターンは、 ウィルス本体の特徴 を示すデ一夕列そのままでもよく、 ウィルス照合器 015を再構成するためのデ —夕の形式を取ることも可能である。 この P LDなどの再構成用のデータはコン フィグレーシヨンデ一夕などと呼ばれ、 第 12図のように生成することも可能で ある。 図中、 符号 200はウィルスの特徴を示すデ一夕バイ ト列そのままのデー 夕である。 定数バイ ト列であるこの生データ 200を用いて、 定数との比較を行 ぅハ一ドウエアを生成するような HD L (Hardwar e De s c r i pt i on Language) で記述されたウィルス照合器の一部あるいは全部を 生成する。 出力がウィルス識別 HDLデ一夕 202である。 より具体的には、 ゥ ィル識別 HDL生成ソフトウエア 201は回路の枠組みを記述したようなテンプ レートの HD Lファイルに比較対照の定数値である生のウィルスパターンのデ一 夕を書き込む処理を行う。 このウィルス識別 HD Lデ一夕 202は、 HDLファ ィルから実際にウィルス照合器 015の実装に使用されている再構成可能デバィ ス用のコンフィグレーションデ一夕を生成可能な F P G A用論理合成ソフトウェ ァと呼ばれるプログラムを用いて、 最終的なウィルスパターン 204に変換され る

ウィルスパターン 204のサイズが大きくなつてしまう場合には、 第 13図の ようにさらに何らかの圧縮ソフトウエア 205を用いてデータ圧縮を行い、 圧縮 ウィルスパターン 2 0 6をウィルスチェッカ一に送信してもよい。 この時、 ウイ ルスチヱヅカ一 0 0 1パターン書換器 0 2 1を内蔵する場合には、 パターン書換 器 0 2 1が圧縮ウィルスパターン 2 0 6から元のウィルスパターン 2 0 4を生成 し、 また、 ウィルスパターンの更新をコンビュ一夕 0 0 2が行う場合には、 コン ピュー夕 0 0 2上のソフトウエアが圧縮ウィルスパターン 2 0 6から元のウィル スパ夕一ン 2 0 4を生成してもよい。 この圧縮に用いるアルゴリズムとしては、 一般に用いられているような様々なデータ圧縮法を用いてもよく、 また、 一つ前 の版のウィルスパターンとの差分のみを送る、 あるいは、 差分をさらにデータ圧 縮をかけて送るといった方法でもよい。

第 1 4図にウィルスパターンの更新を含む本システムの動作ステップを示す。 状態 3 0 0は初期状態であり、 電源を入れた直後に装置として必要な初期化など の動作を行い、 それらが終了後自動的に次の状態 3 0 1に移行する。 状態 3 0 1 では、 ウィルスチヱヅカ一 0 0 1内部に記憶されている最新のウィルスパターン のデータを、 ウィルス照合器 0 1 5内部の再構成可能デバイスにロードし、 可能 な場合には機能チヱックなどを行い、 次の状態 3 0 2に進む。 状態 3 0 2は通常 の動作状態であり、 通信ネットワーク上のデ一夕を監視すると同時に、 ウィルス パターン更新デ一夕のチェックを行う。 続く判断 3 0 3ではウィルスパ夕一ン更 新データが到着しているか否かをチェックし、 到着していれば状態 3 0 4に、 到 着していなければ状態 3 0 2に移行する。 ウィルスパターン更新デ一夕が到着し ていた場合、 状態 3 0 4でウィルスパターンの更新処理を行い、 到着した更新デ 一夕を最新のウィルスパターンデ一夕として記録し、 必要な場合には初期化を行 い、 さらに可能な場合には機能チヱックなどを行い、 状態 3 0 2に移行する。 本 システムでは、 終了に際して特別な処理は行わず、 電源を切ることにより処理を 終了する。

本発明のウィルスチェッカ一は、 コンピュータに内蔵する N I C ( N e t w o r k I n t e r f a c e C a r d ) やコンピュータの主要素が実装されるマ ザ一ボード、 あるいはネットワーク機器であるルー夕、 スイッチングハブなどの デバイスに組み込むような設置方法も有効である。 また、 コンピュータ内部に実 装されている各ネットワーク類の途中に挿入する設置方法も有効である。 ウィルスのコンビュ一夕への侵入路を考えるとき、 ネヅ トワークの他に、 着脱 可能なストレ一ジデバイスが考えられる。 このようなストレ一ジデバイスはウイ ルスに感染したコンピュータと接続されることで、 そのストレ一ジ内にウィルス に感染したフアイルを保有することになる可能性がある。

この発明によるウィルスチェック装置は、 通信プロトコルを適応させることに より、 コンビュ一夕がアクセス可能なあらゆるストレージデバイスとの通信路に も挿入できる。 この場合の電源供給条件や組み込み方法も、 ネットワークの通信 路に挿入する場合と同様である他、 ストレ一ジデバイス本体にウィルスチェック 装置を組み込むことも可能である。 この場合の P L Dなどの書き換え可能な論理 デバイスに書き込む制御デ一夕は、 コンピュータ端末内のコンピュータ上のソフ トウエアを利用してウィルスパターンの書き換えを行うことができるほか、 ウイ ルスチェック装置本体にネヅトワークや書き換え用のストレ一ジデバイスを接続 して書き換えを行うこともできる。

この装置をコンピュータ端末とストレ一ジデバイス間に揷入することにより、 C P Uにウィルスチェックによる負荷をかけずにデ一夕転送やプログラムの実行 が可能となる。

第 1 5図は、 本体装置であるコンピュータ 0 0 2と、 ストレ一ジデバイス 1 4 0との接続ケ一ブル 1 4 1にウィルスチェッカー 0 0 1が挿入されている。 ウイ ルスチェヅカ一 0 0 1とコンピュータ 0 0 2を結ぶ接続ケーブルは、 いかなる媒 体でも本発明の機能には影響はなく、 U S Bや I E E E 1 3 9 4、 シリアル、 ノ ラレル、 S C S I、 I D E . イーサネットなどの有線ネヅ トワーク、 無線 L A N などの無線ネットワークなどでも適用可能である。 また、 このストレージデバイ スはウィルスチェッカ一 0 0 1と直接つながっていても、 接続ケーブル途中に中 継するハプを介してつながっていてもよい。

ウィルスチェッカ一は、 ケーブル上を通過するデ一夕をウィルスパターンと照 合することにより、 ウィルスのストレ一ジデバイスからコンピュータ等への侵入 またはコンピュータ等からストレージデバイスへの侵入をリアルタイムに検知ぁ るいは阻止することができる。

ウィルスチヱヅカ一は、 必要時に通信ネヅトワーク上のサーバ 0 0 4からコン ピュ一夕 0 0 2上のソフトウエアを利用するか、 直接 L A Nケーブル 1 4 2を通 じて最新のウィルスパターンを受信し、それを用いて再構成を行うことができる。 第 1 6図は、 第 2図で示した L A Nの模式図をストレージデバイスに適用した 一例を示した図である。 第 2図中で示した 0 1 7のようなエンコーダが取り除か れているが、 この例でもエンコーダを用いた適用は可能であり、 もちろんその逆 に第 2図中からエンコーダを取り除いた第 1 6図のような適用も可能である。 第 1 6図中、 1 4 6は 1 4 1を流れてくるデ一夕を分離する回路である。 分離 してバッファ等のウィルス照合が終了するまでの間、 遅延を生ずる回路 1 4 5を 挿入することにより、 一度デコーダ 1 4 4でデコードしたデ一夕をエンコードし て通信路に戻すような処理を省略できる。 ウィルスチェックが十分に高速な場合 は、 回路 1 4 5を省略することもできる。

本発明のウィルスチェヅカ一は、 コンビュ一夕に内蔵する様々なデータの伝送 路に揷入する設置方法も有効である。 またストレージデバイス本体の入出力装置 に設置する方法も有効である。

パソコンの外部ストレージ本体に本発明のウィルスチェッカ一を適用する場 合は、 U S B、 I E E E 1 3 9 4などのデ一夕通信を制御するコントローラに内 蔵する方法も有効である。 コントローラには第 1 7図に示すように、 デ一夕を一 時的に保持する F I F Oなどのバッファ 1 1を設けてあり、 デ一夕 1 5 3がバ ヅファ 1 5 1からデ一夕バイ ト 1 5 4としてバイ トー致検出器 1 5 2に出力され ウィルスパターンの照合を行う。 コント口一ラ内蔵のバッファがウィルスパター ンに見合う十分な大きさでない場合は、別途バッファを設けることで適用できる。 ウィルス照合器については第 3図に説明している。

第 1 8図では U S Bコントロ一ラへの実装例を示す。 U S Bコントローラでは ェンドボイント 1 6 1と呼ばれる F I F〇により、 データを一時的にバッファリ ングしている。 第 1 7図でも示したようにこの位置にバイ トー致検出器 1 6 2を 設置することで、 ウィルス照合器を構成できる。 ェンドボイント 1 6 1を単独で 使用する場合は、 ミキサー 1 6 6はなくてもよく、 ウィルスパターンとの部分一 致のために一致検出信号 1 6 5をバッファ 1 6 7に保持し次の一致検出信号とミ キサ一 1 6 8で合わせてウィルス一致検出器 1 6 9で検出を行い、 ウィルス検出 信号 1 7 0を出力する。 エンドポイント 1 6 1は複数をまとめて使用することも できる。 その場合はミキサー 1 6 6を通してグループであるエンドポイント 1 6 1のバイ トー致検出器 1 6 2からの一致検出信号 1 6 5をまとめ、 一致検出信号 バヅファ 1 6 7およびミキサー 1 6 8へ送出する。 第 1 8図では 1 6 6〜 1 6 9 を U S Bコントローラ 1 5 0の外に置いているが、必ずしもそうする必要はなく、 1 6 6〜 1 6 9のどこまでを U S Bコントロ一ラに取り込んでもよいし、 バイ ト 一致検出器 1 6 2から後ろをコントローラの外に置くこともできる。

第 1 8図では U S B接続のストレ一ジについて実装例を示したが、 同様の用途 に使用される、 I E E E 1 3 9 4や S C S Iなどをイン夕フエ一スとするストレ ージについても、 同様な適用ができる。

もちろんコントローラに内蔵されたバッファを利用する以外にも、 照合対象と なるデータの識別が可能な位置であれば、 本発明のウィルスチェッカ一を揷入す ることが可能である。

さらに現在ソフトウヱァで実装されているウィルス対策ヅ一ルは、 ウィルスの 検出以外に侵入阻止や除去などの機能を有しているが、 それらの機能はいずれも 検出後に実行される処理であり、 検出部に本アイデアを適応することで処理の高 速化及び高効率化を図ることが可能である。 逆に本検出部にウィルス侵入阻止部 やウィルス除去部などの機能を付加することで、 現行のウィルス対策ヅールと機 能的に全く同等の物を構築可能である。

以上、 図示例に基づき説明したが、 この発明は上述の例に限定されるものでな く、 特許請求の範囲の記載の範囲内で当業者が容易に改変し得る他の構成をも含 むものである。

以上説明したように、 この発明によれば、 通信ネットワーク通信路に挿入又は ネヅトワーク力一ド等に追加したウィルスチェヅク用ハードウエアを用いて、 通 信ネットワークから入力されてくるデ一夕をウィルス特徴デ一夕と照合するよう にしているので、 ソフトウエアに比べ高速な処理が可能であるというハ一ドゥエ ァの利点を生かして、 有害データ即ちウィルスのパーソナルコンピュータ等への 侵入をリアルタィムで検知することができ、 高速にウィルスを検出して侵入阻止 や除去などの対応する対策を講じることができる。

Claims

請求の範囲

1 . 通信ネットワークを介して他の情報処理装置と通信可能な情報処理端末 において、

通信ネットワーク或いはストレ一ジデバイスの入力通信路側に設けられ、 該通信ネットワーク或いはストレージデバイスからの入力デ一夕からウィルス をチェックするハードウエア回路を備える

ことを特徴とするウィルスチェック装置。

2 . 前記入力通信路の媒体中に挿入されることを特徴とする請求の範囲第 1 項に記載のウィルスチェック装置。

3 . 前記情報処理端末の通信ネットワークへのイン夕一フェースに追加して 設けられることを特徴とする請求の範囲第 1項に記載のウィルスチェック装置。

4 . 前記ハードウェア回路は、

前記入力デ一夕を保持するデータ入力部と、

ウィルスパターンを保持するウィルス定義部と、

前記入力デ一夕を該ウィルスパターンと照合するパターン照合部と

を有する論理デバィスを備えることを特徴とする請求の範囲第 1〜 3項の何れか

1項に記載のウィルスチヱヅク装置。

5 . 前記ハードウェア回路は、 着脱自在に実装されることを特徴とする請求 の範囲第 1〜4項の何れか 1項に記載のウィルスチヱック装置。

6 . 前記ハードウェア回路は、 他の情報処理装置から通信ネットワークを介 して送信される制御データによって書換え可能であることを特徴とする請求の範 囲第 1〜 4項の何れか 1項に記載のウィルスチヱック装置。

7 . 前記ハードウェア回路は、 さらに、 他の情報処理装置から通信ネットヮ ークを介して送信される制御デ一夕に基づいて前記論理デバイスを書き換える書 換え制御部を備えることを特徴とする請求の範囲第 4項に記載のウィルスチエツ

8 . サーバ装置と、 該サーバ装置と通信ネットワークを介して通信可能に接 続される情報処理端末と、 該情報処理端末の通信ネットワーク或いはストレ一ジ デバイスの入力通信路側に設けられたウィルスチェック装置とから成り、 上記サーバ装置は、 ウィルス定義情報を更新可能に蓄積するウィルス定義ファ ィルと、 該ウィルス定義情報に基づいて生成される制御データを送信する制御デ 一夕送信部とを備え、 .

上記ウィルスチヱヅク装置は、 通信ネヅトワーク或いはストレ一ジデバイスか ら上記情報処理端末への入力データから、 ウィルスをチェックするハードウェア 回路を備え、 該ハードウェア回路は、 上記サーバ装置からの制御デ一夕に基づい て、 該入力デ一夕と照合されるウィルスパターンを更新する制御部を有する ことを特徴とするウィルスチェックシステム。

9 . 前記ハードウェア回路は、 さらに、

前記入力デ一夕を保持するデータ入力部と、

前記ウィルスパターンを保持するウィルス定義部と、

前記入力デ一夕を該ウィルスパターンと照合するパターン照合部と

を有する論理デバイスを備えることを特徴とする請求の範囲第 9項に記載のウイ ルスチェヅクシステム。