CN104580133A - 恶意程序防护方法与系统及其过滤表格更新方法 - Google Patents
恶意程序防护方法与系统及其过滤表格更新方法 Download PDFInfo
- Publication number
- CN104580133A CN104580133A CN201310559436.XA CN201310559436A CN104580133A CN 104580133 A CN104580133 A CN 104580133A CN 201310559436 A CN201310559436 A CN 201310559436A CN 104580133 A CN104580133 A CN 104580133A
- Authority
- CN
- China
- Prior art keywords
- rogue program
- network package
- program
- network
- rogue
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 78
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000009434 installation Methods 0.000 claims description 147
- 238000012545 processing Methods 0.000 claims description 59
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 22
- 230000004888 barrier function Effects 0.000 claims description 11
- 230000001524 infective effect Effects 0.000 claims description 7
- 230000006399 behavior Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 14
- 230000008707 rearrangement Effects 0.000 description 7
- 241000700605 Viruses Species 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000001681 protective effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 4
- 230000003612 virological effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Abstract
一种恶意程序防护方法与系统及其过滤表格更新方法。此恶意程序防护方法包括:由电子装置接收网络封包,其中电子装置存储有过滤表格;由电子装置判断网络封包是否符合过滤表格中的特定过滤规则;若网络封包符合所述特定过滤规则,由电子装置根据所述特定过滤规则对网络封包执行特定操作;以及若网络封包不符合所述特定过滤规则,由电子装置将网络封包的特征信息上传至恶意程序分析装置。通过本发明所提供用户端装置一定程度的恶意程序防护能力,并且可有效减少用户端装置的系统资源消耗。
Description
技术领域
本发明涉及一种信息安全技术,且特别是关于一种恶意程序防护方法与系统及其过滤表格更新方法。
背景技术
随着信息科技越来越进步,网际网络已与现代人的生活产生密不可分的关系。举例来说,使用者只要在家中使用电脑,就可以轻易的通过网际网络与远方的朋友聊天、下载文件或者进行线上交易等等。也因如此,恶意程序(malware)也更容易进入使用者的电脑。例如,当使用者通过网际网络下载来路不明的应用程序或多媒体文件时,恶意程序可能会随着此应用程序或多媒体文件被下载至使用者的电脑,进而可窃取电脑中的帐号与密码等使用者信息。
此外,随着智能电视(Smart TV)与数字机顶盒(Set Top Box,STB)等多媒体播放装置的系统性能普遍提升,多媒体播放装置俨然已成为小型的个人电脑,并且逐渐成为网络黑客的攻击目标。然而,在多媒体播放装置上运行传统的防毒软件或架设入侵检测系统(Intrusion Detection System),对于数据处理能力有限的多媒体播放装置来说还是略显吃力。因此,有必要提出系统需求相对较低且具有一定程度的防护能力的恶意程序防护系统,以提升多媒体播放装置的安全性。
发明内容
本发明要解决的技术问题是:提供一种恶意程序防护方法与系统,可提供用户端装置一定程度的恶意程序防护能力,并且可有效减少用户端装置的系统资源消耗。
本发明还提供一种过滤表格更新方法,可由用户端装置与服务器端装置合作产生新的过滤规则,并且据以更新用户端装置的过滤表格。
本发明解决技术问题的方案包括:提供一种恶意程序防护方法,此恶意程序防护方法包括:由电子装置接收网络封包,其中电子装置存储有过滤表格;由电子装置判断网络封包是否符合过滤表格中的特定过滤规则;若网络封包符合过滤表格中的所述特定过滤规则,由电子装置根据所述特定过滤规则对网络封包执行特定操作;以及若网络封包不符合过滤表格中的所述特定过滤规则,由电子装置将网络封包的特征信息上传至恶意程序分析装置。
在本发明的一范例实施例中,所述电子装置还存储有恶意程序特征组,并且所述恶意程序防护方法还包括:由电子装置根据所述恶意程序特征组对网络封包执行恶意程序特征检查程序,以产生网络封包的特征信息。
在本发明的一范例实施例中,所述恶意程序特征组中的第一恶意程序特征组包括多个恶意程序特征,并且由电子装置根据所述恶意程序特征组对网络封包执行所述恶意程序特征检查程序的步骤包括:在对应于第一恶意程序特征组的第一恶意程序特征检查程序中,由电子装置根据恶意程序特征对应在网络封包中的位置顺序,依序检查网络封包中的数据。
在本发明的一范例实施例中,所述恶意程序防护方法还包括:由恶意程序分析装置根据网络封包的特征信息判断网络封包是否包含恶意程序;若网络封包包含恶意程序,由恶意程序分析装置产生对应于恶意程序的过滤规则,并且发送更新指令;由电子装置从恶意程序分析装置接收更新指令,且根据更新指令新增对应于恶意程序的过滤规则至过滤表格。
在本发明的一范例实施例中,所述恶意程序分析装置存储有对应于所述恶意程序特征组的恶意程序脚本,并且由恶意程序分析装置根据网络封包的特征信息判断网络封包是否包含恶意程序的步骤包括:由恶意程序分析装置根据所述恶意程序脚本重新排序网络封包的特征信息;由恶意程序分析装置根据排序后的特征信息判断网络封包是否包含恶意程序。
在本发明的一范例实施例中,若恶意程序为可清除恶意程序时,由恶意程序分析装置设定对应于恶意程序的过滤规则为清除指令。若恶意程序非为可清除恶意程序时,由恶意程序分析装置设定对应于恶意程序的过滤规则为阻挡指令。
在本发明的一范例实施例中,所述恶意程序防护方法还包括:当电子装置接收到包含恶意程序的另一网络封包时,由电子装置根据清除指令清除另一网络封包中至少部分的恶意程序,或者根据阻挡指令阻挡另一网络封包。
在本发明的一范例实施例中,所述恶意程序防护方法还包括:由恶意程序分析装置模拟使用者行为,并且记录应用程序或网页反应于使用者行为而执行的异常行为;若异常行为不合法,由恶意程序分析装置产生对应于应用程序或网页的过滤规则,并发送更新指令;由电子装置从恶意程序分析装置接收更新指令,且根据更新指令,新增对应于应用程序或网页的过滤规则至过滤表格。
在本发明的一范例实施例中,所述恶意程序防护方法还包括:若电子装置所在的网络环境内存在高传染性恶意程序,由恶意程序分析装置发送网络管制指令;由电子装置从恶意程序分析装置接收网络管制指令,且根据网络管制指令,管制至少部分电子装置与网际网络的连线。
本发明另提供一种恶意程序防护系统,此恶意程序防护系统包括电子装置与恶意程序分析装置。此电子装置包括第一网络模块、第一数据库模块及初步处理模块。第一网络模块用以接收网络封包。第一数据库模块用以存储过滤表格。初步处理模块耦接第一网络模块与第一数据库模块,并且用以判断网络封包是否符合过滤表格中的特定过滤规则。若网络封包符合过滤表格中的所述特定过滤规则,初步处理模块还用以根据所述特定过滤规则对网络封包执行特定操作。若网络封包不符合过滤表格中的所述特定过滤规则,初步处理模块还用以通过第一网络模块上传网络封包的特征信息至恶意程序分析装置。
在本发明的一范例实施例中,所述第一数据库模块还存储有恶意程序特征组。初步处理模块还用以根据所述恶意程序特征组对网络封包执行恶意程序特征检查程序,以产生网络封包的特征信息。
在本发明的一范例实施例中,所述恶意程序特征组中的第一恶意程序特征组包括多个恶意程序特征。在对应于第一恶意程序特征组的第一恶意程序特征检查程序中,初步处理模块还用以根据恶意程序特征对应在网络封包中的位置顺序,依序检查网络封包中的数据。
在本发明的一范例实施例中,所述恶意程序分析装置包括第二网络模块与进阶处理模块。第二网络模块用以接收网络封包的特征信息。进阶处理模块耦接第二网络模块,并且用以根据网络封包的特征信息判断网络封包是否包含恶意程序。若网络封包包含恶意程序,进阶处理模块还用以产生对应于恶意程序的过滤规则,并且通过第二网络模块发送更新指令至电子装置。初步处理模块还用以根据更新指令新增对应于恶意程序的过滤规则至过滤表格。
在本发明的一范例实施例中,所述恶意程序分析装置还包括第二数据库模块。第二数据库模块耦接进阶处理模块,并且用以存储对应于所述恶意程序特征组的恶意程序脚本。进阶处理模块还用以根据所述恶意程序脚本重新排序网络封包的特征信息。进阶处理模块还用以根据排序后的特征信息判断网络封包是否包含恶意程序。
在本发明的一范例实施例中,若恶意程序为可清除恶意程序,进阶处理模块还用以设定对应于恶意程序的过滤规则为清除指令。若恶意程序非为可清除恶意程序,则进阶处理模块还用以设定对应于恶意程序的过滤规则为阻挡指令。
在本发明的一范例实施例中,当第一网络模块接收到包含恶意程序的另一网络封包时,初步处理模块还用以根据清除指令清除另一网络封包中至少部分的恶意程序,或者根据阻挡指令阻挡另一网络封包。
在本发明的一范例实施例中,所述进阶处理模块还用以模拟使用者行为,并且记录应用程序或网页反应于使用者行为而执行的异常行为。若异常行为不合法,进阶处理模块还用以产生对应于应用程序或网页的过滤规则,并发送更新指令至电子装置。初步处理模块还用以根据更新指令,新增对应于应用程序或网页的过滤规则至过滤表格。
在本发明的一范例实施例中,若电子装置所在的网络环境内存在高传染性恶意程序,进阶处理模块还用以通过第二网络模块发送网络管制指令至电子装置。初步处理模块还用以根据网络管制指令,管制至少部分第一网络模块与网际网络的连线。
此外,本发明另提出一种过滤表格更新方法,此过滤表格更新方法包括:由电子装置根据恶意程序特征组对网络封包执行恶意程序特征检查程序,以产生网络封包的特征信息,并将网络封包的特征信息上传至恶意程序分析装置;由恶意程序分析装置根据网络封包的特征信息判断网络封包是否包含恶意程序;若网络封包包含恶意程序,由恶意程序分析装置产生对应于恶意程序的过滤规则,并且发送更新指令至电子装置;由电子装置根据更新指令新增对应于恶意程序的过滤规则至过滤表格。
在本发明的一范例实施例中,所述恶意程序特征组中的第一恶意程序特征组包括多个恶意程序特征,并且由电子装置根据所述恶意程序特征组对网络封包执行所述恶意程序特征检查程序的步骤包括:在对应于第一恶意程序特征组的第一恶意程序特征检查程序中,由电子装置根据恶意程序特征对应在网络封包中的位置顺序,依序检查网络封包中的数据。
在本发明的一范例实施例中,所述恶意程序分析装置存储有对应于所述恶意程序特征组的恶意程序脚本,并且由恶意程序分析装置根据网络封包的特征信息判断网络封包是否包含恶意程序的步骤包括:由恶意程序分析装置根据所述恶意程序脚本重新排序网络封包的特征信息;由恶意程序分析装置根据排序后的特征信息判断网络封包是否包含恶意程序。
在本发明的一范例实施例中,所述过滤表格更新方法还包括:由恶意程序分析装置模拟使用者行为,并且记录应用程序或网页反应于使用者行为而执行的异常行为;若异常行为不合法,由恶意程序分析装置产生对应于应用程序或网页的过滤规则,并发送更新指令至电子装置;由电子装置根据更新指令,新增对应于应用程序或网页的过滤规则至过滤表格。
基于上述,本发明仅让本地端的电子装置负责简单的封包内容比对,而将需要较多系统资源的排序与决策交由服务器端的恶意程序分析装置执行,以达到提升电子装置的恶意程序防护能力与降低其系统资源消耗的功效。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图式作详细说明如下。
附图说明
图1为根据本发明的一范例实施例所绘示的恶意程序防护系统的示意图。
图2为根据本发明的一范例实施例所绘示的电子装置与恶意程序分析装置的示意图。
图3A为根据本发明的一范例实施例所绘示的执行恶意程序特征检查程序的示意图。
图3B为根据本发明的一范例实施例所绘示的重新排序网络封包的特征信息的示意图。
图4为根据本发明的一范例实施例所绘示的恶意程序防护方法的流程图。
图5为根据本发明的一范例实施例所绘示的过滤表格更新方法的流程图。
图6为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。
主要元件标号说明
10:恶意程序防护系统 11:电子装置
112、122:数据库模块 114、124:网络模块
116: 初步处理模块 12:恶意程序分析装置
126: 进阶处理模块 13:网际网络
14: 网页服务器 15:应用程序服务器
301、302、303、304、305、306、307、308:位置
31: 网络封包 32:特征信息
33: 已排序检查结果序列
D1、D2、D3、D4、D5、D6、D7、D8:数据
R1、R2、R3、R4、R5、R6、R7、R8:检查结果
SC1、SC2:恶意程序脚本
S402、S404、S406、S408:本发明的一范例实施例中恶意程序防护方法各步骤
S502、S504、S506、S508、S510:本发明的一范例实施例中过滤表格更新方法各步骤
S602、S604、S606、S608:本发明的另一范例实施例中过滤表格更新方法各步骤
具体实施方式
图1为根据本发明的一范例实施例所绘示的恶意程序防护系统的示意图。
请参照图1,恶意程序(malware)防护系统10包括电子装置11与恶意程序分析装置12。
在本范例实施例中,电子装置11可以是智能手机(smart phone)、智能电视(smartTV)及数字机顶盒(Set Top Box,STB)等数据处理能力较为有限的电子装置。此外,在一实施例中,电子装置11也可以是任意具有连网、有线传输及/或无线传输功能的电子装置,例如智能手机(smart phone)、平板电脑(tablet PC)、笔记本电脑(notebook)或台式电脑等,本发明不对其限制。
在本范例实施例中,恶意程序分析装置12可以是一个电脑主机,或者是由多个电脑主机经由内部网络或外部网络(例如,网际网络13)连线形成的恶意程序分析平台(malware analyzing platform)。在一范例实施例中,恶意程序分析装置12的数据处理能力可能是电子装置11的数倍以上。特别是,对于包括智能手机(smart phone)、智能电视及数字机顶盒等数据处理能力较为有限的电子装置11来说,恶意程序分析装置12的数据处理能力相对强大。
此外,电子装置11与恶意程序分析装置12皆可通过有线或无线的方式连线至网际网络13,以接收或发送网络封包。
图2为根据本发明的一范例实施例所绘示的电子装置与恶意程序分析装置的示意图。
请参照图2,电子装置11包括数据库模块112、网络模块114及初步处理模块116。
数据库模块112例如是配置在电子装置11的存储器(memory)或硬盘(hard drivedisc,HDD)等存储媒体(未绘示)中。
网络模块114包括有线/无线网络接口卡(Network Interface Card,NIC)。网络模块114可通过有线/无线的方式接收来自网际网络13的网络封包,或者发送网络封包至网际网络13。
初步处理模块116例如是以硬件电路形式配置在电子装置11的处理器(processor)或微处理器(micro-processor)等系统芯片组(未绘示)中,并且耦接至数据库模块112与网络模块114。或者,在一范例实施例中,初步处理模块116也可以是以软件或韧件模块形式存储于电子装置11的存储媒体中,而由电子装置11的处理器或微处理器将其载入并且运行等等,本发明不对其限制。
恶意程序分析装置12包括数据库模块122、网络模块124及进阶处理模块126。类似于数据库模块112,数据库模块122例如是配置在恶意程序分析装置12的存储器或硬盘等存储媒体(未绘示)中。类似于网络模块114,网络模块124包括有线/无线网络接口卡,以通过有线/无线的方式收发网络封包。类似于初步处理模块116,进阶处理模块126例如是以硬件电路形式配置在恶意程序分析装置12的处理器等系统芯片组(未绘示)内,并且耦接至数据库模块122与网络模块124。此外,在一范例实施例中,进阶处理模块126也可以是以软件或韧件模块形式存储于恶意程序分析装置12的存储媒体中,而由恶意程序分析装置12的处理器载入并且运行等等,本发明不对其限制。
在一范例实施例中,数据库模块112存储有过滤表格(filtering table)。此过滤表格通常包括多个过滤规则(filtering rule),并且每一个过滤规则可包括特定的字串(string)及/或符号(symbol)。例如,在一范例实施例中,当电子装置11(或网络模块114)接收到网络封包时,初步处理模块116可判断此网络封包是否符合过滤表格中的某些过滤规则(以下统称为至少一特定过滤规则)。若此网络封包符合此至少一特定过滤规则,初步处理模块116可根据此至少一特定过滤规则来对此网络封包执行特定操作,例如让此网络封包通过、阻挡此网络封包或者修改此网络封包的部分封包内容等等。
此外,这些过滤规则也可用来识别出可能带有恶意程序的网络封包。例如,当使用者通过包含数字机顶盒的电子装置11自网际网络13下载电影时,电子装置11(或初步处理模块116)可根据预设的比对规则来判断接收到的网络封包的标头(Header)及/或负载(payload)中是否存在过滤表格中的特定字串及/或符号。若接收到的网络封包的标头及/或负载中存在过滤表格中的特定字串及/或符号,表示此网络封包符合过滤规则,也就是说,所下载的电影可能带有恶意程序,因此,电子装置11(或初步处理模块116)可以根据此网络封包所符合的过滤规则,来执行阻挡或丢弃(drop)此网络封包,以避免网络封包中的恶意程序顺利进入电子装置11的文件系统(filesystem)。或者,在一范例实施例中,电子装置11(或初步处理模块116)也可以通过清除网络封包中与过滤表格相符的特定字串及/或符号等特定操作,来破坏网络封包中已知的恶意程序。
在一范例实施例中,过滤表格也可包括白名单与黑名单,若网络封包符合黑名单中的过滤规则,则电子装置11(或初步处理模块116)会阻挡或修改此网络封包。若网络封包符合白名单中的过滤规则,则电子装置11(或初步处理模块116)会让此网络封包进入电子装置11的文件系统。
此外,当接收到的网络封包不符合过滤表格中的所有过滤规则时,表示此网络封包的标头及/或负载中的内容没有预先被定义在过滤规则中,其包含恶意程序的机率不高,因此电子装置11(或初步处理模块116)例如是让此网络封包进入电子装置11的文件系统。
值得一提的是,不符合过滤表格中的所有过滤规则的网络封包虽然有可能是干净的,却也有可能带有新的恶意程序,而此新的恶意程序的特征还没有被定义在过滤规则中。因此,在一范例实施例中,数据库模块112还存储有一个或一个以上的恶意程序特征组,并且数据库模块122则存储有一个或一个以上的恶意程序脚本(malware script)。其中,每一个恶意程序特征组包括一个或一个以上的恶意程序特征,并且每一个恶意程序特征组对应于一个恶意程序脚本。此外,恶意程序脚本也可称为病毒脚本(virus script)或病毒代码(virus pattern)。当接收到的网络封包不符合过滤表格中的所有过滤规则时,电子装置11(或初步处理模块116)可根据存储在数据库模块112的恶意程序特征组,对接收到的网络封包执行恶意程序特征检查程序。在恶意程序特征检查程序执行完毕之后,电子装置11(或初步处理模块116)会产生此网络封包的特征信息,并且通过第一网络模块114将此网络封包的特征信息上传至恶意程序分析装置12。
此外,在一范例实施例中,电子装置11(或初步处理模块116)执行恶意程序特征检查程序的时机,也可以是在电子装置11(或第一网络模块114)接收到任一个网络封包时等等,而非限于上述。
详细而言,假设一个恶意程序特征组是对应至一个恶意程序特征检查程序。当数据库模块112存储有多个恶意程序特征组时,电子装置11(或初步处理模块116)可根据这些恶意程序特征组平行地(in parallel)对此网络封包执行多个恶意程序特征检查程序。以下将配合图式详细说明执行恶意程序特征检查程序的范例。
图3A为根据本发明的一范例实施例所绘示的执行恶意程序特征检查程序的示意图。
请参照图3A,假设数据库模块112存储有第一恶意程序特征组与第二恶意程序特征组,其中,第一恶意程序特征组可用来检查一个特定的恶意程序或一种特定类型的恶意程序,并且第二恶意程序特征组可用来检查另一个特定的恶意程序或另一种特定类型的恶意程序。电子装置11(或初步处理模块116)可平行地根据第一恶意程序特征组与第二恶意程序特征组,从位置301至位置308依序检查网络封包31的封包内容(包括标头与负载),并根据检查结果产生网络封包31的特征信息32。
也就是说,假设第一恶意程序特征检查程序对应于第一恶意程序特征组,并且第二恶意程序特征检查程序对应于第二恶意程序特征组,电子装置11(或初步处理模块116)可平行地执行第一恶意程序特征检查程序与第二恶意程序特征检查程序。在第一恶意程序特征检查程序中,电子装置11(或初步处理模块116)可根据第一恶意程序特征组中的多个恶意程序特征分别对应在网络封包31中的位置,依据检查网络封包31中的数据。例如,先检查网络封包31的位置301的数据D1,再检查位置304的数据D3,再检查位置306的数据D4,最后才检查位置308的数据D2。而检查的方式,则例如是依序比对第一恶意程序特征组中分别对应在位置301、304、306及308的多个恶意程序特征与数据D1、D3、D4及D2,进而产生检查结果R1、R3、R4及R2。举例来说,当数据D1与第一恶意程序特征组中对应在位置301的某一恶意程序特征相符,而数据D3、D4及D2皆与第一恶意程序特征组中对应在位置304、306及308的其余恶意程序特征不相符时,所产生的检查结果例如是R1=1、R3=0、R4=0并且R2=0。
类似地,在第二恶意程序特征检查程序中,电子装置11(或初步处理模块116)可根据第二恶意程序特征检查程序中的多个恶意程序特征分别对应在网络封包31中的位置,依据检查网络封包31中的数据。例如,先检查网络封包31的位置302的数据D5,再检查位置303的数据D8,再检查位置305的数据D7,最后才检查位置307的数据D6。检查的方式例如是依序比对第二恶意程序特征检查程序中分别对应在位置302、303、305及307的多个恶意程序特征与数据D5、D8、D7及D6,进而产生检查结果R5、R8、R7及R6。也就是说,在本范例实施例中,特征信息32至少会包括检查结果R1、R5、R8、R3、R7、R4、R6及R2。
特别是,在一范例实施例中,由于电子装置11的数据处理能力有限,因此电子装置11并不适合执行例如数据排序(sorting)等进阶数据处理程序。因此,在一范例实施例中,实际上特征信息32中的检查结果R1、R5、R8、R3、R7、R4、R6及R2是依照电子装置11(或初步处理单元116)对网络封包31中的数据的检查顺序进行排列的,例如最先检查位置301的数据D1而最先产生检查结果R1,并且最后检查位置308的数据D2而最后才产生检查结果R2等。然后,电子装置11(或初步处理模块116)可通过网络模块114即时地将特征信息32上传至恶意程序分析装置12。
值得一提的是,相对于网络封包本身,由于网络封包的特征信息(例如,恶意程序特征检查程序的检查结果)的数据量相对较少,因此即使电子装置11在短时间内上传多个网络封包的特征信息,正在操作此电子装置11的使用者可能也不会察觉。此外,由于电子装置11所执行的恶意程序特征检查程序仅包括简单的封包内容比对,因此即使电子装置11在短时间内执行多个恶意程序特征检查程序,对于电子装置11的运算资源的消耗量也同样不至于影响电子装置11的使用者的操作行为。也就是说,相对于传统完全在用户端的电脑系统中执行扫毒而消耗用户端电脑系统的大量系统资源,或者完全在服务器端执行恶意程序的检测而传输大量的网络封包内容,导致消耗用户端大量的网络带宽,本发明可在减少用户端网络流量的占用,以及减少用户端系统资源消耗的前提下,有效提升用户端电子装置对于恶意程序的防护能力。
当恶意程序分析装置12(或网络模块124)接收到来自电子装置11的网络封包的特征信息时,恶意程序分析装置12(或进阶处理模块126)可根据网络封包的特征信息判断此网络封包是否包含恶意程序。特别是,由于恶意程序分析装置12接收到的网络封包的特征信息不一定符合恶意程序脚本的数据分析顺序,因此,在一范例实施例中,在判断网络封包是否包含恶意程序之前,恶意程序分析装置12(或进阶处理模块126)会根据恶意程序脚本的数据分析顺序或恶意程序检测规则,重新排序网络封包的特征信息,并且根据排序后的特征信息来判断此网络封包中是否包含恶意程序。以下将配合图式举例说明重新排序网络封包的特征信息的运作。
图3B为根据本发明的一范例实施例所绘示的重新排序网络封包的特征信息的示意图。
请参照图3B,接续图3A所示的范例,在接收到特征信息32之后,恶意程序分析装置12(或进阶处理模块126)可根据存储在数据库模块122且对应于第一恶意程序特征组的第一恶意程序脚本SC1与对应于第二恶意程序特征组的第二恶意程序脚本SC2,重新排列特征信息32为已排序检查结果序列33。例如,恶意程序分析装置12(或进阶处理模块126)可以将第一恶意程序特征检查程序的检查结果R1、R3、R4及R2移至已排序检查结果序列33的前半段,并且将第二恶意程序特征检查程序的检查结果R5、R8、R7及R6移至已排序检查结果序列33的后半段,以便于依序利用第一恶意程序脚本SC1与第二恶意程序脚本SC2来进行恶意程序的检查。
然后,假设第一恶意程序脚本SC1的数据分析顺序是先检查数据D1,再基于数据D2而选择性地检查数据D3或D4,并且第二恶意程序脚本SC2的数据分析顺序是基于数据D5而选择性地检查数据D6、D7或D8。恶意程序分析装置12(或进阶处理模块126)可将位于已排序检查结果序列33的前半段的检查结果R1、R3、R4及R2重新排序为“R1、R2、R3及R4”,以符合第一恶意程序脚本SC1的数据分析顺序,并且将位于已排序检查结果序列33的后半段的检查结果R5、R8、R7及R6重新排序为“R5、R6、R7及R8”,以符合第二恶意程序脚本SC2的数据分析顺序。
然后,经比对,当恶意程序分析装置12(或进阶处理模块126)发现“R1、R2、R3及R4”符合第一恶意程序脚本SC1的恶意程序检测规则(例如,R1=1、R2=1且R3=1)及/或“R5、R6、R7及R8”符合第二恶意程序脚本SC2的恶意程序检测规则(例如,R5=1且R7=1)时,恶意程序分析装置12(或进阶处理模块126)可判定网络封包31包括恶意程序。此外,恶意程序分析装置12(或进阶处理模块126)还可进一步得知网络封包31中包含的恶意程序类型等相关信息。例如,当已排序检查结果序列33符合第一恶意程序脚本SC1的恶意程序检测规则时,表示网络封包31中包含某一种特定类型的恶意程序。当已排序检查结果序列33符合第二恶意程序脚本SC2的恶意程序检测规则时,表示网络封包31中包含另一种特定类型的恶意程序。或者,当已排序检查结果序列33同时符合第一恶意程序脚本SC1与第二恶意程序脚本SC2的恶意程序检测规则时,表示网络封包31中同时包含两种特定类型的恶意程序等等。
然后,当恶意程序分析装置12(或进阶处理模块126)判定此网络封包包含一个(或一个以上的)恶意程序时,恶意程序分析装置12(或进阶处理模块126)可产生对应于此恶意程序的过滤规则。例如,恶意程序分析装置12(或进阶处理模块126)可根据此恶意程序对应在网络封包中的特定字串、符号及/或带有此恶意程序的网络封包的来源端(source)信息(例如,来源端IP地址与来源端口)等等,而归纳出对应于此恶意程序的过滤规则。例如,阻挡来自某一特定IP地址的网络封包或者带有会控制电子装置11向外发送帐号与密码的字串及/或符号的网络封包等等,本发明不对其限制。
此外,在一范例实施例中,恶意程序分析装置12(或进阶处理模块126)还可以进一步判断此恶意程序是否为可清除恶意程序。也就是说,若此恶意程序可很容易地从网络封包中清除或移除,表示此恶意程序为可清除恶意程序。反之,若此恶意程序难以从网络封包中清除或移除,表示此恶意程序不是可清除恶意程序。若恶意程序分析装置12(或进阶处理模块126)判定此恶意程序为可清除恶意程序,恶意程序分析装置12(或进阶处理模块126)会设定对应于此恶意程序的过滤规则为清除指令。反之,若恶意程序分析装置12(或进阶处理模块126)判定此恶意程序非为可清除恶意程序,恶意程序分析装置12(或进阶处理模块126)会设定对应于此恶意程序的过滤规则为阻挡指令。
然后,恶意程序分析装置12(或进阶处理模块126)可以通过第二网络模块124发送更新指令至电子装置11。当电子装置11(或网络模块114)接收到此更新指令时,电子装置11(或初步处理单元116)会根据此更新指令新增对应于此恶意程序的过滤规则至数据库模块112中的过滤表格。例如,恶意程序分析装置12(或进阶处理模块126)会将此恶意程序的过滤规则等最新的过滤规则存在数据库模块122的一个更新表格中,并且电子装置11(或初步处理单元116)会根据此更新指令,通过网络模块114自此更新表格下载此恶意程序的过滤规则。
当下一次电子装置11(或网络模块114)接收到包含此恶意程序的网络封包时,由于数据库模块112中的过滤表格已存有对应于此恶意程序的过滤规则,因此,电子装置11(或初步处理单元116)可识别出包含此恶意程序的网络封包,并且执行对应的特定操作。例如,在一范例实施例中,若对应于此恶意程序的过滤规则为清除指令,则电子装置11(或初步处理单元116)可根据此清除指令清除此网络封包中至少部分的恶意程序。此外,在一范例实施例中,若对应于此恶意程序的过滤规则为阻挡指令,则电子装置11(或初步处理单元116)可根据此阻挡指令阻挡或直接丢弃此网络封包。
在一范例实施例中,根据每一个电子装置11上传的网络封包的特征信息,当恶意程序分析装置12(或进阶处理模块126)检查出多个电子装置11在一预设时间范围内都接收到带有特定恶意程序的网络封包时,恶意程序分析装置12(或进阶处理模块126)还可判定发生病毒爆发(virus outbreak)。其中,先后接收到带有此特定恶意程序的网络封包的这些电子装置11可能具有共通特性。例如,当处于某一网域(例如,IP地址为140.116.X.X)、某一地区(例如,士林区)及/或某一类型的电子装置11(例如,智能电视)在同一天内分别接收到带有特定恶意程序的网络封包,表示这些电子装置11所在的网络环境内目前存在一个以上的高传染性恶意程序。此时,由于恶意程序分析装置12(或进阶处理模块126)可能尚未归纳出对应于此高传染性恶意程序的过滤规则,因此,恶意程序分析装置12(或进阶处理模块126)例如是先即时通过网络模块124发送网络管制指令至此网络环境内(例如,同一网域、同一地区或同一类型)的每一个电子装置11。当电子装置11(或网络模块114)接收到此网络管制指令时,电子装置11(或初步处理模块116)会根据此网络管制指令,管制至少部分电子装置11与网际网络13的连线。例如,电子装置11(或初步处理模块116)会根据此网络管制指令关闭其与某一IP地址之间的网络连线,禁止接收来自此IP地址的网络封包,或者甚至暂时切断对外的所有网络连线等等,直到恶意程序分析装置12(或进阶处理模块126)归纳出对应于此高传染性恶意程序的过滤规则为止。借此,从病毒爆发到病毒代码公布期间的防护空窗期,电子装置11也可具有基本的恶意程序防范能力。
此外,在一范例实施例中,恶意程序分析装置12(或进阶处理模块126)也可以模拟使用者行为(user behavior),并且记录应用程序或网页反应于此使用者行为而执行的异常行为。若此异常行为不合法,则恶意程序分析装置12(或进阶处理模块126)可产生对应于此应用程序或此网页的过滤规则,并通过网络模块124发送更新指令至电子装置11。接着,在电子装置11(或网络模块114)接收到此更新指令之后,电子装置11(或初步处理模块116)可根据此更新指令新增对应于此应用程序或此网页的过滤规则至存储于数据库模块112中的过滤表格。
举例来说,请再次参照图1,在一实施例中,恶意程序(malware)防护系统10还可还包括网页服务器14与应用程序服务器15。例如,网页服务器14是网站主机,并且存储有多个网页。而应用程序服务器15例如是应用程序的维护主机,并且可定期发布应用程序的更新/维护信息至用户端等等。
在一范例实施例中,恶意程序分析装置12(或进阶处理模块126)会依据一特定规则(例如,每天1~2次)对网页服务器14提供的网页及/或应用程序服务器15提供的应用程序进行测试,例如,通过模拟开启网页及/或下载文件等使用者行为,并记录进行测试的网页及/或应用程序反应于此使用者行为而执行的正常行为。此外,此正常行为也可以是由网页服务器14及/或应用程序服务器15通过注册或认证等程序而提供。经过反复测试,当某一次(例如,2013年9月17日下午3:00)网页服务器14提供的网页及/或应用程序服务器15提供的应用程序反应于此使用者行为而执行的行为(以下统称为异常行为)与先前(例如,2013年9月17日上午6:00)记录的正常行为不同时,恶意程序分析装置12(或进阶处理模块126)可通过自动或手动的方式分析并判断此异常行为是否合法。若此异常行为不合法,例如某一网页或某一应用程序会执行将使用者的帐号与密码偷偷传送至一特定主机等异常行为,表示此网页或应用程序可能已被恶意程序感染或其程序代码已被恶意窜改,因此,在经过确认之后,恶意程序分析装置12(或进阶处理模块126)可通过更新指令将对应于此网页或应用程序的过滤规则新增至电子装置11的过滤表格。借此,当电子装置11再次接收到来自网页服务器14及/或应用程序服务器15的网络封包,或者带有相关信息的网络封包时,此网络封包就可能会被修改、被阻挡或者直接被丢弃,以避免电子装置11受到恶意程序的感染。
类似地,上述电子装置11根据更新指令来更新过滤表格的方式,例如是由电子装置11根据更新指令通过网际网络13至恶意程序分析装置12下载最新的过滤规则,或者由恶意程序分析装置12直接将最新的过滤规则夹带在更新指令中,而发送至电子装置11,本发明不对其限制。
图4为根据本发明的一范例实施例所绘示的恶意程序防护方法的流程图。
请同时参照图2与图4,在步骤S402中,由电子装置11(或网络模块114)接收网络封包,其中,电子装置11(或数据库模块112)存储有过滤表格,并且此过滤表格包括至少一过滤规则。然后,在步骤S404中,由电子装置11(或初步处理模块116)判断网络封包是否符合此过滤表格中的一个或多个特定过滤规则。
若此网络封包符合此过滤表格中的一个或多个特定过滤规则,在步骤S406中,由电子装置11(或初步处理模块116)根据此一个或多个特定过滤规则对网络封包执行特定操作。反之,若此网络封包不符合过滤表格中的此一个或多个特定过滤规则,则在步骤S408中,电子装置11(或初步处理模块116)通过网络模块114上传此网络封包的特征信息至恶意程序分析装置12。
必须了解的是,对应于不同的应用,本发明的恶意程序防护方法也可适应性的调整,而不限于图4所示的步骤。
图5为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。
请同时参照图2与图5,在步骤S502中,由电子装置11(或网络模块114)接收网络封包,其中,电子装置11(或数据库模块112)存储有至少一恶意程序特征组与过滤表格。
然后,在步骤S504中,由电子装置11(或初步处理模块116)根据此至少一恶意程序特征组对此网络封包执行恶意程序特征检查程序,以产生此网络封包的特征信息,并通过网络模块114将此网络封包的特征信息上传至恶意程序分析装置12。
接着,在步骤S506中,由恶意程序分析装置12(或进阶处理模块126)根据此网络封包的特征信息判断此网络封包是否包含恶意程序。
若此网络封包包含恶意程序,在步骤S508中,由恶意程序分析装置12(或进阶处理模块126)产生对应于此恶意程序的过滤规则,并且通过网络模块124发送更新指令至电子装置11。
然后,在步骤S510中,由电子装置11(或初步处理模块116)根据此更新指令新增对应于此恶意程序的过滤规则至数据库模块112中的过滤表格。
此外,在步骤S506中,若恶意程序分析装置12(或进阶处理模块126)判定此网络封包并未包含任何(例如,已知的)恶意程序,则步骤S502被重复执行。
图6为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。
请参照图2与图6,在步骤S602中,由恶意程序分析装置12(或进阶处理模块126)模拟使用者行为,并且记录应用程序或网页反应于此使用者行为而执行的异常行为。
然后,在步骤S604中,由恶意程序分析装置12(或进阶处理模块126)判断此异常行为是否合法。若此异常行为合法,例如,只是网页或应用程序的功能有变动,则依照特定的规则重复执行步骤S602。
反之,若此异常行为不合法,则在步骤S606中,由恶意程序分析装置12(或进阶处理模块126)产生对应于此应用程序或网页的过滤规则,并发送更新指令至电子装置11。
然后,在步骤S608中,由电子装置11(或初步处理模块116)根据此更新指令,新增对应于此应用程序或此网页的过滤规则至其过滤表格。
综上所述,本发明提出的恶意程序防护方法与系统,仅需要让用户端的电子装置负责简单的封包内容比对,而将需要较多系统资源的排序与决策交由服务器端的恶意程序分析装置执行。借此,可有效改善以往完全由服务器端或者用户端进行恶意程序检测而造成的网络流量过高及/或资源消耗过大的困扰,并且可达到提升电子装置的恶意程序防护能力与降低其系统资源消耗的功效。此外,针对从病毒爆发到病毒代码公布期间的防毒空窗期,本发明也提出可增强电子装置安全性的解决方案,有效改善传统防毒软件及/或入侵检测系统可能存在的缺陷。
再者,本发明提出的过滤表格更新方法,可通过用户端的电子装置与服务器端的恶意程序分析装置合作对网络封包进行分析,以决定是否更新用户端的电子装置的过滤表格,从而达到减轻服务器端与用户端的系统负担与强化恶意程序回报机制的功效。
虽然本发明已以实施例揭露如上,然而其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视申请专利范围所界定者为准。
Claims (22)
1.一种恶意程序防护方法,其特征在于,所述恶意程序防护方法包括:
由一电子装置接收一网络封包,其中该电子装置存储有一过滤表格;
由该电子装置判断该网络封包是否符合该过滤表格中的至少一特定过滤规则;
若该网络封包符合该过滤表格中的所述至少一特定过滤规则,由该电子装置根据所述至少一特定过滤规则对该网络封包执行一特定操作;以及
若该网络封包不符合该过滤表格中的所述至少一特定过滤规则,由该电子装置将该网络封包的一特征信息上传至一恶意程序分析装置。
2.根据权利要求1所述的恶意程序防护方法,其特征在于,所述恶意程序防护方法还包括:
由该电子装置存储至少一恶意程序特征组;以及
由该电子装置根据所述至少一恶意程序特征组对该网络封包执行至少一恶意程序特征检查程序,以产生该网络封包的该特征信息。
3.根据权利要求2所述的恶意程序防护方法,其特征在于,所述至少一恶意程序特征组中的一第一恶意程序特征组包括多个恶意程序特征,并且上述由该电子装置根据所述至少一恶意程序特征组对该网络封包执行所述至少一恶意程序特征检查程序的步骤包括:
在对应于该第一恶意程序特征组的一第一恶意程序特征检查程序中,由该电子装置根据所述恶意程序特征对应在该网络封包中的一位置顺序,依序检查该网络封包中的数据。
4.根据权利要求1所述的恶意程序防护方法,其特征在于,所述恶意程序防护方法还包括:
由该恶意程序分析装置根据该网络封包的该特征信息判断该网络封包是否包含一恶意程序;
若该网络封包包含该恶意程序,由该恶意程序分析装置产生对应于该恶意程序的一过滤规则,并且发送一更新指令;以及
由该电子装置从该恶意程序分析装置中接收该更新指令,且根据该更新指令新增对应于该恶意程序的该过滤规则至该过滤表格。
5.根据权利要求4所述的恶意程序防护方法,其特征在于,该恶意程序分析装置存储有对应于所述至少一恶意程序特征组的至少一恶意程序脚本,并且上述由该恶意程序分析装置根据该网络封包的该特征信息判断该网络封包是否包含该恶意程序的步骤包括:
由该恶意程序分析装置根据所述至少一恶意程序脚本重新排序该网络封包的该特征信息;以及
由该恶意程序分析装置根据排序后的该特征信息判断该网络封包是否包含该恶意程序。
6.根据权利要求4所述的恶意程序防护方法,其特征在于,由该恶意程序分析装置产生对应于该恶意程序的过滤规则,并且发送该更新指令的步骤包括:
若该恶意程序为一可清除恶意程序时,由该恶意程序分析装置设定对应于该恶意程序的该过滤规则为一清除指令;以及
若该恶意程序非为该可清除恶意程序时,由该恶意程序分析装置设定对应于该恶意程序的该过滤规则为一阻挡指令。
7.根据权利要求6所述的恶意程序防护方法,其特征在于,所述恶意程序防护方法还包括:
当该电子装置接收到包含该恶意程序的另一网络封包时,由该电子装置根据该清除指令清除该另一网络封包中至少部分的该恶意程序,或者根据该阻挡指令阻挡该另一网络封包。
8.根据权利要求1所述的恶意程序防护方法,其特征在于,所述恶意程序防护方法还包括:
由该恶意程序分析装置模拟一使用者行为,并且记录一应用程序或一网页反应于该使用者行为而执行的一异常行为;
若该异常行为不合法,由该恶意程序分析装置产生对应于该应用程序或该网页的一过滤规则,并发送一更新指令;以及
由该电子装置从该恶意程序分析装置中接收该更新指令,且根据该更新指令,新增对应于该应用程序或该网页的该过滤规则至该过滤表格。
9.根据权利要求1所述的恶意程序防护方法,其特征在于,所述恶意程序防护方法还包括:
若该电子装置所在的一网络环境内存在至少一高传染性恶意程序,由该恶意程序分析装置发送一网络管制指令;以及
由该电子装置从该恶意程序分析装置中接收该网络管制指令,且根据该网络管制指令,管制至少部分该电子装置与网际网络的连线。
10.一种恶意程序防护系统,其特征在于,所述恶意程序防护系统包括:
一电子装置与一恶意程序分析装置,其中该电子装置包括:
一第一网络模块,用以接收一网络封包;
一第一数据库模块,用以存储一过滤表格;以及
一初步处理模块,耦接该第一网络模块与该第一数据库模块,并且用以判断该网络封包是否符合该过滤表格中的至少一特定过滤规则,
其中若该网络封包符合该过滤表格中的所述至少一特定过滤规则,该初步处理模块还用以根据所述至少一特定过滤规则对该网络封包执行一特定操作,
其中,若该网络封包不符合该过滤表格中的所述至少一特定过滤规则,该初步处理模块还用以通过该第一网络模块上传该网络封包的一特征信息至该恶意程序分析装置。
11.根据权利要求10所述的恶意程序防护系统,其特征在于,该第一数据库模块还存储有至少一恶意程序特征组,
其中该初步处理模块还用以根据该至少一恶意程序特征组对该网络封包执行至少一恶意程序特征检查程序,以产生该网络封包的该特征信息。
12.根据权利要求11所述的恶意程序防护系统,其特征在于,所述至少一恶意程序特征组中的一第一恶意程序特征组包括多个恶意程序特征,
其中在对应于第一恶意程序特征组的一第一恶意程序特征检查程序中,该初步处理模块还用以根据所述恶意程序特征对应在该网络封包中的一位置顺序,依序检查该网络封包中的数据。
13.根据权利要求10所述的恶意程序防护系统,其特征在于,该恶意程序分析装置包括:
一第二网络模块,用以接收该网络封包的该特征信息;以及
一进阶处理模块,耦接该第二网络模块,并且用以根据该网络封包的该特征信息判断该网络封包是否包含一恶意程序,
其中若该网络封包包含该恶意程序该恶意程序,该进阶处理模块还用以产生对应于该恶意程序的一过滤规则,并且通过该第二网络模块发送一更新指令,
其中该第一网络模块还用以从该恶意程序分析装置中接收该更新指令,并且该初步处理模块还用以根据该更新指令新增对应于该恶意程序的该过滤规则至该过滤表格。
14.根据权利要求13所述的恶意程序防护系统,其特征在于,该恶意程序分析装置还包括:
一第二数据库模块,耦接该进阶处理模块,并且用以存储对应于所述至少一恶意程序特征组的至少一恶意程序脚本,
其中该进阶处理模块还用以根据该至少一恶意程序脚本重新排序该网络封包的该特征信息,
其中该进阶处理模块还用以根据排序后的该特征信息判断该网络封包是否包含该恶意程序。
15.根据权利要求13所述的恶意程序防护系统,其特征在于,若该恶意程序为一可清除恶意程序,该进阶处理模块还用以设定对应于该恶意程序的该过滤规则为一清除指令,
其中若该恶意程序非为该可清除恶意程序,该进阶处理模块还用以设定还用以设定对应于该恶意程序的该过滤规则为一阻挡指令。
16.根据权利要求15所述的恶意程序防护系统,其特征在于,当该第一网络模块接收到包含该恶意程序的该另一网络封包时,该初步处理模块还用以根据该清除指令清除该另一网络封包中至少部分的该恶意程序,或者根据该阻挡指令阻挡该另一网络封包。
17.根据权利要求10所述的恶意程序防护系统,其特征在于,该进阶处理模块还用以模拟一使用者行为,并且记录一应用程序或一网页反应于该使用者行为而执行的一异常行为,
其中若该异常行为不合法,该进阶处理模块还用以产生对应于该应用程序或该网页的一过滤规则,并发送一更新指令,
其中该第一网络模块还用以从该恶意程序分析装置中接收该更新指令,并且该初步处理模块还用以根据该更新指令,新增对应于该应用程序或该网页的该过滤规则至该过滤表格。
18.根据权利要求10所述的恶意程序防护系统,其特征在于,若该电子装置所在的一网络环境内存在至少一高传染性恶意程序,该进阶处理模块还用以通过该第二网络模块发送一网络管制指令,
其中该第一网络模块还用以从该恶意程序分析装置接收该网络管制指令,并且该初步处理模块还用以根据该网络管制指令,管制至少部分该第一网络模块与网际网络的连线。
19.一种过滤表格更新方法,其特征在于,所述过滤表格更新方法包括:
由一电子装置根据至少一恶意程序特征组对一网络封包执行至少一恶意程序特征检查程序,以产生该网络封包的一特征信息,并将该网络封包的该特征信息上传至该恶意程序分析装置;
由该恶意程序分析装置根据该网络封包的该特征信息判断该网络封包是否包含一恶意程序;
若该网络封包包含该恶意程序时,由该恶意程序分析装置产生对应于该恶意程序的一过滤规则,并且发送一更新指令;以及
由该电子装置从该恶意程序分析装置接收该更新指令,且根据该更新指令新增对应于该恶意程序的该过滤规则至一过滤表格。
20.根据权利要求19所述的过滤表格更新方法,其特征在于,该至少一恶意程序特征组中的一第一恶意程序特征组包括多个恶意程序特征,并且上述由该电子装置根据所述至少一恶意程序特征组对该网络封包执行所述至少一恶意程序特征检查程序的步骤包括:
在对应于第一恶意程序特征组的一第一恶意程序特征检查程序中,由该电子装置根据所述恶意程序特征对应在该网络封包中的一位置顺序,依序检查该网络封包中的数据。
21.根据权利要求19所述的过滤表格更新方法,其特征在于,该恶意程序分析装置存储有对应于所述至少一恶意程序特征组的至少一恶意程序脚本,并且上述由该恶意程序分析装置根据该网络封包的该特征信息判断该网络封包是否包含该恶意程序的步骤包括:
由该恶意程序分析装置根据所述至少一恶意程序脚本重新排序该网络封包的该特征信息;以及
由该恶意程序分析装置根据排序后的该特征信息判断该网络封包是否包含该恶意程序。
22.根据权利要求19所述的过滤表格更新方法,其特征在于,所述过滤表格更新方法还包括:
由该恶意程序分析装置模拟一使用者行为,并且记录一应用程序或一网页反应于该使用者行为而执行的一异常行为;
若该异常行为不合法,由该恶意程序分析装置产生对应于该应用程序或该网页的一过滤规则,并发送一更新指令;以及
由该电子装置从该恶意程序分析装置接收该更新指令,且根据该更新指令,新增对应于该应用程序或该网页的该过滤规则至该过滤表格。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102138749A TWI515600B (zh) | 2013-10-25 | 2013-10-25 | 惡意程式防護方法與系統及其過濾表格更新方法 |
| TW102138749 | 2013-10-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580133A true CN104580133A (zh) | 2015-04-29 |
| CN104580133B CN104580133B (zh) | 2017-11-21 |
Family
ID=52997035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310559436.XA Active CN104580133B (zh) | 2013-10-25 | 2013-11-12 | 恶意程序防护方法与系统及其过滤表格更新方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9203804B2 (zh) |
| CN (1) | CN104580133B (zh) |
| TW (1) | TWI515600B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106557689A (zh) * | 2015-09-25 | 2017-04-05 | 纬创资通股份有限公司 | 恶意程序码分析方法与系统、数据处理装置及电子装置 |
| CN114491543A (zh) * | 2022-04-19 | 2022-05-13 | 南京伟跃网络科技有限公司 | 一种针对新出现恶意代码的分析方法 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015075808A (ja) * | 2013-10-07 | 2015-04-20 | 富士通株式会社 | ネットワークフィルタリング装置及びネットワークフィルタリング方法 |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US10965711B2 (en) * | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| TWI578262B (zh) * | 2015-08-07 | 2017-04-11 | 緯創資通股份有限公司 | 風險評估系統及資料處理方法 |
| EP3341884B1 (en) | 2015-08-25 | 2021-12-15 | Volexity, Inc. | Systems methods and devices for memory analysis and visualization |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10063435B2 (en) * | 2016-04-11 | 2018-08-28 | The Boeing Company | System and method for context aware network filtering |
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| TWI672609B (zh) * | 2017-12-27 | 2019-09-21 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
| WO2021106172A1 (ja) * | 2019-11-28 | 2021-06-03 | 日本電信電話株式会社 | ルール生成装置およびルール生成プログラム |
| US11785028B1 (en) * | 2022-07-31 | 2023-10-10 | Uab 360 It | Dynamic analysis for detecting harmful content |
| CN117220911B (zh) * | 2023-08-11 | 2024-03-29 | 释空(上海)品牌策划有限公司 | 一种基于协议深度分析的工控安全审计系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655518A (zh) * | 2004-02-13 | 2005-08-17 | Lgn-Sys株式会社 | 网络安全系统和方法 |
| US20060064755A1 (en) * | 2004-09-21 | 2006-03-23 | Agere Systems Inc. | Methods and apparatus for interface adapter integrated virus protection |
| CN102289614A (zh) * | 2010-06-18 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件系统及其操作方法 |
| CN102769607A (zh) * | 2011-12-30 | 2012-11-07 | 北京安天电子设备有限公司 | 一种基于网络数据包检测恶意代码的方法和系统 |
| CN103324615A (zh) * | 2012-03-19 | 2013-09-25 | 哈尔滨安天科技股份有限公司 | 基于搜索引擎优化的钓鱼网站探测方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI20041681A0 (fi) * | 2004-12-29 | 2004-12-29 | Nokia Corp | Liikenteen rajoittaminen kommunikaatiojärjestelmissä |
| KR101389682B1 (ko) | 2011-08-25 | 2014-04-28 | 주식회사 팬택 | 바이러스 피해를 방지하는 시스템 및 방법 |
| US9171160B2 (en) * | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
-
2013
- 2013-10-25 TW TW102138749A patent/TWI515600B/zh active
- 2013-11-12 CN CN201310559436.XA patent/CN104580133B/zh active Active
-
2014
- 2014-02-11 US US14/177,230 patent/US9203804B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1655518A (zh) * | 2004-02-13 | 2005-08-17 | Lgn-Sys株式会社 | 网络安全系统和方法 |
| US20060064755A1 (en) * | 2004-09-21 | 2006-03-23 | Agere Systems Inc. | Methods and apparatus for interface adapter integrated virus protection |
| CN102289614A (zh) * | 2010-06-18 | 2011-12-21 | 三星Sds株式会社 | 反恶意软件系统及其操作方法 |
| CN102769607A (zh) * | 2011-12-30 | 2012-11-07 | 北京安天电子设备有限公司 | 一种基于网络数据包检测恶意代码的方法和系统 |
| CN103324615A (zh) * | 2012-03-19 | 2013-09-25 | 哈尔滨安天科技股份有限公司 | 基于搜索引擎优化的钓鱼网站探测方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106557689A (zh) * | 2015-09-25 | 2017-04-05 | 纬创资通股份有限公司 | 恶意程序码分析方法与系统、数据处理装置及电子装置 |
| CN106557689B (zh) * | 2015-09-25 | 2019-06-07 | 纬创资通股份有限公司 | 恶意程序码分析方法与系统、数据处理装置及电子装置 |
| US10599851B2 (en) | 2015-09-25 | 2020-03-24 | Wistron Corporation | Malicious code analysis method and system, data processing apparatus, and electronic apparatus |
| CN114491543A (zh) * | 2022-04-19 | 2022-05-13 | 南京伟跃网络科技有限公司 | 一种针对新出现恶意代码的分析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150121450A1 (en) | 2015-04-30 |
| CN104580133B (zh) | 2017-11-21 |
| TW201516738A (zh) | 2015-05-01 |
| TWI515600B (zh) | 2016-01-01 |
| US9203804B2 (en) | 2015-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580133A (zh) | 恶意程序防护方法与系统及其过滤表格更新方法 | |
| US9832211B2 (en) | Computing device to detect malware | |
| US8726387B2 (en) | Detecting a trojan horse | |
| CN112468520B (zh) | 一种数据检测方法、装置、设备及可读存储介质 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| EP2790122A2 (en) | System and method for correcting antivirus records to minimize false malware detections | |
| WO2018182126A1 (ko) | 안전 소프트웨어 인증 시스템 및 방법 | |
| CN104067283A (zh) | 识别移动环境的木马化应用程序 | |
| CN105357204B (zh) | 生成终端识别信息的方法及装置 | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN104769598A (zh) | 用于检测非法应用程序的系统和方法 | |
| CN102868699A (zh) | 一种提供数据交互服务的服务器的漏洞检测方法及工具 | |
| Wu et al. | Detect repackaged android application based on http traffic similarity | |
| CN116303290A (zh) | 一种office文档检测方法及装置、设备及介质 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| CN109818972B (zh) | 一种工业控制系统信息安全管理方法、装置及电子设备 | |
| CN105207842B (zh) | Android外挂特征检测的方法及系统 | |
| CN110099041A (zh) | 一种物联网防护方法及设备、系统 | |
| CN103139169A (zh) | 基于网络行为的病毒检测系统和方法 | |
| CN111158736B (zh) | 一种智能捕获windows操作系统补丁更新文件的方法 | |
| CN114398994A (zh) | 基于图像识别的业务异常检测方法、装置、设备及介质 | |
| CN114567678A (zh) | 一种云安全服务的资源调用方法、装置及电子设备 | |
| CN109714371B (zh) | 一种工控网络安全检测系统 | |
| CN112600816B (zh) | 一种入侵防御方法、系统及相关设备 | |
| CN114785691B (zh) | 网络安全管控方法、装置、计算机设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |