CN106462703B - 补丁文件分析系统与分析方法 - Google Patents
补丁文件分析系统与分析方法 Download PDFInfo
- Publication number
- CN106462703B CN106462703B CN201580026121.6A CN201580026121A CN106462703B CN 106462703 B CN106462703 B CN 106462703B CN 201580026121 A CN201580026121 A CN 201580026121A CN 106462703 B CN106462703 B CN 106462703B
- Authority
- CN
- China
- Prior art keywords
- information
- patch
- file
- reference information
- mentioned
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及一种补丁文件分析系统与分析方法,其针对应用程序的补丁文件在动作样式及形态等处判断其和现有文件相似与否并且判断补丁文件是否进行高危险性行为而检测出伪装成补丁文件的文件,该系统包括:程序分析模块,收集应用程序的安装信息后设定为基准信息;基准信息DB,保存上述基准信息;补丁文件分析模块,分析上述应用程序的补丁文件后把该分析信息设定为补丁信息;及比较模块,在上述基准信息DB搜索对应于上述补丁信息的基准信息并且比较上述补丁信息与基准信息。
Description
技术领域
本发明涉及一种针对应用程序的补丁文件在在动作样式及形态等处判断其和现有文件相似与否并且判断补丁文件是否进行高危险性行为而检测出被包含在补丁文件地侵入的恶性代码、病毒、后门、性能下降代码等的补丁文件分析系统与分析方法。
背景技术
在电脑技术领域中补丁(patch)指的是修改安装在电脑等处的各种应用程序或数据之类的缺陷或者把应用程序或数据之类的现有信息改成最新信息的动作。因此安装在电脑的各种应用程序能够安装定期提供的补丁文件而进行补丁并且让使用者能够通过上述补丁稳定地使用该应用程序。
但是随着社会工程型攻击的发达而发生很多问题,例如,恶性代码伪装成正常补丁文件后发行分布或者导致补丁文件被恶性代码感染或隐藏后门而让安装了该补丁文件的系统严重故障。
虽然出现了如此严重的问题,但目前为止依然完全没有开发出能够针对应用程序的更新文件(补丁文件)是否为上述应用程序的该软件商所提供的补丁文件进行判断的方法,因此频繁地发生补丁文件导致电脑感染恶性代码的情形。
为了解决上述问题,现有的扫毒程序采取的方法为,确定恶性代码之类的动作样式并且一旦捕捉到该动作样式则视为受到恶性代码感染,然后对其进行治疗。
但是,现有的扫毒程序只能判断补丁文件是否为恶性代码而无法判断出该补丁文件是不是由上述软件商制作的正常补丁文件。而且,没有动作样式信息时无法判断是否感染了恶性代码,针对感染与否的判断集中在动作样式的分析,因此现有的扫毒程序完全无法检测出基于逻辑炸弹、隐藏代码等的新型恶性代码。
发明内容
发明要解决的问题
本发明旨在解决上述问题,本发明的目的是提供一种补丁文件分析系统与分析方法,其针对应用程序的补丁文件在动作样式、文件形态方面判断其和现有正常应用程序文件是否具有相似性并且进一步掌握补丁文件的危险行为而使得使用者能够判别该补丁文件是否为正常补丁文件。
解决问题的技术方案
为了达到上述目的而提供一种补丁文件分析系统,该系统包括:
程序分析模块,收集应用程序上设定的配置信息后生成基准信息;
基准信息DB,保存上述基准信息;
补丁文件分析模块,分析上述应用程序的补丁文件并且把上述补丁文件所设定的配置信息生成为补丁信息;及
比较模块,在上述基准信息DB搜索对应于上述补丁信息的基准信息并且比较上述补丁信息与基准信息.
发明的有益效果
上述本发明把收集于应用程序的安装程序文件(setup file)及现有补丁文件的基准信息和新补丁文件的补丁信息进行比较后判断是否包含着文件形态变化、新API调用之类的新危险行为,因此可以在补丁过程中避免安装危险的补丁文件。
附图说明
图1是示出根据本发明的分析系统的结构的块图。
图2是按序示出了利用本发明分析系统的分析方法的流程图。
图3是示出根据本发明的分析系统的其它实施例的块图。
图4是概略地示出根据本发明的补丁进行过程的流程图。
具体实施方式
下面将通过相关附图及详细说明明确揭示上述本发明的特征及效果,本发明所属领域中具有通常知识者将可凭此轻易地实现本发明的技术思想。本发明可以实现多样化的修改,也能具有各种形态,本说明书将以附图图示特定实施例并予以详细说明。然而,这不能把本发明局限在特定实施形态,在本发明的技术思想范畴内,可以进行各种置换、变形及修改,这对于本领域技术人员来说是非常明显的,因此该置换、变形及替代物属于本发明权利要求书的均等范围是理所当然的。本申请中使用的术语仅为说明特定实施例而使用,不得因此局限本发明。
下面结合附图详细说明实施本发明的具体内容。
图1是示出根据本发明的分析系统的结构的块图,下面结合该图进行说明。
补丁文件通常不包含那些大幅修改现有程序的功能或擅自接入系统敏感领域的代码。
根据本发明的分析系统100正是利用补丁文件的前述特征,其基本运作概念如下,当确认存在着新补丁文件大幅脱离现有程序的动作或者不同于以往地接入系统的敏感领域的代码时,对其进行检查并且把分析结果告知使用者。
本发明的分析系统100分析现有程序并保存系统的调用信息,针对保存着接入系统敏感领域的相关数据的危险知识库进行管理,分析新补丁文件并且分析其和现有程序的差异并且针对系统敏感领域的新的接入行为进行分析。
为此,根据本发明的分析系统100包括:程序分析模块120,针对任意终端收集应用程序的配置信息(包括属于应用程序的文件形态信息及动作样式信息等)后设定为基准信息;基准信息DB110,保存上述基准信息;补丁文件分析模块130,分析上述应用程序的补丁文件并收集文件形态信息及动作样式信息之类的分析信息后把上述分析信息设定为补丁信息;比较模块140,比较上述应用程序的基准信息与补丁信息。
如前所述,基准信息DB110把上述应用程序的配置信息及由正常补丁文件构成的配置信息(各文件的形态信息及动作样式信息等)保存为基准信息。
程序分析模块120生成上述基准信息。在根据本发明的实施例中,如前所述地分析上述应用程序的配置信息(文件形态信息及动作样式信息等)后生成基准信息,下面具体说明。
首先,形态信息是针对包含该应用程序的上述安装程序文件的配置文件的PE(Processing Element)结构变化进行了分析的基准信息,可以通过分析安装程序文件的PE头判别出其是否为恶性代码或者其和现有配置信息等的差异。
接着,动作样式信息是通过静态分析与动态分析(调试)实现的。
上述静态分析在没有执行应用程序的安装程序文件等的状态下确认并记录针对OS的API或服务函数调用历史。更详细地说,静态分析技术根据软件的静态表示(representation)推论出关于软件动作的信息。该分析技术和动态分析技术形成对比,动态分析技术则在软件动作时进行观察并收集信息。由于在没有执行代码的状态下分析而不需要测试用例(test case)。静态分析经过两个步骤过程。第一个步骤从软件的二进制文件提取语义信息(semantic information)。在第二个步骤利用该信息找出缺陷或所需要的其它特性。
上述动态分析在执行了上述安装程序文件的状态下确认并记录针对OS的API或服务函数的调用历史。通过静态分析或动态分析等可以确认该应用程序所调用及加载的API及服务函数(service function)目录,还能确认由补丁文件新添加的API及服务函数目录。
作为参考,可以通过上述静态分析与动态分析确认各函数使用的资源内容(文件及注册表等),凭此生成基准信息。例如, Createfile函数是一种生成或打开文件及I/O设备的函数,补丁文件主要使用该函数接入任意文件及I/O设备。程序分析模块120把Createfile函数的parameter指定为“接入对象文件”并且把安装程序文件的安装过程中Createfile函数所接入的文件清单包含在基准信息。之后,该应用程序的补丁文件被判断为正常补丁文件时,可以把补丁过程中Createfile函数所接入的文件清单持续更新到基准信息DB110。
如前所述,程序分析模块120掌握了对于上述应用程序文件的文件形态信息与动作样式信息等后生成基准信息,把如此生成的基准信息保存到基准信息DB110。
补丁文件分析模块130收集该应用程序的补丁文件的文件形态信息与动作样式信息等后生成补丁信息。补丁信息可以收集下列信息,该信息对应于作为基准信息的文件形态信息与动作样式信息。作为一例,补丁信息可以包括补丁时从OS调用的调用清单,其相应于基准信息的文件形态信息与动作样式信息所例示的API清单或服务函数清单等。
比较模块140在基准信息DB110搜索该应用程序的基准信息并且把补丁文件分析模块130所生成的补丁信息和上述基准信息予以比较。
对于该比较结果,如果基准信息与补丁信息存在着差异的话能以多种形态(doc、pdf、html等)的结果报告(report)输出该结果内容,之后,可以进一步判断补丁信息的危险度后将其包含在结果报告中。之后,管理员以结果报告为基础询问该应用程序的软件商200并质疑补丁文件是不是软件商200所发行的正常文件。如果从该软件商200处得知该补丁文件为正常则将上述补丁文件的补丁信息更新到基准信息并且对该文件进行补丁。补丁方式则适用现有公知公用的补丁技术,因此下面将省略其具体说明。
下面结合上述内容说明根据本发明的补丁分析方法。
图2是按序示出利用本发明分析系统的分析方法的流程图,下面结合该图进行说明。
S10:基准信息生成步骤
管理员以输入数据的方式把任意应用程序安装程序文件(例如setup文件)的配置信息输入程序分析模块120后设定为基准信息。而且,如果有正常补丁文件则把上述补丁文件配置信息也以输入数据的方式输入程序分析模块120地补强上述基准信息。
程序分析模块120则掌握所输入的应用程序的安装程序文件及正常补丁文件的信息后生成该应用程序的基准信息,如前所述,上述基准信息包含安装程序文件及正常补丁文件的形态信息与动作样式信息。程序分析模块120收集形态信息与动作样式信息的技术如前所述,下面将不另外进行说明。
S20:补丁信息确认步骤
补丁文件分析模块130收集用于该应用程序的新补丁的补丁文件的文件形态信息与动作样式信息等后生成补丁信息。补丁信息可以和作为基准信息的文件的形态信息与动作样式信息对应地进行收集。可以包括补丁时从OS调用的调用清单,其相应于基准信息的文件形态信息与动作样式信息所例示的API清单或服务函数清单等。
S30:比较步骤
为了执行应用程序通常需要调用OS所提供的API,对于OS的应用程序的API调用情形通常不会在补丁前后出现较大差异。因此补丁文件执行了无法从现有应用程序的API调用情形中确定的新API的话,把上述补丁文件归类为需要确认其是否为软件商200所提供的正常补丁的对象。例如,病毒之类的恶性代码为了占用其它进程(process)的资源而使用的代表性API可以举例CreateRemoteThread()。CreateRemoteThread()是一种生成其它进程所执行的thread的API函数,需要以其它进程权限执行时使用。而且也能通过CreateRemoteThread API对其它DLL进行注入(injection)。因此,可以利用CreateRemoteThread()针对相对于其它DLL的动作采取迂回或使其无效。凭此,基准信息原来没有使用CreateRemoteThread()API却在补丁信息添加了该API的话就能将其归类为危险。而且,为了接入MBR(master boot record),不能以文件为单位接入硬盘(disk)而需要以物理方式接入硬盘,此时,CreateFile API调用的参数会变成CreateFile("\\\\.\\PhysicalDrive0",…)形态。把能够感染、破坏系统的该重要API、调用API时的参数、驱动程序(driver)、服务、网络等全部包含在上述基准信息并且针对基于补丁文件的补丁信息和上述基准信息进行比较。例如,根据为了比较某一个应用程序的补丁而针对该应用程序的历次补丁信息进行积累分析的结果,基准信息(包含现有的补丁文件)上无法确认的CreateRemoteThread()却在补丁信息确认了调用该CreateRemoteThread(),就能怀疑该补丁文件不是软件商200所提供的正常补丁文件。
如前所述,比较模块140把补丁文件分析模块130所生成的补丁信息和该应用程序的基准信息进行比较后判断其是否有差异。为此,比较模块140在基准信息DB110搜索关于该补丁文件的应用程序的基准信息并且把搜索到的基准信息和上述补丁信息进行比较。
更进一步,对于API及服务项的调用,可以通过反汇编程序跟踪参数并且和应用程序的基准信息进行比较。例如,补丁文件的补丁中所调用的API或服务项不是执行该应用程序时需要的资源并且还接入无法在基准信息确认的其它应用程序的资源或系统资源(System Resource)时,可以和基准信息进行比较,然后可以在后述危险性判断步骤S40根据资源的重要性视为“危险”。作为参考,系统关键资源(System Critical Resource)可以举例如下,MBR之类的硬盘物理R/W(READ/WRITE);加载(load)装置驱动程序、加载系统服务、API Message HOOK、HOST文件篡改、网络通信等。
如前所述,比较模块140在补丁信息和现有信息不同时把该信息记录到结果报告。
图3是示出根据本发明的分析系统的其它实施例的块图,图4是概略地示出根据本发明的补丁进行过程的流程图,下面结合图2 和该2图说明根据本发明的分析系统及分析方法。
S40:危险性判断步骤
比较模块140针对补丁文件分析模块130所生成的补丁信息和该应用程序的基准信息进行比较并且判断动作样式信息不同或文件形态不同时,危险判断模块170从危险知识库160搜索该补丁信息的危险度等级后输出补丁文件的危险度。作为参考,危险知识库160根据危险度把针对OS的动作行为或OS的动作行为予以等级化后保存,危险判断模块170把比较模块140比较上述基准信息与补丁信息后所确认的比较内容和上述危险知识库160的动作行为加以比较后搜索相应的危险度并予以输出。
例如,关于危险度等级的信息可以通过掌握所接入的参数而判断出具体的危险性,系统关键资源(System Critical Resource)可以举例如下,MBR之类的硬盘(PhysicalDrive0)物理R/W(READ/WRITE);加载装置驱动程序、加加载系统服务、APIMessage HOOK、HOST文件篡改、网络通信之类的接入。亦即,如果在该补丁信息添加了无法在基准信息确认的其它IP的网络通信,则将该补丁视为“危险”。而且,作为接入文件进行读/写时运用的函数,CreateFile函数的参数为PhysicalDrive0时,表示其在接入系统启动时所需要的MBR领域,同样地将该补丁视为“危险”。而且,如果在该劫持中确认了创建出其名字与视窗之类的操作系统所使用的公用文件(ex,EXE.dll,ntdll.dll,kernel32.dll等)相同的文件或更改名字的劫持信息,则同样地和基准信息进行比较而把该补丁视为“危险”。作为参考,ntdll.dll之类的OS(ex,Windows)的公用文件是所有应用程序在运行时使用的构成要素,该文件遭破坏时OS本身以及安装在上述电脑的应用程序将无法正常动作。
S50 :报告及质疑步骤
以上述步骤所导出的结果报告为基础,管理员询问软件商200上述补丁文件是否是该应用程序软件商200所提供的正常补丁文件。如果确认了该补丁文件为软件商200所提供的正常补丁文件则按照先前方式进行补丁并且把该补丁信息更新到基准信息。如果该补丁文件不是软件商200提供的而是伪装的补丁文件则采取措施以避免进行补丁。
在前面的本发明详细说明中结合本发明的优选实施例进行了说明,但熟悉本技术领域的技术人员或本领域中具备通常知识者可以在不脱离权利要求书所记载的本发明思想及技术领域的范围内对本发明进行各种修改及变形。
Claims (3)
1.一种补丁文件分析系统,其包括:
程序分析模块,收集应用程序上设定的配置信息后生成基准信息;
基准信息数据库,保存上述基准信息;
补丁文件分析模块,分析上述应用程序的补丁文件并且把上述补丁文件所设定的配置信息生成为补丁信息;及
比较模块,在上述基准信息数据库搜索对应于上述补丁信息的基准信息并且比较上述补丁信息与基准信息;
上述基准信息包括在上述应用程序的安装前、后的API调用清单与服务函数调用清单中选择一个以上进行收集后得到的动作样式信息,
上述基准信息还包括把上述应用程序所配置的文件的PE(Processing element)结构变化信息清单进行收集后得到的文件形态信息,
上述补丁信息是在上述补丁文件的安装前、后的API调用清单与服务函数调用清单中选择一个以上进行收集后得到的。
2.根据权利要求1所述的补丁文件分析系统,其特征在于,
还包括:
危险知识库,根据危险度把动作行为予以等级化;及
危险判断模块,把上述比较模块比较上述基准信息与补丁信息后确认的比较内容和上述危险知识库的动作行为进行比较并且搜索相应的危险度。
3.根据权利要求1所述的补丁文件分析系统,其特征在于,
上述基准信息包括从应用程序的二进制文件提取语义信息后确认的静态分析信息,上述补丁信息包括从补丁文件的二进制文件提取语义信息后确认的静态分析信息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140061759A KR101647487B1 (ko) | 2014-05-22 | 2014-05-22 | 패치파일 분석시스템과 분석방법 |
| KR10-2014-0061759 | 2014-05-22 | ||
| PCT/KR2015/002797 WO2015178578A1 (ko) | 2014-05-22 | 2015-03-23 | 패치파일 분석시스템과 분석방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106462703A CN106462703A (zh) | 2017-02-22 |
| CN106462703B true CN106462703B (zh) | 2019-08-02 |
Family
ID=54554213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580026121.6A Active CN106462703B (zh) | 2014-05-22 | 2015-03-23 | 补丁文件分析系统与分析方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10235520B2 (zh) |
| JP (1) | JP6455738B2 (zh) |
| KR (1) | KR101647487B1 (zh) |
| CN (1) | CN106462703B (zh) |
| WO (1) | WO2015178578A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US11019101B2 (en) * | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| KR101893518B1 (ko) * | 2016-10-28 | 2018-10-04 | 한국전자통신연구원 | 제어 시스템의 업데이트 관리 장치, 업데이트 검증 장치 및 그 방법 |
| US10834113B2 (en) | 2017-07-25 | 2020-11-10 | Netskope, Inc. | Compact logging of network traffic events |
| US20190163463A1 (en) * | 2017-11-30 | 2019-05-30 | International Business Machines Corporation | Relational patch orchestration |
| US10833962B2 (en) | 2017-12-14 | 2020-11-10 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| US10972366B2 (en) | 2017-12-14 | 2021-04-06 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| US11025511B2 (en) | 2017-12-14 | 2021-06-01 | International Business Machines Corporation | Orchestration engine blueprint aspects for hybrid cloud composition |
| CN108268777B (zh) * | 2018-01-18 | 2020-06-30 | 中国人民大学 | 一种利用补丁信息进行未知漏洞发现的相似性检测方法 |
| CN108388442B (zh) * | 2018-01-22 | 2021-06-08 | 深圳市亿道数码技术有限公司 | 一种安卓系统中固件的补丁管理方法及系统 |
| CN108989094B (zh) * | 2018-06-27 | 2021-08-27 | 新华三技术有限公司合肥分公司 | 补丁包的安装方法及装置 |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| CN111241307A (zh) * | 2020-01-23 | 2020-06-05 | 复旦大学 | 面向软件系统的软件项目及第三方库知识图谱构造方法 |
| US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
| US12015619B2 (en) | 2021-01-30 | 2024-06-18 | Netskope, Inc. | Dynamic routing of access request streams in a unified policy enforcement system |
| US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
| US11947682B2 (en) | 2022-07-07 | 2024-04-02 | Netskope, Inc. | ML-based encrypted file classification for identifying encrypted data movement |
| KR20240085924A (ko) * | 2022-12-08 | 2024-06-18 | 레드펜소프트 주식회사 | 수요자 관점의 sbom 기반 설치파일 비교 분석을 통한 위협 요인 검출시스템과 검출방법 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101819525A (zh) * | 2009-02-27 | 2010-09-01 | 国际商业机器公司 | 用于查找系统中应用的配置文件的方法和设备 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| CN103077344A (zh) * | 2011-08-24 | 2013-05-01 | 株式会社泛泰 | 终端和使用该终端提供应用的风险的方法 |
| CN103218241A (zh) * | 2013-04-19 | 2013-07-24 | 华为技术有限公司 | 补丁加载方法和装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH09171460A (ja) * | 1995-12-20 | 1997-06-30 | Hitachi Ltd | 計算機の診断システム |
| KR20020031500A (ko) * | 2000-10-20 | 2002-05-02 | 김영돈, 정춘보 | 정품 프로그램에 대해 갱신하는 방법 |
| JP2004258777A (ja) * | 2003-02-24 | 2004-09-16 | Fujitsu Ltd | セキュリティ管理装置、セキュリティ管理システム、セキュリティ管理方法、セキュリティ管理プログラム |
| US20050005152A1 (en) * | 2003-07-01 | 2005-01-06 | Navjot Singh | Security vulnerability monitor |
| KR100666562B1 (ko) * | 2005-08-11 | 2007-01-09 | 주식회사 웨어플러스 | 커널 드라이버 및 프로세스 보호 방법 |
| JP2009171460A (ja) * | 2008-01-18 | 2009-07-30 | Sony Corp | 通信装置、発振器、並びに周波数シンセサイザ |
| KR20090097522A (ko) * | 2008-03-12 | 2009-09-16 | 윤영세 | 파일 고유값을 이용한 서비스 방법 및 그 기록매체 |
| US8239940B2 (en) * | 2008-12-25 | 2012-08-07 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
| US8595836B2 (en) * | 2008-12-25 | 2013-11-26 | Trusteer Ltd. | Functional patching/hooking detection and prevention |
| JP2010262609A (ja) * | 2009-04-28 | 2010-11-18 | Fourteenforty Research Institute Inc | 効率的なマルウェアの動的解析手法 |
| KR20130114672A (ko) * | 2011-01-19 | 2013-10-17 | 인터내셔널 비지네스 머신즈 코포레이션 | 소프트웨어를 업데이트하는 장치 및 방법 |
| JP5665188B2 (ja) * | 2011-03-31 | 2015-02-04 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | ソフトウエア更新を適用した情報処理装置を検査するシステム |
| KR101324691B1 (ko) * | 2011-12-08 | 2013-11-04 | 한국인터넷진흥원 | 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법 |
-
2014
- 2014-05-22 KR KR1020140061759A patent/KR101647487B1/ko active IP Right Grant
-
2015
- 2015-03-23 CN CN201580026121.6A patent/CN106462703B/zh active Active
- 2015-03-23 JP JP2016567731A patent/JP6455738B2/ja active Active
- 2015-03-23 US US15/312,028 patent/US10235520B2/en active Active
- 2015-03-23 WO PCT/KR2015/002797 patent/WO2015178578A1/ko active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101819525A (zh) * | 2009-02-27 | 2010-09-01 | 国际商业机器公司 | 用于查找系统中应用的配置文件的方法和设备 |
| CN102012990A (zh) * | 2010-12-16 | 2011-04-13 | 北京安天电子设备有限公司 | 第三方软件漏洞的修补方法和装置 |
| CN103077344A (zh) * | 2011-08-24 | 2013-05-01 | 株式会社泛泰 | 终端和使用该终端提供应用的风险的方法 |
| CN103218241A (zh) * | 2013-04-19 | 2013-07-24 | 华为技术有限公司 | 补丁加载方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2017527864A (ja) | 2017-09-21 |
| KR101647487B1 (ko) | 2016-08-10 |
| WO2015178578A1 (ko) | 2015-11-26 |
| CN106462703A (zh) | 2017-02-22 |
| US20170076094A1 (en) | 2017-03-16 |
| KR20150134679A (ko) | 2015-12-02 |
| JP6455738B2 (ja) | 2019-01-23 |
| US10235520B2 (en) | 2019-03-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106462703B (zh) | 补丁文件分析系统与分析方法 | |
| JP6829718B2 (ja) | 複数のソフトウェアエンティティにわたって悪意あるビヘイビアを追跡するためのシステムおよび方法 | |
| KR101122650B1 (ko) | 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법 | |
| JP4807970B2 (ja) | 自動開始拡張ポイントを介したスパイウェアおよび不要ソフトウェアの管理 | |
| EP2701092A1 (en) | Method for identifying malicious executables | |
| KR101260028B1 (ko) | 악성코드 그룹 및 변종 자동 관리 시스템 | |
| CN100527147C (zh) | 一种网页安全信息检测系统及方法 | |
| Trickel et al. | Everyone is different: Client-side diversification for defending against extension fingerprinting | |
| Gianazza et al. | Puppetdroid: A user-centric ui exerciser for automatic dynamic analysis of similar android applications | |
| CN104573515A (zh) | 一种病毒处理方法、装置和系统 | |
| Andow et al. | A study of grayware on google play | |
| US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
| KR100968126B1 (ko) | 웹쉘 탐지 시스템 및 웹쉘 탐지 방법 | |
| Yang et al. | APKLancet: tumor payload diagnosis and purification for android applications | |
| Fleck et al. | Pytrigger: A system to trigger & extract user-activated malware behavior | |
| Druffel et al. | Davinci: Android app analysis beyond frida via dynamic system call instrumentation | |
| Chew et al. | ESCAPADE: Encryption-type-ransomware: System call based pattern detection | |
| KR101345740B1 (ko) | 활성 포렌식 기술을 이용한 연관성 분석 기반 악성코드 탐지 시스템 | |
| Ameer | Android ransomware detection using machine learning techniques to mitigate adversarial evasion attacks | |
| KR20130074224A (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
| Pendergrass et al. | Lkim: The linux kernel integrity measurer | |
| CN115396140A (zh) | 应用访问控制方法、装置、存储介质及计算机设备 | |
| Riley | A framework for prototyping and testing data-only rootkit attacks | |
| Singh et al. | Program Execution Analysis using UserAssist Key in Modern Windows. | |
| Balogh et al. | New direction for malware detection using system features |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200611 Address after: 2 / F, No.26, Sanpu Road, Guochuan City, Gyeonggi, Korea (Zhuyan cave) Patentee after: SOFTCAMP Co.,Ltd. Address before: Seoul special city Patentee before: SOFTCAMP Co.,Ltd. |