CN106557689B - 恶意程序码分析方法与系统、数据处理装置及电子装置 - Google Patents
恶意程序码分析方法与系统、数据处理装置及电子装置 Download PDFInfo
- Publication number
- CN106557689B CN106557689B CN201510660418.XA CN201510660418A CN106557689B CN 106557689 B CN106557689 B CN 106557689B CN 201510660418 A CN201510660418 A CN 201510660418A CN 106557689 B CN106557689 B CN 106557689B
- Authority
- CN
- China
- Prior art keywords
- rogue program
- program code
- code
- suspect files
- probability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 title claims abstract description 92
- 238000004458 analytical method Methods 0.000 title claims abstract description 75
- 238000000034 method Methods 0.000 claims description 97
- 230000003542 behavioural effect Effects 0.000 claims description 44
- 238000012544 monitoring process Methods 0.000 claims description 42
- 238000004891 communication Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 8
- 239000004576 sand Substances 0.000 claims 1
- 230000006399 behavior Effects 0.000 abstract description 12
- 230000001681 protective effect Effects 0.000 abstract description 2
- 241000700605 Viruses Species 0.000 description 14
- 229960005486 vaccine Drugs 0.000 description 8
- 238000003066 decision tree Methods 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 6
- 244000035744 Hura crepitans Species 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 4
- 230000002155 anti-virotic effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 3
- 201000010099 disease Diseases 0.000 description 3
- 208000037265 diseases, disorders, signs and symptoms Diseases 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000013145 classification model Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007418 data mining Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000002574 poison Substances 0.000 description 1
- 231100000614 poison Toxicity 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000007480 spreading Effects 0.000 description 1
- 230000002110 toxicologic effect Effects 0.000 description 1
- 231100000027 toxicology Toxicity 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
一种恶意程序码分析方法与系统、数据处理装置及电子装置。通过数据处理装置自电子装置接收可疑档案对应的行为特征数据,以对行为特征数据进行分析。比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据,而获得比对结果。并且,基于比对结果,获得可疑档案对应的代表攻击码,并传送代表攻击码对应的防护措施至电子装置。通过实施本发明,即便是未知的恶意码程序,可经由学习来获得对应的防护措施。
Description
技术领域
本发明是有关于一种数据安全机制,且特别是有关于一种恶意程序码分析方法与系统、数据处理装置及电子装置。
背景技术
随着科技的演进与创新,网际网络除了促进全球的信息交流外,愈来愈多人的生活形态从现实社会中逐渐融入虚拟世界。因此,不少有心人士会通过网际网络来进行恶意攻击。而电脑病毒是其中一种恶意程序,会将程序自我复制或感染电脑中其他正常的程序或破坏电脑系统,进而导致电脑无法正常运作。
“电脑病毒免疫系统”发源于生物免疫技术,将防毒系统想象为注射某种病毒的免疫疫苗后,此电脑即可以对此病毒产生自然抵抗能力一样。而目前的防毒软件皆是等到病毒出现后,才能制定出清除它的办法,并无法针对未知病毒来进行防护动作。
发明内容
本发明提供一种恶意程序码分析方法与系统及数据处理装置,即便是未知的恶意码程序,可经由学习来获得对应的防护措施。
本发明的恶意程序码分析方法,包括:通过数据处理装置自电子装置接收可疑档案对应的行为特征数据,并由数据处理装置执行下列步骤。比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据,而获得比对结果。基于比对结果,获得可疑档案对应的代表攻击码,其中代表攻击码包括一个或多个恶意程序码。传送代表攻击码对应的防护措施至电子装置。
在本发明的一实施例中,在通过数据处理装置自电子装置接收可疑档案对应的行为特征数据之前,通过电子装置执行下列步骤。监控电子装置中是否存在有可疑档案。当检测到可疑档案时,建立沙箱(sandbox)模拟区域,以在沙箱模拟区域监测可疑档案。识别可疑档案是否符合电子装置所记录的已知恶意码类别;若识别出可疑档案对应的已知恶意码类别,转换可疑档案为已知恶意码类别对应的典型攻击码,并且套用典型攻击码对应的防护措施至沙箱模拟区域。若无法识别出可疑档案对应的已知恶意码类别,传送可疑档案对应的行为特征数据至数据处理装置。
在本发明的一实施例中,上述恶意程序码分析方法更包括:在电子装置接收到代表攻击码对应的防护措施之后,转换可疑档案为代表攻击码对应的典型攻击码,并且套用防护措施至沙箱模拟区域。
在本发明的一实施例中,在获得可疑档案对应的代表攻击码之后,更包括:储存代表攻击码对应的防护措施至数据处理装置的过滤数据库;以及在经过指定时间之后,自过滤数据库中读取防护措施,并传送防护措施至电子装置。
在本发明的一实施例中,在比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据,而获得比对结果的步骤中,通过信息熵(information entropy)理论,计算可疑档案与各恶意程序码之间的相似机率,其中相似机率为可疑档案与各恶意程序码之间相似的程度。在基于比对结果,获得可疑档案对应的代表攻击码的步骤中,比对各恶意程序码对应的相似机率与门槛值,以取出高于门槛值的相似机率所对应的一个或多个恶意程序码,来作为代表攻击码。
在本发明的一实施例中,在比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据,而获得比对结果的步骤中,通过信息熵理论,计算可疑档案与各恶意程序码之间的相似机率以及最小差异机率,其中相似机率为可疑档案与各恶意程序码之间相似的程度,最小差异机率为可疑档案与各恶意程序码之间不相似的程度。而基于比对结果,获得可疑档案对应的代表攻击码的步骤中,利用乐观(optimistic)法则、保守(conservation)法则以及遗憾(regret)法则其中之一,而基于比对结果来获得可疑档案对应的代表攻击码。
上述利用乐观法则的步骤包括:自上述相似机率中取出最大的相似机率,而以对应的恶意程序码来作为代表攻击码。上述利用保守法则的步骤包括:自上述最小差异机率中取出最大的最小差异机率,而以对应的恶意程序码来作为代表攻击码。上述利用遗憾法则的步骤包括:自上述相似机率中取出最大的一个作为第一基准值,并且自上述最小差异机率中取出最大的一个作为第二基准值;以第一基准值与上述相似机率相减而获得多个调整后相似值;以第二基准值与上述最小差异机率相减而获得多个调整后最小差异值;比对可疑档案与各恶意程序码对应的调整后相似值以及调整后最小差异值,以将最大的数值作为最后比对值;以及多个上述最后比对值中取出最小的一个,而以对应的恶意程序码来作为代表攻击码。
在本发明的一实施例中,在通过数据处理装置自电子装置接收可疑档案对应的行为特征数据之后,在硬件层中,辨识硬件运转行为;在操作系统层中,辨识系统处理效能;在档案层中,辨识恶意程序识别码;以及在应用层中,辨识应用程序的执行行为。
本发明的恶意程序码分析方法,包括:获得可疑档案对应的行为特征数据;比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据,而获得比对结果;基于比对结果,获得可疑档案对应的代表攻击码,其中代表攻击码包括一个或多个恶意程序码;以及采用代表攻击码对应的防护措施。
本发明的数据处理装置,包括:通讯单元、储存单元以及处理单元。处理单元耦接至通讯单元与储存单元。通讯单元与电子装置建立连线。储存单元包括恶意码程序库,储存有多个恶意程序码各自的恶意特征数据。处理单元自电子装置接收可疑档案对应的行为特征数据,并且比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据,而获得比对结果,并基于比对结果,获得可疑档案对应的代表攻击码;并且,处理单元通过通讯单元,传送代表攻击码对应的防护措施至电子装置。
本发明的恶意程序码分析系统,包括电子装置以及上述数据处理装置。数据处理装置自电子装置接收可疑档案对应的行为特征数据,以分析上述行为特征数据进而获得对应的防护措施。
本发明的电子装置,包括:储存单元以及处理单元。处理单元耦接至储存单元。储存单元包括恶意码程序库、监控模块以及分析模块,恶意码程序库储存有多个恶意程序码各自的恶意特征数据。处理单元执行该监控模块及该分析模块。在此,处理单元在通过监控模块检测到可疑档案时,通过分析模块来执行下列动作,包括:获得可疑档案对应的行为特征数据,比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据,而获得比对结果,并基于比对结果,获得可疑档案对应的代表攻击码,其中代表攻击码包括其中一个或多个恶意程序码,并且采用代表攻击码对应的防护措施。
基于上述,数据处理装置是一个具有智能且可进行恶意程序码分析的中心,可在发现无法识别是否为恶意程序(Malicious Program)的可疑档案时,进行恶意程序码的分析,并且提供对应的防护措施。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图式作详细说明如下。
附图说明
图1是依照本发明一实施例的恶意程序码分析系统的方块图。
图2是依照本发明一实施例的电子装置监控方法的流程图。
图3是依照本发明一实施例的恶意程序码分析方法的流程图。
图4是依照本发明另一实施例的电子装置的方块图。
附图标号
100 恶意程序码分析系统
110 第一处理单元
120 第一储存单元
121 恶意码程序库
122 分析模块
123 过滤数据库
130 第一通讯单元
140 第二处理单元
150 第二储存单元
151 监控模块
160 第二通讯单元
A 数据处理装置
B 电子装置
S205~S225 电子装置监控方法的各步骤
S305~S320 恶意程序码分析方法的各步骤
具体实施方式
图1是依照本发明一实施例的恶意程序码(malicious code)分析系统的方块图。恶意程序码分析系统100包括数据处理装置A以及电子装置B。数据处理装置A包括第一处理单元110、第一储存单元120以及第一通讯单元130。第一处理单元110耦接至第一储存单元120以及第一通讯单元130。电子装置B包括第二处理单元140、第二储存单元150以及第二通讯单元160。第二处理单元140耦接至第二储存单元150以及第二通讯单元160。
第一处理单元110及第二处理单元140例如为中央处理单元(central processingunit,CPU)、可程序化的微处理器(microprocessor)、嵌入式控制芯片、数字信号处理器(digital signal processor,DSP)、特殊应用集成电路(application specificintegrated circuits,ASIC)或其他类似装置。第一储存单元120及第二储存单元150例如为非挥发性存储器(non-volatile memory)、随机存取存储器(random access memory,ram)或硬盘等。第一通讯单元130及第二通讯单元160例如为支援有线或无线通讯协议的芯片。
数据处理装置A为具有智能且可进行恶意程序码分析的数据中心,例如为具有高运算能力的服务器。数据处理装置A自各方接收回馈信息,并基于所接收到的回馈信息来提供未知恶意程序码的分析及解决方法。当传送端(例如为电子装置B)检测到可疑档案,但其无法提供对应的防护措施,即,无法辨识可疑档案是否为恶意程序(Malicious Program)时,传送端可传送一分析请求至数据处理装置A,藉以由数据处理装置A通过机器学习演算法来学习出与可疑档案相关的防护措施,如隔离或清除。
在此,恶意程序码包括电脑病毒(computer virus)、电脑蠕虫(computer worm)、木马程序(trojan horse)、勒索软件(ransomware)、间谍软件(spyware)、广告软件(adware)、恐吓软件(scareware)等。
在数据处理装置A中,第一储存单元120包括恶意码程序库(malware library)121、分析模块122以及过滤数据库123。恶意码程序库121中储存了多个已知的恶意程序码各自的恶意特征数据。第一处理单元110执行分析模块122,而分析模块122经由机器学习演算法来学习出可疑档案对应的防护措施。分析模块122亦可通过使用者定义的原则(例如:对象、内容与时间)来产生防护措施,以保护电脑的安全。而分析模块122所产生的防护措施可储存在过滤数据库123中。
在企业端内,可根据对象的重要性来进一步设定安全政策。例如,针对协理级以上员工的使用端装置,进一步在安全政策中设定即使检测到中毒,也不要干扰工作环境。例如,在上班时间,仍然允许开启(open)、关闭(close)或执行(execute)等行为动作;在下班时间,则根据防护措施来决定隔离或清除已中毒的档案。而针对协理级以下员工,则可在上班时间,根据防护措施来决定隔离或清除已中毒的档案。
电子装置B例如为服务器、个人电脑、笔记本电脑、平板电脑、智能型手机、穿载式装置等具有运算能力的电子装置。在电子装置B中,第二储存单元150包括监控模块151。监控模块151例如为防毒软件(antivirus software)。在监控模块151被安装至电子装置B之后,由监控模块151来监控电子装置B的举动,并且可进一步扫描电子装置B的储存空间中是否含有电脑病毒、电脑蠕虫、木马程序等恶意程序码。
在监控模块151检测到电子装置B中存在可疑档案,且无法识别此可疑档案是否为恶意程序时,通过第二通讯单元160将可疑档案对应的行为特征数据传送至数据处理装置A,以通过分析模块122来进行分析。底下即针对电子装置B的监控方法以及数据处理装置A的恶意程序码分析方法分别举例来说明。
图2是依照本发明一实施例的电子装置监控方法的流程图。请参照图1及图2,在步骤S205中,通过监控模块151来监控电子装置B中是否存在有可疑档案。例如,与所储存的特征码(signature)或行为数据进行比对,以判断第二处理单元140目前执行的动作是否异常,藉此来判断被存取的档案或正在执行的程序是否可能已被恶意程序码所感染。举例来说,当档案被任何程序进行例如开启(open)、关闭(close)或执行(execute)等行为动作时,监控模块151会针对此行为动作来进行检测。例如,监控模块151比对上述行为动作与事前储存的行为数据,或者,监控模块151比对上述档案与事先储存的病毒特征码。在识别出上述行为动作或上述档案为异常时,判定上述程序或上述档案为可疑档案。
接着,在步骤S210中,当检测到可疑档案时,监控模块151建立沙箱(sandbox)模拟区域,以在沙箱模拟区域监测可疑档案。沙箱模拟区域可以视为一个有效区隔的安全区间,在沙箱模拟区域所产生的变动,不会对操作系统造成损害。因此,监控模块151在检测到可疑档案时,先将可疑档案移至沙箱模拟区域的环境。而在沙箱模拟区域内的可能是一个静态存在的数据或者是一个动态执行的行程(process)。
之后,在步骤S215中,监控模块151识别可疑档案是否符合其所记录的已知恶意码类别。监控模块151内记录有多个已知恶意码类别及其对应的防护措施。而当检测到可疑档案时,监控模块151会判断此可疑档案是否符合其中一种已知恶意码类别,若符合,则执行步骤S220;若无法识别可疑档案,则执行步骤S225。
若识别出可疑档案对应的已知恶意码类别,在步骤S220中,监控模块151会转换可疑档案为已知恶意码类别对应的典型攻击码,并且套用典型攻击码对应的防护措施至沙箱模拟区域。在此,防护措施为安全政策(policy)。
举例来说,在判定可疑档案为木马程序时,监控模块151将可疑档案转换为典型的木马程序,并且将典型的木马程序对应的防护措施套用至沙箱模拟区域。例如,清除或删除可疑档案;若无法清除,则迅速地隔离受感染的网络区段、抑制疫情扩散。
若无法识别出可疑档案对应的已知恶意码类别,在步骤S225中,通过第二通讯单元160传送可疑档案对应的行为特征数据至数据处理装置A。
对于监控模块151无法识别的可疑档案,电子装置B将可疑档案的行为特征数据馈送至一数据中心(即,数据处理装置A),经机器学习演算法来学习出可疑档案的防护措施。在此,防护措施为安全政策(亦可称为,电脑病毒疫苗)。数据处理装置A提供对应的电脑病毒疫苗给电子装置B,电子装置B基于电脑病毒疫苗来获得抗体(或称规则(rule)),并将抗体部署到沙箱模拟区域,以提高恶意程序码的过滤效率。
底下举例来说明通过数据处理装置A进行恶意程序码的分析流程。图3是依照本发明一实施例的恶意程序码分析方法的流程图。请同时参照图1及图3,在步骤S305中,数据处理装置A自电子装置B接收可疑档案对应的行为特征数据。数据处理装置A在接收到可疑档案对应的行为特征数据之后,经由分析模块122来分析行为特征数据。在此为方便说明,故以电子装置B作为其中一例,数据处理装置A亦可以自其他平台接收可疑档案。
在数据处理装置A接收到可疑档案对应的行为特征数据之后,可通过一层一层地学习,来获得与恶意攻击相关的征兆。例如,先在硬件层(第一层)中,学会如何辨识硬件运转行为。硬件运转行为包括硬件当机(hardware hang)、硬件重开机(restart)、风扇转速异常、高电源使用量、主机板温度过高等。接着,在操作系统层(第二层)中,学会如何辨识系统处理效能。系统处理效能包括处理速度下降、档案尺寸改变、系统资源下降、莫名端口被打开、操作不稳定、当机等。之后,在档案层中(第三层),学会如何辨识恶意程序的特征码(signature)。然后,在应用层(第四层)中,学会如何辨识应用程序的执行行为。执行行为包括尝试进行连结、自行复制、自行删除电脑文件、传送或接收数据、探测网络(probenetwork)、消除某些行程(process)。上述四层(第一层至第四层)的学习过程仅为举例说明,亦可以为三层、五层等,在此并不限定层数。
在步骤S310中,通过分析模块122来比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据,而获得比对结果。接着,在步骤S315中,基于比对结果,获得可疑档案对应的代表攻击码。在此,代表攻击码包括一个或多个恶意程序码。例如,可利用数据探勘(data mining)、机率或信息熵(information entropy)理论来找出与可疑档案最相似的代表攻击码。所谓信息熵理论是以信息出现机率来测度信息的不确定程度,进而建构出熵模式。
以夏农熵(Shannon entropy)而言,夏农熵是随机变数I(信息量)的期望值,反映了信息传输的平均信息量,即信息出现的机率愈大则熵值愈小,表示了当出现某种信息愈确定,则传输的平均信息量愈少,亦即信息出现的规则性愈大,不确定性程度低。具体涵义为,测度一事件信息的数量,称为信息量。一个可能事件所包含信息量是由信息发生的机率决定,发生机率愈大,所包含的信息量愈小,反之,发生机率愈小,则所包含的信息量愈大。
最后,在步骤S320中,分析模块122通过第一通讯单元130传送代表攻击码对应的防护措施至电子装置B。而在获得代表攻击码之后,分析模块122可储存代表攻击码对应的防护措施至数据处理装置A的过滤数据库123。在此,所获得的防护措施中包括可疑档案的识别信息以及代表攻击码的识别信息。在经过指定时间之后,分析模块122自过滤数据库123中读取防护措施,并传送防护措施至电子装置B。在此,指定时间可以是0秒或0秒以上。
通过上述方法,由数据处理装置A提供已知恶意码类别对应的电脑病毒疫苗,再将电脑病毒疫苗传送至电子装置B,并部署至电子装置B。据此,电子装置B的监控模块151会对此可疑档案进行防卫,即,基于电脑病毒疫苗来自行产生抗体,再将所获得的抗体套用到可疑档案对应的沙箱模拟区域中。
在此,数据处理装置A维护的恶意程序库121中包含许多疫苗(即防护措施)。电子装置B及其他平台通过收集经过确认的恶意程序码的恶意特征数据,将这些已知的恶意特征数据馈送至数据处理装置A,使数据处理装置A将基于这些恶意特征数据产生的特征码,定期或不定期更新至电子装置B及其他平台的监控模块151。
底下以信息熵理论来进一步说明上述步骤S310及S315。分析模块122通过信息熵理论,计算可疑档案与各恶意程序码之间的相似机率。在此,相似机率为可疑档案与各恶意程序码之间最相似的程度。举例来说,假设恶意程序库121中包括已知的恶意程序码“C01”、“C02”、“C03”。恶意程序码“C01”采取的防护措施为清除。恶意程序码“C02”采取的防护措施为隔离。恶意程序码“C03”采取的防护措施为清除、隔离。而经由信息熵理论来计算出可疑档案分别与恶意程序码“C01”、“C02”、“C03”的相似机率,如表1所示。
表1
| 与可疑档案的相似机率 | 防护措施 | |
| 恶意程序码“C01” | 80% | 清除 |
| 恶意程序码“C02” | 60% | 隔离 |
| 恶意程序码“C03” | 20% | 清除、隔离 |
分析模块122将上述相似机率与门槛值进行比对,以取出高于门槛值的相似机率所对应的一个或多个恶意程序码,来作为代表攻击码。例如,若门槛值设定为70%,则采用恶意程序码“C01”的防护措施。若门槛值设定为50%,则采用恶意程序码“C01”、“C02”两者的防护措施。也就是说,可以结合多个恶意程序码的防护措施。
另外,除了利用如上所述的门槛值方式之外,亦可导入决策树概念。决策树是一项建立分类模式(classification models)的方式之一,针对给定的数据利用归纳的方式产生树状结构的模式。为了要将输入的数据分类,决策树的每一个节点即为一个判断式,判断式针对一个变数去判断输入的数据大于或等于或小于某个数值,每一个节点因而可以将输入的数据分成若干类。决策树是同时提供分类和预测常用的方法。
分析模块122利用决策树来计算从不同已知的恶意特征数据的机率下,可采用的法则(criteria)。在本实施例中,提出底下三种法则,即,乐观(optimistic)法则、保守(conservation)法则以及遗憾(regret)法则。
具体而言,分析模块122通过信息熵理论,计算可疑档案与各恶意程序码之间的相似机率以及最小差异机率。在此,相似机率为可疑档案与各恶意程序码之间最相似的程度,最小差异机率为可疑档案与各恶意程序码之间最不相似的程度。
例如,假设恶意程序库121中包括已知的恶意程序码“C01”、“C02”、“C03”。并且,假设可疑档案的行为特征数据包括8个征兆,恶意程序码“C01”包括7个征兆,且恶意程序码“C01”中的5个征兆与可疑档案的行为特征数据最相似。故,利用信息熵理论的信息量公式,可以算出这些相似征兆的相似机率。而假设恶意程序码“C01”中的1个征兆与可疑档案的行为特征数据最不相似,则利用信息熵理论的信息量公式,可以算出上述不相似征兆的最小差异机率。表2所示为可疑档案分别与恶意程序码“C01”、“C02”、“C03”的相似机率以及最小差异机率。
表2
接着,分析模块122通过决策树来决定利用乐观法则、保守法则以及遗憾法则其中之一,而基于比对结果来获得可疑档案对应的代表攻击码。
所述乐观法则为:冒最大风险以求取最大利润。即,先就每一方案中选出最大报酬,然后再就其中挑选最大者。分析模块122自上述相似机率(即,最乐观)中取出最大的相似机率,而以对应的恶意程序码来作为代表攻击码。以表2为例,以恶意程序码“C01”作为代表攻击码,而采用恶意程序码“C01”的防护措施。
所述保守法则为:先从各方案中选一个最小收益值,再从这些最小收益值中选出一个最大收益值。分析模块122自上述最小差异机率(最悲观)中取出最大的最小差异机率,而以对应的恶意程序码来作为代表攻击码。以表2为例,以恶意程序码“C02”作为代表攻击码,而采用恶意程序码“C02”的防护措施。
所述遗憾法则为:比较各种方案的最大机会损失,然后选取其中最小者。进一步地说,分析模块122自上述相似机率中取出最大的一个作为第一基准值,并且自上述最小差异机率中取出最大的一个作为第二基准值。即,以恶意程序码“C01”的相似机率80%作为第一基准值,以恶意程序码“C02”的最小差异机率70%作为第二基准值。
接着,以第一基准值与上述相似机率相减而获得多个调整后相似值,并且以第二基准值与上述最小差异机率相减而获得多个调整后最小差异值,如表3所示。
表3
| 调整后相似值 | 调整后最小差异值 | 取最大 | |
| 恶意程序码“C01” | |80%-80%|=0 | |70%-40%|=30% | 30% |
| 恶意程序码“C02” | |80%-60%|=20% | |70%-70%|=0 | 20% |
| 恶意程序码“C03” | |80%-20%|=60% | |70%-50%|=20% | 60% |
然后,比对各恶意程序码自己的调整后相似值以及调整后最小差异值,以将最大的数值作为最后比对值。即,以恶意程序码“C01”而言,其调整后相似值为0,调整后最小差异值为30%,取最大值30%做为最后比对值。同理,恶意程序码“C02”的最后比对值为20%,恶意程序码“C03”的最后比对值为60%。
最后,自上述最后比对值中取出最小的一个,而以对应的恶意程序码来作为代表攻击码。即,以恶意程序码“C02”作为代表攻击码,而采用恶意程序码“C02”的防护措施。
然,决策方法有很多种,上述三种法则仅为举例说明,亦可以使用期望值、贝氏定理(Bayes’theorem)等,在此并不限制。
另外,在其他实施例中,倘若电子装置B的运算功能足够,亦可直接在电子装置B中进行恶意程序码的分析。举例来说,图4是依照本发明另一实施例的电子装置的方块图。请参照图4,在电子装置B中安装分析模块122,并且在第二储存单元150中建立恶意程码程序库121。在第二处理单元140通过监控模块151检测到电子装置B中存在可疑档案,且第二处理单元140无法识别出可疑档案对应的已知恶意码类别时,由安装在电子装置B的分析模块122来取得可疑档案对应的行为特征数据,藉以比对可疑档案对应的行为特征数据与电子装置B的恶意码程序库121所记录的多个恶意程序码各自的恶意特征数据,而获得比对结果。并且,第二处理单元140基于比对结果,获得可疑档案对应的代表攻击码(与步骤S310、S315相似)。最后,第二处理单元140采用代表攻击码对应的防护措施。
综上所述,在发现无法识别是否为恶意程序的可疑档案时,通过机器学习演算法来学习出与可疑档案相似的恶意程序码,并进一步对应的防护措施,如隔离或清除。据此,针对未知的可疑档案可以先行执行对应的防护措施,使其没有机会去蔓延传播。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视申请专利范围所界定者为准。
Claims (19)
1.一种恶意程序码分析方法,其特征在于,所述恶意程序码分析方法包括:
通过一数据处理装置自一电子装置接收一可疑档案对应的一行为特征数据,并由所述数据处理装置执行下列步骤,所述步骤包括:
比对所述可疑档案对应的所述行为特征数据与多个恶意程序码各自的一恶意特征数据,而获得一比对结果;
基于所述比对结果,获得所述可疑档案对应的一代表攻击码,其中所述代表攻击码包括所述恶意程序码其中一个或多个;以及
传送所述代表攻击码对应的一防护措施至所述电子装置;
比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得所述比对结果的步骤包括:
通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间最相似的程度,所述最小差异机率为所述可疑档案与每一所述恶意程序码之间最不相似的程度。
2.如权利要求1所述的恶意程序码分析方法,其特征在于,在通过所述数据处理装置自所述电子装置接收所述可疑档案对应的所述行为特征数据之前,所述电子装置执行下列步骤:
监控所述电子装置中是否存在有所述可疑档案;
当检测到所述可疑档案时,建立一沙箱模拟区域,以在所述沙箱模拟区域监测所述可疑档案;
识别所述可疑档案是否符合所述电子装置所记录的已知恶意码类别;
若识别出所述可疑档案对应的所述已知恶意码类别,转换所述可疑档案为所述已知恶意码类别对应的一典型攻击码,并且套用所述典型攻击码对应的防护措施至所述沙箱模拟区域;以及
若无法识别出所述可疑档案对应的所述已知恶意码类别,传送所述可疑档案对应的所述行为特征数据至所述数据处理装置。
3.如权利要求2所述的恶意程序码分析方法,其特征在于,所述恶意程序码分析方法更包括:
在所述电子装置接收到所述代表攻击码对应的所述防护措施之后,转换所述可疑档案为所述代表攻击码对应的典型攻击码,并且套用所述防护措施至所述沙箱模拟区域。
4.如权利要求1所述的恶意程序码分析方法,其特征在于,在获得所述可疑档案对应的所述代表攻击码的步骤之后,所述恶意程序码分析方法更包括:
储存所述代表攻击码对应的所述防护措施至所述数据处理装置的一过滤数据库;以及
在经过一指定时间之后,自所述过滤数据库中读取所述防护措施,并传送所述防护措施至所述电子装置。
5.如权利要求1所述的恶意程序码分析方法,其特征在于,比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得所述比对结果的步骤包括:
通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间相似的程度。
6.如权利要求5所述的恶意程序码分析方法,其特征在于,基于所述比对结果,获得所述可疑档案对应的所述代表攻击码的步骤包括:
比对每一所述恶意程序码对应的所述相似机率与一门槛值,以取出高于所述门槛值的所述相似机率所对应的一个或多个所述恶意程序码,来作为所述代表攻击码。
7.如权利要求1所述的恶意程序码分析方法,其特征在于,基于所述比对结果,获得所述可疑档案对应的所述代表攻击码的步骤包括:
利用一乐观法则、一保守法则以及一遗憾法则其中之一,而基于所述比对结果来获得所述可疑档案对应的所述代表攻击码;
其中,利用所述乐观法则的步骤包括:
自多个所述相似机率中取出最大的所述相似机率,而以对应的恶意程序码来作为所述代表攻击码;
利用所述保守法则的步骤包括:
自多个所述最小差异机率中取出最大的所述最小差异机率,而以对应的恶意程序码来作为所述代表攻击码;
利用所述遗憾法则的步骤包括:
自多个所述相似机率中取出最大的一个作为一第一基准值,并且自多个所述最小差异机率中取出最大的一个作为一第二基准值;
以所述第一基准值与多个所述相似机率相减而获得多个调整后相似值;
以所述第二基准值与多个所述最小差异机率相减而获得多个调整后最小差异值;
比对所述可疑档案与每一所述恶意程序码对应的所述调整后相似值以及所述调整后最小差异值,以将最大的数值作为一最后比对值;以及
自多个所述最后比对值中取出最小的一个,而以对应的恶意程序码来作为所述代表攻击码。
8.如权利要求1所述的恶意程序码分析方法,其特征在于,在通过所述数据处理装置自所述电子装置接收所述可疑档案对应的所述行为特征数据的步骤之后,所述恶意程序码分析方法包括:
在一硬件层中,辨识一硬件运转行为;
在一操作系统层中,辨识一系统处理效能;
在一档案层中,辨识一恶意程序识别码;以及
在一应用层中,辨识一应用程序的执行行为。
9.一种恶意程序码分析系统,其特征在于,所述恶意程序码分析系统包括:
一电子装置;以及
一数据处理装置,包括:
一第一通讯单元,与所述电子装置建立连线;
一第一储存单元,包括一恶意码程序库,储存有多个恶意程序码各自的一恶意特征数据;以及
一第一处理单元,耦接至所述通讯单元与所述储存单元,自所述电子装置接收一可疑档案对应的一行为特征数据,其中所述处理单元比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得一比对结果,并基于所述比对结果,获得所述可疑档案对应的一代表攻击码,其中所述代表攻击码包括所述恶意程序码其中一个或多个;并且,所述第一处理单元通过所述通讯单元,传送所述代表攻击码对应的一防护措施至所述电子装置;
所述第一处理单元通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间最相似的程度,所述最小差异机率为所述可疑档案与每一所述恶意程序码之间最不相似的程度。
10.如权利要求9所述的恶意程序码分析系统,其特征在于,所述电子装置包括:
一第二通讯单元,与所述数据处理装置的所述第一通讯单元建立连线;
一第二储存单元,包括一监控模块;
一第二处理单元,耦接至所述第二通讯单元以及所述第二储存单元,其中所述第二处理单元驱动所述监控模块监控所述电子装置中是否存在有所述可疑档案;
其中,当检测到所述可疑档案时,通过所述监控模块建立一沙箱模拟区域,以在所述沙箱模拟区域监测所述可疑档案;并且通过所述监控模块识别所述可疑档案是否符合其所记录的已知恶意码类别;
若识别出所述可疑档案对应的所述已知恶意码类别,通过所述监控模块转换所述可疑档案为所述已知恶意码类别对应的一典型攻击码,并且套用所述典型攻击码对应的防护措施至所述沙箱模拟区域;
若无法识别出所述可疑档案对应的所述已知恶意码类别,通过第二通讯单元传送所述可疑档案对应的所述行为特征数据至所述数据处理装置。
11.如权利要求10所述的恶意程序码分析系统,其特征在于,所述电子装置在接收到所述代表攻击码对应的所述防护措施之后,通过所述监控模块转换所述可疑档案为所述代表攻击码对应的典型攻击码,并且套用所述防护措施至所述沙箱模拟区域。
12.如权利要求9所述的恶意程序码分析系统,其特征在于,所述第一储存单元包括:
一过滤数据库,储存所述代表攻击码对应的所述防护措施;
其中,在经过一指定时间之后,所述第一处理单元自所述过滤数据库中读取所述防护措施,并传送所述防护措施至所述电子装置。
13.如权利要求9所述的恶意程序码分析系统,其特征在于,所述第一处理单元通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间相似的程度。
14.如权利要求13所述的恶意程序码分析系统,其特征在于,所述第一处理单元比对每一所述恶意程序码对应的所述相似机率与一门槛值,以取出高于所述门槛值的所述相似机率所对应的一个或多个所述恶意程序码,来作为所述代表攻击码。
15.如权利要求9所述的恶意程序码分析系统,其特征在于,所述第一处理单元利用一乐观法则、一保守法则以及一遗憾法则其中之一,而基于所述比对结果来获得所述可疑档案对应的所述代表攻击码;其中,
所述第一处理单元基于所述乐观法则,自多个所述相似机率中取出最大的所述相似机率,而以对应的恶意程序码来作为所述代表攻击码;
所述第一处理单元基于所述保守法则,自多个所述最小差异机率中取出最大的所述最小差异机率,而以对应的恶意程序码来作为所述代表攻击码;
所述第一处理单元基于所述遗憾法则的步骤,自多个所述相似机率中取出最大的一个作为一第一基准值,并且自多个所述最小差异机率中取出最大的一个作为一第二基准值;以所述第一基准值与多个所述相似机率相减而获得多个调整后相似值;以所述第二基准值与多个所述最小差异机率相减而获得多个调整后最小差异值;比对所述可疑档案与每一所述恶意程序码对应的所述调整后相似值以及所述调整后最小差异值,以将最大的数值作为一最后比对值;以及自多个所述最后比对值中取出最小的一个,而以对应的恶意程序码来作为所述代表攻击码。
16.如权利要求9所述的恶意程序码分析系统,其特征在于,所述第一处理单元在接收到所述可疑档案对应的所述行为特征数据之后,在一硬件层中,辨识一硬件运转行为;在一操作系统层中,辨识一系统处理效能;在一档案层中,辨识一恶意程序识别码;以及在一应用层中,辨识一应用程序的执行行为。
17.一种数据处理装置,其特征在于,所述数据处理装置包括:
一通讯单元,与一电子装置建立连线;
一储存单元,包括一恶意码程序库,储存有多个恶意程序码各自的一恶意特征数据;以及
一处理单元,耦接至所述通讯单元与所述储存单元,自所述电子装置接收一可疑档案对应的一行为特征数据,其中所述处理单元比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得一比对结果,并基于所述比对结果,获得所述可疑档案对应的一代表攻击码,其中所述代表攻击码包括所述恶意程序码其中一个或多个;并且,所述处理单元通过所述通讯单元,传送所述代表攻击码对应的一防护措施至所述电子装置;
所述处理单元通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间最相似的程度,所述最小差异机率为所述可疑档案与每一所述恶意程序码之间最不相似的程度。
18.一种恶意程序码分析方法,其特征在于,所述恶意程序码分析方法包括:
获得一可疑档案对应的一行为特征数据;
比对所述可疑档案对应的所述行为特征数据与多个恶意程序码各自的一恶意特征数据,而获得一比对结果;
基于所述比对结果,获得所述可疑档案对应的一代表攻击码,其中所述代表攻击码包括所述恶意程序码其中一个或多个;以及
采用所述代表攻击码对应的一防护措施;
比对所述可疑档案对应的所述行为特征数据与多个恶意程序码各自的一恶意特征数据,而获得一比对结果的步骤包括:
通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间最相似的程度,所述最小差异机率为所述可疑档案与每一所述恶意程序码之间最不相似的程度。
19.一种电子装置,其特征在于,所述电子装置包括:
一储存单元,包括一恶意码程序库、一监控模块以及一分析模块,其中所述恶意码程序库储存有多个恶意程序码各自的一恶意特征数据;以及
一处理单元,耦接至所述储存单元,以执行所述监控模块及所述分析模块;
其中,所述处理单元在通过所述监控模块检测到一可疑档案时,通过所述分析模块来执行下列动作,包括:
获得所述可疑档案对应的一行为特征数据;
比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得一比对结果;以及
基于所述比对结果,获得所述可疑档案对应的一代表攻击码,其中所述代表攻击码包括所述恶意程序码其中一个或多个,并且采用所述代表攻击码对应的一防护措施;
比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据,而获得一比对结果的步骤包括:
通过一信息熵理论,计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率,其中所述相似机率为所述可疑档案与每一所述恶意程序码之间最相似的程度,所述最小差异机率为所述可疑档案与每一所述恶意程序码之间最不相似的程度。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104131747A TWI547823B (zh) | 2015-09-25 | 2015-09-25 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
| TW104131747 | 2015-09-25 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106557689A CN106557689A (zh) | 2017-04-05 |
| CN106557689B true CN106557689B (zh) | 2019-06-07 |
Family
ID=57444943
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510660418.XA Active CN106557689B (zh) | 2015-09-25 | 2015-10-14 | 恶意程序码分析方法与系统、数据处理装置及电子装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10599851B2 (zh) |
| CN (1) | CN106557689B (zh) |
| TW (1) | TWI547823B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| WO2018084808A1 (en) * | 2016-11-04 | 2018-05-11 | Singapore University Of Technology And Design | Computer-implemented method and data processing system for testing device security |
| TWI656453B (zh) * | 2016-11-22 | 2019-04-11 | 財團法人資訊工業策進會 | 檢測系統及檢測方法 |
| US10733290B2 (en) * | 2017-10-26 | 2020-08-04 | Western Digital Technologies, Inc. | Device-based anti-malware |
| TWI672605B (zh) | 2017-11-29 | 2019-09-21 | 財團法人資訊工業策進會 | 應用層行為辨識系統與方法 |
| US10754950B2 (en) * | 2017-11-30 | 2020-08-25 | Assured Information Security, Inc. | Entity resolution-based malicious file detection |
| CN109960928B (zh) * | 2017-12-22 | 2021-10-29 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
| US10839072B2 (en) | 2018-01-22 | 2020-11-17 | International Business Machines Corporation | Ransomware resetter |
| CN110287697A (zh) * | 2018-03-19 | 2019-09-27 | 阿里巴巴集团控股有限公司 | 行为识别、数据处理方法及装置 |
| US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
| TWI676115B (zh) * | 2018-07-13 | 2019-11-01 | 優碩資訊科技股份有限公司 | 用以管控與雲端服務系統認證之系統及方法 |
| US11036856B2 (en) | 2018-09-16 | 2021-06-15 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
| EP3663959B1 (en) * | 2018-12-06 | 2021-08-11 | Mastercard International Incorporated | An integrated circuit, method and computer program |
| RU2739865C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного файла |
| CN109858249B (zh) * | 2019-02-18 | 2020-08-07 | 暨南大学 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
| CN110210224B (zh) * | 2019-05-21 | 2023-01-31 | 暨南大学 | 一种基于描述熵的大数据移动软件相似性智能检测方法 |
| WO2021029871A1 (en) * | 2019-08-12 | 2021-02-18 | Hewlett-Packard Development Company, L.P. | Thread mapping |
| US10997054B1 (en) * | 2019-11-25 | 2021-05-04 | Amazon Technologies, Inc. | Leveraging training data towards increasing the explainability of ML-based code analysis tools |
| JP2022114778A (ja) * | 2021-01-27 | 2022-08-08 | セイコーエプソン株式会社 | 電子機器及び電子機器の制御方法 |
| CN112906062A (zh) * | 2021-02-20 | 2021-06-04 | 方圆标志认证集团浙江有限公司 | 一种基于信息安全管理体系认证的便携式信息设备 |
| US11818172B1 (en) * | 2021-08-24 | 2023-11-14 | Amdocs Development Limited | System, method, and computer program for a computer attack response service |
| US20230351023A1 (en) * | 2022-05-02 | 2023-11-02 | Bank Of America Corporation | System for remediation of security vulnerabilities in computing devices using continuous device-level scanning and monitoring |
| CN115632832B (zh) * | 2022-09-30 | 2023-09-12 | 上海豹云网络信息服务有限公司 | 一种应用于云服务的大数据攻击处理方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102982284A (zh) * | 2012-11-30 | 2013-03-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| TW201413488A (zh) * | 2012-09-18 | 2014-04-01 | Univ Kun Shan | 以惡意程式特徵分析為基礎之資安風險評估系統 |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN104580133A (zh) * | 2013-10-25 | 2015-04-29 | 纬创资通股份有限公司 | 恶意程序防护方法与系统及其过滤表格更新方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8190647B1 (en) | 2009-09-15 | 2012-05-29 | Symantec Corporation | Decision tree induction that is sensitive to attribute computational complexity |
| US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
| US8726376B2 (en) * | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US9501640B2 (en) * | 2011-09-14 | 2016-11-22 | Mcafee, Inc. | System and method for statistical analysis of comparative entropy |
| RU2568285C2 (ru) * | 2013-09-30 | 2015-11-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ и система анализа работы правил обнаружения программного обеспечения |
| US9171160B2 (en) * | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US20150205962A1 (en) * | 2014-01-23 | 2015-07-23 | Cylent Systems, Inc. | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption |
-
2015
- 2015-09-25 TW TW104131747A patent/TWI547823B/zh active
- 2015-10-14 CN CN201510660418.XA patent/CN106557689B/zh active Active
-
2016
- 2016-01-13 US US14/994,141 patent/US10599851B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201413488A (zh) * | 2012-09-18 | 2014-04-01 | Univ Kun Shan | 以惡意程式特徵分析為基礎之資安風險評估系統 |
| CN102982284A (zh) * | 2012-11-30 | 2013-03-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
| CN104580133A (zh) * | 2013-10-25 | 2015-04-29 | 纬创资通股份有限公司 | 恶意程序防护方法与系统及其过滤表格更新方法 |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10599851B2 (en) | 2020-03-24 |
| CN106557689A (zh) | 2017-04-05 |
| TWI547823B (zh) | 2016-09-01 |
| US20170091461A1 (en) | 2017-03-30 |
| TW201712586A (zh) | 2017-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106557689B (zh) | 恶意程序码分析方法与系统、数据处理装置及电子装置 | |
| KR101969572B1 (ko) | 악성코드 탐지 장치 및 방법 | |
| CN105247532B (zh) | 使用硬件特征的对异常进程的无监督的检测 | |
| CN102664875B (zh) | 基于云模式的恶意代码类别检测方法 | |
| US9349103B2 (en) | Application of machine learned Bayesian networks to detection of anomalies in complex systems | |
| US8464340B2 (en) | System, apparatus and method of malware diagnosis mechanism based on immunization database | |
| Stolfo et al. | A comparative evaluation of two algorithms for windows registry anomaly detection | |
| US20190005237A1 (en) | Method and apparatus for identifying, predicting, preventing network malicious attacks | |
| KR20150138229A (ko) | 하드웨어-기반 마이크로-아키텍처 데이터를 이용한 이상 프로그램 실행의 검출 | |
| Stolfo et al. | Anomaly detection in computer security and an application to file system accesses | |
| Ganfure et al. | Deepware: Imaging performance counters with deep learning to detect ransomware | |
| CN104871171B (zh) | 分布式模式发现 | |
| Osareh et al. | Intrusion detection in computer networks based on machine learning algorithms | |
| CN101588358B (zh) | 基于危险理论和nsa的主机入侵检测系统及检测方法 | |
| Dhakar et al. | A novel data mining based hybrid intrusion detection framework | |
| Mitchell et al. | Behavior rule based intrusion detection for supporting secure medical cyber physical systems | |
| Wang et al. | Heterogeneous graph matching networks: Application to unknown malware detection | |
| WO2018071356A1 (en) | Graph-based attack chain discovery in enterprise security systems | |
| CN107426141B (zh) | 恶意码的防护方法、系统及监控装置 | |
| US10685118B2 (en) | System and method for monitoring power consumption to detect malware | |
| Alosefer et al. | Predicting client-side attacks via behaviour analysis using honeypot data | |
| Parsa et al. | A brain-inspired approach for malware detection using sub-semantic hardware features | |
| Rozenberg et al. | A method for detecting unknown malicious executables | |
| Ji et al. | Overhead analysis and evaluation of approaches to host-based bot detection | |
| Bateni et al. | Alert correlation using artificial immune recognition system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |