TW201812634A - 威脅情報雲 - Google Patents
威脅情報雲 Download PDFInfo
- Publication number
- TW201812634A TW201812634A TW106118656A TW106118656A TW201812634A TW 201812634 A TW201812634 A TW 201812634A TW 106118656 A TW106118656 A TW 106118656A TW 106118656 A TW106118656 A TW 106118656A TW 201812634 A TW201812634 A TW 201812634A
- Authority
- TW
- Taiwan
- Prior art keywords
- electronic file
- threat
- file
- antivirus
- virus
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/02—Marketing; Price estimation or determination; Fundraising
- G06Q30/0241—Advertisements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一威脅情報雲被揭露。上述威脅情報雲可包括一機器。在上述機器上的一接收器可接收包括由一防毒解決方案所偵測到一威脅的一電子檔案。一病毒總服務可從掃描上述電子檔案的複數傳統防毒解決方案中決定一資訊。一資料庫可儲存來自上述病毒總服務的上述資訊。一報告產生器可由上述資訊產生的一報告。
Description
本申請請求於2016年6月6日提交的序號為62/346,040美國臨時專利申請案的權益,其全部內容透過引用併入本文。
本申請相關於2016年7月29日提交但目前未決的美國專利申請號15/223,257,其為2014年10月2日提交的美國專利申請號14/504,844的延續案;現為2016年12月6日發佈的美國專利號9,516,045,其為2012年4月4日提交的美國專利申請號13/438,933的延續案;現為2014年10月21日發佈的美國專利號8,869,283,其為2008年6月17日申請的美國專利號11/915,125的延續案,現為2012年5月22日發佈的美國專利號8,185,954,其為2006年6月9日提出PCT國家階段申請案PCT/GB2006/002107,其要求2005年6月9日提交的GB專利申請號0511749.4的優先權,其全部內容透過引用併入本文。
本申請相關於2015年8月13日提交但目前未決的美國專利申請號14/825,808,其為2015年5月18日提交的美國專利申請號14/715,300的部分延續案,現在已放棄,其是2013年5月21日提交的美國專利申請號13/899,043的分案;現為2015年5月19日發佈的美國專利號9,034,174,其為2010 年2月5日提交的美國專利申請號12/517,614的延續案;現為2013年9月10日發佈的美國專利號8,533,824,其為2007年11月8日提出PCT國家階段申請案PCT/GB2007/004258,其要求2006年12月4日提交的GB專利申請號0624224.2的優先權,其全部內容透過引用併入本文。
本申請相關於2014年10月2日提交但目前未決的美國專利申請號14/504,666,其要求2013年10月4日提交的GB專利申請號1317607.8的優先權,其兩者內容透過引用併入本文。
本申請相關於2016年3月26日提交但目前未決的美國專利申請號15/082,791,其為2015年1月20日提交的美國專利申請號14/600,431的延續案;現為2016年5月3日發佈的美國專利號9,330,264,其要求2014年11月26日提交但已逾期的美國臨時專利申請案序號62/084,832的權益,其全部內容透過引用併入本文。
本發明一般有關於偵測電子威脅,更具體地有關於提供比較各種威脅偵測技術的資訊。
傳統的防毒技術使用簽名進行操作。當威脅被識別時,會產生這些威脅的簽名。這些簽名被儲存在由防毒軟體應用程式存取的資料庫中,接著可掃描檔案以判斷檔案是否受到任何威脅的感染。
由於在新威脅每日不斷被識別的基礎上,簽名資 料庫將繼續成長。此事實意指防毒軟體應用程式須定期下載簽名資料庫的更新以維持最新及有效的資料庫。
但不同的防毒軟體應用程式以不同的速率更新其簽名資料庫。此事實意味著一些防毒軟體應用程式能夠比傳統的防毒軟體應用程式更快地偵測到某些威脅。特別是對於新識別的威脅,將新威脅增加到防毒軟體應用程式的速度對於保護計算機系統至關重要。
需要一種方法來比較各種防毒軟體應用程式的性能。
105、105-1、105-2、105-n‧‧‧傳統防毒解決方案
110‧‧‧簽名資料庫
115‧‧‧資料庫更新
120‧‧‧掃描器
125‧‧‧隔離
205‧‧‧防毒解決方案
210‧‧‧檔案類型識別符
215‧‧‧儲存裝置
220‧‧‧掃描器
225‧‧‧解毒器
230‧‧‧規則集合
305‧‧‧電子檔案
310‧‧‧威脅
405‧‧‧機器
410‧‧‧處理器
415‧‧‧記憶體
420‧‧‧儲存裝置
425‧‧‧記憶體控制器
430‧‧‧裝置驅動程式
435‧‧‧病毒總服務
440‧‧‧接收器
445‧‧‧資料庫
450‧‧‧報告產生器
505‧‧‧時鐘
510‧‧‧網路連接器
515‧‧‧匯流排
520‧‧‧使用者介面
525‧‧‧輸入/輸出引擎
605‧‧‧資訊
705‧‧‧報告
805‧‧‧檔案名稱
810‧‧‧初始掃描日期
815-1、815-2、815-3、815-4、815-5‧‧‧延遲日期
820-1、820-2、820-3、820-4、820-5‧‧‧資訊
905、970‧‧‧表格
910、925‧‧‧折線圖
915、920、930、935、940‧‧‧線
945‧‧‧直方圖
950‧‧‧圓餅圖
955、960、965‧‧‧區段
1005、1010、1015、1020、1025、1030、1035、1040、1045、1055、1060、1065、1070、1075、1080、1105、1110‧‧‧方塊
1050、1115、1120‧‧‧虛線
第1圖顯示一傳統防毒解決方案的細節。
第2圖顯示改良的防毒解決方案的細節。
第3圖係顯示在一電子檔案中識別出一威脅的第1圖及第2圖的防毒解決方案。
第4圖係顯示根據本發明一實施例中設計以使用一病毒總服務的機器,以比較第2圖防毒解決方案與第1圖傳統防毒解決方案的性能。
第5圖係顯示第4圖機器的附加細節。
第6圖係顯示判斷第1圖中傳統防毒解決方案是否能偵測在第3圖電子檔案中威脅的第4圖之病毒總服務。
第7圖顯示第4圖中報告產生器的操作。
第8圖係顯示第7圖報告的細節,其可使用從第4圖資料庫中的資訊來產生。
第9A-9E圖顯示第7圖中報告的替代表示方式。
第10A-10D圖係顯示根據本發明一實施例之使用第4圖病毒總服務以比較防毒解決方案性能之一程序的流程圖。
第11圖係顯示根據本發明一實施例之如何在傳送至第4圖的病毒總服務前準備電子檔案。
現在將詳細地參考本發明的實施方式,其實施例在附圖中示出。以下詳細描述中闡述了很多具體細節,以供深入瞭解本發明申請。但本領域的技術人員應了解到,各實施例可在沒有這些具體細節的情況下實行。在其他實例中,未詳細說明的公知的方法、流程、元件、電路及網路並不使本發明各方面和特徵變得含糊。
需理解的是,雖然在本文中,術語第一、第二等可以用於描述各種元件,這些元件不應被這些術語所限定。這些術語僅用於區分一元件與另一元件。例如,在不脫離本發明的範疇的情況下,第一模組可被命名為第二模組,且同樣地,第二模組可被命名為第一模組。
對本發明進行描述時所使用的術語僅僅是為了描述特定的實施方案,不應當認為是對本發明的限制。在本發明的實施方案以及附加的申請專利範圍中,除非上下文清楚表明,否則單數形式的「一」(a、an)、「該」(the)包括複數形式。還將理解的是,本文所用的術語「和/或」指的是並 且包括一或多個相關聯的所列項目的任何和所有可能的組合。還將進一步理解的是,當在本說明書中使用時,術語「包括」和/或「包含」說明所述特徵、整體、步驟、操作、要素和/或元件的存在,但不排除一或多個其他特徵、整體、步驟、操作、要素、元件和/或其中組的存在或附加。附圖的元件和特徵未必按比例繪製。
傳統防毒軟體藉由檢查惡意內容的檔案進行操作。具體而言,傳統防毒軟體檢查的是已知病毒的簽名檔案。但隨著病毒數量的增加,必須在檔案中搜索的簽名數量僅會增加。此外,儘管啟發式演算法(heuristics)提供防毒軟體開發者對未知病毒一定程度的保護,但這種保護無法稱之為完善。永遠存在一種可能是一新病毒可被設計為不呈現任何可被啟發式演算法偵測到的特徵。
第1圖示出了這種傳統防毒解決方案的詳細細節。在第1圖中,顯示傳統防毒解決方案105。傳統防毒解決方案105可包括簽名資料庫110、資料庫更新115、掃描器120和隔離125。簽名資料庫110可儲存由傳統防毒解決方案105可識別的病毒簽名。資料庫更新115可以新病毒簽名更新簽名資料庫110。掃描器120可掃描檔案,並根據簽名資料庫110的病毒簽名以查看是否有已識別的病毒在檔案中被偵測出。隔離125可儲存具有已識別威脅的一檔案,並允許使用者之後嘗試從該檔案中移除此威脅。
在新病毒每日不斷湧現的基礎上,一旦病毒被識別出且其簽名被判定,簽名資料庫110需被更新以反映新的威 脅。這些事實導致一些有問題的推論。
首先,如果簽名資料庫110更新不頻繁,則傳統防毒解決方案105將會逾期。若傳統防毒解決方案105逾期時,則傳統防毒解決方案105無法保護使用者抵禦最新的威脅。因此,使用者必須確保簽名資料庫110盡可能頻繁地更新。
其次,較新的威脅比較舊的威脅更值得憂慮,由於其更容易通過使用者的防護措施。但若因較舊的威脅更廣為人知並不意味著這些威脅可被忽略:較舊的威脅對一使用者系統造成的破壞不亞於新的威脅。簽名資料庫110無法在不造成使用者系統被成功入侵的風險下消除舊威脅的簽名。因此,簽名資料庫110的範圍僅會成長:其範圍不會縮小(在不存在數據壓縮進步的前提下)。
第三,在傳統防毒解決方案105運作中重要一點是,傳統防毒解決方案105只能防範已知的病毒。直到病毒被識別並其簽名被增加至簽名資料庫110中之前,傳統防毒解決方案105無法為使用者防範該病毒。此種攻擊,被稱為零時差攻擊(Zero-day threats),是傳統防毒解決方案105的一真正問題:其無法防範它不知道的威脅。雖然啟發式演算法針對那些尚未被簽名資料庫110辨識出來的新威脅提供一保護措施,但啟發式演算法並不完美。
2016年7月29日提交但目前未決的美國專利申請序號15/223,257,是2014年10月2日提交的美國專利申請序號14/504,844的延續案,現為2016年12月6日發佈的美國專利號9,516,045,是2012年4月4日提交的美國專利申請序號 13/438933的延續案,現為2014年10月21日發佈的美國專利號8,869,283,為2008年6月17日申請的美國專利號11/915,125的延續案,現為2012年5月22日發佈的美國專利號8,185,954,其為2006年6月9日提出PCT國家階段申請案PCT/GB2006/002107,上述所有皆被引入作為參考,介紹一檔案在傳送至接收方前如何被檢查。與傳統防毒解決方案105相反,此病毒解決方案的方法並非尋找已知病毒的簽名或潛在病毒的啟發式演算法。取而代之的是,此種方法藉由制定反映特定類型的檔案應為什麼樣子的一規則集合來運作。換句話說,此種方法藉由識別已知其為良好的電子檔案來運作,而不是識別電子檔案中惡意(「壞」)的內容。
此方法藉由判斷檔案類型應為(聲稱檔案類型)開始。這可用多種不同方式來完成。例如,檔案的副檔名通常標識為聲稱檔案類型:若檔案副檔名為.PDF,該檔案最有可能是使用Adobe®PDF檔案格式的檔案,而如果檔案副檔名是.DOC,則該檔案最有可能是使用Microsoft®Word檔案格式的檔案。(Adobe和PDF為在美國和/或其他國家的註冊商標或Adobe Systems Incorporated的商標。Microsoft為在美國和/或其他國家的註冊商標或Microsoft Corporation的商標)。另一種判斷聲稱檔案類型的方式是檢查檔案。一些檔案格式包括作為檔案本身內資料(無論是文本的或數位)的檔案類型。
一旦決定聲稱檔案格式,則與該檔案格式相關的一規則集合可被識別。這規則集合詳細指明該檔案應如何被格式化及其組織內容。若檔案不符合聲稱檔案類型的規則集合, 則該檔案有可能包含惡意的內容。
該規則集合還可詳細指明在一檔案中的某些內容元素可能為惡意的,即使內容元素符合該檔案類型的規則。例如,Microsoft Word檔案格式的檔案可以包含巨集。但巨集也可能為惡意的。因此,此規則集合可指明一巨集,即使其符合檔案格式的規則,但仍可被視為是潛在惡意的。
一旦檔案被檢查,該檔案可進行解毒。解毒該檔案涉及刪除不符合檔案規則的部分,僅留下符合規則的檔案部分。請注意該檔案作為一整體不必要被駁回,當該檔案一部分不符合規則集合。例如,巨集可從一檔案中刪除,但允許該檔案的文本。
為了更進一步減少惡意內容到達接收方的風險,已解毒的檔案可被重新產生。重新產生檔案涉及重建該檔案:可包括由傳送方所準備的內容,以及檔案的不變部分可由系統創建。例如,可以由系統產生一檔案的基本形式,而檔案的文本和其格式可從原始檔案中被複製為重新產生檔案。在此種方式中,可包括在檔案不變部分的任何惡意內容可被刪除。
一旦該檔案已被解毒和/或重新產生,該檔案可以傳遞至接收方。
此系統相對於傳統防毒解決方案(像是第1圖的傳統防毒解決方案105)的優點是,沒有關於新病毒簽名尚未知曉的擔憂。由於包括惡意內容的檔案將不符合與該檔案類型相關的規則,無論簽名是否可用於偵測惡意內容,惡意內容皆將被阻擋。
第2圖係顯示這種改良後防毒解決方案的細節。第2圖的防毒解決方案205可包括檔案類型識別符210、儲存裝置215、掃描器220、解毒器225和隔離125。檔案類型識別符210可識別的電子檔案的聲稱檔案類型。如上所述,檔案類型識別符210可根據電子檔案的副檔名進行操作,藉由檢查檔案內容的聲稱檔案類型,或任何其它所希望的方式。此外,檔案類型識別符210可使用一些組合方式,像是不同檔案類型可以使用不同的技術來識別。
儲存裝置215可以儲存規則集合230。對於由防毒解決方案205識別每一聲稱檔案,不同的規則集合230可被包括於儲存裝置215。規則集合230可定義在哪些情況下電子檔案是被視為符合,在哪些情況下,該電子檔案被視為不受威脅。
掃描器220可根據電子檔案的聲稱檔案類型之規則集合230掃描電子檔案,如由檔案類型識別符210來判斷。掃描器220具有類似如第1圖掃描器120的操作目標:在電子檔案中識別惡意威脅。但是,相對於第1圖中傳統防毒解決方案105的掃描器120掃描第1圖中簽名資料庫110中電子檔案的簽名,第2圖防毒解決方案205的掃描器220判斷電子檔案的哪些內容符合規則集合230,而哪些內容不符合規則集合230。由於防毒解決方案205和第1圖的傳統防毒解決方案105使用非常不同的原理進行操作,在第1圖傳統防毒解決方案105中的掃描器120無法替代為在第2圖防毒解決方案205中的掃描器220。
如果在電子檔案中任何內容被判定為不符合,也 就是說,如果該電子檔案中的任何內容不滿足規則集合230(不論是單一規則,或是一規則集合230的一子集合,取決於規則集合230如何被定義)一則不符合的內容可從電子檔案中進行解毒。例如,對於Microsoft Word文件檔,在一規則集合230中的一規則可為「不允許巨集」。當發現一特定電子檔案包括一巨集時,巨集本身可被視為不符合的內容,而電子檔案的其餘部分可被認為是符合的內容。解毒器225可藉由從電子檔案移除不符合的內容解毒此電子檔案,且保留符合規則的內容。作為解毒器225的替代或額外方案,防毒解決方案205可包括一再生器(regenerator)(未在第2圖中示出)可重新產生電子檔案。重新產生電子檔案可涉及建立與原始檔案相同(符合的)內容的新檔案,但係「重頭開始」建立電子檔案而非透過修改原始電子檔案。重新產生在一些情況下可能是有用的:例如,移除不符合內容可能使原始電子檔案位於潛在不穩定的狀態中,或者當其難以判斷符合內容的末端和不符合內容的起始時,或者當電子檔案將於重建中受益時。例如,一些檔案類型定義被期望以特定順序發現檔案的部份,或不包括不必要的部份。移除不符合內容可能使檔案部份順序錯誤,也可能使不必要的檔案部分留在原地。在另一方面,重新產生電子檔案會產生穩定性可被預期的電子檔案。
隔離125如第1圖的隔離125所示,可儲存已辨識到威脅的檔案,以允許使用者之後嘗試從檔案中移除該威脅,且該威脅不能由解毒器225解毒。
第3圖係顯示在一電子檔案中識別出一威脅的第2 圖中的防毒解決方案205和第1圖中的防毒解決方案105。如上所述,第2圖的防毒解決方案205處於較高水平,執行類似於第1圖防毒解決方案105的功能,儘管兩種解決方案使用不同的內部操作。給定電子檔案305,防毒解決方案205和105可掃描電子檔案305,以判斷威脅310是否存在。現在的問題是各防毒解決方案205和105可在何時識別出在電子檔案305中的威脅310(或者是否能偵測電子檔案305中的威脅310)。
回到第2圖,與第1圖傳統防毒解決方案105相比,防毒解決方案205具有若干技術優點。首先,僅需的更新是一規則集合230,且僅當這些規則發生變化時才需更新。由於規則集合230定義符合的內容,而非識別出惡意的威脅,因此規則集合230僅當關於一特定檔案格式的規則有變化時才需更新。此變化可能會發生在當使用檔案類型的應用軟體一新版本釋出時,或是當應用軟體歷經至少一次更新時。但此些變化相對較少發生,這意指防毒解決方案205不需頻繁地更新規則集合230,以避免防毒解決方案205逾期。
第二,因更新規則集合230的發生相對不頻繁(與第1圖中更新簽名資料庫110相比),儲存一規則集合230的空間不隨時間大幅成長。此外,較舊的規則集合230可被刪除並釋放不必要的儲存空間。例如,當一使用者從一應用的一版本升級至另一新版本且此應用的新版本使用一不同檔案格式時,控制較舊檔案格式的規則集合可能並不需要(例如,此應用的新版本可能無法讀取這些檔案)。在此情況下,較舊的規則集合無需被保留。刪除較舊的規則集合不會削弱系統的安全 性。刪除較舊的規則集合意味著之前被視為符合的的某些檔案將不再被認可,藉此增強安全性(且新接收使用較舊檔案類型的檔案將被視為不符合的,防止使用較舊檔案類型惡意內容的滲透)。
最後,與第1圖的傳統防毒解決方案105不同的是,防毒解決方案205可阻擋零時差攻擊。零時差攻擊將顯示在第3圖中電子檔案305內不符合的內容。由於不符合的內容被偵測及阻擋,零時差攻擊將被阻擋避免影響使用者的系統。先前未被識別出的威脅或其簽名未判定的事實將變得無關緊要。
但是,儘管防毒解決方案205可偵測和阻擋零時差攻擊,但無法易於知道與第1圖中傳統防毒解決方案105相比防毒解決方案205多優越。不管此聲明的真實性如何,其似乎像是利己的零售商,聲稱防毒解決方案205比第1圖的傳統防毒解決方案105更好,能偵測和阻擋零時差攻擊,卻沒有任何證據來支持這種說法。對使用者並不容易在沒有證據支持之下可斷言此種防毒解決方案205能夠阻擋傳統防毒解決方案無法偵測到的零時差攻擊。
第4圖係顯示根據本發明一實施例中設計以使用一病毒總服務(Virus Total Service)的機器,以比較第2圖防毒解決方案205與第1圖傳統防毒解決方案105的性能。在第4圖中,係顯示機器405。機器405可為任何所預期的機器,包括但不侷限於一桌上型電腦或一筆記型電腦、一伺服器(無論是一獨立的伺服器或一機架式伺服器)、或可從本發明實施例 中受益的任何其他裝置。機器405還可包括專門可攜式計算裝置、平板電腦、智慧型手機和其他計算裝置。機器405可運行任何所預期的應用:資料庫應用是一個很好的例子,但本發明實施例可延伸至任何所預期的應用。
機器405與其具體形式無關,可包括處理器410、記憶體415和儲存裝置420。處理器410可以是任何的處理器,例如:一Intel Xeon、Celeron、Itanium、或Atom處理器、一AMD Opteron處理器、一ARM處理器等等。雖然第4圖係顯示一單一的處理器,但機器405可包括任意數量的處理器或多核處理器。記憶體415可以是任何種類的記憶體,像是快閃記憶體,靜態隨機存取記憶體(Static Random Access Memory,SRAM)、持久性隨機存取記憶體(Persistent Random Access Memory)、鐵電隨機存取記憶體(Ferroelectric Random Access Memory FRAM)、或非揮發性隨機存取記憶體(Non-Volatile Random Access Memory,NVRAM),像是磁阻式隨機存取記憶體(Magnetoresistive Random Access Memory,MRAM)等,但通常是DRAM。記憶體415也可以是不同的儲存器類型的任何所預期之組合。記憶體415可藉由記憶體控制器425控制,也為機器405的一部分。
儲存裝置420可以是任何種類的儲存裝置,像是硬碟、固態硬碟(Solid State Drive,SSD)、或任何其他種類的儲存裝置。儲存裝置420可由適合儲存裝置類型的裝置驅動程式430來控制,其可以駐留於記憶體415中。
為支援本發明的操作,本發明實施例可使機器405 連接至病毒總服務435。病毒總服務435可以第1圖各種的傳統防毒解決方案105來測試第3圖的電子檔案305以判斷是否有傳統防毒解決方案能夠偵測第3圖中在電子檔案305中的一威脅。病毒總服務435參考在下方第6圖中有進一步的描述。病毒總服務435可為包括在機器405內的元件,或者可經由一連結存取,由一第二機器直接連接至機器405或機器405經由一網路(未在第4圖中示出)存取第二機器。
機器405還可包括防毒解決方案205、接收器440、資料庫445和報告產生器450。防毒解決方案205如上所述,具有能力判斷第3圖電子檔案305是否符合第2圖的規則集合230。接收器440可接收來自一來源的一電子檔案,並可被遞送至防毒解決方案205。另外或替代地,接收器440可從防毒解決方案205接收第3圖的電子檔案305,與病毒總服務435進行測試(例如,當機器405並非為安裝防毒解決方案205的機器)。在此情況下,病毒總服務435僅連接至機器405,且不為機器405的一部分,機器405也可包括一發送器(未在第4圖4中示出)以發送第3圖的電子檔案305至病毒總服務435。資料庫445可儲存接收來自病毒總服務435的資訊,這些資訊關於第1圖中各種傳統防毒解決方案105對抗第3圖中電子檔案305的性能。報告產生器450可以從資料庫445取得資訊並產生報告提供給用戶或行銷人員,並比較防毒解決方案205與第1圖中傳統防毒解決方案105的性能。
機器405包括處理器410、記憶體415、儲存裝置420、記憶體控制器425、裝置驅動程式430、接收器440、資 料庫445及報告產生器450,以及連接至病毒總服務435的連結,構成威脅情報雲。此外,這些元件的子集合可滿足本發明實施例的需求,或者可根據適當的需求增加額外的元件。例如,當無需儲存來自病毒總服務435的資訊時,資料庫445可以被省略,或是當病毒總服務435包含於機器405的一部分時,接收器440可以被省略。
第5圖係顯示第4圖機器405的附加細節。參考第5圖,一般來說,機器405可包括一或多個處理器410,其可包括記憶體控制器425和時鐘505,可用來協調機器405中元件的運作。處理器410也可耦接於記憶體415,其記憶體415可包括隨機存取記憶體(Random Access Memory,RAM)、唯讀記憶體(Read-only Memory,ROM)、或其它狀態保存介質的示例。處理器410還可耦接至儲存裝置420和網路連接器510,舉例而言,其可為乙太(Ethernet)網路連接器或一無線連接器。處理器410也可連接到一匯流排515,再附接至使用者介面520和輸入/輸出介面埠口,其可使用輸入/輸出引擎525在各元件中進行管理。
第6圖係顯示判斷第1圖中傳統防毒解決方案105是否能偵測在第3圖電子檔案305中威脅的第4圖之病毒總服務435。在第6圖中,病毒總服務435可接收電子檔案305。病毒總服務435可安排電子檔案305由每一傳統防毒解決方案105-1至105-n進行掃描。每一傳統防毒解決方案105-1至105-n可為一不同的防毒解決方案,而第4圖中防毒解決方案205能與任意數量的傳統防毒解決方案105-1到105-n進行比較。因 此,每一傳統防毒解決方案105-1至105-n可在不同時間偵測在電子檔案305中的一威脅(取決於何時更新傳統防毒解決方案105-1至105-n以對可疑威脅增加簽名)。例如,在第6圖所示的時間點,傳統防毒解決方案105-1及105-n能夠偵測到威脅310,但是傳統防毒解決方案105-2無法偵測到威脅310。
因為傳統防毒解決方案105-1至105-n也許能在不同更新後偵測到威脅310(如果有的話:這是可能的,然而可能性不大,例如,傳統防毒解決方案105-2可能永遠不會接收到能使傳統防毒解決方案105-2偵測到威脅310的更新),簡單以傳統防毒解決方案105-1至105-n測試電子檔案305一次可能不足以判斷第4圖中防毒解決方案205多優越。從另一個方面來看,其有助於了解各種傳統防病毒解決方案偵測威脅310所需的時間。因此,在本發明一些實施例中,病毒總服務435可多次以傳統防毒解決方案105-1至105-n測試電子檔案305。病毒總服務435可如預期般多次或任何預期的間隔,如每天一次,以傳統防病毒解決方案105-1至105-n測試電子檔案305。
如果病毒總服務435反復不停以傳統防毒解決方案105-1至105-n測試電子檔案305時,則病毒總服務435最終將提供過量的資訊。例如,一旦每個傳統防毒解決方案105-1至105-n可成功偵測出在電子檔案305中的威脅310,則沒有必要重新測試電子檔案305(雖然可能確實存在一較新的更新可能停止一或多個傳統防毒解決方案105-1至105-n偵測在電子檔案305中的威脅310)。在一些時間點,即使一或多個傳 統防病毒解決方案105-1至105-n仍然無法偵測到在電子檔案305中的威脅310,但這些資訊變成舊消息。因此,在本發明的一些實施例中,在病毒總服務435可停止測試電子檔案305之後,病毒總服務435可在一些時間窗口內以傳統防毒解決方案105-1至105-n測試電子檔案305。
如第6圖所示的隔離,病毒總服務435似乎僅測試電子檔案305。但實際上,病毒總服務435可以傳統防毒解決方案105-1至105-n測試任意數量的電子檔案。每一電子檔案根據病毒總服務145首次接收到電子檔案的日期可有不同的測試窗口。另外,本發明實施例可支援不同電子檔案的不同窗口。
在以傳統防毒解決方案105-1至105-n測試電子檔案305之後,病毒總服務435可發送資訊605至資料庫445。在此種方式中,第4圖的報告產生器450可產生關於電子檔案305適當的報告。
第7圖顯示第4圖中報告產生器450的操作。在第7圖中,報告產生器450可從第6圖的資料庫445中存取資訊605。報告產生器450接著可將第6圖的資訊605轉成報告705,其可以任何所預期的方式使用。例如,報告705可提供給一顧客以顯示第4圖的防毒解決方案205與第6圖傳統防毒解決方案105-1至105-n相比有多優越。或者,報告705可用以推銷第4圖的防毒解決方案205。
第8圖係顯示第7圖報告705的細節。其可使用從第4圖資料庫445中第6圖的資訊605來產生。第8圖係為 一示例性的報告:也可能為其他報告。
在第8圖中,報告705係顯示包括多個行。這些行中包括檔案名稱805、初始掃描日期810、多個延遲日期815-1至815-5,以及威脅描述310。報告705還顯示多個列820-1至820-5的資訊。820-1至820-5的每一列可描述由第4圖的防毒解決方案205處理的一特定檔案,並隨後提交給第6圖的病毒總服務435,以針對第4圖的傳統防毒解決方案105-1至105-n進行測試。例如,行820-1表示一名為「Invoice 1.doc」的檔案初始掃描時間為2017年4月26日。此外,當在2017年4月26日(「T+0」,意思是「初始掃描後的零天」)以第4圖的傳統防毒解決方案105-1至105-n進行測試時,只有20%的傳統防毒解決方案105-1至105-n能夠偵測到威脅「W97M/Downloader.axu」。此比例分別在2017年4月26日初始掃描後第1、3、7、30天後提高至23.3%、30.5%、45.4%及50.8%。
請注意,列820-2至820-5不顯示行815-5的任何資訊。舉例而言,此事實指出在初始掃描後的第30天沒有掃描。例如,若當前日期是2017年5月26日,當前日期將不會是列820-2至820-5顯示檔案初始掃描日期後的30天。
請注意,報告705包括行檔名805。檔名可被視為個人可識別資訊(Personally Identifiable Information,PII)。在本發明的一些實施例中,顧客可能想避免PII的釋出。為此,電子檔案可被「擦除」,以刪除任何PII。例如,電子檔案內的任何資訊,包括內容、隱藏內容和元數據可被「擦除」以刪 除PII,且該檔案可被分配隨機產生的一不同名稱。或者,原始的電子檔案可能不提供給第4圖的病毒總服務435,而該電子檔案的雜湊(hash)可被提供至第4圖的病毒總服務435。提供雜湊仍允許傳統防病毒解決方案105-1至105-n(或至少一傳統防病毒解決方案105-1至105-n的子集合)成功掃描該威脅簽名的雜湊,無需完全提供該原始電子檔案給病毒總服務435。雜湊可使用任何預期的雜湊演算法產生此雜湊。
雖然第8圖顯示比較第4圖中防毒解決方案205與第6圖中傳統防毒解決方案105-1至105-n性能表格的報告705,但報告705可採取其它形式。第9A-9E圖示出第7圖中報告705的一些替代表示方式。
在第9A圖中,顯示表格905。表格905顯示多個發送人及包括在由那些發送人所發送電子檔案中病毒(或其他威脅)的數量。這些發送人可為發送源自一顧客網站,或者源自其他適當發送人的電子檔案。表格905可顯示任何數量發送人的資訊:表格905顯示僅用於示例關於三個發件人的資訊。
在第9B圖中,顯示折線圖910。折線圖910示出兩條線915和920,指示從兩個不同來源隨時間接收多少威脅。折線圖910可顯示關於任何數量來源的資訊:折線圖910示出僅是作為示範關於兩個來源的資訊。請注意,如果需要,一說明可被包括在折線圖910中,或者當來源身份被認為是PII時說明也可被省略。
請注意,折線圖910和第9A圖的表格905係呈現類似資訊的替代方式,並且是可互換的:關於從不同來源中接 收多少威脅的資訊可使用第9A圖中的表格905來呈現,而有關多少威脅被傳送的資訊可使用折線圖來呈現像是折線圖910。
在第9C圖中,顯示一折線圖925。折線圖925示出三條線930、935和940,指示隨時間接收到多少任何特定類型的威脅。例如,線930可顯示在巨集內多少威脅被接收,線935可顯示在嵌入檔案內多少威脅被接收,而線940可顯示在JavaScript中多少威脅被接收。折線圖925可顯示關於任何數量威脅類型的資訊:折線圖925顯示關於3種威脅類型的資訊作為示範。其他可包括在折線圖925內的威脅類型包含在Adobe Acrobat形式中異常的影像和威脅。(Acrobat是在美國和/或其他國家的一註冊商標或Adobe Systems Incorporated的一商標)。
在第9D圖中,顯示一直方圖945。直方圖945根據電子檔案的類型顯示有多少電子檔案包括威脅。直方圖945可顯示關於任何數量檔案類型的資訊:直方圖945顯示關於六種檔案類型的資訊作為示範。
在第9E圖中,顯示一圓餅圖950。圓餅圖950顯示電子檔案經第4圖防毒解決方案205處理後的結果。例如,區段955可指出10個電子檔案已完成解毒,區段960可指出10個電子檔案已被隔離,以及區段965可指出100個電子檔案,其遵從適合電子檔案之檔案類型的檔案集合(因此無需任何解毒或隔離)。圓餅圖950還可包括表格970,顯示每一區段955、960和965中所代表的檔案數量。圓餅圖950可顯示 關於任何數量檔案的資訊,並且可包括任何數量的區段:該圓餅圖950顯示在3個區段中約120個總檔案量資訊作為示範。
第10A-10D圖係顯示根據本發明一實施例之使用第4圖病毒總服務435以比較防毒解決方案性能之一程序的一流程圖。在第10A圖中,在方塊1005,第4圖的防毒解決方案205可接收第3圖的電子檔案305。在方塊1010中,第4圖的防毒解決方案205可掃描第3圖的電子檔案305。在方塊1015中,第2圖的檔案類型識別符210可判斷第3圖的電子檔案305的聲稱檔案類型。在方塊1020中,第4圖的防毒解決方案205可識別第2圖的檔案集合230。
在(第10B圖的)方塊1025中,第2圖的掃描器220可判斷第3圖的電子檔案305是否符合第2圖的規則集合230。如果第3圖的電子檔案305符合第2圖的規則集合230時,則在方塊1030中,第4圖的防毒205可判斷第3圖的電子檔案305是否免於威脅。否則,在方塊1035中,第2圖的掃描器220可根據第3圖的電子檔案305不符合第2圖的規則集合230,進而識別出第3圖的威脅310。
無論第3圖的電子檔案305是否免於威脅,在(第10C圖)方塊1040中,第4圖的接收器440可接收第3圖的電子檔案305。在方塊1045中,第4圖的病毒總服務435可以第4圖的傳統防毒解決方案105-1至105-1n測試第3圖的電子檔案305。方塊1045可超過一次或預期/必要的多次執行,如虛線1050所示。在方塊1055中,第4圖的病毒總服務435可判斷有哪些傳統防毒解決方案105-1至105-n能夠偵測第3圖 中電子檔案305的威脅310。在方塊1060中,第4圖的病毒總服務435可判斷每一傳統防毒解決方案105-1至105-n何時偵測到第3圖在電子檔案305中的威脅310。
在方塊1065中(第10D圖),資料庫445可儲存第6圖的資訊605。第6圖的資訊605可包括傳統防毒解決方案105-1至105-n中哪些能偵測到第3圖在電子檔案305中第3圖的威脅310,且傳統防毒解決方案105-1至105-n何時偵測到第3圖在電子檔案305中第3圖的威脅310。在方塊1070中,第4圖的報告產生器450可從儲存在第4圖資料庫445內第6圖的資訊605中產生第7圖的報告705。在方塊1075中,報告705可被傳遞至一顧客,和/或在方塊1080中,報告705可用於行銷第4圖的防毒解決方案205。
第11圖係顯示根據本發明一實施例之如何在傳送至第4圖的病毒總服務435前準備電子檔案1205之細節。在第11圖,方塊1105中,PII可從第3圖的電子檔案305中移除。在方塊1110中,一雜湊可從第3圖的電子檔案305中產生。方塊1105和1110可依需要省略,分別由虛線1115和1120所示。
在第10A-11圖中,顯示本發明的一些實施例。但本領域的技術人員將可理解,透過改變方塊的順序、透過省略方塊,或透過包括未示於圖中的連結,本發明的其它實施例也可能存在。所有可能的流程圖變化不論是否被明確描述,都可被認為是本發明的實施例。
以下討論意圖提供對合適機器的簡要通用描述, 本發明的某些方面可以在所述合適機器中實現。該機器或這些機器可以至少部分地透過來自傳統的輸入裝置(像是鍵盤、滑鼠等)的輸入進行控制,以及透過從另一機器接收的指示與虛擬實境(Virtual Reality,VR)環境互動、生物特徵反饋、或其它輸入信號進行控制。如本文中所使用的,術語「機器」意在廣泛地包括單一機器、一虛擬機器,或一起操作通訊上耦合的機器、虛擬機器或裝置之系統。示例性機器包括計算裝置,像是個人電腦、工作站、伺服器、可攜式電腦、手持裝置、電話、平板電腦等,也包括運輸設備,例如私人或公共運輸工具,例如,汽車、火車、計程車等。
單一機器或複數機器可包括嵌入式控制器,例如可編程或不可編程邏輯裝置或陣列,專用集成電路(Application Specific Integrated Circuits,ASIC)、嵌入式計算機、智慧卡等。這些單一機器或複數機器可利用一或多個連接來連接到一或多個遠端機器,像是網路介面、數據機、或其它通訊耦合。機器也可透過物理和/或邏輯網路的方式進行互連,像是內聯網、網際網路(Internet)、區域網路、廣域網路等。本領域的技術人員將理解,網路通訊可利用各種有線和/或無線短程或遠程載波和協定,包括射頻(Radio Frequency,RF)、衛星、微波、電氣和電子工程師協會(Institute of Electrical and Electronics Engineers,IEEE)802.11、藍牙、光學、紅外線、電纜、雷射等。
本發明實施例可透過參考或結合包括功能、過程、資料結構、應用程式等的相關資料進行描述,當上述資料 由機器存取時會觸發機器執行任務或限定抽象數據類型或低水平的硬體上下文。相關數據可儲存於,例如,易揮發性和/或非揮發性記憶體,例如,RAM、ROM等,或其它儲存裝置及其相關的儲存介質,包括硬碟、軟碟、光學儲存、磁帶、快閃記憶體、記憶棒、數位影像光碟、生物儲存等。相關數據可透過傳輸環境,包括物理和/或邏輯網路,以分組、串列數據、並行數據、傳播信號的形式來進行傳送,並且可以以壓縮或加密的格式來使用。相關數據可以在分佈式環境中使用及本地和/或遠端儲存以供機器存取。
本發明的實施例可包括有形、非暫時性機器可讀介質,其包括一或多個處理器可執行的指令,這些指令包含執行如本文所述本發明的元件的指令。
已參照所示實施例描述和說明本發明的原理,將可理解到所示實施例可在不脫離這些原理的佈置和細節方面進行修改,並且可以所期望的方式組合。並且,儘管上述討論已關注特定的實施例,但其它配置是可預期的。特別地,儘管像是「根據本發明一實施例」等的表述在本文中使用,但這些措辭通常意指參考實施例的可能性,並非將本發明限制於特定實施例的配置。如本文所使用的,這些術語可引用組合到其它實施例中的相同或不同的實施例。
上述示例性的實施例不應被解釋為限制本發明。雖然一些實施例已被描述,但本領域的技術人員將易理解在不脫離本揭露新穎教示和優點下實施例可能作許多修改。因此,所有這樣的修改都應被包括在此發明意欲請求限定的範疇之 內。
本發明的實施例可無限制的延伸到下面的聲明:
聲明1.本發明一實施例包括一威脅情報雲,包括:一機器;在上述機器上的一接收器,上述接收器操作以接收包括由一第一防毒解決方案所偵測到一威脅的一電子檔案;一病毒總服務(Virus Total Service),以從回應上述電子檔案的複數傳統防毒解決方案中決定一資訊;一資料庫,以儲存來自上述病毒總服務的上述資訊;以及一報告產生器,以產生回應上述電子檔案和來自上述病毒總服務之上述資訊的一報告。
聲明2.本發明一實施例包括根據聲明1的一威脅情報雲,其中上述第一防毒解決方案標識上述威脅為無法知道是否良好。
聲明3.本發明一個實施例包括根據聲明2的一威脅情報雲,其中上述第一防毒解決方案包括:一檔案類型識別符,以判斷上述電子檔案的一聲稱檔案類型;一儲存裝置,儲存上述聲稱檔案類型的一規則集合;以及一掃描器,以判斷上述電子檔案是否符合上述規則集合。
聲明4.本發明一實施例包括根據聲明1的一威脅 情報雲,其中上述威脅情報雲操作用以使用上述病毒總服務多次從回應上述電子檔案的複數傳統防毒解決方案中判斷資訊。
聲明5.本發明一實施例包括根據聲明4的一威脅情報雲,其中上述威脅情報雲操作以使用上述病毒總服務在一窗口中多次從回應上述電子檔案的複數傳統防毒解決方案判斷資訊。
聲明6.本發明一實施例包括根據聲明4的一威脅情報雲,其中上述威脅情報雲操作以使用上述病毒總服務一天一次從回應上述電子檔案的複數傳統防毒解決方案中判斷資訊。
聲明7.本發明一實施例包括根據聲明1的一威脅情報雲,其中上述資訊包括上述複數傳統防毒解決方案的哪些偵測到在上述電子檔案中的上述威脅。
聲明8.本發明一實施例包括根據聲明7的一威脅情報雲,其中上述資訊更包括每一上述複數傳統防毒解決方案偵測到在上述電子檔案中上述威脅的複數日期。
聲明9.本發明一實施例包括根據聲明1的一威脅情報雲,其中上述電子檔案不包括任何個人可識別資訊(Personally Identifiable information,PII)。
聲明10.本發明一實施例包括根據聲明1的一威脅情報雲,其中上述電子檔案包括上述電子檔案的一雜湊(hash)。
聲明11.本發明一實施例包括根據聲明1的一威脅情報雲,其中上述報告被設計成用於行銷上述第一防毒解決方案。
聲明12.本發明一實施例包括根據聲明1一的威脅情報雲,其中上述報告被設計以顯示給一顧客上述第一防毒解決方案與上述傳統防毒解決方案的一比較結果。
聲明13.本發明一實施例包括一方法,包括:在一威脅情報雲中接收一電子檔案,上述電子檔案包括由一第一防毒解決方案所偵測到的一威脅;藉由上述威脅情報雲以複數傳統防毒解決方案測試上述電子檔案;判斷在上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅。
聲明14.本發明一實施例包括根據聲明13的一方法,其中上述第一防毒解決方案識別上述威脅為無法知道是否良好。
聲明15.本發明一實施例包括根據聲明14的一方法,更包括:藉由上述第一防毒解決方案掃描上述電子檔案;判斷上述電子檔案的一聲稱檔案類型;辨識說明當上述電子檔案符合上述聲稱檔案類型時的一規則集合;以及識別上述威脅為不滿足說明當上述電子檔案符合上述聲稱檔案類型時的上述規則集合。
聲明16.本發明一實施例包括根據聲明13的一方 法,其中藉由上述威脅情報雲以複數傳統防病毒解決方案測試上述電子檔案之步驟包括藉由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明17.本發明一實施例包括根據聲明16的一方法,其中藉由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案之步驟包括藉由上述威脅情報雲在一窗口中多次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明18.本發明一實施例包括根據聲明16的一方法,其中藉由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案之步驟包括由上述威脅情報雲一天一次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明19.本發明一實施例包括根據聲明16的一方法,其中判斷上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅之步驟包括標識每一上述複數傳統防毒解決方案何時先偵測到在上述電子檔案中的上述威脅。
聲明20.本發明一實施例包括根據聲明13的一方法,其中上述電子檔案(305)不包括任何個人可識別資訊(Personally Identifiable Information,PII)。
聲明21.本發明一實施例包括根據聲明20的一方法,其中在上述電子檔案被上述威脅情報雲接收前,從上述電子檔案中移除上述PII。
聲明22.本發明一實施例包括根據聲明13的一方法,其中在一威脅情報雲中接收一電子檔案之步驟包括在一威 脅情報雲中接收上述電子檔案的一雜湊(hash)。
聲明23.本發明一實施例包括根據聲明13的一方法,其中:判斷在上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅之步驟包括在一資料庫中儲存在上述複數傳統防毒解決方案之中哪些識別上述電子檔案的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅之步驟包括根據上述資料庫產生上述報告。
聲明24.本發明一實施例包括根據聲明13的一方法,其中:上述報告在至少一上述複數傳統防毒解決方案之前顯示偵測到上述電子檔案中上述威脅的上述第一防毒解決方案;以及上述方法更包括轉發上述報告至一顧客。
聲明25.本發明一實施例包括根據聲明13的一方法,更包括使用上述報告於行銷上述第一防毒解決方案。
聲明26.本發明一實施例包括一物件(article),包括一非暫時性可儲存介質,上述非暫時性可儲存介質具有儲存於其中的指令,當上述指令由一機器執行時:在一威脅情報雲中接收一電子檔案,上述電子檔案包括由一第一防毒解決方案所偵測到的一威脅;藉由上述威脅情報雲以複數傳統防病毒解決方案 測試上述電子檔案;判斷在上述複數傳統防毒解決方案之中哪些識別在上述電子檔案中的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅。
聲明27.本發明一實施例包括根據聲明26的一物件,其中上述第一防毒解決方案識別上述威脅為不知是否良好。
聲明28.本發明一實施例包括根據聲明27的一物件,上述非暫時性可儲存介質具有儲存於其中的進一步指令,當由上述機器執行時:藉由上述第一防毒解決方案掃描上述電子檔案;判斷上述電子檔案的上述聲稱檔案類型;辨識說明當上述電子檔案符合上述聲稱檔案類型時的一規則集合;以及識別上述威脅為不滿足說明當上述電子檔案符合上述聲稱檔案類型時的上述規則集合。
聲明29.本發明一實施例包括根據聲明26的一物件,其中藉由上述威脅情報雲以複數傳統防病毒解決方案測試上述電子檔案包括由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明30.本發明一實施例包括根據聲明29的一物件,其中藉由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案包括由上述威脅情報雲在一窗口內多 次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明31.本發明一實施例包括根據聲明29的一物件,其中藉由上述威脅情報雲多次以上述複數傳統防病毒解決方案測試上述電子檔案包括由上述威脅情報雲一天一次以上述複數傳統防病毒解決方案測試上述電子檔案。
聲明32.本發明一實施例包括根據聲明29的一物件,其中判斷上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅包括標識每一上述複數傳統防毒解決方案何時先偵測到在上述電子檔案中的上述威脅。
聲明33.本發明一實施例包括根據聲明26的一物件,其中上述電子檔案(305)不包括任何個人可識別資訊(Personally Identifiable Information,PII)。
聲明34.本發明一實施例包括根據聲明33的一物件,其中在上述電子檔案被上述威脅情報雲接收前,從上述電子檔案中移除上述PII。
聲明35.本發明一實施例包括根據聲明26的一物件,其中在一威脅情報雲中接收一電子檔案包括在一威脅情報雲中接收上述電子檔案的一雜湊(hash)。
聲明36.本發明的一實施例包括根據聲明26的一物件,其中:判斷在上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅之步驟包括在一資料庫中儲存在上述複數傳統防毒解決方案之中那些識別上述電子檔案的上述威脅;以及 產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅之步驟包括根據上述資料庫產生上述報告。
聲明37.本發明一實施例包括根據聲明26的一物件,其中:上述報告在至少一上述複數傳統防毒解決方案之前顯示偵測到上述電子檔案中上述威脅的上述第一防毒解決方案;以及上述非暫時性可儲存介質具有儲存於其中的進一步指令,當由上述機器執行時,則轉發上述報告至一顧客。
聲明38.本發明一實施例包括根據聲明26的一物件,該非暫時性儲存介質具有儲存於其中的指令,當上述指令由上述機器執行時,則使用上述報告於行銷上述第一防毒解決方案。
因此,鑒於對本文描述的實施例存在著各式各樣的排列,該詳細描述僅作為說明性的,並不應被認為是限制本發明之範圍。因此,本發明所要求保護的內容是可落入後述申請專利範圍及其等價形式的範圍和精神內的所有修改。
Claims (26)
- 一威脅情報雲,包括:一機器;在上述機器上的一接收器,上述接收器操作以接收包括由一第一防毒解決方案所偵測到一威脅的一電子檔案;一病毒總服務(Virus Total Service),以從回應上述電子檔案的複數傳統防毒解決方案中決定一資訊;一資料庫,以儲存來自上述病毒總服務的上述資訊;以及一報告產生器,以產生回應上述電子檔案和來自上述病毒總服務之上述資訊的一報告。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述第一防毒解決方案標識上述威脅為無法知道是否良好。
- 如申請專利範圍第2項所述的威脅情報雲,其中上述第一防毒解決方案包括:一檔案類型識別符,以判斷上述電子檔案的一聲稱檔案類型;一儲存裝置,儲存上述聲稱檔案類型的一規則集合;以及一掃描器,以判斷上述電子檔案是否符合上述規則集合。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述威脅情報雲操作用以使用上述病毒總服務多次從回應上述電子檔案的複數傳統防毒解決方案中判斷資訊。
- 如申請專利範圍第4項所述的威脅情報雲,其中上述威脅情報雲操作以使用上述病毒總服務在一窗口中多次從回應上述電子檔案的上述複數傳統防毒解決方案判斷資訊。
- 如申請專利範圍第4項所述的威脅情報雲,其中上述威脅情報雲操作以使用上述病毒總服務一天一次從回應上述電子檔案的上述複數傳統防毒解決方案中判斷資訊。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述資訊包括上述複數傳統防毒解決方案的哪些偵測到在上述電子檔案中的上述威脅。
- 如申請專利範圍第7項所述的威脅情報雲,其中上述資訊更包括每一上述複數傳統防毒解決方案偵測到在上述電子檔案中上述威脅的複數日期。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述電子檔案(305)不包括任何個人可識別資訊(Personally Identifiable information,PII)。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述電子檔案包括上述電子檔案的一雜湊(hash)。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述報告被設計成用於行銷上述第一防毒解決方案。
- 如申請專利範圍第1項所述的威脅情報雲,其中上述報告被設計以顯示給一顧客上述第一防毒解決方案與上述傳統防毒解決方案的一比較結果。
- 一方法,包括:在一威脅情報雲中接收一電子檔案,上述電子檔案包括由一第一防毒解決方案所偵測到的一威脅;藉由上述威脅情報雲以複數傳統防毒解決方案測試上述電子檔案; 判斷在上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅。
- 如申請專利範圍第13項所述的方法,其中上述第一防毒解決方案識別上述威脅為無法知道是否良好。
- 如申請專利範圍第14項所述的方法,更包括:藉由上述第一防毒解決方案掃描上述電子檔案;判斷上述電子檔案的一聲稱檔案類型;辨識說明當上述電子檔案符合上述聲稱檔案類型時的一規則集合;以及識別上述威脅為不滿足說明當上述電子檔案符合上述聲稱檔案類型時的上述規則集合。
- 如申請專利範圍第13項所述的方法,其中藉由上述威脅情報雲以複數傳統防毒解決方案測試上述電子檔案之步驟包括藉由上述威脅情報雲多次以上述複數傳統防毒解決方案測試上述電子檔案。
- 如申請專利範圍第16項所述的方法,其中藉由上述威脅情報雲多次以上述複數傳統防毒解決方案測試上述電子檔案之步驟包括藉由上述威脅情報雲在一窗口中多次以上述複數傳統防毒解決方案測試上述電子檔案。
- 如申請專利範圍第16項所述的方法,其中藉由上述威脅情報雲多次以上述複數傳統防毒解決方案測試上述電子檔案之步驟包括藉由上述威脅情報雲一天一次以上述複數傳統 防病毒解決方案測試上述電子檔案。
- 如申請專利範圍第16項所述的方法,其中判斷上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅之步驟包括標識每一上述複數傳統防毒解決方案何時先偵測到在上述電子檔案中的上述威脅。
- 如申請專利範圍第13項所述的方法,其中其中上述電子檔案(305)不包括任何個人可識別資訊(Personally Identifiable Information,PII)。
- 如申請專利範圍第20項所述的方法,其中在上述電子檔案被上述威脅情報雲接收前,從上述電子檔案中移除上述PII。
- 如申請專利範圍第13項所述的方法,其中在一威脅情報雲中接收一電子檔案之步驟包括在一威脅情報雲中接收上述電子檔案的一雜湊(hash)。
- 如申請專利範圍第13項所述的方法,其中:判斷在上述複數傳統防毒解決方案之中,哪些識別在上述電子檔案中的上述威脅之步驟包括在一資料庫中儲存在上述複數傳統防毒解決方案之中哪些識別上述電子檔案的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅之步驟包括根據上述資料庫產生上述報告。
- 如申請專利範圍第13項所述的方法,其中:上述報告在至少一上述複數傳統防毒解決方案之前顯示偵測到上述電子檔案中上述威脅的上述第一防毒解決方案; 以及上述方法更包括轉發上述報告至一顧客。
- 如申請專利範圍第13項所述的方法,更包括使用上述報告於行銷上述第一防毒解決方案。
- 一物件(article),包括一非暫時性可儲存介質,上述非暫時性可儲存介質具有儲存於其中的指令,當上述指令由一機器執行時:在一威脅情報雲中接收一電子檔案,上述電子檔案包括由一第一防毒解決方案所偵測到的一威脅;藉由上述威脅情報雲以複數傳統防病毒解決方案測試上述電子檔案;判斷在上述複數傳統防毒解決方案之中哪些識別在上述電子檔案中的上述威脅;以及產生一報告以比較當上述第一防毒解決方案和上述複數傳統防毒解決方案識別在上述電子檔案內的上述威脅。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662346040P | 2016-06-06 | 2016-06-06 | |
| US62/346,040 | 2016-06-06 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201812634A true TW201812634A (zh) | 2018-04-01 |
Family
ID=60482898
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106118656A TW201812634A (zh) | 2016-06-06 | 2017-06-06 | 威脅情報雲 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US20170353475A1 (zh) |
| EP (1) | EP3465520A1 (zh) |
| JP (1) | JP2019518298A (zh) |
| CN (1) | CN109564612A (zh) |
| AU (1) | AU2017277487A1 (zh) |
| CA (1) | CA3025422A1 (zh) |
| TW (1) | TW201812634A (zh) |
| WO (1) | WO2017211839A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9553885B2 (en) * | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
| US9858424B1 (en) | 2017-01-05 | 2018-01-02 | Votiro Cybersec Ltd. | System and method for protecting systems from active content |
| US10331889B2 (en) | 2017-01-05 | 2019-06-25 | Votiro Cybersec Ltd. | Providing a fastlane for disarming malicious content in received input content |
| US10331890B2 (en) | 2017-03-20 | 2019-06-25 | Votiro Cybersec Ltd. | Disarming malware in protected content |
| US11843628B2 (en) * | 2018-02-20 | 2023-12-12 | Darktrace Holdings Limited | Cyber security appliance for an operational technology network |
| JP6671693B2 (ja) * | 2018-06-27 | 2020-03-25 | 株式会社プロット | 電子ファイルの無害化処理プログラム、電子ファイルの無害化処理方法および記録媒体 |
| US10904292B1 (en) * | 2018-09-25 | 2021-01-26 | Amazon Technologies, Inc. | Secure data transfer device |
| US10904285B1 (en) * | 2018-09-26 | 2021-01-26 | Ca, Inc. | Document sanitization |
| US11258677B1 (en) * | 2019-09-27 | 2022-02-22 | Amazon Technologies, Inc. | Data representation generation without access to content |
| AU2022215147B2 (en) | 2021-01-29 | 2024-05-23 | Glasswall (Ip) Limited | Machine learning methods and systems for determining file risk using content disarm and reconstruction analysis |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7765410B2 (en) * | 2004-11-08 | 2010-07-27 | Microsoft Corporation | System and method of aggregating the knowledge base of antivirus software applications |
| GB2427048A (en) * | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
| US20070056035A1 (en) * | 2005-08-16 | 2007-03-08 | Drew Copley | Methods and systems for detection of forged computer files |
| GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
| US9152789B2 (en) * | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| US9009820B1 (en) * | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
| US10397246B2 (en) * | 2010-07-21 | 2019-08-27 | Radware, Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
| US20130074143A1 (en) * | 2011-09-15 | 2013-03-21 | Mcafee, Inc. | System and method for real-time customized threat protection |
| CN103084147B (zh) | 2011-11-08 | 2015-02-25 | 纳科石油化工有限公司 | 氧化铁磁性纳米粒子、其制备方法及其用于脱硫的方法 |
| US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
-
2017
- 2017-06-05 US US15/613,810 patent/US20170353475A1/en not_active Abandoned
- 2017-06-06 WO PCT/EP2017/063728 patent/WO2017211839A1/en unknown
- 2017-06-06 AU AU2017277487A patent/AU2017277487A1/en not_active Abandoned
- 2017-06-06 EP EP17728194.6A patent/EP3465520A1/en not_active Withdrawn
- 2017-06-06 TW TW106118656A patent/TW201812634A/zh unknown
- 2017-06-06 CA CA3025422A patent/CA3025422A1/en not_active Abandoned
- 2017-06-06 JP JP2019516080A patent/JP2019518298A/ja not_active Withdrawn
- 2017-06-06 CN CN201780034952.7A patent/CN109564612A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20170353475A1 (en) | 2017-12-07 |
| WO2017211839A1 (en) | 2017-12-14 |
| EP3465520A1 (en) | 2019-04-10 |
| CA3025422A1 (en) | 2017-12-14 |
| CN109564612A (zh) | 2019-04-02 |
| JP2019518298A (ja) | 2019-06-27 |
| AU2017277487A1 (en) | 2019-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201812634A (zh) | 威脅情報雲 | |
| US10460107B2 (en) | Systems and methods for automatic snapshotting of backups based on malicious modification detection | |
| CN109074452B (zh) | 用于生成绊网文件的系统和方法 | |
| US20200319979A1 (en) | System and method of restoring a clean backup after a malware attack | |
| US8713686B2 (en) | System and method for reducing antivirus false positives | |
| US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
| RU2551820C2 (ru) | Способ и устройство для проверки файловой системы на наличие вирусов | |
| US9230111B1 (en) | Systems and methods for protecting document files from macro threats | |
| US20160180087A1 (en) | Systems and methods for malware detection and remediation | |
| US8561180B1 (en) | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises | |
| US9185119B1 (en) | Systems and methods for detecting malware using file clustering | |
| US20130247190A1 (en) | System, method, and computer program product for utilizing a data structure including event relationships to detect unwanted activity | |
| JP2019505943A (ja) | サイバーセキュリティシステムおよび技術 | |
| US8621625B1 (en) | Methods and systems for detecting infected files | |
| US20150154398A1 (en) | Optimizing virus scanning of files using file fingerprints | |
| US9202050B1 (en) | Systems and methods for detecting malicious files | |
| JP2010160791A (ja) | コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 | |
| US11275835B2 (en) | Method of speeding up a full antivirus scan of files on a mobile device | |
| US20150067860A1 (en) | Virus Detector Controlled Backup Apparatus and File Restoration | |
| TW201719485A (zh) | 利用多層策略管理風險之方法及系統 | |
| US11822659B2 (en) | Systems and methods for anti-malware scanning using automatically-created white lists | |
| US9519780B1 (en) | Systems and methods for identifying malware | |
| US12086236B2 (en) | System and method for identifying a cryptor that encodes files of a computer system | |
| US20130247182A1 (en) | System, method, and computer program product for identifying hidden or modified data objects | |
| CN109413048B (zh) | 基于文件型蜜罐检测勒索软件方法、电子设备及程序产品 |