TWI407328B - 網路病毒防護方法及系統 - Google Patents
網路病毒防護方法及系統 Download PDFInfo
- Publication number
- TWI407328B TWI407328B TW099131159A TW99131159A TWI407328B TW I407328 B TWI407328 B TW I407328B TW 099131159 A TW099131159 A TW 099131159A TW 99131159 A TW99131159 A TW 99131159A TW I407328 B TWI407328 B TW I407328B
- Authority
- TW
- Taiwan
- Prior art keywords
- virus
- network
- file
- malicious
- suspicious file
- Prior art date
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本發明係關於一種網路病毒偵測及阻斷技術,更詳而言之,係有關於一種涉及防止受到例如是僵屍網路病毒(Botnet)或病毒攻擊對象具有針對性之目標式攻擊病毒感染的用戶端進行病毒的擴散或受病毒控制的網路病毒防護方法及系統。
Botnet俗稱僵屍網路(zombie network),於此僵屍網路下的病毒通常會隨著email、即時通訊軟體或電腦系統漏洞侵入網路用戶終端,再藏身於任何一個程式裡。請參閱第1圖,僵屍網路通常由三部份所組成,包括控制端11、僵屍網路成員(12a、12b、12c)以及指令發出端13,該指令發出端13即為駭客本身,其下達指令給僵屍網路成員(12a、12b、12c),僵屍網路成員(12a、12b、12c)是指被遙控的受害電腦,該受害電腦通常不會察覺自己已遭受病毒感染,而成為僵屍網路的一份子;而控制端11則負責管理控制整個僵屍網路,並將該指令發出端13所發出的指令傳遞給僵屍網路成員。
目前的病毒防護解決方案主要是在用戶終端安裝防毒軟體,但由於防毒程式的病毒特徵碼係針對全球流量進行抽樣,因此僅能提供較為一般化的病毒碼,且大部份的病毒分析系統皆以特徵碼為分析基礎,並無法針對具有自我更新能力的僵屍病毒變種後的行為進行即時地防護,也無法針對僅在特定網路區域範圍內出現的目標式攻擊病毒進行防護,造成即便大多數用戶終端已安裝有防毒軟體,仍無法阻止僵屍網路的入侵,對全球經濟造成重大損失。
為解決上述習知技術之缺點,本發明之目的在於提供一種網路病毒防護系統及方法,可在偵測到用戶端的通訊網路中存在惡意檔案或僵屍網路病毒行為時,即時地阻斷惡意流量,避免病毒的進一步擴散,以及受感染用戶端遭受駭客控制。
本發明之另一目的在於提供一種網路病毒防護系統及方法,透過即時阻斷與惡意檔案相關的網路惡意站點以及僵屍病毒控制主機的網路通道,以克服由於僵屍病毒變種而造成病毒解除程式失效的問題。
本發明之又一目的在於提供一種網路病毒防護系統及方法,透過佈署於ISP/IDC網路,可完整分析特定範圍之用戶網路中所特有的惡意行為與檔案,並產生專有的病毒解除程式,可較一般防毒軟體更能針對僅出現在特定用戶網路中發生的目標式攻擊進行偵測及清除。
本發明之再一目的在於提供一種網路病毒防護系統及方法,可強化一般防毒軟體所無法提供偵測未知病毒及特殊病毒的能力,有效降低用戶端遭受病毒攻擊之風險。
為達上述目的及其他相關之目的,本發明即提供一種網路病毒防護系統,其透過網路系統與各用戶端及防毒業者病毒分析中心相連接,該系統包括:用於偵測在各該用戶端取得網路通訊服務過程中偵測該用戶流量是否存在可疑檔案之監測模組;用於當該監測模組監測到取得網路通訊服務過程中的用戶端流量存在有可疑檔案時,捕捉該用戶端流量中的可疑檔案樣本以供分析該可疑檔案樣本中是否存在網路病毒以及該網路病毒可能執行的惡意行為,並生成該可疑檔案樣本對應的網路病毒行為分析報告之分析模組;用於將該監測模組所捕捉到的可疑檔案樣本以及該分析模組所生成之該可疑檔案樣本對應的網路病毒行為分析報告傳送至該防毒業者病毒分析中心,俾供其據以製作出相適應的病毒解除程式之傳輸模組;防禦模組,依據該監測模組所捕捉到的可疑檔案樣本以及該分析模組所生成之該可疑檔案樣本對應的網路病毒行為分析報告,將分析結果匯入防禦模組以針對受該可疑檔案樣本感染的用戶端提供網路端網路防護服務,避免受感染用戶端在病毒解毒程式未查殺病毒前進行變種或遭受病毒控制主機控制;以及病毒查殺模組,其用於接收該防毒業者病毒分析中心製作並回傳的病毒解除程式,據以針對受感染的用戶端執行相應的病毒查殺作業。
於本發明之一實施型態中,該監測模組透過監控各該用戶端的網路流量,以作為在各該用戶端取得網路通訊服務過程中偵測該用戶端本端是否下載可疑檔案的依據。該分析模組將所捕捉到的可疑檔案樣本移至沙箱(sandbox),俾於該沙箱中開啟該可疑檔案樣本,從而分析該可疑檔案樣本中是否存在可執行程式,並針對該可執行程式或攻擊程式碼進行安全性分析,俾將有危害的可疑檔案樣本確定為惡意檔案,並記錄該惡意檔案中所存在的網路病毒及其病毒行為模式,且監控該惡意檔案是否有網路訪問請求,並記錄該惡意檔案的網路訪問路徑,據以確定與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息。該防禦模組將該分析模組分析得出該惡意檔案中所存在的網路病毒及其病毒行為模式,與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息資料導入至防禦模組的病毒資料庫中,針對用戶流量進行防護,避免用戶電腦與惡意站點以及病毒控制主機連繫,使得病毒變種或遭受駭客控制。
此外,本發明復提供一種網路病毒防護方法,係由一網路病毒防護系統透過網路系統與用戶端及防毒業者病毒分析中心相連接,以令該網路病毒防護系統對用戶端進行病毒防護處理,其包括以下處理步驟:(1)該網路病毒防護系統偵測在取得網路通訊服務過程的用戶端流量中是否存在可疑檔案;(2)該網路病毒防護系統捕捉用戶端流量中的可疑檔案樣本以供分析該可疑檔案樣本中是否存在網路病毒以及該網路病毒可能執行的惡意行為,並生成對應的網路病毒行為分析報告(3)該網路病毒防護系統依據病毒行為分析報告得針對受該可疑檔案樣本感染的用戶端提供網路端病毒防護服務,藉此從網路端阻絕病毒網路行為,避免受感染用戶端在病毒解毒程式未查殺病毒前進行變種或遭受病毒控制主機控制,造成更多損害,且該網路病毒防護系統傳送所捕捉到的可疑檔案樣本及其對應的網路病毒行為分析報告至防毒業者病毒分析中心,俾供該防毒業者病毒分析中心據以製作出相適應的病毒解除程式;以及(4)接收防毒業者病毒分析中心製作並回傳的病毒解除程式,據以針對處於病毒防護狀態操作模式的用戶端執行相應的病毒查殺作業。
於本發明之一實施例中,該方法步驟(1)係透過監控各該用戶端的網路流量,以作為偵測在取得網路通訊服務過程的各該用戶端是否下載可疑檔案的依據。
該方法步驟(2)復包括以下處理步驟:(2-1)將所捕捉到的可疑檔案樣本移至沙箱(sandbox),並於該沙箱中開啟該可疑檔案樣本;(2-2)分析該可疑檔案樣本中是否存在可執行程式或惡意攻擊程式碼;(2-3)針對該可疑檔案樣本中所存在的可執行程式或惡意攻擊程式碼進行安全性分析,俾將有危害的可疑檔案樣本確定為惡意檔案,並記錄該惡意檔案中所存在的網路病毒及其病毒行為模式;以及(2-4)監控該惡意檔案是否有網路訪問請求,若有,則記錄該惡意檔案的網路訪問路徑,據以確定與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息。
此外,於方法步驟(3)中,係透過將該分析得出該惡意檔案中所存在的網路病毒及其病毒行為模式,與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息資料導入至該防禦模組的病毒資料庫中,從網路端阻絕病毒網路行為,避免受感染用戶端在病毒解毒程式未查殺病毒前進行變種或遭受病毒控制主機控制,造成更多損害。
藉由本發明之網路病毒防護系統及方法,可針對網路中各種已知或未知的網路攻擊及惡意檔案進行即時地分析及阻斷防禦處理,不但可提高病毒查殺的成功效率亦能有效降低用戶端遭受病毒攻擊之風險,且本發明透過佈署至ISP/IDC網路中,可針對僵屍網路病毒或者是對病毒攻擊對象具有針對性之目標式攻擊病毒進行分析及查殺,因此較一般防毒軟體更具有針對性。
以下係藉由特定的具體實施型態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地暸解本發明之其他優點與功效。本發明亦可藉由其他不同的具體實施型態加以施行或應用,本說明書中的各項細節亦可基於不同觀點與應用,在不悖離本發明之精神下進行各種修飾與變更。
請參閱第2圖,係本發明之網路病毒防護系統應用於網路環境中之一實施型態架構示意圖,該網路病毒防護系統係佈署於網際網路服務提供者(Internet Service Provider;ISP)或網路資料中心(Internet Data Center;IDC)網路20中,以結合該ISP/IDC網路20以及防毒業者病毒分析中心23所建構而成,其主要用於監測分析僅於特定區域出現的新型網路攻擊及惡意檔案。其中,ISP/IDC網路20係提供網路接入服務平台,以供用戶端21經由該ISP/IDC網路20連結至網際網路(Internet)22,並針對該用戶端21通訊網路流量進行監控,在當發現於用戶端21在取得網路通訊服務過程中偵測該用戶端21本端存在有惡意檔案或病毒行為時,即時地阻斷該通訊服務的連結,以避免受感染的用戶端21自行連接至Internet22中的惡意站點執行病毒的更新及擴散(請容後詳述)。
此外,該網路病毒除可為上述先前技術所述的僵屍網路病毒外,本發明之網路病毒防護系統亦可應用於病毒攻擊對象具有針對性之目標式攻擊病毒上,一般來說,前述目標式攻擊病毒通常會透過社交工程的手法,透過電子郵件與即時通訊軟體攻擊某間企業或者某特定族群,例如政府單位、軍方單位或電信單位等組織網路,由於此種目標式攻擊病毒的攻擊事件均發生在受到攻擊的組織網路內中,並不會像一般病毒一樣對外部擴散,所以一般防毒廠商的病毒分析架構並無法蒐集並分析出此類目標式攻擊病毒下的可疑檔案樣本,然,透過本發明之網路病毒防護方法及系統則可直接從被防護的用戶流量中蒐集且分析出此類目標式攻擊病毒下的可疑檔案樣本,藉此避免受到感染的用戶端在其病毒尚未查殺前在組織網路內持續散播病毒,造成組織網路內部的更多損害。請參閱第3圖,為本發明之網路病毒防護系統之系統基本架構及其應用如第2圖所示之網路環境的一實施例架構方塊圖。如圖所示,該架設於ISP/IDC網路20上的網路病毒防護系統200係透過網路系統與用戶端21及防毒業者病毒分析中心23相互連結通訊,其包括監測模組210、分析模組220、傳輸模組230、防禦模組240、病毒查殺模組250以及用於儲存資料信息的資料庫201。
監測模組210用於偵測各用戶端21在取得網際網路通訊服務的過程中該用戶端21流量中是否存在可疑檔案。監測模組210係以監控各用戶端21的網路流量方式作為偵測是否下載可疑檔案的依據,前述通訊服務例如為電子郵件收發、網頁瀏覽、即時通訊、點對點軟體(P2P)檔案分享以及FTP檔案傳輸等。
分析模組220用於當監測模組210監測到用戶端21在取得網路通訊服務過程中該用戶端21流量中存在有可疑檔案時,例如在取得網路通訊服務過程中用戶端發生網路流量異常的情形,捕捉用戶端21在取得網路通訊服務過程中的可疑檔案之可疑檔案樣本211,並暫存於資料庫201中以供判斷該可疑檔案樣本211中是否存在網路病毒以及該網路病毒可能執行的惡意行為,並生成該可疑檔案樣本211對應的網路病毒行為分析報告221。該分析模組220先行將所捕捉的各用戶端21取得通訊服務過程中所存在的可疑檔案樣本211移至沙箱(sandbox)中,俾於該沙箱中開啟該可疑檔案樣本211,從而分析該可疑檔案樣本211中是否會對系統進行攻擊而產生可執行的攻擊程式,若有,則進一步針對該可執行的攻擊程式的安全性進行分析,例如分析該程式是否會嘗試修改系統設定、執行漏洞攻擊、竊取系統資料以及對外下載更多攻擊程式等等惡意程式之行為,故可將含有危害性的可執行程式的可疑檔案樣本211確定為惡意檔案。其次,令該分析模組220透過開啟該惡意檔案來識別其相應的病毒行為模式,例如已經實施的病毒行為,正在進行的病毒行為以及將要執行的病毒行為等。接著,再令分析模組220分析該惡意檔案是否有網路訪問請求,若有則提取該惡意檔案的網路訪問路徑、訪問程式名稱等信息,並針對該惡意檔案的網路訪問請求執行監控,以此確定出與該惡意檔案相關的網路惡意站點以及病毒控制主機,前述網路惡意站點以及病毒控制主機即為第1圖所示的控制端11的位址信息,以主動確定網路病毒控制主機的位址,供後續可即時且有效地執行相關防禦措施。在完成上述各步驟地分析後,令分析模組220記錄該惡意檔案中所存在的網路病毒及其病毒行為模式(如受控制及感染行為),以及與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址等信息,並生成前述網路病毒行為分析報告221。
傳輸模組230用於將監測模組210所捕捉到的可疑檔案樣本211以及分析模組220所生成的對應的網路病毒行為分析報告221傳送至防毒業者病毒分析中心23,俾供其據以製作出相適應的病毒解除程式231。
防禦模組240透過將分析模組220分析得出該惡意檔案中所存在的網路病毒及其病毒行為模式,與該惡意檔案相關的網路惡意站點以及僵屍病毒控制主機的位址信息資料導入至病毒資料庫中,以有針對性地對僅受該惡意檔案所感染的各用戶端21執行相關病毒防護服務,例如,切斷各受感染之用戶端21地網路連接通路,以避免其自行連接至惡意站點中執行病毒變種,並針對網路病毒行為分析報告221中所記錄的惡意站點及病毒控制主機的位址執行屏蔽,從而避免網路中其它用戶端21遭受該病毒感染,以防止病毒於該特定網路區域中進一步擴散,換言之,從網路端阻絕病毒網路行為,避免受感染用戶端在病毒解毒程式未查殺病毒前進行變種或遭受病毒控制主機控制,造成更多損害。
病毒查殺模組250則用於接收該防毒業者病毒分析中心23製作並回傳的病毒解除程式231,據以針對各處於病毒防護狀態操作模式的用戶端21執行相應的病毒查殺作業,於此,由於防禦模組240係針對各受感染的用戶端21進行了即時地防禦措施,因此可避免受感染用戶端21中存在的病毒在病毒解除程式製作過程中變種,造成與該病毒解除程式231不同步而無法查殺的情況發生,可有效提高其病毒查殺的成功率,解決傳統防毒軟體僅透過病毒碼更新方式無法查殺變種快速病毒之問題。
第4圖係為本發明之網路病毒防護方法之處理流程圖,如圖所示,首先執行步驟S110,偵測各用戶端21在取得網路通訊服務過程中該用戶端21本端是否存在可疑檔案,具體而言,係監控各用戶端21的網路流量中,如用戶端收發電子郵件、瀏覽網頁、即時通訊、點對點軟體(P2P)檔案分享以及FTP檔案傳輸等之過程是否產生有可疑檔案儲存於用戶端21中,若是,則進至步驟S120;若否,則重複執行步驟S110。
於步驟S120中,捕捉前述網路通訊服務過程中存在的可疑檔案之可疑檔案樣本211並暫存於資料庫201中,接著進至步驟S130。
於步驟S130中,分析資料庫201中的可疑檔案樣本211中是否存在網路病毒以及該網路病毒可能執行的病毒行為,並生成對應的網路病毒行為分析報告221,接著進至步驟S141及步驟S142。
於步驟S141中,將所捕捉到的可疑檔案樣本211及其對應的網路病毒行為分析報告221傳送至防毒業者病毒分析中心23,俾供其據以製作出相適應的病毒解除程式231,接著進至步驟S151。
於步驟S151中,接收防毒業者病毒分析中心23製作並回傳的病毒解除程式231,接著進至步驟S160。
於步驟S142中,於分析出資料庫201中的可疑檔案樣本211中存在網路病毒以及該網路病毒可能執行的惡意行為,並生成對應的網路病毒行為分析報告221後,導入可疑檔案樣本211及網路病毒行為分析報告221資料至病毒防禦模組,接著進至步驟S152。
於步驟S152中,防禦模組依據網路病毒行為分析報告221中記錄的該惡意檔案中所存在的網路病毒及其病毒行為模式資料,切斷各受感染之用戶端21的網路連接通路,以避免其自行連接至惡意站點中執行病毒變種,並針對該網路病毒行為分析報告221中記錄的與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址執行屏蔽,以避免網路中其它用戶端21遭受該病毒感染,以防止病毒於該特定網路區域中進一步擴散,接著進至步驟S160。
於步驟S160中,利用防毒業者病毒分析中心23製作並回傳的病毒解除程式231,據以針對各處於病毒防護狀態操作模式的用戶端執行相應的病毒查殺作業。
需說明的是,本發明不同於習知技術係透過病毒特徵碼的方式來判斷可疑檔案中是否存在網路病毒,而是透過開啟該可疑檔案,判斷其中是否存在可執行程式、修改系統資料、攻擊系統漏洞以及該可疑檔案是否存在網路訪問請求等信息來判斷其是否屬於惡意檔案或行為,因此,可強化一般防毒軟體所無法提供的偵測未知病毒及特殊病毒的能力,如第5圖所示,其用以詳細說明第4圖所示之步驟S130分析網路病毒的處理流程圖,而以下所述網路病毒例如為僵屍網路病毒(Botnet)或病毒攻擊對象具有針對性之目標式攻擊病毒,首先執行步驟S131,將所捕捉的各該用戶端21之網路通訊服務過程中所存在的可疑檔案樣本移至沙箱(sandbox),並於該沙箱中開啟該可疑檔案樣本,接著進至步驟S132。
於步驟S132中,判斷所開啟的該可疑檔案樣本中是否存在可執行程式或存在攻擊程式碼,若是,則進至步驟S133;若否,則結束本發明網路病毒防護方法執行分析網路病毒的處理步驟,而可進行第4圖的步驟S110。
於步驟S133中,判斷該可執行程式或攻擊程式碼所執行的行為模式是否安全,例如觀察可疑檔案樣本是否對系統漏洞進行攻擊、非法存取檔案系統以及開機磁區等,從而判斷該可執行程式是否為惡意檔案,若是,則進至步驟S134;若否,則結束本發明網路病毒防護方法執行分析網路病毒的處理步驟,而可進行第4圖的步驟S110。
於步驟S134中,記錄該惡意檔案中所存在的網路病毒及其病毒行為模式,接著進至步驟S135。
於步驟S135中,係記錄該惡意檔案的網路訪問路徑、訪問程式名稱等信息,並針對該惡意檔案的網路訪問請求執行監控,以此確定出與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息,以主動確定病毒控制主機的位置,供後續可即時且有效地執行相關防禦措施。接著結束本發明網路病毒防護方法執行分析網路病毒的處理步驟,並可進行第4圖的步驟S141及S142。
綜上所述,本發明之網路病毒防護系統及方法具有以下功效:
(1)在偵測到用戶端於取得網路通訊服務過程中存在可疑檔案時,即時地進行防禦措施,從而避免未受感染的用戶端連接到惡意站點或網路病毒控制主機導致受害,或已受感染的用戶端遭受駭客控制從事惡意行為,可防範網路病毒的擴散。
(2)由於即時切斷了受感染電腦連接至惡意站點或病毒控制主機的通訊網路,因此可防止受感染電腦中的病毒自行執行更新,產生因製作出的病毒解除程式與病毒不同步,而導致病毒查殺失效的情況。
(3)本發明係可佈署於ISP/IDC網路中,可針對僅於特定特定區域出現的新型網路攻擊及惡意檔案進行分析,並產生病毒解除程式來掃除該特有的惡意程式,相較於一般防毒軟體更具有針對性。
(4)本發明係透過監控網路流量,並透過直接打開可疑檔案針對其中的可執行程式、修改系統資料、攻擊系統漏洞及其是否具有網路訪問請求進行分析監控,相較於一般防毒軟體依靠病毒特徵碼進行判斷而言,本發明可強化一般防毒軟體所無法提供的偵測未知病毒及特殊病毒的能力,更可有效地降低用戶端遭受病毒攻擊的風險。
上述僅用以例示說明本發明之網路病毒防護系統及方法之實施型態,非用以限定本發明之實質技術內容之範圍。本發明之網路病毒防護系統及方法其實質技術內容係廣義地定義於下述之申請專利範圍中,任何他人所完成之技術實體或方法,若與下述之申請範圍所定義者完全相同,或為等效之變更,均將被視為涵蓋此專利範圍之中。
11...控制端
12a、12b、12c...僵屍網路成員
13...指令發出端
20...ISP/IDC網路
200...網路病毒防護系統
201...資料庫
210...監測模組
211...可疑檔案樣本
220...分析模組
221...網路病毒行為分析報告
230...傳輸模組
240...防禦模組
250...病毒查殺模組
21...用戶端
22...網際網路
23...防毒業者病毒分析中心
231...病毒解除程式
S110、S120、S130、S131、S132、S133、S134、S135、S141、S142、S151、S152、S160...步驟
第1圖為習知僵屍網路病毒的系統架構示意圖;
第2圖為本發明之網路病毒防護系統應用於網路環境中之一實施型態架構示意圖;
第3圖為本發明之網路病毒防護系統之系統基本架構及其應用如第2圖所示之網路環境的一實施例架構方塊圖;
第4圖為本發明之網路病毒防護方法之處理流程圖;以及
第5圖為詳細說明第4圖所示之步驟S130分析網路病毒的處理流程圖。
20...ISP/IDC網路
200...網路病毒防護系統
201...資料庫
210...監測模組
211...可疑檔案樣本
220...分析模組
221...網路病毒行為分析報告
230...傳輸模組
240...防禦模組
250...病毒查殺模組
21...用戶端
23...防毒業者病毒分析中心
231...病毒解除程式
Claims (9)
- 一種網路病毒防護系統,其透過網路系統與各用戶端及防毒業者病毒分析中心相連接,該系統包括:監測模組,用於在各該用戶端取得網路通訊服務過程中偵測該用戶端流量中是否存在可疑檔案;分析模組,用於當該監測模組監測到取得網路通訊服務過程中的用戶端流量中存在有可疑檔案時,捕捉該用戶端流量中的可疑檔案之可疑檔案樣本以供分析該可疑檔案樣本中是否存在網路病毒以及該網路病毒可能執行的惡意行為,並生成該可疑檔案樣本對應的網路病毒行為分析報告;傳輸模組,用於將該監測模組所捕捉到的可疑檔案樣本以及該分析模組所生成之可疑檔案樣本對應的網路病毒行為分析報告傳送至該防毒業者病毒分析中心,俾供該防毒業者病毒分析中心據以製作出相適應的病毒解除程式;防禦模組,依據該監測模組所捕捉到的可疑檔案樣本以及該分析模組所生成之該可疑檔案樣本對應的網路病毒行為分析報告,透過該網路系統針對受該可疑檔案樣本感染的用戶端提供網路端病毒防護服務,俾令受感染的該用戶端執行病毒防護狀態操作模式;以及病毒查殺模組,用於接收該防毒業者病毒分析中心製作並回傳的病毒解除程式,據以針對處於病毒防護狀態操作模式的用戶端執行相應的病毒查殺作業。
- 如申請專利範圍第1項所述之網路病毒防護系統,其中,該網路病毒為僵屍網路病毒(Botnet)或病毒攻擊對象具有針對性之目標式攻擊病毒。
- 如申請專利範圍第1項所述之網路病毒防護系統,其中,該網路病毒防護系統係架設於ISP或IDC網路中。
- 如申請專利範圍第1項所述之網路病毒防護系統,其中,該分析模組將所捕捉到的可疑檔案樣本移至沙箱(sandbox),俾於該沙箱中開啟該可疑檔案樣本,從而分析該可疑檔案樣本中是否存在可執行程式或攻擊程式碼,並進行安全性分析,俾將有危害的可疑檔案樣本確定為惡意檔案,並記錄該惡意檔案中所存在的網路病毒及其病毒行為模式,且監控該惡意檔案是否有網路訪問請求,並記錄該惡意檔案的網路訪問路徑,據以確定與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息。
- 如申請專利範圍第4項所述之網路病毒防護系統,其中,該防禦模組將該分析模組分析得出該惡意檔案中所存在的網路病毒及其病毒行為模式,與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息資料導入至防禦模組的病毒資料庫中,並由該防禦模組透過該網路系統以針對受該惡意檔案感染的用戶端提供相應的網路端病毒防護服務。
- 一種網路病毒防護方法,係由一網路病毒防護系統透過網路系統與用戶端及防毒業者病毒分析中心相連接,以令該網路病毒防護系統對用戶端進行病毒防護處理,其包括以下步驟:(1)該網路病毒防護系統偵測在取得網路通訊服務過程的用戶端是否存在可疑檔案;(2)該網路病毒防護系統捕捉存在可疑檔案的用戶端的可疑檔案樣本以供分析該可疑檔案樣本中是否存在網路病毒以及該網路病毒可能執行的惡意行為,並生成對應的網路病毒行為分析報告;(3)該網路病毒防護系統傳送所捕捉到的可疑檔案樣本及其對應的網路病毒行為分析報告至防毒業者病毒分析中心,俾供該防毒業者病毒分析中心據以製作出相適應的病毒解除程式,以及使該網路病毒防護系統依據所捕捉到的可疑檔案樣本及其對應的網路病毒行為分析報告得針對受該可疑檔案樣本感染的用戶端提供網路端病毒防護服務,俾令受感染的該用戶端執行病毒防護狀態操作模式;以及(4)該網路病毒防護系統接收防毒業者病毒分析中心製作並回傳的病毒解除程式,據以針對處於病毒防護狀態操作模式的用戶端執行相應的病毒查殺作業。
- 如申請專利範圍第6項所述之網路病毒防護方法,其中,於該步驟(1)中,係透過監控各該用戶端的網路流量,以作為偵測在取得網路通訊服務過程的各該用戶端是否下載可疑檔案的依據。
- 如申請專利範圍第6項所述之網路病毒防護方法,其中,該步驟(2)復包括以下步驟:(2-1)將所捕捉到的可疑檔案樣本移至沙箱(sandbox),並於該沙箱中開啟該可疑檔案樣本;(2-2)分析該可疑檔案樣本中是否存在可執行程式;(2-3)針對該可疑檔案樣本中所存在的可執行程式進行安全性分析,俾將有危害的可執行程式確定為惡意檔案,並記錄該惡意檔案中所存在的網路病毒及其病毒行為模式;以及(2-4)監控該惡意檔案是否有網路訪問請求,若有,則記錄該惡意檔案的網路訪問路徑,據以確定與該惡意檔案相關的網路惡意站點以及病毒控制主機的位址信息。
- 如申請專利範圍第6項所述之網路病毒防護方法,其中,該網路病毒為僵屍網路病毒(Botnet)或病毒攻擊對象具有針對性之目標式攻擊病毒。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW099131159A TWI407328B (zh) | 2010-09-15 | 2010-09-15 | 網路病毒防護方法及系統 |
JP2011197880A JP2012064208A (ja) | 2010-09-15 | 2011-09-12 | ネットワークウイルス防止方法及びシステム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW099131159A TWI407328B (zh) | 2010-09-15 | 2010-09-15 | 網路病毒防護方法及系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201211817A TW201211817A (en) | 2012-03-16 |
TWI407328B true TWI407328B (zh) | 2013-09-01 |
Family
ID=46059796
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW099131159A TWI407328B (zh) | 2010-09-15 | 2010-09-15 | 網路病毒防護方法及系統 |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2012064208A (zh) |
TW (1) | TWI407328B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103425928B (zh) * | 2012-05-17 | 2017-11-24 | 富泰华工业(深圳)有限公司 | 电子装置的杀毒系统及方法 |
CN104766006B (zh) | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
JP6226930B2 (ja) * | 2015-09-25 | 2017-11-08 | ビッグローブ株式会社 | セキュリティ制御装置、セキュリティ制御システム、セキュリティ制御方法およびプログラム |
JP6738013B2 (ja) | 2016-06-23 | 2020-08-12 | 富士通株式会社 | 攻撃内容分析プログラム、攻撃内容分析方法及び攻撃内容分析装置 |
CN110874472B (zh) * | 2018-09-04 | 2024-02-13 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
CN110457904A (zh) * | 2019-07-26 | 2019-11-15 | 南京邮电大学 | 一种对抗性环境中最优攻击样本获取方法 |
CN110569645A (zh) * | 2019-09-02 | 2019-12-13 | 慧盾信息安全科技(苏州)股份有限公司 | 一种服务器挖矿病毒防护的系统和方法 |
CN115001754B (zh) * | 2022-05-13 | 2023-04-07 | 国科华盾(北京)科技有限公司 | 一种可对敏感数字信息传输进行实时监控的网络安全系统 |
CN116471123B (zh) * | 2023-06-14 | 2023-08-25 | 杭州海康威视数字技术股份有限公司 | 针对智能设备安全威胁的智能分析方法、装置及设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040030913A1 (en) * | 2002-08-08 | 2004-02-12 | Trend Micro Incorporated | System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same |
TW200841201A (en) * | 2007-04-02 | 2008-10-16 | Hon Hai Prec Ind Co Ltd | System and method for detecting and eliminating viruses of a drawing system |
TW200947255A (en) * | 2008-05-13 | 2009-11-16 | Net Hack Technology | A vicious webpage monitor system and method |
TW201019157A (en) * | 2008-11-07 | 2010-05-16 | Chunghwa Telecom Co Ltd | Control system and protection method for integrated information security service |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4292864B2 (ja) * | 2002-07-04 | 2009-07-08 | Jfeスチール株式会社 | 構造用Fe−Cr系鋼板とその製造方法および構造用形鋼 |
JP4797552B2 (ja) * | 2005-10-07 | 2011-10-19 | 日本電気株式会社 | 検疫システム及び方法並びにプログラム |
JP4755658B2 (ja) * | 2008-01-30 | 2011-08-24 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
JP5440973B2 (ja) * | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
-
2010
- 2010-09-15 TW TW099131159A patent/TWI407328B/zh not_active IP Right Cessation
-
2011
- 2011-09-12 JP JP2011197880A patent/JP2012064208A/ja active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20040030913A1 (en) * | 2002-08-08 | 2004-02-12 | Trend Micro Incorporated | System and method for computer protection against malicious electronic mails by analyzing, profiling and trapping the same |
TW200841201A (en) * | 2007-04-02 | 2008-10-16 | Hon Hai Prec Ind Co Ltd | System and method for detecting and eliminating viruses of a drawing system |
TW200947255A (en) * | 2008-05-13 | 2009-11-16 | Net Hack Technology | A vicious webpage monitor system and method |
TW201019157A (en) * | 2008-11-07 | 2010-05-16 | Chunghwa Telecom Co Ltd | Control system and protection method for integrated information security service |
Also Published As
Publication number | Publication date |
---|---|
TW201211817A (en) | 2012-03-16 |
JP2012064208A (ja) | 2012-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI407328B (zh) | 網路病毒防護方法及系統 | |
US10057284B2 (en) | Security threat detection | |
CA2968201C (en) | Systems and methods for malicious code detection | |
US10454950B1 (en) | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks | |
US9648029B2 (en) | System and method of active remediation and passive protection against cyber attacks | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US20120324575A1 (en) | System, Method, Program, and Recording Medium for Detecting and Blocking Unwanted Programs in Real Time Based on Process Behavior Analysis and Recording Medium for Storing Program | |
US10218738B2 (en) | Secure notification of networked devices | |
WO2018099206A1 (zh) | 一种apt检测方法、系统及装置 | |
US20120117652A1 (en) | Network-Based Binary File Extraction and Analysis for Malware Detection | |
JP2012511847A (ja) | 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 | |
CN102457495A (zh) | 网络病毒防护方法及系统 | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
Sequeira | Intrusion prevention systems: security's silver bullet? | |
EP3826263B1 (en) | Method for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
US20240045954A1 (en) | Analysis of historical network traffic to identify network vulnerabilities | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
CN110719271A (zh) | 一种旁路流量检测设备与终端防护设备联合防御方法 | |
CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
TWI711939B (zh) | 用於惡意程式碼檢測之系統及方法 | |
KR100959264B1 (ko) | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 | |
CN113518067A (zh) | 一种基于原始报文的安全分析方法 | |
Cusack et al. | Listening to botnet communication channels to protect information systems | |
CN117955675A (zh) | 一种网络攻击的防御方法、装置、电子设备及存储介质 | |
Dobrinoiu | New Challenges for Cybersecurity and Possible Criminal Law |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |