TWI442260B - 伺服器、使用者裝置及其惡意程式偵測方法 - Google Patents
伺服器、使用者裝置及其惡意程式偵測方法 Download PDFInfo
- Publication number
- TWI442260B TWI442260B TW099139906A TW99139906A TWI442260B TW I442260 B TWI442260 B TW I442260B TW 099139906 A TW099139906 A TW 099139906A TW 99139906 A TW99139906 A TW 99139906A TW I442260 B TWI442260 B TW I442260B
- Authority
- TW
- Taiwan
- Prior art keywords
- user device
- server
- record
- malicious program
- malicious
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
Description
本發明係關於一種伺服器、使用者裝置及其惡意程式(malware)偵測方法。更具體而言,本發明之伺服器、使用者裝置及其惡意程式偵測方法,可透過由伺服器記錄使用者裝置之執行記錄之方式,進而偵測使用裝者裝置是否具有惡意程式。
目前資訊安全防護之方式中,普遍利用防毒軟體針對病毒程式進行偵測。詳細來說,為了避免資料遭到竊取或破壞,一般電腦中通常搭載具有病毒資料庫之防毒軟體。其中,病毒資料庫係用以記錄目前已知之病毒程式特徵碼(signature)。如此一來,防毒軟體將可利用特徵碼比對之方式,一一針對電腦內之檔案進行偵測。若比對結果發現有與特徵碼相同之檔案,則可確認其為病毒程式。
然而,隨著病毒程式之迅速發展,防毒軟體之病毒資料庫更新病毒程式特徵碼之速度將不足以應付病毒程式之成長速度。換句話說,由於防毒軟體能否偵測病毒程式端賴與病毒資料庫比對之方式完成,若病毒資料庫無法即時獲得新型病毒程式之特徵碼,則比對之結果將會造成誤判。另一方面,因病毒資料庫所儲存之特徵碼將會隨著病毒程式之數量越趨膨脹,所以若是於一般家用電腦或個人行動裝置上持續以擴充病毒資料庫之方式進行病毒程式之防護,將會造成運能能力較低或儲存容量較小之裝置之負擔。
據此,現已有部份之防毒軟體,利用雲端計算(cloud computing)之方式,將病毒資料庫儲存於計算能力較強且容量較大之遠端伺服器,並透過網路連線之方式進行端點裝置之病毒程式偵測。然而,透過此種方式或可避免端點裝置之負擔,但以病毒資料庫之特徵碼作為病毒程式偵測之依據,其仍存在病毒資料庫之特徵碼更新速度遠不及病毒程式成長速度之問題。因此,無論防毒軟體係利用本身之病毒資料庫或遠端之病毒資料庫進行病毒程式之偵測,其仍有相當高程度之誤判風險,導致資訊安全出現嚴重之漏洞。
綜上所述,如何達成即時、有效率且完整之病毒程式偵測,乃業界亟需努力之目標。
為解決前述資訊安全防護能力不足之問題,本發明之目的在於提供一種伺服器、使用者裝置及其惡意程式偵測方法,其主要係透過伺服器記錄使用者裝置之執行記錄,藉以判斷使用裝者裝置是否具有可疑之行為,進一步決定後續安全防護所需採取之手段。
為完成前述目的,本發明係提供一種用於伺服器之惡意程式偵測方法,伺服器透過網路與第一使用者裝置連線。惡意程式偵測方法包含下列步驟:(a)令伺服器自第一使用者裝置之第一客戶端模組接收至少一第一執行記錄;(b)令該伺服器將第一使用者裝置之至少一第一執行記錄儲存至記錄表;(c)令該伺服器根據該記錄表,決定該第一使用者裝置係存有一惡意程式(malware),並傳送一惡意程式通知至該第一使用者裝置。。
為完成前述目的,本發明又提供一種用於惡意程式偵測之伺服器。伺服器透過網路與第一使用者裝置連線。伺服器包含收發器、記憶體以及處理單元。其中,收發器用以自第一使用者裝置之第一客戶端模組接收至少一第一執行記錄。記憶體用以儲存記錄表,記錄表係用以記錄至少一第一執行記錄。處理單元用以根據該記錄表,決定該第一使用者裝置係存有一惡意程式,並透過該收發器傳送一惡意程式通知至該第一使用者裝置。
為完成前述目的,本發明另提供一種用於使用者裝置之惡意程式偵測方法,使用者裝置透過網路與伺服器連線。惡意程式偵測方法包含下列步驟:(a)令使用者裝置之客戶端模組傳送至少一執行記錄至該伺服器;(b)令使用者裝置之客戶端模組於步驟(a)之後,自伺服器接收惡意程式通知,其中,惡意程式通知係用以通知使用者裝置存有惡意程式。
為完成前述目的,本發明又提供一種用於惡意程式偵測之使用者裝置。使用者裝置透過網路與伺服器連線。使用者裝置包含收發器以及客戶端模組。其中,客戶端模組用以透過收發器傳送至少一執行記錄至伺服器,且透過收發器自伺服器接收一惡意程式通知,惡意程式通知係用以通知使用者裝置存有惡意程式。
透過上述所揭露之技術特徵,本發明之伺服器將可即時記錄使用者裝置之行為模式,並據以判斷使用者裝置是否存有惡意程式。伺服器更可根據判斷之結果,決定後續所需對使用者裝置所採取之資訊安全防護手段。
在參閱圖式及隨後描述之實施方式後,此技術領域具有通常知識者便可瞭解本發明之其他目的,以及本發明之技術手段及實施態樣。
以下將透過實施例來解釋本發明內容。然而,本發明的實施例並非用以限制本發明需在如實施例所述之任何環境、應用或方式方能實施。因此,關於實施例之說明僅為闡釋本發明之目的,而非用以直接限制本發明。需說明者,以下實施例及圖示中,與本發明非直接相關之元件已省略而未繪示。
首先,請參考第1A圖以及第1B圖,其係分別描繪本發明第一實施例之一伺服器11以及一第一使用者裝置13之示意圖。伺服器11包含一收發器111、具有一記錄表1130之一記憶體113以及一處理單元115。第一使用者裝置13包含一收發器131以及一客戶端模組139。須特別說明者,第一使用者裝置13之客戶端模組139可為安裝於系統底層之一系統模組,其可透過獨立運作或系統唯讀等方式,使之具有無病毒(virus-free)之特性。而伺服器11以及第一使用者裝置13間各硬體模組之功能及互動,將於下述之內容中詳細說明。
請一併參考第1C圖,伺服器11係透過一網路1與使用者裝置13連線。須強調者,第1C圖中之伺服器11、第一使用者裝置13以及網路1間之連線僅為示意說明,其並非用以限制本發明之網路環境僅能用於無線或僅能用於有線之方式。首先,第一使用者裝置13將因應各種運行中的程式執行各種動作,而於執行各種動作之同時將觸發執行記錄。其中,執行記錄可為各種形式之觸發行為之記錄,而為使本領域之人員能更清楚理解本發明之技術特徵,後續實施例之執行記錄可將其視為系統呼叫(system call),然其並非用以限制執行記錄之態樣。
接著,當第一使用者裝置13觸發至少一第一執行記錄130後,第一使用者裝置13之客戶端模組139便將至少一第一執行記錄130透過收發器131傳送至伺服器11。換言之,伺服器11之收發器111便自第一使用者裝置13之客戶端模組139接收至少一第一執行記錄130。接著,伺服器11便將至少一第一執行記錄130儲存至記憶體113之記錄表1130中。隨後,伺服器11之處理單元115便根據記憶體113之記錄表1130所記錄之內容,決定第一使用者裝置13具有一惡意程式(未繪示),並透過收發器111傳送一惡意程式通知140至第一使用者裝置13。接著,第一使用者裝置13之客戶端模組139便透過收發器131,自伺服器11接收惡意程式通知140。其中,惡意程式通知140係用以告知第一使用者裝置13其存有該惡意程式。
詳細來說,伺服器11之處理單元115可根據記憶體113之記錄表1130所記錄之至少一第一執行記錄130,判斷此至少一第一執行記錄130所代表之系統呼叫是否為合理之行為觸發。換言之,若處理單元115判斷至少一第一執行記錄130所代表之系統呼叫並非合理之行為觸發,則表示發起此至少一第一執行記錄130之程式即為一惡意程式。反之,若處理單元115判斷至少一第一執行記錄130所代表之系統呼叫為合理之行為觸發,則表示發起此至少一第一執行記錄130之程式目前並無可疑之行為。
需特別說明者,本發明主要係透過伺服器,針對使用者裝置之執行記錄進行過濾,因此,前述之內容並非用以限定記錄執行記錄以及判斷使用者裝置是否具惡意程式之順序。詳言之,以第一實施例而言,當伺服器11之收發器111自第一使用者裝置13之客戶端模組139接收至少一第一執行記錄130後,伺服器11之處理單元115亦可先根據至少一第一執行記錄130之內容,決定第一使用者裝置13是否具不正當之行為,藉以判斷第一使用者裝置13具有該惡意程式,並發送惡意程式通知140至第一使用者裝置13。而於判斷完成之後,伺服器11再將至少一第一執行記錄130儲存至記憶體113之記錄表1130中,俾後續之判斷。
透過前述之內容,本發明所揭露之伺服器11可透過即時行為監測,判斷第一使用者裝置13是否具有惡意程式,俾伺服器11進行後續之安全防護處理。而後續之實施例將進一步闡述安全防護處理方式之態樣。
接著,請參照第2A-2C圖,其為本發明第二實施例之示意圖。須先說明者,第二實施例中用以偵測惡意程式之方式與第一實施例所述之方式相同,而具有相同符號之元件亦具相同之功效,故將不再贅述細節。以下第二實施例之內容將強調後續安全防護之態樣。
具體而言,於第二實施例中,當伺服器11判斷第一使用者裝置13具有該惡意程式後,伺服器11之收發器111將通知第一使用者裝置13之客戶端模組139移除該惡意程式。詳細來說,當伺服器11之處理單元115決定第一使用者裝置13存有該惡意程式後,伺服器11之處理單元115將透過收發器111發送一惡意程式移除通知110至第一使用者裝置13之客戶端模組139,俾第一使用者裝置13之客戶端模組139移除該惡意程式。
換言之,第一使用者裝置13之客戶端模組139係透過收發器131,自伺服器11接收惡意程式移除通知110。隨即,第一使用者裝置13之客戶端模組139便可根據惡意程式移除通知110,獲知第一使用者裝置13所具有之該惡意程式,並進一步進行移除之動作。如此一來,透過第二實施例所述之方式,將可使得第一使用裝置13之客戶端模組139移除存於第一使用者裝置13內之惡意程式,以確保後續行為之安全性。
接著,請參照第3A-3C圖,其為本發明第三實施例之示意圖。同樣地,第三實施例中用以偵測惡意程式之方式與第一實施例所述之方式相同,而具有相同符號之元件亦具相同之功效,故將不再贅述細節。以下第三實施例之內容將強調後續安全防護之另一態樣。
具體而言,於第三實施例中,當伺服器11判斷第一使用者裝置13具有該惡意程式後,伺服器11之處理單元115更可進一步根據記憶體113之記錄表1130,判斷該惡意程式於第一使用者裝置13內所執行之至少一惡意行為。詳言之,伺服器11之處理單元115可進一步根據記憶體113之記錄表1130所記錄之至少一第一執行記錄130,判斷該惡意程式曾經於第一使用者裝置13內執行過何種系統呼叫,並據以決定該至少一惡意行為。
隨後,伺服器11之處理單元115便可根據該至少一惡意行為,透過收發器111傳送一惡意行為通知112至第一使用者裝置13之客戶端模組139。換言之,第一使用者裝置13之客戶端模組139透過收發器131自伺服器11接收惡意行為通知112。據此,第一使用者裝置13之客戶端模組139將可得知該惡意程式稍早於第一使用者裝置13內所執行之該至少一惡意行為,並據以進行一恢復程序。舉例來說,若該惡意程式曾於第一使用者裝置13中竊取一密碼資料,則第一使用者裝置13之客戶端模組139可藉由惡意行為通知112,得知該惡意程式竊取密碼之行為,則第一使用者裝置13將可據以進行密碼之修正。
透過第三實施例所述之方式,將可使得第一使用裝置13得知該惡意程式所執行過之動作,並據以進行後續修正恢復之相關程序。
接著,請參照第4A-4D圖,其為本發明第四實施例之示意圖。同樣地,第四實施例中用以偵測惡意程式之方式與第一實施例所述之方式相同,而具有相同符號之元件亦具相同之功效,故將不再贅述細節。第四實施例與第一實施例間之差異在於,第四實施例中,伺服器11將可於多個使用者裝置間進行聯合防護之動作。
首先,請先參照第4C圖,其為本發明第四實施例之一第二使用者裝置17之示意圖。第二使用者裝置17包含一收發器171以及一客戶端模組179。類似地,第二使用者裝置17之客戶端模組179同樣為安裝於系統底層之一系統模組,其可透過獨立運作或系統唯讀等手段,使之具有無病毒之特性。接著請參照第4D圖,伺服器11更透過網路1與第二使用者裝置17連線。
與第一使用裝置13類似地,第二使用者裝置17於執行各種動作時,一併觸發執行記錄。而當第二使用者裝置17觸發至少一第二執行記錄170後,第二使用者裝置17之客戶端模組179便將至少一第二執行記錄170透過收發器171傳送至伺服器11。換言之,伺服器11之收發器111便自第二使用者裝置17之客戶端模組179接收至少一第二執行記錄170。接著,伺服器11便將至少一第二執行記錄170儲存至記憶體113之記錄表1130中。
透過上述之內容,伺服器11便可藉由記憶體113之記錄表1130所記錄之至少一第一執行記錄130以及至少一第二執行記錄170,判斷第一使用者裝置13之該惡意程式是否複製至第二使用者裝置17中。詳細來說,若第一使用者裝置13之該惡意程式發生複製至第二使用者裝置17之觸發行為,其將會產生複製拷貝之系統呼叫。換句話說,第一使用者裝置13之客戶端模組139以及第二使用者裝置17之客戶端模組179所傳送之至少一第一執行記錄130以及至少一第二執行記錄170,將記錄著該惡意程式於第一使用者裝置13以及第二使用者裝置17間之複製拷貝記錄。
據此,伺服器11之處理單元115便可藉由記錄於記憶體113之記錄表1130中之至少一第一執行記錄130以及至少一第二執行記錄170,判斷該惡意程式係經由第一使用者裝置13複製至第二使用者裝置17。同理,相反地,伺服器11之處理單元115亦可藉由記錄於記憶體113之記錄表1130中之至少一第一執行記錄130以及至少一第二執行記錄170,判斷該惡意程式或經由第二使用者裝置17複製至第二使用者裝置13。
如此一來,伺服器11將可藉上述之方式,同時針對第一使用者裝置13以及第二使用者裝置17進行前述實施例所述之安全防護行為,以達成多個使用者裝置間之聯合防護功效。
本發明之一第五實施例係為一惡意程式偵測方法,其流程圖請參考第5圖。第五實施例之方法係用於一伺服器以及一第一使用者裝置(例如前述實施例之伺服器11以及第一使用者裝置13),該伺服器透過一網路與該第一使用者裝置連線。第五實施例之詳細步驟如下所述。
執行步驟501,令該第一使用者裝置之一客戶端模組傳送至少一第一執行記錄至該伺服器。執行步驟502,令該伺服器自該第一使用者裝置之客戶端模組接收該至少一第一執行記錄。執行步驟503,令該伺服器將該第一使用者裝置之該至少一第一執行記錄儲存至一記錄表。執行步驟504,令該伺服器根據該記錄表,決定該第一使用者裝置係存有一惡意程式,並傳送一惡意程式通知至該第一使用者裝置。執行步驟505,令該第一使用者裝置之客戶端模組自該伺服器接收該惡意程式通知。其中,該惡意程式通知係用以告知該第一使用者裝置其存有該惡意程式。
同樣地,需特別說明者,因此,前述之流程並非用以限定記錄執行記錄以及判斷使用者裝置是否具惡意程式之順序。具體來說,以第五實施例而言,步驟503、步驟504以及步驟505之順序係可對調,換言之,當步驟502執行,該伺服器自該第一使用者裝置之客戶端模組接收該至少一第一執行記錄後,步驟504可先執行,使該伺服器先根據該至少一第一執行記錄之內容,決定該第一使用者裝置是否具不正當之行為,藉以判斷該第一使用者裝置具有該惡意程式,隨後執行步驟505,發送該惡意程式通知至該第一使用者裝置。而於判斷完成之後,執行步驟503,該伺服器再將該至少一第一執行記錄儲存至該記憶體之記錄表中,俾後續之判斷。
透過前揭內容,本發明所揭露之惡意程式偵測方法可利用伺服器進行即時行為監測,判斷使用者裝置是否具有惡意程式,俾伺服器進行後續之安全防護處理。
本發明之一第六實施例係為一惡意程式偵測方法,其流程圖請參考第6圖。須特別說明者,第六實施例中用以判斷惡意程式之流程與第五實施例所述之步驟501到步驟505相同,故將不再贅述細節。本發明第六實施例將強調後續安全防護之態樣。
在第六實施例中,於執行完步驟501到步驟505後,執行步驟506,令該伺服器發送一惡意程式移除通知至該第一使用者裝置。執行步驟507,令該第一使用者裝置之客戶端模組自該伺服器接收該惡意程式移除通知。執行步驟508,令該第一使用者裝置之客戶端模組根據該惡意程式移除通知移除該惡意程式。如此一來,將可使得該第一使用裝置之客戶端模組移除存於該第一使用者裝置內之該惡意程式,以確保後續行為之安全性。
本發明之一第七實施例係為一惡意程式偵測方法,其流程圖請參考第7圖。須特別說明者,第七實施例中用以判斷惡意程式之流程與第五實施例所述之步驟501到步驟505相同,故將不再贅述細節。本發明第七實施例將強調後續安全防護之另一態樣。
在第七實施例中,於執行完步驟501到步驟505後,執行步驟509,令該伺服器根據該記錄表,判斷該惡意程式於該第一使用者裝置內所執行之至少一惡意行為。執行步驟510,令該伺服器根據該至少一惡意行為,傳送一惡意行為通知至該第一使用者裝置之該客戶端模組。執行步驟511,令該第一使用者裝置之客戶端模組自該伺服器接收該惡意行為通知。執行步驟512,令該第一使用者裝置之客戶端模組,根據該惡意行為通知進行一恢復程序。
透過第七實施例所述之方式,將可使得該第一使用裝置得知該惡意程式所執行過之動作,並據以進行後續修正恢復之相關程序。
本發明之一第八實施例係為一惡意程式偵測方法,其流程圖請參考第8圖。須特別說明者,第八實施例中用以判斷該惡意程式之流程與第五實施例所述之步驟501到步驟505相同,故將不再贅述細節。本發明第八實施例將說明如何本發明如何於多個使用者裝置進行安全聯防。其中,第八實施例之該伺服器更透過該網路與一第二使用者裝置(例如前述實施例之第二使用者裝置17)連線。第八實施例之詳細步驟如下所述。
在第八實施例中,於執行完步驟501到步驟505後,執行步驟513,令該第二使用者裝置之一客戶端模組傳送至少一第二執行記錄至該伺服器。執行步驟514,令該伺服器自該第二使用者裝置之客戶端模組接收該至少一第二執行記錄。執行步驟515,令該伺服器將該第二使用者裝置之該至少一第二執行記錄儲存至該記錄表。執行步驟516,令該伺服器根據該記錄表,判斷該惡意程式係經由該第一使用者裝置複製至該第二使用者裝置,或由該第二使用者裝置複製至該第一使用者裝置。
需特別說明者,該第二使用者裝置發送該至少一第二執行記錄之時點並非限制於該第一使用者裝置發送該至少一第一執行記錄之後。詳言之,第八實施例主要係用以強調該伺服器可同時記錄該第一使用者裝置以及該第二使用者裝置之執行記錄,並據以判斷兩者間有無惡意程式之連結關係,因此,該第二使用者裝置發送該至少一第二執行記錄之時點亦可先於該第一使用者裝置發送該至少一第一執行記錄之時點。如此一來,該伺服器將可藉上述之方式,進一步針對該第一使用者裝置以及該第二使用者裝置進行前述實施例所述之安全防護行為,以達成多個使用者裝置間之聯合防護功效。
綜上所述,本發明之伺服器、使用者裝置以及惡意程式偵測方法將可有效地在防毒軟體偵測病毒失敗之後,進一步地形成第二道防護,並且透過執行記錄之歷史內容,伺服器將可協助使用者裝置進行後續之防護及修補程序,如此一來,使用者裝置之資訊安全將獲得更完整之防護。
1...網路
11...伺服器
110...惡意程式移除通知
111...收發器
112...惡意行為通知
113...記憶體
1130...記錄表
115...處理單元
13...第一使用者裝置
130...第一執行記錄
131...收發器
139...客戶端模組
17...第二使用者裝置
170...第二執行記錄
171...收發器
179...客戶端模組
第1A圖係本發明之第一實施例之伺服器之示意圖;
第1B圖係本發明之第一實施例之第一使用者裝置之示意圖;
第1C圖係本發明之第一實施例之網路連線示意圖;
第2A圖係本發明之第二實施例之伺服器之示意圖;
第2B圖係本發明之第二實施例之第一使用者裝置之示意圖;
第2C圖係本發明之第二實施例之網路連線示意圖;
第3A圖係本發明之第三實施例之伺服器之示意圖;
第3B圖係本發明之第三實施例之第一使用者裝置之示意圖;
第3C圖係本發明之第三實施例之網路連線示意圖;
第4A圖係本發明之第四實施例之伺服器之示意圖;
第4B圖係本發明之第四實施例之第一使用者裝置之示意圖;
第4C圖係本發明之第四實施例之第二使用者裝置之示意圖;
第4D圖係本發明之第四實施例之服務傳輸方法之流程圖;
第5圖係本發明之第五實施例之惡意程式偵測方法之流程圖;
第6圖係本發明之第六實施例之惡意程式偵測方法之流程圖;
第7圖係本發明之第七實施例之惡意程式偵測方法之流程圖;以及
第8圖係本發明之第八實施例之惡意程式偵測方法之流程圖。
Claims (6)
- 一種用於一伺服器之惡意程式(malware)偵測方法,該伺服器透過一網路與一第一使用者裝置以及一第二使用者裝置連線,該惡意程式偵測方法包含下列步驟:(a)令該伺服器自該第一使用者裝置之一客戶端模組接收至少一第一執行記錄;(b)令該伺服器將該第一使用者裝置之該至少一第一執行記錄儲存至一記錄表;(c)令該伺服器根據該記錄表,決定該第一使用者裝置係存有一惡意程式(malware),並傳送一惡意程式通知至該第一使用者裝置;(d)令該伺服器自該第二使用者裝置之一客戶端模組接收至少一第二執行記錄;(e)令該伺服器將該第二使用者裝置之該至少一第二執行記錄儲存至該記錄表;(f)令該伺服器根據該記錄表,判斷該惡意程式係經由該第一使用者裝置複製至該第二使用者裝置或經由該第二使用者裝置複製至該第一使用者裝置。
- 如請求項1所述之惡意程式偵測方法,其中於步驟(c)之後更包含下列步驟:令該伺服器發送一惡意程式移除通知至該第一使用者裝置之該客戶端模組,俾該第一使用者裝置之該客戶端模組移除該惡意程式。
- 如請求項1所述之惡意程式偵測方法,其中於步驟(c)之後 更包含下列步驟:令該伺服器根據該記錄表,判斷該惡意程式於該第一使用者裝置內所執行之至少一惡意行為;令該伺服器根據該至少一惡意行為,傳送一惡意行為通知至該第一使用者裝置之該客戶端模組,俾該第一使用者裝置之該客戶端模組執行一恢復程序。
- 一種用於惡意程式偵測之伺服器,透過一網路與一第一使用者裝置以及一第二使用者裝置連線,該伺服器包含:一收發器,用以自該第一使用者裝置之一客戶端模組接收至少一第一執行記錄;一記憶體,用以儲存一記錄表,該記錄表係用以記錄該至少一第一執行記錄;一處理單元,用以根據該記錄表,決定該第一使用者裝置係存有一惡意程式,並透過該收發器傳送一惡意程式通知至該第一使用者裝置;其中,該收發器更用以自該第二使用者裝置之一客戶端模組接收至少一第二執行記錄,該記憶體之該記錄表更用以記錄該至少一第二執行記錄,該處理單元更用以根據該記錄表,判斷該惡意程式係經由該第一使用者裝置複製至該第二使用者裝置或經由該第二使用者裝置複製至該第一使用者裝置。
- 如請求項4所述之伺服器,其中該處理單元更透過該收發器發送一惡意程式移除通知至該第一使用者裝置之該客戶端模組,俾該第一使用者裝置之該客戶端模組移除該惡意程式。
- 如請求項4所述之伺服器,其中該處理單元更用以根據儲存於該記憶體之該記錄表,判斷該惡意程式於該第一使用者裝置內所執行之至少一惡意行為,並用以根據該至少一惡意行為,透過該收發器傳送一惡意行為通知至該第一使用者裝置之該客戶端模組,俾該第一使用者裝置之該客戶端模組執行一恢復程序。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW099139906A TWI442260B (zh) | 2010-11-19 | 2010-11-19 | 伺服器、使用者裝置及其惡意程式偵測方法 |
US12/968,735 US8453244B2 (en) | 2010-11-19 | 2010-12-15 | Server, user device and malware detection method thereof |
GB1100039.5A GB2485622A (en) | 2010-11-19 | 2011-01-04 | Server detecting malware in user device. |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW099139906A TWI442260B (zh) | 2010-11-19 | 2010-11-19 | 伺服器、使用者裝置及其惡意程式偵測方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201222314A TW201222314A (en) | 2012-06-01 |
TWI442260B true TWI442260B (zh) | 2014-06-21 |
Family
ID=43639010
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW099139906A TWI442260B (zh) | 2010-11-19 | 2010-11-19 | 伺服器、使用者裝置及其惡意程式偵測方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8453244B2 (zh) |
GB (1) | GB2485622A (zh) |
TW (1) | TWI442260B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US10574630B2 (en) | 2011-02-15 | 2020-02-25 | Webroot Inc. | Methods and apparatus for malware threat research |
KR101908944B1 (ko) * | 2011-12-13 | 2018-10-18 | 삼성전자주식회사 | 데이터 분석 시스템에서 맬웨어를 분석하기 위한 장치 및 방법 |
US20140188986A1 (en) * | 2013-01-02 | 2014-07-03 | Sourcefire, Inc. | Method and Apparatus for Identifying Computing Resource Trajectory |
JP2016503936A (ja) * | 2013-01-15 | 2016-02-08 | ビヨンドトラスト・ソフトウェア・インコーポレーテッド | アプリケーション及びファイル脆弱性を識別して報告するためのシステム及び方法 |
US9467465B2 (en) | 2013-02-25 | 2016-10-11 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
US20130254889A1 (en) * | 2013-03-29 | 2013-09-26 | Sky Socket, Llc | Server-Side Restricted Software Compliance |
US9734191B2 (en) * | 2014-03-31 | 2017-08-15 | Dell Products, L.P. | Asynchronous image repository functionality |
US9680843B2 (en) | 2014-07-22 | 2017-06-13 | At&T Intellectual Property I, L.P. | Cloud-based communication account security |
US10546131B2 (en) | 2015-10-22 | 2020-01-28 | Mcafee, Llc | End-point visibility |
US10554672B2 (en) * | 2016-01-05 | 2020-02-04 | Palo Alto Networks Inc. | Causality identification and attributions determination of processes in a network |
US10360381B2 (en) | 2016-01-14 | 2019-07-23 | Palo Alto Networks, Inc. | Detection of persistent threats in a computerized environment background |
US9916446B2 (en) | 2016-04-14 | 2018-03-13 | Airwatch Llc | Anonymized application scanning for mobile devices |
US9917862B2 (en) | 2016-04-14 | 2018-03-13 | Airwatch Llc | Integrated application scanning and mobile enterprise computing management system |
US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
US11194909B2 (en) | 2017-06-21 | 2021-12-07 | Palo Alto Networks, Inc. | Logical identification of malicious threats across a plurality of end-point devices |
GB2584018B (en) | 2019-04-26 | 2022-04-13 | Beyondtrust Software Inc | Root-level application selective configuration |
TWI728637B (zh) * | 2020-01-02 | 2021-05-21 | 中華電信股份有限公司 | 資訊安全防護方法及電腦可讀媒介 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002287991A (ja) * | 2001-03-26 | 2002-10-04 | Fujitsu Ltd | コンピュータウィルス感染情報提供方法及びコンピュータウィルス感染情報提供システム |
US7028338B1 (en) * | 2001-12-18 | 2006-04-11 | Sprint Spectrum L.P. | System, computer program, and method of cooperative response to threat to domain security |
US7832011B2 (en) * | 2002-08-30 | 2010-11-09 | Symantec Corporation | Method and apparatus for detecting malicious code in an information handling system |
GB2400933B (en) * | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
US7581136B2 (en) * | 2006-05-19 | 2009-08-25 | Hitachi, Ltd. | Method and apparatus for data recovery |
US7520728B2 (en) * | 2006-09-07 | 2009-04-21 | Pratt & Whitney Canada Corp. | HP turbine vane airfoil profile |
KR20090065267A (ko) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | 침입 탐지 기법을 이용한 웹 서버 로그 분석 장치 및 방법 |
US8595834B2 (en) | 2008-02-04 | 2013-11-26 | Samsung Electronics Co., Ltd | Detecting unauthorized use of computing devices based on behavioral patterns |
US8935789B2 (en) | 2008-07-21 | 2015-01-13 | Jayant Shukla | Fixing computer files infected by virus and other malware |
GB0816556D0 (en) | 2008-09-10 | 2008-10-15 | Univ Napier | Improvements in or relating to digital forensics |
-
2010
- 2010-11-19 TW TW099139906A patent/TWI442260B/zh not_active IP Right Cessation
- 2010-12-15 US US12/968,735 patent/US8453244B2/en not_active Expired - Fee Related
-
2011
- 2011-01-04 GB GB1100039.5A patent/GB2485622A/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
GB201100039D0 (en) | 2011-02-16 |
GB2485622A (en) | 2012-05-23 |
US20120131675A1 (en) | 2012-05-24 |
TW201222314A (en) | 2012-06-01 |
US8453244B2 (en) | 2013-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI442260B (zh) | 伺服器、使用者裝置及其惡意程式偵測方法 | |
US10375086B2 (en) | System and method for detection of malicious data encryption programs | |
US8719935B2 (en) | Mitigating false positives in malware detection | |
US8719928B2 (en) | Method and system for detecting malware using a remote server | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
JP5920169B2 (ja) | 不正コネクション検出方法、ネットワーク監視装置及びプログラム | |
WO2017107896A1 (zh) | 一种文档防护方法及装置 | |
WO2010003317A1 (zh) | 一种防止网页被篡改的设备、方法和系统 | |
WO2009140878A1 (zh) | 防范分布式阻断服务DDoS攻击的方法、网络设备和网络系统 | |
US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
JP2010182019A (ja) | 異常検知装置およびプログラム | |
JP2019516160A (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
WO2006092931A1 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
WO2013117148A1 (zh) | 检测远程入侵计算机行为的方法及系统 | |
WO2014040571A1 (zh) | 控制客户端访问网络的检测方法、装置和系统 | |
JP2009223375A (ja) | 悪性Webサイト判定装置、悪性Webサイト判定システム、それらの方法、プログラム | |
TWI610196B (zh) | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 | |
WO2013097493A1 (zh) | Ips检测处理方法、网络安全设备和系统 | |
JP2014232923A (ja) | 通信装置、サイバー攻撃検出方法、及びプログラム | |
CN109472139B (zh) | 一种防御勒索病毒对主机文档二次加密的方法及系统 | |
JP2007213550A (ja) | ネットワーク接続制御プログラム、ネットワーク接続制御方法及びネットワーク接続制御システム | |
JP2010182020A (ja) | 不正検知装置およびプログラム | |
US11822656B2 (en) | Detection of unauthorized encryption using deduplication efficiency metric | |
JP2021077373A (ja) | 脅威検出方法及びコンピュータ装置 | |
JP6911723B2 (ja) | ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |