TWI470468B - 惡意程式及行為偵測的方法及系統 - Google Patents
惡意程式及行為偵測的方法及系統 Download PDFInfo
- Publication number
- TWI470468B TWI470468B TW98108372A TW98108372A TWI470468B TW I470468 B TWI470468 B TW I470468B TW 98108372 A TW98108372 A TW 98108372A TW 98108372 A TW98108372 A TW 98108372A TW I470468 B TWI470468 B TW I470468B
- Authority
- TW
- Taiwan
- Prior art keywords
- webpage
- malicious
- record
- virtual machine
- information
- Prior art date
Links
Landscapes
- Computer And Data Communications (AREA)
Description
本發明係為一種惡意程式及行為偵測的方法與系統,尤指一種利用虛擬機台進行網頁瀏覽之網頁惡意程式及行為偵測的系統。
在目前的資訊時代裡,使用者常常利用家中的個人電腦連接至他人的電腦或經由各式各樣的網路互相連結以進入網際網路,因此,電腦安全就變得越來越重要,特別是當使用者瀏覽他人的網頁資訊時會遇到的網路資訊串流的入侵或攻擊。
習知技藝人士皆明瞭,這些攻擊具有許多不同的形式,包含但不限於:電腦病毒、電腦蠕蟲、系統元件更換、拒絕服務攻擊(denial of service attacks),甚至誤用/濫用正當的電腦系統功能。然而,這些會產生攻擊之惡意程式的內容,通常是使用者在瀏覽過該具有惡意程式碼之網頁後才會受到攻擊。
傳統電腦安全防護方式是由防毒軟體掃描經由網路流入的資料,並尋找與已知電腦安全漏洞病毒有關的病毒碼。當偵測到一病毒碼與已知之電腦安全漏洞病毒相關時,防毒軟體會從受感染資料中移除該電腦病毒、將該資料隔離,或者刪除該“受感染”的資料。但不幸的是,防毒軟體典型只對“已知”且可辨識的電腦安全漏洞病毒起作用。換言之,防毒軟體所做的是將該資料中之圖樣(patterns)與電腦安全漏洞之病毒或程式碼的“特徵(signature)”作比對。但是若是防毒軟體的資料不準確或是該惡意程式碼係經過編碼的話,往往防毒軟體就無法預防。
請參閱第1圖,係為目前常見之惡意網頁偵測流程,係利用網路伺服器主動擷取網頁程式碼(步驟101),並且針對該網頁程式碼之呼叫API的行程或程序進行監控分析(步驟1011),以及同時平行地針對該網頁之編碼的部分採用JAVA Script或VB Script解碼後進行比對分析(步驟1012),之後再將該網頁分析結果傳送至客戶端(步驟102),俾使客戶能獲得哪些網頁可能含有惡意程式的資訊。
然而,這樣的方式會產生幾個問題:1僅利用監測或分析API之行程或者行為取得的資訊太過於少,無法準確的判斷該行程是否為惡意、2利用Script解碼引擎解析經過編碼之網頁時,僅能針對JAVA Script或VB Script任一者解碼,遇到混合式的編碼,如混合JAVA Script或VB Script之編碼時,解碼引擎恐怕會解不開,因此無法確切地知道該網頁的內容是否為惡意、3由於網路伺服器硬體需要相當的成本,故在網頁量大增的情形下,該網路伺服器並不可能等量跟隨著增加,所以這樣的惡意網頁偵測流程並不適合處理大量網頁。
因此,即便目前的惡意網頁偵測系統已經同時採用了API之呼叫行程的監控以及Script解碼引擎的解析,仍然無法解決上述之技術問題。
為解決前述習知技術之缺失,本發明提供一種網頁惡意程式及行為偵測的方法及系統,解決僅僅監測API呼叫之行為而易產生之取得資訊太過於少,無法準確的判斷該行程是否為惡意的問題。
本發明所提供之網頁惡意程式及行為偵測的方法及系統,可解決Script解碼引擎無法解析混合式的編碼的問題,以及無法處理大量網頁的問題。
本發明之網頁惡意程式及行為偵測的方法,其應用於一網路系統,該網路系統具有至少一個以軟體模擬之虛擬機台(Virtual Machine)以及網路伺服器,本發明之方法係包括下列步驟:(1)令該虛擬機台瀏覽網際網路中的網頁,並比對該虛擬機台之狀態是否受到惡意程式修改,以將該虛擬機台的瀏覽結果形成過程資訊與系統異常記錄;(2)令該虛擬機台將過程資訊與已知之圖樣(pattern)或特徵進行比對並執行規則分析,以將比對與分析的結果形成惡意資訊記錄;(3)將該惡意資訊記錄與該系統異常記錄傳送至該網路伺服器,並將該虛擬機台瀏覽網頁後之狀態回復至初始狀態;以及(4)藉由該網路伺服器使用告警規則比對該惡意資訊記錄與該系統異常記錄以決定該網頁是否需要告警。
於一較佳態樣中,前述之方法復包括將該需要告警的網頁和網頁內容形成關聯告警記錄,以令該網路伺服器將該關聯告警記錄傳送至客戶端,俾使該客戶端能獲得含有惡意資訊的網頁記錄的步驟。
於另一較佳態樣中,前述之方法復包括將該關聯告警記錄傳送至該虛擬機台藉以更新步驟(2)所述之圖樣或特徵的步驟。
本發明之網頁惡意程式及行為偵測的系統,其應用於一網路系統,該網路系統具有至少一個虛擬機台,係包括下列模組:動態分析模組,用以使該虛擬機台瀏覽網際網路中的網頁,並比對該虛擬機之狀態是否受到惡意程式修改,以將該瀏覽結果形成過程資訊與系統異常記錄;靜態分析模組,用以將該動態分析模組輸出之過程資訊與已知之圖樣或特徵進行比對並執行規則分析,以將比對與分析的結果形成惡意資訊記錄;以及關聯告警模組,用以接收該惡意資訊記錄與該系統異常記錄,再使用告警規則比對該惡意資訊記錄與該系統異常記錄以決定該網頁是否需要告警,若需要告警,則將該需要告警的網頁和網頁內容形成關聯告警記錄,再將該關聯告警記錄傳送至客戶端,俾使該客戶端能獲得含有惡意資訊的網頁記錄。
以下係藉由特定的具體實施例說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容輕易地瞭解本發明之其他優點與功效。本發明亦可藉由其他不同的具體實施例加以施行或應用。
請參閱第2圖,係本發明之網頁惡意程式及行為偵測的方法,其應用於一連接至網際網路的網路系統,該網路系統具有至少一個虛擬機台、網路伺服器,其中,該虛擬機台、網路伺服器可設至於同一台電腦或者不同台電腦,且該虛擬機台係用以擴充瀏覽網頁的能力並增強網頁資料的處理效率。本發明之網頁惡意程式及行為偵測的方法包括下列步驟:
S201步驟為動態分析階段,係藉由虛擬機台瀏覽網際網路中的網頁,並比對虛擬機台中作業系統之前後狀態是否受到病毒感染或惡意程式修改,以將該虛擬機台的瀏覽結果形成過程資訊與系統異常記錄。由於本發明是藉由虛擬機台直接連結與執行該網頁,所以可以直接反應出該程式碼的原貌,而不會受到網頁編碼或者難以解碼的問題,且虛擬機台於瀏覽網頁時對於已編碼之網頁原始碼進行解碼,該網頁原始碼可利用VB script、JAVA script、FLASH或其他程式語言進行編碼。透過虛擬機台的作業系統將執行該網頁前的狀態和執行該網頁後的狀態作比較,可以分析出該網頁是否有含有惡意程式碼的攻擊行為。例如,刪除檔案、下載程式、增加/刪除帳號、複製檔案、修改系統檔案或登錄檔等,因此,執行該S201步驟將使該網頁的瀏覽歷程和惡意程式之原始碼的位置資訊都可以顯示出來並記載於過程資訊中,且將惡意程式碼的攻擊行為形成系統異常記錄。
S202步驟為靜態分析階段,係利用虛擬機台將過程資訊與已知之圖樣或特徵進行比對並執行規則分析,以將符合該圖樣及特徵之過程資訊的內容或透過規則分析所篩選出的內容形成惡意資訊記錄。由於經過S201步驟之過程資訊為已完成解碼之記錄,所以虛擬機台僅需利用已知之電腦病毒的圖樣或是特徵來比較該過程資訊,找出符合該圖樣或是特徵的程式碼和連線記錄,以得到出哪些原始碼藏有惡意網址連線、惡意行程程式碼或是該惡意網址和惡意行程的原始碼位置,並作成惡意資訊記錄。
於S203步驟中,將該惡意資訊記錄傳送至該網路伺服器,並將該虛擬機台瀏覽網頁後之狀態回復至初始狀態。由於S201步驟及S202步驟執行完畢後,虛擬機台可能已經受到了病毒或惡意程式的感染,所以透過虛擬機台的狀態回復功能,可將所有的感染行為或檔案都一併去除,以回到初始狀態。同時,回復至初始狀態之虛擬機台可再進行前述之S201及S202的步驟。
S204步驟為關聯告警階段,係藉由該網路伺服器使用告警規則比對該惡意資訊記錄與該系統異常記錄以決定該網頁是否需要告警,並將該需要告警的網頁和網頁內容形成關聯告警記錄。經過S201和S202步驟所分析出來的惡意資訊記錄,已經過濾掉多數無惡意的資訊,系統之管理人員可以在網路伺服器上藉由電腦程式預設規則,例如將與原網頁的網域差異過大、根本不同的網域或者特定網域的排除,以關聯分析的方式判斷該惡意資訊是否需要告警,或是以人為判斷的方式決定該惡意資訊是否需要告警,並作成關聯告警記錄。然而,為減少對惡意網頁的誤判,本發明將該網域差異過大之網頁中的特定字串與該虛擬機台瀏覽的網頁內容進行比對,若該網頁內容中具有該特定字串,則不形成關聯告警記錄。
於一較佳實施例中,可將該關聯告警記錄傳送至虛擬機台以更新S202步驟所述的圖樣或特徵。另一方面,本發明尚可將關聯告警記錄傳送至用戶端,藉以通知使用者哪些網站或網頁具有惡意軟體與病毒。
請參閱第3圖,其係本發明之網頁惡意程式及行為偵測的系統,其應用於一網路系統,於該網路系統中具有網際網路30、安裝於三台電腦31中之複數個以軟體模擬的虛擬機台32以及網路伺服器33。本發明之網頁惡意程式及行為偵測的系統包括動態分析模組321、靜態分析模組322以及關聯告警模組331。
動態分析模組321安裝於該虛擬機台32中,用於瀏覽網際網路30中的網頁站台35,並比對該虛擬機台32瀏覽網頁前後的狀態以判斷是否受到病毒感染或惡意程式修改,最後,將該瀏覽結果形成過程資訊與系統異常記錄。
靜態分析模組322用以接收該動態分析模組321所輸出之過程資訊,再使用已知之圖樣或特徵比對該過程資訊並執行規則分析,以將符合該圖樣及特徵之過程資訊或透過規則分析所篩選出的內容形成惡意資訊記錄後,俾將該惡意資訊記錄輸出至網路伺服器33。
關聯告警模組331用以接收該惡意資訊記錄與該系統異常記錄,並使用告警規則比對該惡意資訊記錄與該系統異常記以決定是否需要告警,若需要告警,則形成關聯告警記錄並傳送至該用戶端34以告知使用者哪些網頁含有惡意程式碼或惡意資訊。另外,關聯告警模組331可將該關聯告警記錄傳送至該靜態分析模組322以更新靜態分析時的圖樣及特徵。
本發明之網頁惡意程式及行為偵測方法與系統係利用虛擬機台來執行網頁,故並不用配備過多的伺服器,只要於一測試電腦中設置多個虛擬機台即可虛擬化地平行偵測,達到大量偵測網頁的效果,有效提昇整體系統的速度與效能。且透過本發明的實施尚可解決網頁原始碼編碼的問題,透過原始碼的分析功能能協助處理人員快速找出惡意網址的位置。
上述實施例僅為例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技術之人均可在不違背本發明之精神及範疇下,對上述實施例進行修飾及變化。
30...網際網路
31...電腦裝置
32...虛擬機台
321...動態分析模組
322...靜態分析模組
33...網路伺服器
331...關聯告警模組
34...用戶端
35...網頁站台
S101、S1011、S1012、S102...步驟
S201、S202、S203、S204...步驟
第1圖係習知之惡意網頁偵測流程;
第2圖係本發明之網頁惡意程式及行為偵測的方法之流程圖;以及
第3圖係本發明之網頁惡意程式及行為偵測的系統之架構圖。
S201、S202、S203、S204...步驟
Claims (12)
- 一種網頁惡意程式及行為偵測的方法,其應用於一網路系統,該網路系統具有至少一個虛擬機台以及網路伺服器,該方法係包括下列步驟:(1)令該虛擬機台瀏覽網際網路中的網頁,並比對該虛擬機台之狀態是否受到惡意程式修改,以將該虛擬機台的瀏覽結果形成過程資訊與系統異常記錄;(2)令該虛擬機台將該過程資訊與已知之特徵進行比對並執行規則分析,以將比對與分析的結果形成惡意資訊記錄;(3)將該惡意資訊記錄與該系統異常記錄傳送至該網路伺服器,並將該虛擬機台瀏覽網頁後之狀態回復至初始狀態;以及(4)藉由該網路伺服器使用告警規則比對該惡意資訊記錄與該系統異常記錄以決定該網頁是否需要告警,其中,該惡意資訊記錄包含惡意程式碼、惡意連線過程或該惡意程式之原始碼的位置。
- 如申請專利範圍第1項之方法,其中,該虛擬機台狀態是否受到惡意程式修改係根據該虛擬機台所瀏覽之網頁是否執行惡意行程或下載惡意程式來判斷。
- 如申請專利範圍第1項之方法,其中,該虛擬機台於瀏覽網頁時係對於已編碼之網頁原始碼進行解碼。
- 如申請專利範圍第1項之方法,其中,步驟(2)的規則 分析係將網域差異過大之網頁或連線至特定網域之網頁形成關聯告警記錄。
- 如申請專利範圍第4項之方法,其中,將該網域差異過大之網頁中的特定字串與該虛擬機台瀏覽的網頁內容進行比對,若該網頁內容中具有該特定字串,則不形成關聯告警記錄,以減少誤判。
- 如申請專利範圍第1項之方法,復包括:(5)將該需要告警的網頁和網頁內容形成關聯告警記錄;以及(6)令該網路伺服器將該關聯告警記錄傳送至客戶端,俾使該客戶端能獲得含有惡意網頁的資訊記錄。
- 如申請專利範圍第1項之方法,復包括:(5)將該需要告警的網頁和網頁內容形成關聯告警記錄;以及(6)將該關聯告警記錄傳送至該虛擬機台以更新步驟(2)所述之特徵。
- 一種網頁惡意程式及行為偵測的系統,其應用於一網路系統,該網路系統具有至少一個虛擬機台,該包括:動態分析模組,用以使該虛擬機台瀏覽網際網路中的網頁,並比對該虛擬機台之狀態是否受到惡意程式修改,俾將該瀏覽結果形成過程資訊與系統異常記錄;靜態分析模組,用以將該過程資訊與已知之特徵進行比對並執行規則分析,俾將比對與分析的結果形 成惡意資訊記錄;以及關聯告警模組,用以接收由該靜態分析模組輸出之惡意資訊記錄與該系統異常記錄,再依據告警規則比對該惡意資訊記錄與該系統異常記錄來決定該網頁是否需要告警,其中,該惡意資訊記錄包含惡意程式碼、惡意連線過程或該惡意程式之原始碼的位置。
- 如申請專利範圍第8項之系統,其中,該關聯告警模組將需要告警的網頁和網頁內容形成關聯告警記錄,以將該關聯告警記錄傳送至客戶端,俾使該客戶端能獲得含有惡意網頁的資訊記錄。
- 如申請專利範圍第8項之系統,其中,該靜態分析模組所執行之規則分析係將網域差異過大之網頁或連線至特定網域之網頁形成關聯告警記錄。
- 如申請專利範圍第10項之系統,其中,將該網域差異過大之網頁中的特定字串與該虛擬機台瀏覽的網頁內容進行比對,若該網頁內容中具有該特定字串,則不形成關聯告警記錄,以減少誤判。
- 如申請專利範圍第8項之系統,其中,該動態分析模組於瀏覽該網頁時將已編碼之網頁解碼以形成該過程資訊。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW98108372A TWI470468B (zh) | 2009-03-16 | 2009-03-16 | 惡意程式及行為偵測的方法及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW98108372A TWI470468B (zh) | 2009-03-16 | 2009-03-16 | 惡意程式及行為偵測的方法及系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201035795A TW201035795A (en) | 2010-10-01 |
| TWI470468B true TWI470468B (zh) | 2015-01-21 |
Family
ID=44855994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW98108372A TWI470468B (zh) | 2009-03-16 | 2009-03-16 | 惡意程式及行為偵測的方法及系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI470468B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106384046A (zh) * | 2016-08-08 | 2017-02-08 | 青岛天龙安全科技有限公司 | 兼具动静态检测行动应用程序的方法 |
| TWI656453B (zh) * | 2016-11-22 | 2019-04-11 | 財團法人資訊工業策進會 | 檢測系統及檢測方法 |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI419003B (zh) * | 2010-11-12 | 2013-12-11 | Univ Nat Chiao Tung | 自動化分析與分類惡意程式之方法及系統 |
| US9158919B2 (en) * | 2011-06-13 | 2015-10-13 | Microsoft Technology Licensing, Llc | Threat level assessment of applications |
| TWI606361B (zh) * | 2016-08-25 | 2017-11-21 | ming-xian Wang | APP Detection Unknown Pattern Acquisition and Judgment Method |
| CN106384047B (zh) * | 2016-08-26 | 2019-11-15 | 青岛天龙安全科技有限公司 | App检测未知行为采集及判断方法 |
| TWI822474B (zh) * | 2022-11-18 | 2023-11-11 | 中華電信股份有限公司 | 用於企業專網之行動網路管理系統及方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI252976B (en) * | 2004-12-27 | 2006-04-11 | Ind Tech Res Inst | Detecting method and architecture thereof for malicious codes |
| US20070174915A1 (en) * | 2006-01-23 | 2007-07-26 | University Of Washington | Detection of spyware threats within virtual machine |
| US20080005782A1 (en) * | 2004-04-01 | 2008-01-03 | Ashar Aziz | Heuristic based capture with replay to virtual machine |
-
2009
- 2009-03-16 TW TW98108372A patent/TWI470468B/zh not_active IP Right Cessation
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080005782A1 (en) * | 2004-04-01 | 2008-01-03 | Ashar Aziz | Heuristic based capture with replay to virtual machine |
| TWI252976B (en) * | 2004-12-27 | 2006-04-11 | Ind Tech Res Inst | Detecting method and architecture thereof for malicious codes |
| US20070174915A1 (en) * | 2006-01-23 | 2007-07-26 | University Of Washington | Detection of spyware threats within virtual machine |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106384046A (zh) * | 2016-08-08 | 2017-02-08 | 青岛天龙安全科技有限公司 | 兼具动静态检测行动应用程序的方法 |
| CN106384046B (zh) * | 2016-08-08 | 2020-03-31 | 青岛华黎光电科技有限公司 | 兼具动静态检测行动应用程序的方法 |
| TWI656453B (zh) * | 2016-11-22 | 2019-04-11 | 財團法人資訊工業策進會 | 檢測系統及檢測方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201035795A (en) | 2010-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12019734B2 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
| Sarmah et al. | A survey of detection methods for XSS attacks | |
| US11593484B2 (en) | Proactive browser content analysis | |
| US11212305B2 (en) | Web application security methods and systems | |
| Abikoye et al. | A novel technique to prevent SQL injection and cross-site scripting attacks using Knuth-Morris-Pratt string match algorithm | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| KR101811325B1 (ko) | 네트워크 환경에서의 악성 스크립트 언어 코드의 검출 | |
| Song et al. | Advanced evasion attacks and mitigations on practical ML‐based phishing website classifiers | |
| TWI470468B (zh) | 惡意程式及行為偵測的方法及系統 | |
| US10009370B1 (en) | Detection and remediation of potentially malicious files | |
| US8713674B1 (en) | Systems and methods for excluding undesirable network transactions | |
| US20140283078A1 (en) | Scanning and filtering of hosted content | |
| Lamprakis et al. | Unsupervised detection of APT C&C channels using web request graphs | |
| CN116860489A (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
| Chaudhary et al. | Plague of cross-site scripting on web applications: a review, taxonomy and challenges | |
| CN113726790A (zh) | 网络攻击源的识别和封堵方法、系统、装置及介质 | |
| Gupta et al. | Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions | |
| CN118302764A (zh) | 用“非托管imphash”标识.net恶意软件 | |
| Falana et al. | Detection of cross-site scripting attacks using dynamic analysis and fuzzy inference system | |
| Vijayalakshmi et al. | Case Study: extenuation of XSS attacks through various detecting and defending techniques | |
| Chughtai et al. | Deep learning trends and future perspectives of web security and vulnerabilities | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| Sharif | Web attacks analysis and mitigation techniques | |
| Priyadarshini et al. | A cross platform intrusion detection system using inter server communication technique | |
| Arulsuju | Hunting malicious attacks in social networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |