TWI515599B - Computer program products and methods for monitoring and defending security - Google Patents
Computer program products and methods for monitoring and defending security Download PDFInfo
- Publication number
- TWI515599B TWI515599B TW103109856A TW103109856A TWI515599B TW I515599 B TWI515599 B TW I515599B TW 103109856 A TW103109856 A TW 103109856A TW 103109856 A TW103109856 A TW 103109856A TW I515599 B TWI515599 B TW I515599B
- Authority
- TW
- Taiwan
- Prior art keywords
- information
- program
- module
- file
- whitelist
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Description
本發明係一種資安監控與防禦之電腦程式產品及其方法,尤指一種設置在虛擬層,以對轄下之虛擬機進行資安監控與防禦的電腦程式產品及其方法。
隨著網路通訊的進步的快速發展,網路服務提供商推出各式各樣的雲端服務,而一般使用者與企業主為了節省購置電腦硬體裝置之成本,逐漸把先前於個人電腦上進行之作業移至雲端伺服器上進行處理。
由於雲端服務已成為電子商務、電子化辦公室的重要一環,因此駭客也把攻擊的重心逐漸的移至雲端伺服器,由於目前惡意程式技術之普及,使得惡意程式相當的氾濫,而對電腦/伺服器造成極大的危害。根據國際組織shadowserver研究報告指出,其組織每月可收集到數百萬甚至千萬個全新的惡意程式樣本,且迄今已收集超過兩億個不重複的惡意程式樣本。而本國之趨勢科技公司亦指出每日大約需要分析4000萬筆以上的可疑程式。
由於傳統防毒軟體是監控程式的特徵或者是行為來辨別是否為惡意程式,但隨著惡意程式的迅速發展,其不僅可透過加密、變形或加殼等技術躲避防毒的偵測,甚至可能會直接關閉防毒軟體再進行惡意活動。使得傳統之防毒軟體已無法負荷防護工作。因此,如何提供一種可有
效的偵測多變之惡意程式乃本領域亟須解決之技術問題。
為解決前揭習知技術之技術問題,本發明之一目的係提供一種資安監控與防禦之電腦程式產品及其方法,以有效的進行病毒防護作業。
為達上述之目的,本發明提供一種資安監控與防禦之電腦程式產品。資安監控與防禦電腦程式產品係應用於電腦裝置上,而電腦裝置更提供了至少一雲端虛擬平台,其雲端虛擬平台更匹配一虛擬層(Hypervisor)以及包含至少一虛擬機(Virtual Machine,簡稱VM)。虛擬層之權限係高於虛擬機,而電腦程式產品包含了至少一資訊蒐集模組以及一中央控管模組。各個資訊蒐集模組分別設置於虛擬平台,而各資訊蒐集模組係經由虛擬層,來擷取虛擬機欲執行的程序之程序資訊。中央控管模組除連接資訊蒐集模組,且更包含一白名單記錄模組、一資訊監控模組以及一異常處理模組。白名單記錄模組為提供一白名單資訊,其白名單資訊係用來記錄允許執行之程序名稱。而資訊監控模組係連接白名單控管模組,並執行:(1)將程序資訊與一快取資訊進行比對,若程序資訊匹配於快取資訊,即判斷程序為正常程序,快取資訊係記錄允許執行且已執行之程序,快取資訊為暫存記錄允許執行且已執行之程序;(2)若程序資訊未匹配快取資訊,即把程序資訊與設置於電腦裝置之資料庫之一白名單資訊進行比對,若程序資訊匹配白名單資訊,即判斷程序為正常程序;(3)若程序資訊未匹配白名單資訊,即對程序資訊之執行參數進行檢查,若通過檢查即判斷此程序為正常程序,若未通過檢查即判斷程序為異常程序。而異常處理模組為連接資訊監控模組,並於此程序被判斷為異常程序即判斷執行一安
全防護作業。
為達上述之目的,本發明更提供一種資安監控與防禦方法,該方法應用於一電腦裝置,電腦裝置更提供至少一雲端虛擬平台,雲端虛擬平台更匹配一虛擬層以及包含至少一虛擬機,虛擬層之權限高於虛擬機,該方法包含下列步驟:首先,經由虛擬層擷取虛擬機欲執行之一程序之一程序資訊。接著,將程序資訊與一快取資訊進行比對,若程序資訊匹配於快取資訊,即判斷程序資訊所描述之程序為正常程序,快取資訊為暫存記錄允許執行且已執行之程序。再者,當程序資訊未匹配取資訊時,則把程序資訊與設置於電腦裝置之一資料庫之一白名單資訊進行比對,若程序資訊匹配白名單資訊,即判斷程序為正常程序。接著,若程序資訊未匹配白名單資訊時,則對程序資訊之執行參數進行檢查,若通過檢查即判斷程序為正常程序,若未通過檢查即判斷程序為異常程序。最後,於此程序被判定為異常程序即判斷是否執行一安全防護作業。
綜上所述,由於本發明係在權限高於虛擬機之虛擬層進行資訊監控與防禦,因此存在虛擬機之病毒無論想透過加密、加殼、變形等技術來躲避偵測,本發明皆能有效的進行監控與防範。
1‧‧‧資安監控與防禦之電腦程式產品
11‧‧‧中央控管模組
111‧‧‧白名單記錄模組
112‧‧‧資訊監控模組
113‧‧‧異常處理模組
12‧‧‧資訊蒐集模組
121‧‧‧記憶體資訊分析模組
122‧‧‧檔案系統分析模組
2‧‧‧雲端虛擬平台
21‧‧‧虛擬機
S101~S105‧‧‧步驟
第1圖係為本發明之資安監控與防禦之電腦程式產品之方塊圖。
第2圖係為本發明之資安監控與防禦方法流程圖。
以下將描述具體之實施例以說明本發明之實施態樣,惟其並
非用以限制本發明所欲保護之範疇。
請參閱第1圖,其係為本發明之一種資安監控與防禦之電腦程式產品。資安監控與防禦之電腦程式產品1係應用於一電腦裝置,電腦裝置更提供至少一雲端虛擬平台2,雲端虛擬平台2為匹配一虛擬層以及包含至少一虛擬機21。且虛擬層之權限係高於虛擬機21,且虛擬機21與雲端虛擬平台2係設置於資安監控與防禦之電腦程式產品1之外部。資安監控與防禦之電腦程式產品1包含至少一資訊蒐集模組12以及一中央控管模組11。而各個資訊蒐集模組12則分別設置於雲端虛擬平台2上,各資訊蒐集模組12為經由虛擬層擷取匹配之虛擬機21所欲執行之一程序之一程序資訊。中央控管模組11為連接資訊蒐集模組12,並更包含一白名單記錄模組111、一資訊監控模組112以及一異常處理模組113。白名單記錄模組111為提供一白名單資訊,而白名單資訊係記錄允許執行之程序名稱。而資訊監控模組112係連接白名單記錄模組111,且資訊監控模組112更執行:(1)將程序資訊與一快取資訊進行比對,若程序資訊匹配於快取資訊,即判斷此程序為正常程序,快取資訊為暫存記錄允許執行且已執行之程序;(2)若程序資訊未匹配快取資訊,即把程序資訊與設置於電腦裝置之一資料庫之一白名單資訊進行比對,若程序資訊匹配白名單資訊,即判斷程序為正常程序;(3)若程序資訊未匹配設置於資料庫之白名單資訊,即對程序資訊之執行參數進行檢查,若通過檢查即判斷此程序為正常程序,若未通過檢查即判斷程序為異常程序。而異常處理模組113為連接資訊監控模組112,異常處理模組113於程序被判
定為異常程序即判斷是否執行一安全防護作業。
前述之白名單資訊包含複數個程序記錄資訊,各個記錄資訊更包含允許程序之名稱資訊、程序之執行檔案路徑資訊、載入檔案資訊、檔案雜湊值(hash)或日期資訊。而對程序資訊之執行參數其檢查項目包含了:(1)檢查新程序之記憶體內容、(2)檢查載入檔案、(3)檢查是否為惡意隱藏程序、(4)檢查是否被植入惡意程式碼,以及(5)檢查記憶體之各區段是否正常。安全防護作業包含隔離網路作業、終止惡意程式執行作業,或者令虛擬機21暫停執行作業。
各個資訊蒐集模組12更包含一記憶體資訊分析模組121以及一檔案系統分析模組122。記憶體資訊分析模組121分析電腦裝置之記憶體內欲載入之程序名稱資訊、原檔案路徑資訊,以及載入檔案資訊,以配置前述之程序資訊。而檔案系統分析模組122則根據記憶體資訊分析模組121之程序資訊(程序名稱資訊、檔案路徑資訊、載入檔案資訊),進一步分析虛擬機21的檔案系統所執行或載入檔案的日期資訊、MD5雜湊值,或者是數位簽章資訊等。
請接著參閱第2圖,其為本發明之一種資安監控與防禦方法,該方法係應用於一電腦裝置。電腦裝置更提供至少一雲端虛擬平台2,而各個雲端虛擬平台2更匹配一虛擬層以及包含至少一虛擬機21。虛擬層之權限高於等虛擬機21,資安監控與防禦方法包含下列步驟:S101:發現新的執行程序。
S102:經由虛擬層擷取虛擬機欲執行程序的程序資訊。
S103:將程序資訊與一快取資訊進行比對,若程序資訊匹配於快取資
訊,即判斷程序資訊所描述之程序為正常程序,並跳至步驟S106,前述之快取資訊為暫存記錄允許執行且已執行之程序。
S104:若程序資訊未匹配快取資訊時,則把程序資訊與設置於電腦裝置之一白名單資訊進行比對,若程序資訊匹配白名單資訊,即判斷程序為正常程序,並跳至步驟S106。
S105:若程序資訊未匹配設置於資料庫之白名單資訊時,則對程序資訊之執行參數及其記憶體內容資訊進行檢查,若通過檢查即判斷程序為正常程序,並跳至步驟S106;若未通過檢查即判斷程序為異常程序,並跳至步驟S107
S106:將程序視為正常程序。
S107:將程序視為異常程序,跳至S107。
S108:判斷是否執行安全防護作業。
請共同參閱第1圖以及第2圖,其為本發明之一實施例。本發明之資安監控與防禦之電腦程式產品1係利用雲端虛擬平台之特性,將電腦程式產品設置於伺服電腦裝置之高權限的虛擬層,以取得較低權限的虛擬機21之運行狀態、記憶體內容、檔案系統等資訊。
本電腦程式產品係採用多對一的Client-Server架構,且分可為中央控管模組11(Server端)以及設置於虛擬平台的資訊蒐集模組12(Client端)。前述之中央控管模組11為應用程式軟體模組,而中央控管模組11可安裝在伺服電腦、伺服電腦之虛擬層,或者進一步安裝置虛擬機21內(Virtual Appliance),當此電腦程式產品開始運作時,資訊蒐集模組12透過結合虛擬層來監伺服電腦處理器的暫存器(Register),如CR3之變化等,來即時得知虛
擬機21是否有欲執行或者是新的初始執行程序,接著再擷取程序之程序資訊。擷取後會先檢查伺服電腦的暫存器的快取資訊內是否有允許執行且已執行過的程序,若擷取之程序資訊與快取資訊內的程序匹配相符時,則讓此程序通過檢驗。若不通過時,則再把程序資訊與白名單資訊進行比對,若此程序屬於信賴之白名單,且程序之內容資訊完全未經過變更或修改(如程序名稱、執行檔案路徑、載入檔案資訊、檔案雜湊值、日期等資訊皆正確),則讓此程序通過檢驗,讓其繼續執行,而本電腦程式產品可再依據用戶安全之需求,並透過指派資訊監控模組112、記憶體資訊分析模組121,或檔案系統分析模組122進行進階檔案檢驗,如檢驗程序之檔案數位簽章是否合法、深入分析程序關聯之檔案內容是否夾藏惡意行為。若無發現異常,則持續監控程序所對應的記憶體內容,包含相關載入檔案(DLL、Library、Module等)是否合法、是否為惡意隱藏的程序、是否被植入惡意程式碼,以及深入分析記憶體各區段是否正常。
上述的快取檢查、白名單檢查以及針對執行參數所為之進階記憶體檢查,其中任一步驟通過即視為正常程序,而全部不符合則視為異常程序。藉由此流程之檢查,可補強現有防毒軟體無法偵測未知病毒的不足、而能有效防範進階持續威脅,且不用持續更新病毒特徵碼。當發現異常時,將會透過異常處理模組113發出告警信息;並根據虛擬機21之用戶需求進行對應措施,例如:隔離網路、終止惡意程式執行、對虛擬機21暫停執行等安全防護。
本發明係透過雲端虛擬化平台之架構,在高權限的虛擬層來監控低權限的虛擬機21作業系統和運行程序,與先前技術相較下,本發明
之優點在於:
(1)有別於傳統防毒機制安裝於作業系統,防護能力容易受到病毒之干擾(如:病毒可利用漏洞取得作業系統的高權限);而本發明則在虛擬機外部進行監控,由權限高於虛擬機之作業系統,故不受病毒的影響。
(2)本發明可監控虛擬機作業系統的完整性,並針對user & kernel mode的Rootkit攻擊(包含Ring3與Ring0 hooking,DKOM等)加以防範,達到完善的防護。
(3)針對虛擬機使用作業系統記憶體分析技術,可有效觀察虛擬機內的程序實際運作狀況,避免病毒使用加密、加殼、變形等技術來躲避偵測。可補強防毒軟體無法偵測未知病毒的不足,並有效防範進階持續威脅。
(4)本發明之所述之電腦軟體產品及其方法安裝於虛擬層,故不需要個別安裝程式於虛擬機21,也不用持續更新病毒特徵碼。
上列詳細說明係針對本發明之一可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
1‧‧‧資安監控與防禦之電腦程式產品
11‧‧‧中央控管模組
111‧‧‧白名單記錄模組
112‧‧‧資訊監控模組
113‧‧‧異常處理模組
12‧‧‧資訊蒐集模組
121‧‧‧記憶體資訊分析模組
122‧‧‧檔案系統分析模組
2‧‧‧雲端虛擬平台
21‧‧‧虛擬機
Claims (10)
- 一種資安監控與防禦之電腦程式產品,應用於一電腦裝置,該電腦裝置更提供至少一雲端虛擬平台,該等雲端虛擬平台更匹配一虛擬層以及包含至少一虛擬機,該虛擬層之權限係高於該等虛擬機,且該等虛擬機與該等雲端虛擬平台係設置於資安監控與防禦之電腦程式產品之外部,該電腦裝置程式產品包含:至少一資訊蒐集模組,分別設置於該至少一虛擬平台,各該資訊蒐集模組係經由該虛擬層擷取匹配之該虛擬機欲執行之一程序之一程序資訊;一中央控管模組,連接該至少一資訊蒐集模組,該中央控管模組更包含:一白名單記錄模組,提供一白名單資訊,該白名單資訊係記錄允許執行之程序名稱;一資訊監控模組,連接該白名單控管模組,該資訊監控模組更執行:將該程序資訊與一快取資訊進行比對,若該程序資訊匹配於該快取資訊,即判斷該程序為正常程序,該快取資訊係記錄允許執行且已執行之程序,該快取資訊為暫存記錄允許執行且已執行過之程序;若該程序資訊未匹配該快取資訊,即把該程序資訊與設置於該電腦裝置之一白名單資訊進行比對,若該程序資訊匹配該白名單資訊,即判斷該程序為正常程序;若該程序資訊未匹配設置於該資料庫之該白名單資訊,即對該程資訊之執行參數進行檢查,若通過檢查即判斷該程序為正常程序,若未通過檢查即判斷該程序為異常程序。
- 如請求項1所述之資安監控與防禦之電腦程式產品,其設置於該電腦裝 置之該白名單資訊包含複數個程序記錄資訊,各該記錄資訊更包含允許程序之名稱資訊、程序之執行檔案路徑資訊、載入檔案資訊、檔案雜湊值或日期資訊。
- 如請求項1所述之資安監控與防禦之電腦程式產品,其對該程序資訊之執行參數所檢查項目係包含檢查該新程序之記憶體內容、檢查載入檔案、檢查是否為惡意隱藏程序、檢查是否被植入惡意程式碼,以及檢查記憶體之各區段是否正常。
- 如請求項1所述之資安監控與防禦之電腦程式產品,該中央管控模組更包含一異常處理模組,該異常處理模組係連接該資訊監控模組,該異常處理模組於該程序為異常程序即判斷執行一安全防護作業其中該安全防護作業包含隔離網路作業、終止惡意程式執行作業或虛擬機暫停執行作業。
- 如請求項1所述之資安監控與防禦之電腦程式產品,各該資訊蒐集模組更包含:一記憶體資訊分析模組,該記憶體資訊分析模組分析該電腦裝置之記憶體內欲載入之程序名稱資訊、原檔案路徑資訊,或載入檔案資訊,以配置該程序資訊;以及一檔案系統分析模組,該檔案系統分析模組分析該電腦裝置之記憶體內之程序名稱資訊、檔案路徑資訊、以及載入檔案資訊,並分析程序所執行的檔案位於檔案系統內的日期資訊、MD5雜湊值,或數位簽章資訊。
- 一種資安監控與防禦方法,應用於一電腦裝置,該電腦裝置更提供至少一雲端虛擬平台,該等雲端虛擬平台更匹配一虛擬層以及包含至少一虛 擬機,該虛擬層之權限高於該等虛擬機,資安監控與防禦方法包含下列步驟:經由該虛擬層擷取該至少一虛擬機欲執行之一程序之一程序資訊;將該程序資訊與一快取資訊進行比對,若該程序資訊匹配於該快取資訊,即判斷該程序資訊所描述之該程序為正常程序,該快取資訊為暫存記錄允許執行且已執行過之程序;若該程序資訊未匹該快取資訊時,則把該程序資訊與設置於該電腦裝置之一白名單資訊進行比對,若該程序資訊匹配該白名單資訊,即判斷該程序為正常程序;以及若該程序資訊未匹配設置於該資料庫之該白名單資訊時,則對該程序資訊之執行參數進行檢查,若通過檢查即判斷該程序為正常程序,若未通過檢查即判斷該程序為異常程序。
- 如請求項6所述之資安監控與防禦方法,其設置於該資料庫之該白名單包含複數個程序記錄資訊,各該程序記錄資訊更包含允許程序之名稱資訊、程序路徑資訊、檔案雜湊值或日期資訊。
- 如請求項6所述之資安監控與防禦方法,對該程序資訊之執行參數所檢查之項目係包含檢查該程序之記憶體內容、檢查載入檔案、檢查是否為惡意隱藏程序、檢查是否被植入惡意程碼,以及檢查記憶體之各區段是否正常。
- 如請求項6所述之資安監控與防禦方法,更於該程序為異常程序即判斷執行一安全防護作業,該安全防護作業包含隔離網路作業、終止惡意程式執行作業或虛擬機暫停執行作業。
- 如請求項6所述之資安監控與防禦方法,該程序資訊更包含:一記憶體分析資訊,記錄該電腦裝置之記憶體欲載入之程序名稱資訊、原檔案路徑資訊,或需載入檔案資訊;以及一檔案系統分析資訊,記錄該電腦裝置該程序之檔案名稱資訊、執行檔案路徑資訊、載入檔案資訊、日期資訊、MD5雜湊值,或數位簽章資訊。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103109856A TWI515599B (zh) | 2014-03-17 | 2014-03-17 | Computer program products and methods for monitoring and defending security |
CN201410418166.5A CN104200162A (zh) | 2014-03-17 | 2014-08-22 | 信息安全监控与防御的计算机程序产品及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103109856A TWI515599B (zh) | 2014-03-17 | 2014-03-17 | Computer program products and methods for monitoring and defending security |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201537379A TW201537379A (zh) | 2015-10-01 |
TWI515599B true TWI515599B (zh) | 2016-01-01 |
Family
ID=52085453
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103109856A TWI515599B (zh) | 2014-03-17 | 2014-03-17 | Computer program products and methods for monitoring and defending security |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN104200162A (zh) |
TW (1) | TWI515599B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI765690B (zh) * | 2021-04-30 | 2022-05-21 | 精品科技股份有限公司 | 基於觀察模式之應用程式控管方法 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106529284B (zh) * | 2016-11-02 | 2020-04-28 | 深圳前海生生科技有限公司 | 基于安全芯片的虚拟机监控器安全加固方法 |
CN106529315B (zh) * | 2016-11-04 | 2019-04-16 | 杭州华澜微电子股份有限公司 | 一种硬盘安全防护方法及系统 |
TWI668592B (zh) * | 2017-07-28 | 2019-08-11 | 中華電信股份有限公司 | Method for automatically determining the malicious degree of Android App by using multiple dimensions |
CN110443876A (zh) * | 2019-07-31 | 2019-11-12 | 新华三大数据技术有限公司 | 3d图像渲染方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110113426A1 (en) * | 2009-11-09 | 2011-05-12 | Hsiang-Tsung Kung | Apparatuses for switching the running of a virtual machine between multiple computer devices belonging to the same computer platform and the associated switching methods |
TW201118739A (en) * | 2009-11-30 | 2011-06-01 | Inventec Corp | A management system of the virtual machine for the application and a method therefore |
TWI451245B (zh) * | 2011-09-14 | 2014-09-01 | Inst Information Industry | 虛擬機器監控方法、系統及儲存其之電腦可讀取紀錄媒體 |
-
2014
- 2014-03-17 TW TW103109856A patent/TWI515599B/zh not_active IP Right Cessation
- 2014-08-22 CN CN201410418166.5A patent/CN104200162A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI765690B (zh) * | 2021-04-30 | 2022-05-21 | 精品科技股份有限公司 | 基於觀察模式之應用程式控管方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201537379A (zh) | 2015-10-01 |
CN104200162A (zh) | 2014-12-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2018204262B2 (en) | Automated code lockdown to reduce attack surface for software | |
US9542556B2 (en) | Malware family identification using profile signatures | |
EP2774039B1 (en) | Systems and methods for virtualized malware detection | |
US9792430B2 (en) | Systems and methods for virtualized malware detection | |
US10055585B2 (en) | Hardware and software execution profiling | |
TWI515599B (zh) | Computer program products and methods for monitoring and defending security | |
CN103065092A (zh) | 一种拦截可疑程序运行的方法 | |
CN108369541B (zh) | 用于安全威胁的威胁风险评分的系统和方法 | |
Čeponis et al. | Towards a robust method of dataset generation of malicious activity for anomaly-based HIDS training and presentation of AWSCTD dataset | |
US9959406B2 (en) | System and method for zero-day privilege escalation malware detection | |
KR20110087826A (ko) | 가상머신을 이용한 악성소프트웨어 탐지 방법 | |
Gashi et al. | A study of the relationship between antivirus regressions and label changes | |
Lim et al. | Mal-ONE: A unified framework for fast and efficient malware detection | |
Xie et al. | Lightweight examination of dll environments in virtual machines to detect malware | |
US11449610B2 (en) | Threat detection system | |
US10061924B1 (en) | Detecting malicious code based on deviations in executable image import resolutions and load patterns | |
US20240176869A1 (en) | Dependency emulation for executable samples | |
Ali et al. | A complete behavioral measurement and reporting: optimized for mobile devices | |
JP5425980B2 (ja) | バグ判定装置およびバグ判定方法 | |
JP2023177332A (ja) | コンピュータ又はコンピュータネットワークにおける脅威検出の構成及び方法 | |
RU2624540C2 (ru) | Способ обнаружения вредоносных программ для ЭВМ заархивированных по неизвестному алгоритму | |
Zuhairi et al. | A Complete Behavioral Measurement and Reporting: Optimized for Mobile Devices |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | Annulment or lapse of patent due to non-payment of fees |