TWI515600B - 惡意程式防護方法與系統及其過濾表格更新方法 - Google Patents
惡意程式防護方法與系統及其過濾表格更新方法 Download PDFInfo
- Publication number
- TWI515600B TWI515600B TW102138749A TW102138749A TWI515600B TW I515600 B TWI515600 B TW I515600B TW 102138749 A TW102138749 A TW 102138749A TW 102138749 A TW102138749 A TW 102138749A TW I515600 B TWI515600 B TW I515600B
- Authority
- TW
- Taiwan
- Prior art keywords
- malware
- network packet
- network
- malicious program
- electronic device
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本發明是有關於一種資訊安全技術,且特別是有關於一種惡意程式防護方法與系統及其過濾表格更新方法。
隨著資訊科技越來越進步,網際網路已與現代人的生活產生密不可分的關係。舉例來說,使用者只要在家中使用電腦,就可以輕易的透過網際網路與遠方的朋友聊天、下載檔案或者進行線上交易等等。也因如此,惡意程式(malware)也更容易進入使用者的電腦。例如,當使用者透過網際網路下載來路不明的應用程式或多媒體檔案時,惡意程式可能會隨者此應用程式或多媒體檔案被下載至使用者的電腦,進而可竊取電腦中的帳號與密碼等使用者資訊。
此外,隨著智慧電視(Smart TV)與數位機上盒(Set Top Box,STB)等多媒體播放裝置的系統性能普遍提升,多媒體播放裝置儼然已成為小型的個人電腦,並且逐漸成為網路駭客的攻擊目
標。然而,在多媒體播放裝置上運行傳統的防毒軟體或架設入侵偵測系統(Intrusion Detection System),對於資料處理能力有限的多媒體播放裝置來說還是略顯吃力。因此,有必要提出系統需求相對較低且具有一定程度之防護能力的惡意程式防護系統,以提升多媒體播放裝置的安全性。
本發明提供一種惡意程式防護方法與系統,可提供用戶端裝置一定程度的惡意程式防護能力,並且可有效減少用戶端裝置的系統資源消耗。
本發明提供一種過濾表格更新方法,可由用戶端裝置與伺服器端裝置合作產生新的過濾規則,並且據以更新用戶端裝置的過濾表格。
本發明提供一種惡意程式防護方法,此惡意程式防護方法包括:由電子裝置接收網路封包,其中電子裝置儲存有過濾表格;由電子裝置判斷網路封包是否符合過濾表格中的特定過濾規則;若網路封包符合過濾表格中的所述特定過濾規則,由電子裝置根據所述特定過濾規則對網路封包執行特定操作;以及若網路封包不符合過濾表格中的所述特定過濾規則,由電子裝置將網路封包的特徵資訊上傳至惡意程式分析裝置。
在本發明之一範例實施例中,所述電子裝置更儲存有惡意程式特徵組,並且所述惡意程式防護方法更包括:由電子裝置
根據所述惡意程式特徵組對網路封包執行惡意程式特徵檢查程序,以產生網路封包的特徵資訊。
在本發明之一範例實施例中,所述惡意程式特徵組中的第一惡意程式特徵組包括多個惡意程式特徵,並且由電子裝置根據所述惡意程式特徵組對網路封包執行所述惡意程式特徵檢查程序的步驟包括:在對應於第一惡意程式特徵組的第一惡意程式特徵檢查程序中,由電子裝置根據惡意程式特徵對應在網路封包中的位置順序,依序檢查網路封包中的資料。
在本發明之一範例實施例中,所述惡意程式防護方法更包括:由惡意程式分析裝置根據網路封包的特徵資訊判斷網路封包是否包含惡意程式;若網路封包包含惡意程式,由惡意程式分析裝置產生對應於惡意程式的過濾規則,並且發送更新指令;由電子裝置從惡意程式分析裝置接收更新指令,且根據更新指令新增對應於惡意程式的過濾規則至過濾表格。
在本發明之一範例實施例中,所述惡意程式分析裝置儲存有對應於所述惡意程式特徵組的惡意程式腳本,並且由惡意程式分析裝置根據網路封包的特徵資訊判斷網路封包是否包含惡意程式的步驟包括:由惡意程式分析裝置根據所述惡意程式腳本重新排序網路封包的特徵資訊;由惡意程式分析裝置根據排序後的特徵資訊判斷網路封包是否包含惡意程式。
在本發明之一範例實施例中,若惡意程式為可清除惡意程式時,由惡意程式分析裝置設定對應於惡意程式的過濾規則為
清除指令。若惡意程式非為可清除惡意程式時,由惡意程式分析裝置設定對應於惡意程式的過濾規則為阻擋指令。
在本發明之一範例實施例中,所述惡意程式防護方法更
包括:當電子裝置接收到包含惡意程式的另一網路封包時,由電子裝置根據清除指令清除另一網路封包中至少部份的惡意程式,或者根據阻擋指令阻擋另一網路封包。
在本發明之一範例實施例中,所述惡意程式防護方法更
包括:由惡意程式分析裝置模擬使用者行為,並且紀錄應用程式或網頁反應於使用者行為而執行的異常行為;若異常行為不合法,由惡意程式分析裝置產生對應於應用程式或網頁的過濾規則,並發送更新指令;由電子裝置從惡意程式分析裝置接收更新指令,且根據更新指令,新增對應於應用程式或網頁的過濾規則至過濾表格。
在本發明之一範例實施例中,所述惡意程式防護方法更
包括:若電子裝置所在的網路環境內存在高傳染性惡意程式,由惡意程式分析裝置發送網路管制指令;由電子裝置從惡意程式分析裝置接收網路管制指令,且根據網路管制指令,管制至少部分電子裝置與網際網路的連線。
本發明另提出一種惡意程式防護系統,此惡意程式防護
系統包括電子裝置與惡意程式分析裝置。此電子裝置包括第一網路模組、第一資料庫模組及初步處理模組。第一網路模組用以接收網路封包。第一資料庫模組用以儲存過濾表格。初步處理模組
耦接第一網路模組與第一資料庫模組,並且用以判斷網路封包是否符合過濾表格中的特定過濾規則。若網路封包符合過濾表格中的所述特定過濾規則,初步處理模組更用以根據所述特定過濾規則對網路封包執行特定操作。若網路封包不符合過濾表格中的所述特定過濾規則,初步處理模組更用以透過第一網路模組上傳網路封包的特徵資訊至惡意程式分析裝置。
在本發明之一範例實施例中,所述第一資料庫模組更儲存有惡意程式特徵組。初步處理模組更用以根據所述惡意程式特徵組對網路封包執行惡意程式特徵檢查程序,以產生網路封包的特徵資訊。
在本發明之一範例實施例中,所述惡意程式特徵組中的第一惡意程式特徵組包括多個惡意程式特徵。在對應於第一惡意程式特徵組的第一惡意程式特徵檢查程序中,初步處理模組更用以根據惡意程式特徵對應在網路封包中的位置順序,依序檢查網路封包中的資料。
在本發明之一範例實施例中,所述惡意程式分析裝置包括第二網路模組與進階處理模組。第二網路模組用以接收網路封包的特徵資訊。進階處理模組耦接第二網路模組,並且用以根據網路封包的特徵資訊判斷網路封包是否包含惡意程式。若網路封包包含惡意程式,進階處理模組更用以產生對應於惡意程式的過濾規則,並且透過第二網路模組發送更新指令至電子裝置。初步處理模組更用以根據更新指令新增對應於惡意程式的過濾規則至
過濾表格。
在本發明之一範例實施例中,所述惡意程式分析裝置更
包括第二資料庫模組。第二資料庫模組耦接進階處理模組,並且用以儲存對應於所述惡意程式特徵組的惡意程式腳本。進階處理模組更用以根據所述惡意程式腳本重新排序網路封包的特徵資訊。進階處理模組更用以根據排序後的特徵資訊判斷網路封包是否包含惡意程式。
在本發明之一範例實施例中,若惡意程式為可清除惡意
程式,進階處理模組更用以設定對應於惡意程式的過濾規則為清除指令。若惡意程式非為可清除惡意程式,則進階處理模組更用以設定對應於惡意程式的過濾規則為阻擋指令。
在本發明之一範例實施例中,當第一網路模組接收到包
含惡意程式的另一網路封包時,初步處理模組更用以根據清除指令清除另一網路封包中至少部份的惡意程式,或者根據阻擋指令阻擋另一網路封包。
在本發明之一範例實施例中,所述進階處理模組更用以
模擬使用者行為,並且紀錄應用程式或網頁反應於使用者行為而執行的異常行為。若異常行為不合法,進階處理模組更用以產生對應於應用程式或網頁的過濾規則,並發送更新指令至電子裝置。初步處理模組更用以根據更新指令,新增對應於應用程式或網頁的過濾規則至過濾表格。
在本發明之一範例實施例中,若電子裝置所在的網路環
境內存在高傳染性惡意程式,進階處理模組更用以透過第二網路模組發送網路管制指令至電子裝置。初步處理模組更用以根據網路管制指令,管制至少部分第一網路模組與網際網路的連線。
此外,本發明另提出一種過濾表格更新方法,此過濾表
格更新方法包括:由電子裝置根據惡意程式特徵組對網路封包執行惡意程式特徵檢查程序,以產生網路封包的特徵資訊,並將網路封包的特徵資訊上傳至惡意程式分析裝置;由惡意程式分析裝置根據網路封包的特徵資訊判斷網路封包是否包含惡意程式;若網路封包包含惡意程式,由惡意程式分析裝置產生對應於惡意程式的過濾規則,並且發送更新指令至電子裝置;由電子裝置根據更新指令新增對應於惡意程式的過濾規則至過濾表格。
在本發明之一範例實施例中,所述惡意程式特徵組中的
第一惡意程式特徵組包括多個惡意程式特徵,並且由電子裝置根據所述惡意程式特徵組對網路封包執行所述惡意程式特徵檢查程序的步驟包括:在對應於第一惡意程式特徵組的第一惡意程式特徵檢查程序中,由電子裝置根據惡意程式特徵對應在網路封包中的位置順序,依序檢查網路封包中的資料。
在本發明之一範例實施例中,所述惡意程式分析裝置儲
存有對應於所述惡意程式特徵組的惡意程式腳本,並且由惡意程式分析裝置根據網路封包的特徵資訊判斷網路封包是否包含惡意程式的步驟包括:由惡意程式分析裝置根據所述惡意程式腳本重新排序網路封包的特徵資訊;由惡意程式分析裝置根據排序後的
特徵資訊判斷網路封包是否包含惡意程式。
在本發明之一範例實施例中,所述過濾表格更新方法更
包括:由惡意程式分析裝置模擬使用者行為,並且紀錄應用程式或網頁反應於使用者行為而執行的異常行為;若異常行為不合法,由惡意程式分析裝置產生對應於應用程式或網頁的過濾規則,並發送更新指令至電子裝置;由電子裝置根據更新指令,新增對應於應用程式或網頁的過濾規則至過濾表格。
基於上述,本發明僅讓本地端的電子裝置負責簡單的封
包內容比對,而將需要較多系統資源的排序與決策交由伺服器端的惡意程式分析裝置執行,以達到提升電子裝置的惡意程式防護能力與降低其系統資源消耗之功效。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
10‧‧‧惡意程式防護系統
11‧‧‧電子裝置
112、122‧‧‧資料庫模組
114、124‧‧‧網路模組
116‧‧‧初步處理模組
12‧‧‧惡意程式分析裝置
126‧‧‧進階處理模組
13‧‧‧網際網路
14‧‧‧網頁伺服器
15‧‧‧應用程式伺服器
301、302、303、304、305、306、307、308‧‧‧位置
31‧‧‧網路封包
32‧‧‧特徵資訊
33‧‧‧已排序檢查結果序列
D1、D2、D3、D4、D5、D6、D7、D8‧‧‧資料
R1、R2、R3、R4、R5、R6、R7、R8‧‧‧檢查結果
SC1、SC2‧‧‧惡意程式腳本
S402、S404、S406、S408‧‧‧本發明之一範例實施例中惡意程式防護方法各步驟
S502、S504、S506、S508、S510‧‧‧本發明之一範例實施例中過濾表格更新方法各步驟
S602、S604、S606、S608‧‧‧本發明之另一範例實施例中過濾表格更新方法各步驟
圖1為根據本發明之一範例實施例所繪示的惡意程式防護系統的示意圖。
圖2為根據本發明之一範例實施例所繪示的電子裝置與惡意程式分析裝置的示意圖。
圖3A為根據本發明之一範例實施例所繪示的執行惡意程式特徵檢查程序的示意圖。
圖3B為根據本發明之一範例實施例所繪示的重新排序網路封包的特徵資訊之示意圖。
圖4為根據本發明之一範例實施例所繪示的惡意程式防護方法的流程圖。
圖5為根據本發明之一範例實施例所繪示的過濾表格更新方法的流程圖。
圖6為根據本發明之另一範例實施例所繪示的過濾表格更新方法的流程圖。
圖1為根據本發明之一範例實施例所繪示的惡意程式防護系統的示意圖。
請參照圖1,惡意程式(malware)防護系統10包括電子裝置11與惡意程式分析裝置12。
在本範例實施例中,電子裝置11可以是智慧型手機(smart phone)、智慧型電視(smart TV)及數位機上盒(Set Top Box,STB)等資料處理能力較為有限的電子裝置。此外,在一實施例中,電子裝置11也可以是任意具有連網、有線傳輸及/或無線傳輸功能的電子裝置,例如智慧型手機(smart phone)、平板電腦(tablet PC)、筆記型電腦(notebook)或桌上型電腦等,本發明不對其限制。
在本範例實施例中,惡意程式分析裝置12可以是一個電腦主機,或者是由多個電腦主機經由內部網路或外部網路(例如,
網際網路13)連線形成的惡意程式分析平台(malware analyzing platform)。在一範例實施例中,惡意程式分析裝置12的資料處理能力可能是電子裝置11的數倍以上。特別是,對於包括智慧型手機(smart phone)、智慧型電視及數位機上盒等資料處理能力較為有限的電子裝置11來說,惡意程式分析裝置12的資料處理能力相對強大。
此外,電子裝置11與惡意程式分析裝置12皆可透過有線或無線的方式連線至網際網路13,以接收或發送網路封包。
圖2為根據本發明之一範例實施例所繪示的電子裝置與惡意程式分析裝置的示意圖。
請參照圖2,電子裝置11包括資料庫模組112、網路模組114及初步處理模組116。
資料庫模組112例如是配置在電子裝置11的記憶體(memory)或硬碟(hard drive disc,HDD)等儲存媒體(未繪示)中。
網路模組114包括有線/無線網路介面卡(Network Interface Card,NIC)。網路模組114可透過有線/無線的方式接收來自網際網路13的網路封包,或者發送網路封包至網際網路13。
初步處理模組116例如是以硬體電路形式配置在電子裝置11的處理器(processor)或微處理器(micro-processor)等系統晶片組(未繪示)中,並且耦接至資料庫模組112與網路模組114。或者,在一範例實施例中,初步處理模組116也可以是以軟體或韌體模組形式儲存於電子裝置11的儲存媒體中,而由電子裝置11的處
理器或微處理器將其載入並且運行等等,本發明不對其限制。
惡意程式分析裝置12包括資料庫模組122、網路模組124
及進階處理模組126。類似於資料庫模組112,資料庫模組122例如是配置在惡意程式分析裝置12的記憶體或硬碟等儲存媒體(未繪示)中。類似於網路模組114,網路模組124包括有線/無線網路介面卡,以透過有線/無線的方式收發網路封包。類似於初步處理模組116,進階處理模組126例如是以硬體電路形式配置在惡意程式分析裝置12的處理器等系統晶片組(未繪示)內,並且耦接至資料庫模組122與網路模組124。此外,在一範例實施例中,進階處理模組126也可以是以軟體或韌體模組形式儲存於惡意程式分析裝置12的儲存媒體中,而由惡意程式分析裝置12的處理器載入並且運行等等,本發明不對其限制。
在一範例實施例中,資料庫模組112儲存有過濾表格
(filtering table)。此過濾表格通常包括多個過濾規則(filtering rule),並且每一個過濾規則可包括特定的字串(string)及/或符號(symbol)。例如,在一範例實施例中,當電子裝置11(或網路模組114)接收到網路封包時,初步處理模組116可判斷此網路封包是否符合過濾表格中的某些過濾規則(以下統稱為至少一特定過濾規則)。若此網路封包符合此至少一特定過濾規則,初步處理模組116可根據此至少一特定過濾規則來對此網路封包執行特定操作,例如讓此網路封包通過、阻擋此網路封包或者修改此網路封包的部份封包內容等等。
此外,此些過濾規則也可用來識別出可能帶有惡意程式
的網路封包。例如,當使用者透過包含數位機上盒的電子裝置11自網際網路13下載電影時,電子裝置11(或初步處理模組116)可根據預設的比對規則來判斷接收到的網路封包之標頭(Header)及/或負載(payload)中是否存在過濾表格中的特定字串及/或符號。若接收到的網路封包之標頭及/或負載中存在過濾表格中的特定字串及/或符號,表示此網路封包符合過濾規則,也就是說,所下載的電影可能帶有惡意程式,因此,電子裝置11(或初步處理模組116)可以根據此網路封包所符合的過濾規則,來執行阻擋或丟棄(drop)此網路封包,以避免網路封包中的惡意程式順利進入電子裝置11的檔案系統(file system)。或者,在一範例實施例中,電子裝置11(或初步處理模組116)也可以透過清除網路封包中與過濾表格相符的特定字串及/或符號等特定操作,來破壞網路封包中已知的惡意程式。
在一範例實施例中,過濾表格也可包括白名單與黑名
單,若網路封包符合黑名單中的過濾規則,則電子裝置11(或初步處理模組116)會阻擋或修改此網路封包。若網路封包符合白名單中的過濾規則,則電子裝置11(或初步處理模組116)會讓此網路封包進入電子裝置11的檔案系統。
此外,當接收到的網路封包不符合過濾表格中的所有過
濾規則時,表示此網路封包的標頭及/或負載中的內容沒有預先被定義在過濾規則中,其包含惡意程式的機率不高,因此電子裝置
11(或初步處理模組116)例如是讓此網路封包進入電子裝置11的檔案系統。
值得一提的是,不符合過濾表格中的所有過濾規則的網
路封包雖然有可能是乾淨的,卻也有可能帶有新的惡意程式,而此新的惡意程式的特徵還沒有被定義在過濾規則中。因此,在一範例實施例中,資料庫模組112還儲存有一個或一個以上的惡意程式特徵組,並且資料庫模組122則儲存有一個或一個以上的惡意程式腳本(malware script)。其中,每一個惡意程式特徵組包括一個或一個以上的惡意程式特徵,並且每一個惡意程式特徵組對應於一個惡意程式腳本。此外,惡意程式腳本也可稱為病毒腳本(virus script)或病毒碼(virus pattern)。當接收到的網路封包不符合過濾表格中的所有過濾規則時,電子裝置11(或初步處理模組116)可根據儲存在資料庫模組112的惡意程式特徵組,對接收到的網路封包執行惡意程式特徵檢查程序。在惡意程式特徵檢查程序執行完畢之後,電子裝置11(或初步處理模組116)會產生此網路封包的特徵資訊,並且透過第一網路模組114將此網路封包的特徵資訊上傳至惡意程式分析裝置12。
此外,在一範例實施例中,電子裝置11(或初步處理模組
116)執行惡意程式特徵檢查程序的時機,也可以是在電子裝置11(或第一網路模組114)接收到任一個網路封包時等等,而非限於上述。
詳細而言,假設一個惡意程式特徵組是對應至一個惡意
程式特徵檢查程序。當資料庫模組112儲存有多個惡意程式特徵組時,電子裝置11(或初步處理模組116)可根據此些惡意程式特徵組平行地(in parallel)對此網路封包執行多個惡意程式特徵檢查程序。以下將配合圖式詳細說明執行惡意程式特徵檢查程序的範例。
圖3A為根據本發明之一範例實施例所繪示的執行惡意程式特徵檢查程序的示意圖。
請參照圖3A,假設資料庫模組112儲存有第一惡意程式特徵組與第二惡意程式特徵組,其中第一惡意程式特徵組可用來檢查一個特定的惡意程式或一種特定類型的惡意程式,並且第二惡意程式特徵組可用來檢查另一個特定的惡意程式或另一種特定類型的惡意程式。電子裝置11(或初步處理模組116)可平行地根據第一惡意程式特徵組與第二惡意程式特徵組,從位置301至位置308依序檢查網路封包31的封包內容(包括標頭與負載),並根據檢查結果產生網路封包31的特徵資訊32。
也就是說,假設第一惡意程式特徵檢查程序對應於第一惡意程式特徵組,並且第二惡意程式特徵檢查程序對應於第二惡意程式特徵組,電子裝置11(或初步處理模組116)可平行地執行第一惡意程式特徵檢查程序與第二惡意程式特徵檢查程序。在第一惡意程式特徵檢查程序中,電子裝置11(或初步處理模組116)可根據第一惡意程式特徵組中的多個惡意程式特徵分別對應在網路封包31中的位置,依據檢查網路封包31中的資料。例如,先檢查網路封包31的位置301之資料D1,再檢查位置304之資料D3,
再檢查位置306之資料D4,最後才檢查位置308之資料D2。而檢查的方式,則例如是依序比對第一惡意程式特徵組中分別對應在位置301、304、306及308的多個惡意程式特徵與資料D1、D3、D4及D2,進而產生檢查結果R1、R3、R4及R2。舉例來說,當資料D1與第一惡意程式特徵組中對應在位置301的某一惡意程式特徵相符,而資料D3、D4及D2皆與第一惡意程式特徵組中對應在位置304、306及308的其餘惡意程式特徵不相符時,所產生的檢查結果例如是R1=1、R3=0、R4=0並且R2=0。
類似地,在第二惡意程式特徵檢查程序中,電子裝置
11(或初步處理模組116)可根據第二惡意程式特徵檢查程序中的多個惡意程式特徵分別對應在網路封包31中的位置,依據檢查網路封包31中的資料。例如,先檢查網路封包31的位置302之資料D5,再檢查位置303之資料D8,再檢查位置305之資料D7,最後才檢查位置307之資料D6。檢查的方式例如是依序比對第二惡意程式特徵檢查程序中分別對應在位置302、303、305及307的多個惡意程式特徵與資料D5、D8、D7及D6,進而產生檢查結果R5、R8、R7及R6。也就是說,在本範例實施例中,特徵資訊32至少會包括檢查結果R1、R5、R8、R3、R7、R4、R6及R2。
特別是,在一範例實施例中,由於電子裝置11的資料處
理能力有限,因此電子裝置11並不適合執行例如資料排序(sorting)等進階資料處理程序。因此,在一範例實施例中,實際上特徵資訊32中的檢查結果R1、R5、R8、R3、R7、R4、R6及R2是依照
電子裝置11(或初步處理單元116)對網路封包31中的資料之檢查順序進行排列的,例如最先檢查位置301的資料D1而最先產生檢查結果R1,並且最後檢查位置308的資料D2而最後才產生檢查結果R2等。然後,電子裝置11(或初步處理模組116)可透過網路模組114即時地將特徵資訊32上傳至惡意程式分析裝置12。
值得一提的是,相對於網路封包本身,由於網路封包的特徵資訊(例如,惡意程式特徵檢查程序的檢查結果)之資料量相對較少,因此即使電子裝置11在短時間內上傳多個網路封包的特徵資訊,正在操作此電子裝置11的使用者可能也不會察覺。此外,由於電子裝置11所執行的惡意程式特徵檢查程序僅包括簡單的封包內容比對,因此即使電子裝置11在短時間內執行多個惡意程式特徵檢查程序,對於電子裝置11之運算資源的消耗量也同樣不至於影響電子裝置11之使用者的操作行為。也就是說,相對於傳統完全在用戶端的電腦系統中執行掃毒而消耗用戶端電腦系統的大量系統資源,或者完全在伺服器端執行惡意程式的偵測而傳輸大量的網路封包內容,導致消耗用戶端大量的網路頻寬,本發明可在減少用戶端網路流量的佔用,以及減少用戶端系統資源消耗之前提下,有效提升用戶端電子裝置對於惡意程式的防護能力。
當惡意程式分析裝置12(或網路模組124)接收到來自電子裝置11之網路封包的特徵資訊時,惡意程式分析裝置12(或進階處理模組126)可根據網路封包的特徵資訊判斷此網路封包是否包含惡意程式。特別是,由於惡意程式分析裝置12接收到的網路
封包的特徵資訊不一定符合惡意程式腳本的資料分析順序,因此,在一範例實施例中,在判斷網路封包是否包含惡意程式之前,惡意程式分析裝置12(或進階處理模組126)會根據惡意程式腳本的資料分析順序或惡意程式偵測規則,重新排序網路封包的特徵資訊,並且根據排序後的特徵資訊來判斷此網路封包中是否包含惡意程式。以下將配合圖式舉例說明重新排序網路封包的特徵資訊的運作。
圖3B為根據本發明之一範例實施例所繪示的重新排序網路封包的特徵資訊之示意圖。
請參照圖3B,接續圖3A所示之範例,在接收到特徵資訊32之後,惡意程式分析裝置12(或進階處理模組126)可根據儲存在資料庫模組122且對應於第一惡意程式特徵組的第一惡意程式腳本SC1與對應於第二惡意程式特徵組的第二惡意程式腳本SC2,重新排列特徵資訊32為已排序檢查結果序列33。例如,惡意程式分析裝置12(或進階處理模組126)可以將第一惡意程式特徵檢查程序的檢查結果R1、R3、R4及R2移至已排序檢查結果序列33的前半段,並且將第二惡意程式特徵檢查程序的檢查結果R5、R8、R7及R6移至已排序檢查結果序列33的後半段,以便於依序利用第一惡意程式腳本SC1與第二惡意程式腳本SC2來進行惡意程式的檢查。
然後,假設第一惡意程式腳本SC1的資料分析順序是先檢查資料D1,再基於資料D2而選擇性地檢查資料D3或D4,並
且第二惡意程式腳本SC2的資料分析順序是基於資料D5而選擇性地檢查資料D6、D7或D8。惡意程式分析裝置12(或進階處理模組126)可將位於已排序檢查結果序列33之前半段的檢查結果R1、R3、R4及R2重新排序為「R1、R2、R3及R4」,以符合第一惡意程式腳本SC1的資料分析順序,並且將位於已排序檢查結果序列33之後半段的檢查結果R5、R8、R7及R6重新排序為「R5、R6、R7及R8」,以符合第二惡意程式腳本SC2的資料分析順序。
然後,經比對,當惡意程式分析裝置12(或進階處理模組
126)發現「R1、R2、R3及R4」符合第一惡意程式腳本SC1的惡意程式偵測規則(例如,R1=1、R2=1且R3=1)及/或「R5、R6、R7及R8」符合第二惡意程式腳本SC2的惡意程式偵測規則(例如,R5=1且R7=1)時,惡意程式分析裝置12(或進階處理模組126)可判定網路封包31包括惡意程式。此外,惡意程式分析裝置12(或進階處理模組126)還可進一步得知網路封包31中包含的惡意程式類型等相關資訊。例如,當已排序檢查結果序列33符合第一惡意程式腳本SC1的惡意程式偵測規則時,表示網路封包31中包含某一種特定類型的惡意程式。當已排序檢查結果序列33符合第二惡意程式腳本SC2的惡意程式偵測規則時,表示網路封包31中包含另一種特定類型的惡意程式。或者,當已排序檢查結果序列33同時符合第一惡意程式腳本SC1與第二惡意程式腳本SC2的惡意程式偵測規則時,表示網路封包31中同時包含兩種特定類型的惡意程式等等。
然後,當惡意程式分析裝置12(或進階處理模組126)判定
此網路封包包含一個(或一個以上的)惡意程式時,惡意程式分析裝置12(或進階處理模組126)可產生對應於此惡意程式的過濾規則。例如,惡意程式分析裝置12(或進階處理模組126)可根據此惡意程式對應在網路封包中的特定字串、符號及/或帶有此惡意程式的網路封包之來源端(source)資訊(例如,來源端IP位址與來源埠)等等,而歸納出對應於此惡意程式的過濾規則。例如,阻擋來自某一特定IP位址的網路封包或者帶有會控制電子裝置11向外發送帳號與密碼的字串及/或符號的網路封包等等,本發明不對其限制。
此外,在一範例實施例中,惡意程式分析裝置12(或進階
處理模組126)還可以進一步判斷此惡意程式是否為可清除惡意程式。也就是說,若此惡意程式可很容易地從網路封包中清除或移除,表示此惡意程式為可清除惡意程式。反之,若此惡意程式難以從網路封包中清除或移除,表示此惡意程式不是可清除惡意程式。若惡意程式分析裝置12(或進階處理模組126)判定此惡意程式為可清除惡意程式,惡意程式分析裝置12(或進階處理模組126)會設定對應於此惡意程式的過濾規則為清除指令。反之,若惡意程式分析裝置12(或進階處理模組126)判定此惡意程式非為可清除惡意程式,惡意程式分析裝置12(或進階處理模組126)會設定對應於此惡意程式的過濾規則為阻擋指令。
然後,惡意程式分析裝置12(或進階處理模組126)可以透
過第二網路模組124發送更新指令至電子裝置11。當電子裝置11(或網路模組114)接收到此更新指令時,電子裝置11(或初步處理單元116)會根據此更新指令新增對應於此惡意程式的過濾規則至資料庫模組112中的過濾表格。例如,惡意程式分析裝置12(或進階處理模組126)會將此惡意程式的過濾規則等最新的過濾規則存在資料庫模組122的一個更新表格中,並且電子裝置11(或初步處理單元116)會根據此更新指令,透過網路模組114自此更新表格下載此惡意程式的過濾規則。
當下一次電子裝置11(或網路模組114)接收到包含此惡意程式的網路封包時,由於資料庫模組112中的過濾表格已存有對應於此惡意程式的過濾規則,因此,電子裝置11(或初步處理單元116)可識別出包含此惡意程式的網路封包,並且執行對應的特定操作。例如,在一範例實施例中,若對應於此惡意程式的過濾規則為清除指令,則電子裝置11(或初步處理單元116)可根據此清除指令清除此網路封包中至少部份的惡意程式。此外,在一範例實施例中,若對應於此惡意程式的過濾規則為阻擋指令,則電子裝置11(或初步處理單元116)可根據此阻擋指令阻擋或直接丟棄此網路封包。
在一範例實施例中,根據每一個電子裝置11上傳的網路封包之特徵資訊,當惡意程式分析裝置12(或進階處理模組126)檢查出多個電子裝置11在一預設時間範圍內都接收到帶有特定惡意程式的網路封包時,惡意程式分析裝置12(或進階處理模組126)
更可判定發生病毒爆發(virus outbreak)。其中,先後接收到帶有此特定惡意程式之網路封包的這些電子裝置11可能具有共通特性。例如,當處於某一網域(例如,IP位置為140.116.X.X)、某一地區(例如,士林區)及/或某一類型的電子裝置11(例如,智慧型電視)在同一天內分別接收到帶有特定惡意程式的網路封包,表示這些電子裝置11所在的網路環境內目前存在一個以上的高傳染性惡意程式。此時,由於惡意程式分析裝置12(或進階處理模組126)可能尚未歸納出對應於此高傳染性惡意程式的過濾規則,因此,惡意程式分析裝置12(或進階處理模組126)例如是先即時透過網路模組124發送網路管制指令至此網路環境內(例如,同一網域、同一地區或同一類型)的每一個電子裝置11。當電子裝置11(或網路模組114)接收到此網路管制指令時,電子裝置11(或初步處理模組116)會根據此網路管制指令,管制至少部分電子裝置11與網際網路13的連線。例如,電子裝置11(或初步處理模組116)會根據此網路管制指令關閉其與某一IP位址之間的網路連線,禁止接收來自此IP位址的網路封包,或者甚至暫時切斷對外的所有網路連線等等,直到惡意程式分析裝置12(或進階處理模組126)歸納出對應於此高傳染性惡意程式的過濾規則為止。藉此,從病毒爆發到病毒碼公佈期間的防護空窗期,電子裝置11也可具有基本的惡意程式防範能力。
此外,在一範例實施例中,惡意程式分析裝置12(或進階處理模組126)也可以模擬使用者行為(user behavior),並且紀錄應
用程式或網頁反應於此使用者行為而執行的異常行為。若此異常行為不合法,則惡意程式分析裝置12(或進階處理模組126)可產生對應於此應用程式或此網頁的過濾規則,並透過網路模組124發送更新指令至電子裝置11。接著,在電子裝置11(或網路模組114)接收到此更新指令之後,電子裝置11(或初步處理模組116)可根據此更新指令新增對應於此應用程式或此網頁的過濾規則至儲存於資料庫模組112中的過濾表格。
舉例來說,請再次參照圖1,在一實施例中,惡意程式(malware)防護系統10還可更包括網頁伺服器14與應用程式伺服器15。例如,網頁伺服器14是網站主機,並且儲存有多個網頁。而應用程式伺服器15例如是應用程式的維護主機,並且可定期發布應用程式的更新/維護資訊至用戶端等等。
在一範例實施例中,惡意程式分析裝置12(或進階處理模組126)會依據一特定規則(例如,每天1~2次)對網頁伺服器14提供的網頁及/或應用程式伺服器15提供的應用程式進行測試,例如,透過模擬開啟網頁及/或下載檔案等使用者行為,並記錄進行測試的網頁及/或應用程式反應於此使用者行為而執行的正常行為。此外,此正常行為也可以是由網頁伺服器14及/或應用程式伺服器15透過註冊或認證等程序而提供。經過反覆測試,當某一次(例如,2013年9月17日下午3:00)網頁伺服器14提供的網頁及/或應用程式伺服器15提供的應用程式反應於此使用者行為而執行的行為(以下統稱為異常行為)與先前(例如,2013年9月17日上午
6:00)紀錄的正常行為不同時,惡意程式分析裝置12(或進階處理模組126)可透過自動或手動的方式分析並判斷此異常行為是否合法。若此異常行為不合法,例如某一網頁或某一應用程式會執行將使用者的帳號與密碼偷偷傳送至一特定主機等異常行為,表示此網頁或應用程式可能已被惡意程式感染或其程式碼已被惡意竄改,因此,在經過確認之後,惡意程式分析裝置12(或進階處理模組126)可透過更新指令將對應於此網頁或應用程式的過濾規則新增至電子裝置11的過濾表格。藉此,當電子裝置11再次接收到來自網頁伺服器14及/或應用程式伺服器15的網路封包,或者帶有相關資訊的網路封包時,此網路封包就可能會被修改、被阻擋或者直接被丟棄,以避免電子裝置11受到惡意程式的感染。
類似地,上述電子裝置11根據更新指令來更新過濾表格的方式,例如是由電子裝置11根據更新指令透過網際網路13至惡意程式分析裝置12下載最新的過濾規則,或者由惡意程式分析裝置12直接將最新的過濾規則夾帶在更新指令中,而發送至電子裝置11,本發明不對其限制。
圖4為根據本發明之一範例實施例所繪示的惡意程式防護方法的流程圖。
請同時參照圖2與圖4,在步驟S402中,由電子裝置11(或網路模組114)接收網路封包,其中電子裝置11(或資料庫模組112)儲存有過濾表格,並且此過濾表格包括至少一過濾規則。然後,在步驟S404中,由電子裝置11(或初步處理模組116)判斷網路封
包是否符合此過濾表格中的一個或多個特定過濾規則。
若此網路封包符合此過濾表格中的一個或多個特定過濾規則,在步驟S406中,由電子裝置11(或初步處理模組116)根據此一個或多個特定過濾規則對網路封包執行特定操作。反之,若此網路封包不符合過濾表格中的此一個或多個特定過濾規則,則在步驟S408中,電子裝置11(或初步處理模組116)透過網路模組114上傳此網路封包的特徵資訊至惡意程式分析裝置12。
必須了解的是,對應於不同的應用,本發明的惡意程式防護方法也可適應性的調整,而不限於圖4所示的步驟。
圖5為根據本發明之另一範例實施例所繪示的過濾表格更新方法的流程圖。
請同時參照圖2與圖5,在步驟S502中,由電子裝置11(或網路模組114)接收網路封包,其中電子裝置11(或資料庫模組112)儲存有至少一惡意程式特徵組與過濾表格。
然後,在步驟S504中,由電子裝置11(或初步處理模組116)根據此至少一惡意程式特徵組對此網路封包執行惡意程式特徵檢查程序,以產生此網路封包的特徵資訊,並透過網路模組114將此網路封包的特徵資訊上傳至惡意程式分析裝置12。
接著,在步驟S506中,由惡意程式分析裝置12(或進階處理模組126)根據此網路封包的特徵資訊判斷此網路封包是否包含惡意程式。
若此網路封包包含惡意程式,在步驟S508中,由惡意程
式分析裝置12(或進階處理模組126)產生對應於此惡意程式的過濾規則,並且透過網路模組124發送更新指令至電子裝置11。
然後,在步驟S510中,由電子裝置11(或初步處理模組116)根據此更新指令新增對應於此惡意程式的過濾規則至資料庫模組112中的過濾表格。
此外,在步驟S506中,若惡意程式分析裝置12(或進階處理模組126)判定此網路封包並未包含任何(例如,已知的)惡意程式,則步驟S502被重複執行。
圖6為根據本發明之另一範例實施例所繪示的過濾表格更新方法的流程圖。
請參照圖2與圖6,在步驟S602中,由惡意程式分析裝置12(或進階處理模組126)模擬使用者行為,並且紀錄應用程式或網頁反應於此使用者行為而執行的異常行為。
然後,在步驟S604中,由惡意程式分析裝置12(或進階處理模組126)判斷此異常行為是否合法。若此異常行為合法,例如,只是網頁或應用程式的功能有變動,則依照特定的規則重複執行步驟S602。
反之,若此異常行為不合法,則在步驟S606中,由惡意程式分析裝置12(或進階處理模組126)產生對應於此應用程式或網頁的過濾規則,並發送更新指令至電子裝置11。
然後,在步驟S608中,由電子裝置11(或初步處理模組116)根據此更新指令,新增對應於此應用程式或此網頁的過濾規則
至其過濾表格。
綜上所述,本發明提出的惡意程式防護方法與系統,僅
需要讓用戶端的電子裝置負責簡單的封包內容比對,而將需要較多系統資源的排序與決策交由伺服器端的惡意程式分析裝置執行。藉此,可有效改善以往完全由伺服器端或者用戶端進行惡意程式偵測而造成的網路流量過高及/或資源消耗過大之困擾,並且可達到提升電子裝置的惡意程式防護能力與降低其系統資源消耗之功效。此外,針對從病毒爆發到病毒碼公佈期間的防毒空窗期,本發明也提出可增強電子裝置安全性的解決方案,有效改善傳統防毒軟體及/或入侵偵測系統可能存在的缺陷。
再者,本發明提出的過濾表格更新方法,可透過用戶端
的電子裝置與伺服器端的惡意程式分析裝置合作對網路封包進行分析,以決定是否更新用戶端的電子裝置之過濾表格,從而達到減輕伺服器端與用戶端的系統負擔與強化惡意程式回報機制的功效。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
S402、S404、S406、S408‧‧‧惡意程式防護方法各步驟
Claims (22)
- 一種惡意程式防護方法,包括:由一電子裝置接收一網路封包,其中該電子裝置儲存有一過濾表格;由該電子裝置判斷該網路封包是否符合該過濾表格中的至少一特定過濾規則;若該網路封包符合該過濾表格中的該至少一特定過濾規則,由該電子裝置根據該至少一特定過濾規則對該網路封包執行一特定操作;若該網路封包不符合該過濾表格中的該至少一特定過濾規則,由該電子裝置將該網路封包的一特徵資訊上傳至一惡意程式分析裝置;以及由該惡意程式分析裝置根據該網路封包的該特徵資訊判斷該網路封包是否包含一惡意程式,其中上述由該惡意程式分析裝置根據該網路封包的該特徵資訊判斷該網路封包是否包含該惡意程式的步驟包括:由該惡意程式分析裝置根據至少一惡意程式腳本重新排序該網路封包的該特徵資訊;以及由該惡意程式分析裝置根據排序後的該特徵資訊判斷該網路封包是否包含該惡意程式。
- 如申請專利範圍第1項所述的惡意程式防護方法,更包括:由該電子裝置儲存至少一惡意程式特徵組;以及 由該電子裝置根據該至少一惡意程式特徵組對該網路封包執行至少一惡意程式特徵檢查程序,以產生該網路封包的該特徵資訊。
- 如申請專利範圍第2項所述的惡意程式防護方法,其中該至少一惡意程式特徵組中的一第一惡意程式特徵組包括多個惡意程式特徵,並且上述由該電子裝置根據該至少一惡意程式特徵組對該網路封包執行該至少一惡意程式特徵檢查程序的步驟包括:在對應於該第一惡意程式特徵組的一第一惡意程式特徵檢查程序中,由該電子裝置根據該些惡意程式特徵對應在該網路封包中的一位置順序,依序檢查該網路封包中的資料。
- 如申請專利範圍第1項所述的惡意程式防護方法,更包括:若該網路封包包含該惡意程式,由該惡意程式分析裝置產生對應於該惡意程式的一過濾規則,並且發送一更新指令;以及由該電子裝置從該惡意程式分析裝置中接收該更新指令,且根據該更新指令新增對應於該惡意程式的該過濾規則至該過濾表格。
- 如申請專利範圍第4項所述的惡意程式防護方法,其中該惡意程式分析裝置儲存有對應於至少一惡意程式特徵組的該至少一惡意程式腳本。
- 如申請專利範圍第4項所述的惡意程式防護方法,其中由該惡意程式分析裝置產生對應於該惡意程式的過濾規則,並且發送該更新指令的步驟包括: 若該惡意程式為一可清除惡意程式時,由該惡意程式分析裝置設定對應於該惡意程式的該過濾規則為一清除指令;以及若該惡意程式非為該可清除惡意程式時,由該惡意程式分析裝置設定對應於該惡意程式的該過濾規則為一阻擋指令。
- 如申請專利範圍第6項所述的惡意程式防護方法,更包括:當該電子裝置接收到包含該惡意程式的另一網路封包時,由該電子裝置根據該清除指令清除該另一網路封包中至少部份的該惡意程式,或者根據該阻擋指令阻擋該另一網路封包。
- 如申請專利範圍第1項所述的惡意程式防護方法,更包括:由該惡意程式分析裝置模擬一使用者行為,並且紀錄一應用程式或一網頁反應於該使用者行為而執行的一異常行為;若該異常行為不合法,由該惡意程式分析裝置產生對應於該應用程式或該網頁的一過濾規則,並發送一更新指令;以及由該電子裝置從該惡意程式分析裝置中接收該更新指令,且根據該更新指令,新增對應於該應用程式或該網頁的該過濾規則至該過濾表格。
- 如申請專利範圍第1項所述的惡意程式防護方法,更包括:若該電子裝置所在的一網路環境內存在至少一高傳染性惡意程式,由該惡意程式分析裝置發送一網路管制指令;以及由該電子裝置從該惡意程式分析裝置中接收該網路管制指令,且根據該網路管制指令,管制至少部分該電子裝置與網際網路的連線。
- 一種惡意程式防護系統,包括:一電子裝置與一惡意程式分析裝置,其中該電子裝置包括:一第一網路模組,用以接收一網路封包;一第一資料庫模組,用以儲存一過濾表格;以及一初步處理模組,耦接該第一網路模組與該第一資料庫模組,並且用以判斷該網路封包是否符合該過濾表格中的至少一特定過濾規則,其中若該網路封包符合該過濾表格中的該至少一特定過濾規則,該初步處理模組更用以根據該至少一特定過濾規則對該網路封包執行一特定操作,其中若該網路封包不符合該過濾表格中的該至少一特定過濾規則,該初步處理模組更用以透過該第一網路模組上傳該網路封包的一特徵資訊至該惡意程式分析裝置,其中該惡意程式分析裝置包括:一第二網路模組,用以接收該網路封包的該特徵資訊;以及一進階處理模組,耦接該第二網路模組並且用以根據該網路封包的該特徵資訊判斷該網路封包是否包含一惡意程式,其中該進階處理模組根據至少一惡意程式腳本重新排序該網路封包的該特徵資訊,其中該進階處理模組根據排序後的該特徵資訊判斷該網路封包是否包含該惡意程式。
- 如申請專利範圍第10項所述的惡意程式防護系統,其中該第一資料庫模組更儲存有至少一惡意程式特徵組,其中該初步處理模組更用以根據該至少一惡意程式特徵組對該網路封包執行至少一惡意程式特徵檢查程序,以產生該網路封包的該特徵資訊。
- 如申請專利範圍第11項所述的惡意程式防護系統,其中該至少一惡意程式特徵組中的一第一惡意程式特徵組包括多個惡意程式特徵,其中在對應於第一惡意程式特徵組的一第一惡意程式特徵檢查程序中,該初步處理模組更用以根據該些惡意程式特徵對應在該網路封包中的一位置順序,依序檢查該網路封包中的資料。
- 如申請專利範圍第10項所述的惡意程式防護系統,其中若該網路封包包含該惡意程式該惡意程式,該進階處理模組更用以產生對應於該惡意程式的一過濾規則,並且透過該第二網路模組發送一更新指令,其中該第一網路模組更用以從該惡意程式分析裝置中接收該更新指令,並且該初步處理模組更用以根據該更新指令新增對應於該惡意程式的該過濾規則至該過濾表格。
- 如申請專利範圍第13項所述的惡意程式防護系統,其中該惡意程式分析裝置更包括:一第二資料庫模組,耦接該進階處理模組,並且用以儲存對應於至少一惡意程式特徵組的該至少一惡意程式腳本。
- 如申請專利範圍第13項所述的惡意程式防護系統,其中若該惡意程式為一可清除惡意程式,該進階處理模組更用以設定對應於該惡意程式的該過濾規則為一清除指令,其中若該惡意程式非為該可清除惡意程式,該進階處理模組更用以設定更用以設定對應於該惡意程式的該過濾規則為一阻擋指令。
- 如申請專利範圍第15項所述的惡意程式防護系統,其中當該第一網路模組接收到包含該惡意程式的該另一網路封包時,該初步處理模組更用以根據該清除指令清除該另一網路封包中至少部份的該惡意程式,或者根據該阻擋指令阻擋該另一網路封包。
- 如申請專利範圍第10項所述的惡意程式防護系統,其中該進階處理模組更用以模擬一使用者行為,並且紀錄一應用程式或一網頁反應於該使用者行為而執行的一異常行為,其中若該異常行為不合法,該進階處理模組更用以產生對應於該應用程式或該網頁的一過濾規則,並發送一更新指令,其中該第一網路模組更用以從該惡意程式分析裝置中接收該更新指令,並且該初步處理模組更用以根據該更新指令,新增對應於該應用程式或該網頁的該過濾規則至該過濾表格。
- 如申請專利範圍第10項所述的惡意程式防護系統,其中若該電子裝置所在的一網路環境內存在至少一高傳染性惡意程式,該進階處理模組更用以透過該第二網路模組發送一網路管制指令, 其中該第一網路模組更用以從該惡意程式分析裝置接收該網路管制指令,並且該初步處理模組更用以根據該網路管制指令,管制至少部分該第一網路模組與網際網路的連線。
- 一種過濾表格更新方法,包括:由一電子裝置根據至少一惡意程式特徵組對一網路封包執行至少一惡意程式特徵檢查程序,以產生該網路封包的一特徵資訊,並將該網路封包的該特徵資訊上傳至該惡意程式分析裝置;由該惡意程式分析裝置根據該網路封包的該特徵資訊判斷該網路封包是否包含一惡意程式;若該網路封包包含該惡意程式時,由該惡意程式分析裝置產生對應於該惡意程式的一過濾規則,並且發送一更新指令;以及由該電子裝置從該惡意程式分析裝置接收該更新指令,且根據該更新指令新增對應於該惡意程式的該過濾規則至一過濾表格,其中上述由該惡意程式分析裝置根據該網路封包的該特徵資訊判斷該網路封包是否包含該惡意程式的步驟包括:由該惡意程式分析裝置根據至少一惡意程式腳本重新排序該網路封包的該特徵資訊;以及由該惡意程式分析裝置根據排序後的該特徵資訊判斷該網路封包是否包含該惡意程式。
- 如申請專利範圍第19項所述的過濾表格更新方法,其中該至少一惡意程式特徵組中的一第一惡意程式特徵組包括多個惡 意程式特徵,並且上述由該電子裝置根據該至少一惡意程式特徵組對該網路封包執行該至少一惡意程式特徵檢查程序的步驟包括:在對應於第一惡意程式特徵組的一第一惡意程式特徵檢查程序中,由該電子裝置根據該些惡意程式特徵對應在該網路封包中的一位置順序,依序檢查該網路封包中的資料。
- 如申請專利範圍第19項所述的過濾表格更新方法,其中該惡意程式分析裝置儲存有對應於該至少一惡意程式特徵組的該至少一惡意程式腳本。
- 如申請專利範圍第19項所述的過濾表格更新方法,更包括:由該惡意程式分析裝置模擬一使用者行為,並且紀錄一應用程式或一網頁反應於該使用者行為而執行的一異常行為;若該異常行為不合法,由該惡意程式分析裝置產生對應於該應用程式或該網頁的一過濾規則,並發送一更新指令;以及由該電子裝置從該惡意程式分析裝置接收該更新指令,且根據該更新指令,新增對應於該應用程式或該網頁的該過濾規則至該過濾表格。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102138749A TWI515600B (zh) | 2013-10-25 | 2013-10-25 | 惡意程式防護方法與系統及其過濾表格更新方法 |
| CN201310559436.XA CN104580133B (zh) | 2013-10-25 | 2013-11-12 | 恶意程序防护方法与系统及其过滤表格更新方法 |
| US14/177,230 US9203804B2 (en) | 2013-10-25 | 2014-02-11 | Method and system for defending against malware and method for updating filtering table thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW102138749A TWI515600B (zh) | 2013-10-25 | 2013-10-25 | 惡意程式防護方法與系統及其過濾表格更新方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201516738A TW201516738A (zh) | 2015-05-01 |
| TWI515600B true TWI515600B (zh) | 2016-01-01 |
Family
ID=52997035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102138749A TWI515600B (zh) | 2013-10-25 | 2013-10-25 | 惡意程式防護方法與系統及其過濾表格更新方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9203804B2 (zh) |
| CN (1) | CN104580133B (zh) |
| TW (1) | TWI515600B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015075808A (ja) * | 2013-10-07 | 2015-04-20 | 富士通株式会社 | ネットワークフィルタリング装置及びネットワークフィルタリング方法 |
| US10965711B2 (en) * | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| TWI578262B (zh) * | 2015-08-07 | 2017-04-11 | 緯創資通股份有限公司 | 風險評估系統及資料處理方法 |
| CA2996510A1 (en) * | 2015-08-25 | 2017-03-02 | Volexity, Llc | Systems methods and devices for memory analysis and visualization |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| TWI547823B (zh) | 2015-09-25 | 2016-09-01 | 緯創資通股份有限公司 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
| US10063435B2 (en) * | 2016-04-11 | 2018-08-28 | The Boeing Company | System and method for context aware network filtering |
| TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
| TWI672609B (zh) * | 2017-12-27 | 2019-09-21 | 中華電信股份有限公司 | 電腦系統及其勒索軟體判別方法 |
| US20220391505A1 (en) * | 2019-11-28 | 2022-12-08 | Nippon Telegraph And Telephone Corporation | Rule generating device and rule generating program |
| CN114491543A (zh) * | 2022-04-19 | 2022-05-13 | 南京伟跃网络科技有限公司 | 一种针对新出现恶意代码的分析方法 |
| US11785028B1 (en) * | 2022-07-31 | 2023-10-10 | Uab 360 It | Dynamic analysis for detecting harmful content |
| CN117220911B (zh) * | 2023-08-11 | 2024-03-29 | 释空(上海)品牌策划有限公司 | 一种基于协议深度分析的工控安全审计系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
| US7685640B2 (en) * | 2004-09-21 | 2010-03-23 | Agere Systems Inc. | Methods and apparatus for interface adapter integrated virus protection |
| FI20041681A0 (fi) * | 2004-12-29 | 2004-12-29 | Nokia Corp | Liikenteen rajoittaminen kommunikaatiojärjestelmissä |
| US8365287B2 (en) * | 2010-06-18 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware system and operating method thereof |
| KR101389682B1 (ko) | 2011-08-25 | 2014-04-28 | 주식회사 팬택 | 바이러스 피해를 방지하는 시스템 및 방법 |
| CN102769607B (zh) * | 2011-12-30 | 2015-01-07 | 北京安天电子设备有限公司 | 一种基于网络数据包检测恶意代码的方法和系统 |
| CN103324615A (zh) * | 2012-03-19 | 2013-09-25 | 哈尔滨安天科技股份有限公司 | 基于搜索引擎优化的钓鱼网站探测方法及系统 |
| US9171160B2 (en) * | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
-
2013
- 2013-10-25 TW TW102138749A patent/TWI515600B/zh active
- 2013-11-12 CN CN201310559436.XA patent/CN104580133B/zh active Active
-
2014
- 2014-02-11 US US14/177,230 patent/US9203804B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| TW201516738A (zh) | 2015-05-01 |
| CN104580133B (zh) | 2017-11-21 |
| CN104580133A (zh) | 2015-04-29 |
| US20150121450A1 (en) | 2015-04-30 |
| US9203804B2 (en) | 2015-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI515600B (zh) | 惡意程式防護方法與系統及其過濾表格更新方法 | |
| JP7046111B2 (ja) | マルウェアのランタイム中の自動検出 | |
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| Wang et al. | Seeing through network-protocol obfuscation | |
| US10341378B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US8627476B1 (en) | Altering application behavior based on content provider reputation | |
| TWI625641B (zh) | 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置 | |
| US11816214B2 (en) | Building multi-representational learning models for static analysis of source code | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US10887340B2 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| US9681304B2 (en) | Network and data security testing with mobile devices | |
| CN110362992B (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
| US11611572B2 (en) | System and method of processing information security events to detect cyberattacks | |
| US20180316696A1 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN117397223A (zh) | 物联网设备应用工作负荷捕捉 | |
| US9465921B1 (en) | Systems and methods for selectively authenticating queries based on an authentication policy | |
| EP2815350B1 (en) | Methods, systems, and media for inhibiting attacks on embedded devices | |
| EP3926501A1 (en) | System and method of processing information security events to detect cyberattacks | |
| AU2019298538A1 (en) | Generation device, generation method, and generation program | |
| US20240028707A1 (en) | In-memory scan for threat detection with binary instrumentation backed generic unpacking, decryption, and deobfuscation | |
| TWI741698B (zh) | 察覺惡意攻擊的方法及網路安全管理裝置 | |
| KR101445817B1 (ko) | 서비스 이용 제어 방법 및 장치 | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム | |
| KR101914044B1 (ko) | 내부네트워크 보안강화방법 및 이를 구현하는 보안시스템 |