TWI543011B - Method and system for extracting digital fingerprints of malicious files - Google Patents
Method and system for extracting digital fingerprints of malicious files Download PDFInfo
- Publication number
- TWI543011B TWI543011B TW101100907A TW101100907A TWI543011B TW I543011 B TWI543011 B TW I543011B TW 101100907 A TW101100907 A TW 101100907A TW 101100907 A TW101100907 A TW 101100907A TW I543011 B TWI543011 B TW I543011B
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- malicious
- digital fingerprint
- feature
- extracting
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000001514 detection method Methods 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 12
- 238000004891 communication Methods 0.000 claims description 3
- 241000700605 Viruses Species 0.000 description 7
- 230000002155 anti-virotic effect Effects 0.000 description 7
- 230000005856 abnormality Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Description
本發明係關於一種萃取惡意文件檔案的數位指紋之方法及系統,尤指一種擷取一經由網際網路傳送之文件檔案之相關資訊內容,並比對是否符合一惡意特徵,且將該文件檔案之相關資訊內容轉換成新的惡意文件數位指紋資料之方法及系統。
習用在對於惡意文件檔案的攻擊並無法透過防毒軟體進行偵測及防護,目前防毒軟體對於文件檔案(如:.doc檔案、.xls檔案、.ppt檔案、.pdf檔案等)進行偵測是否含有病毒碼,為對文件檔案的特定區段的程式碼進行偵測比對,若該特定區段的程式碼在比對後符合病毒碼的特徵後,防毒軟體便會啟動防護機制將含有病毒的文件檔案予以隔離,或對含有病毒碼的文件檔案進行解毒,將病毒碼予以清除。
然,含有惡意攻擊的文件檔案不同於含有病毒碼的文件檔案,惡意攻擊的文件檔案在編輯過程會含有多區段惡意程式碼,無法經由防毒軟體偵測到,因防毒軟體只是對文件檔案的特定區段進行偵測,因此惡意攻擊的文件檔案會閃過防毒軟體的偵測,而利用軟體的弱點攻擊使用者的電腦,讓使用者的電腦癱瘓無法使用。
故如何對含有惡意攻擊的文件檔案進行偵測及防護,亟待業界解決之課題。
本發明之目的即在提供一種萃取惡意文件檔案的數位指紋之方法,為先建立一資料庫,儲存複數第一惡意文件數位指紋資料,接著擷取一經由網際網路傳送之文件檔案,再接著對該文件檔案進行多點偵測及萃取,以獲得一多點區段,最後將該多點區段與該等第一惡意文件數位指紋資料進行一分析比對,確認該文件檔案之多點區段是否符合一惡意特徵,藉以達到萃取該文件檔案的相關資訊內容之目的。
本發明之次一目的係在提供一種萃取惡意文件檔案的數位指紋之系統,為由一資料庫儲存複數第一惡意文件數位指紋資料,接著由一擷取模組擷取一經由網際網路傳送之文件檔案,再接著由一偵測萃取模組對該文件檔案進行多點偵測並萃取,以獲得一多點區段,最後由一惡意攻擊比對分析模組將該多點區段與該等第一惡意文件數位指紋資料進行分析比對,以分析該多點區段程式碼是否符合一惡意特徵,藉以達到分析比對該文件檔案是否具有惡意特徵之目的。
為達成上述本發明目的之技術手段在於:建立一資料庫,其內儲存複數第一惡意文件數位指紋資料;擷取一經由網際網路傳送之文件檔案;對該文件檔案進行多點偵測及萃取,以獲得一多點區段;將該多點區段與該等第一惡意文件數位指紋資料進行一分析比對,確認該文件檔案之多點區段是否符合一惡意特徵。
為便於 貴審查委員能對本發明之技術手段及運作過程有更進一步之認識與瞭解,茲舉實施例配合圖式,詳細說明如下。
請參閱第1圖所示,本發明所提供之萃取惡意文件檔案的數位指紋之方法的流程示意圖,係執行下列步驟:
首先,執行步驟S10,建立一資料庫11,其內儲存複數第一惡意文件數位指紋資料,接著進至步驟S20。
於步驟S20中,擷取一經由網際網路2傳送之文件檔案,接著進至步驟S30。
於步驟S30中,對該文件檔案進行多點偵測及萃取,以獲得一多點區段,接著進至S40。
於步驟S40中,將該多點區段與該等第一惡意文件數位指紋資料進行一分析比對,確認該文件檔案之多點區段是否符合一惡意特徵,若確認符合該惡意特徵,則進至步驟S50;若確認不符合該惡意特徵,則進至步驟S70。
於步驟S50中,該文件檔案符合該惡意特徵,便依據該惡意特徵進行分群歸類,並標註為一惡意文件檔案,接著進至步驟S60。
於步驟S60中,將已分群歸類之惡意文件檔的惡意特徵轉換成一第二惡意文件數位指紋資料,並儲存在該資料庫11。
於步驟S70中,允許該文件檔案通過。
在本實施例中,該多點區段為該文件檔案中之資訊內容、編碼位址或漏洞。
在本實施例中,該分群歸類為依據複數網際網路通聯位址(如中繼站)、複數惡意程式及複數漏洞進行之。
請參閱第2圖所示,本發明所提供之萃取惡意文件檔案的數位指紋之系統的架構方塊示意圖,係由一資料庫11、一擷取模組12、一偵測萃取模組13、一惡意攻擊比對分析模組14、一分群歸類模組15及一檔案特徵處理模組16。
該資料庫11係儲存複數第一惡意文件數位指紋資料。
該擷取模組12係擷取一經由網際網路2傳送之文件檔案。
該偵測萃取模組13係對該文件檔案進行多點偵測並萃取,以獲得一多點區段。
該惡意攻擊比對分析模組14係將該多點區段與該等第一惡意文件數位指紋資料進行分析比對,以分析該多點區段程式碼是否符合一惡意特徵。
該分群歸類模組15係將該符合該惡意特徵之文件檔案進行一分群歸類,並標註為一惡意文件檔案。
該檔案特徵處理模組16係依據該分群歸類之文件檔案的惡意特徵轉換成一第二惡意文件數位指紋資料,並儲存在該資料庫11。
當該文件檔案經由該網際網路2(如:電子郵件、即時通軟體、IP、URL)傳送至一使用者的電腦裝置3時,會由該擷取模組12對該文件檔案進行擷取,並透過該偵測萃取模組13偵測萃取獲得該文件檔案內的多點區段,再將該多點區段與該資料庫11內之第一惡意文件數位指紋資料,經由該惡意攻擊比對分析模組14進行分析比對,以分析該多點區段是否與該第一惡意文件數位指紋資料之惡意特徵相符合,若不相符合該第一惡意文件數位指紋資料之惡意特徵,則允許該文件檔案通過傳送至使用者的電腦裝置3;一旦與該第一惡意文件數位指紋資料之惡意特徵相符合,則會由該分群歸類模組15將該文件檔案依據該等網際網路通聯位址(如中繼站)、該等惡意程式、及該等漏洞進行分群歸類,待分群歸類完成後,再由該檔案特徵處理模組16依據該分群歸類之文件檔案的惡意特徵轉換成一第二惡意文件數位指紋資料,並儲存在該資料庫11。
再者,本發明萃取惡意文件檔案的數位指紋之方法及系統為用以偵測隱藏在該文件檔案內之惡意攻擊程式,此類的惡意攻擊程式以跳脫傳統病毒碼的程式編碼方式,由於惡意攻擊程式的編輯或編碼方式,會隱藏在該文件檔案的多個區段內,並非只是單一特定區段,使用一般防毒軟體無法輕易偵測和防護,因此需針對隱藏在該文件檔案的多個區段進行偵測,以偵測該文件檔案內的多個區段是否有異常或漏洞,當偵測到該文件檔案的多個區段有異常或漏洞,則將含有惡意攻擊程式之文件檔案依據該等網際網路通聯位址(如中繼站)、該等惡意程式、及該等漏洞進行分群歸類,且在分群歸類後,將已分群歸類之含有惡意攻擊程式之文件檔案的惡意特徵轉換成該第二惡意文件數位指紋資料,並將該該第二惡意文件數位指紋資料儲存在該資料庫11內,以供後續的偵測和分析比對。
藉此可知,本發明萃取惡意文件檔案的數位指紋之方法及系統,先建立該資料庫11,並儲存該等第一惡意文件數位指紋資料,再擷取該經由網際網路2傳送之文件檔案,且對該文件檔案進行多點偵測及萃取,以獲得該多點區段,接著將該多點區段與該等第一惡意文件數位指紋資料進行一分析比對,確認該文件檔案之多點區段是否符合該惡意特徵,若符合該惡意特徵,則將該文件檔案萃取的惡意特徵轉換該第二惡意文件數位指紋資料,藉以達到萃取該文件檔案的相關資訊內容,並轉換成新的惡意文件數位指紋資料之目的。
上列詳細說明係針對本發明之一可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
S10~S70...步驟
11...資料庫
12...擷取模組
13...偵測萃取模組
14...惡意攻擊比對分析模組
15...分群歸類模組
16...檔案特徵處理模組
2...網際網路
3...電腦裝置
第1圖為本發明萃取惡意文件檔案的數位指紋之方法之流程示意圖;以及
第2圖為本發明萃取惡意文件檔案的數位指紋之系統之架構方塊示意圖。
S10~S70...步驟
Claims (6)
- 一種萃取惡意文件檔案的數位指紋之方法,包括下列步驟:建立一資料庫,其內儲存複數第一惡意文件數位指紋資料;擷取一經由網際網路傳送之文件檔案;對該文件檔案進行多點偵測及萃取,以獲得一多點區段;將該多點區段與該等第一惡意文件數位指紋資料進行一分析比對,確認該文件檔案之多點區段是否符合一惡意特徵;以及若該文件檔案符合該惡意特徵,便依據該惡意特徵進行分群歸類,並標註為一惡意文件檔案,其中,該分群歸類為依據複數網際網路通聯位址、複數惡意程式及複數漏洞進行之。
- 如申請專利範圍第1項所述之萃取惡意文件檔案的數位指紋之方法,又復包括將已分群歸類之惡意文件檔的惡意特徵轉換成一第二惡意文件數位指紋資料,並儲存在該資料庫。
- 如申請專利範圍第1項所述之萃取惡意文件檔案的數位指紋之方法,其中該多點區段為該文件檔案中之資訊內容、編碼位址及漏洞之其中一者。
- 一種萃取惡意文件檔案的數位指紋之系統,包括:一資料庫,係儲存複數第一惡意文件數位指紋資料;一擷取模組,係擷取一經由網際網路傳送之文件檔案;一偵測萃取模組,係對該文件檔案進行多點偵測並萃取, 以獲得一多點區段;一惡意攻擊比對分析模組,係將該多點區段與該等第一惡意文件數位指紋資料進行分析比對,以分析該多點區段程式碼是否符合一惡意特徵;以及一分群歸類模組,係將該符合該惡意特徵之文件檔案進行一分群歸類,並標註為一惡意文件檔案,其中,該分群歸類為依據複數網際網路通聯位址、複數惡意程式及複數漏洞進行之。
- 如申請專利範圍第4項所述之萃取惡意文件檔案的數位指紋之系統,又復包括一檔案特徵處理模組,係依據該分群歸類之文件檔案的惡意特徵轉換成一第二惡意文件數位指紋資料,並儲存在該資料庫。
- 如申請專利範圍第4項所述之萃取惡意文件檔案的數位指紋之系統,其中該多點區段為該文件檔案中之資訊內容、編碼位址及漏洞之其中一者。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101100907A TWI543011B (zh) | 2012-01-10 | 2012-01-10 | Method and system for extracting digital fingerprints of malicious files |
| US13/612,802 US20130179975A1 (en) | 2012-01-10 | 2012-09-12 | Method for Extracting Digital Fingerprints of a Malicious Document File |
| JP2012233836A JP5608849B2 (ja) | 2012-01-10 | 2012-10-23 | 悪意のある書類ファイルのデジタル指紋を取得する方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW101100907A TWI543011B (zh) | 2012-01-10 | 2012-01-10 | Method and system for extracting digital fingerprints of malicious files |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201329766A TW201329766A (zh) | 2013-07-16 |
| TWI543011B true TWI543011B (zh) | 2016-07-21 |
Family
ID=48744908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW101100907A TWI543011B (zh) | 2012-01-10 | 2012-01-10 | Method and system for extracting digital fingerprints of malicious files |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20130179975A1 (zh) |
| JP (1) | JP5608849B2 (zh) |
| TW (1) | TWI543011B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI747093B (zh) * | 2019-12-03 | 2021-11-21 | 中華電信股份有限公司 | 驗證惡意加密連線的方法及系統 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11895138B1 (en) * | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
| TWI622894B (zh) | 2016-12-13 | 2018-05-01 | 宏碁股份有限公司 | 電子裝置及偵測惡意檔案的方法 |
| CN113127865B (zh) * | 2019-12-31 | 2023-11-07 | 深信服科技股份有限公司 | 一种恶意文件的修复方法、装置、电子设备及存储介质 |
| CN116305291B (zh) * | 2023-05-16 | 2023-07-21 | 北京安天网络安全技术有限公司 | 一种office文档安全存储方法及装置、设备及介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4145582B2 (ja) * | 2002-06-28 | 2008-09-03 | Kddi株式会社 | コンピュータウィルス検査装置およびメールゲートウェイシステム |
| US8800030B2 (en) * | 2009-09-15 | 2014-08-05 | Symantec Corporation | Individualized time-to-live for reputation scores of computer files |
| US8353037B2 (en) * | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Mitigating malicious file propagation with progressive identifiers |
| US8528090B2 (en) * | 2010-07-02 | 2013-09-03 | Symantec Corporation | Systems and methods for creating customized confidence bands for use in malware detection |
-
2012
- 2012-01-10 TW TW101100907A patent/TWI543011B/zh active
- 2012-09-12 US US13/612,802 patent/US20130179975A1/en not_active Abandoned
- 2012-10-23 JP JP2012233836A patent/JP5608849B2/ja active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI747093B (zh) * | 2019-12-03 | 2021-11-21 | 中華電信股份有限公司 | 驗證惡意加密連線的方法及系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201329766A (zh) | 2013-07-16 |
| US20130179975A1 (en) | 2013-07-11 |
| JP2013143132A (ja) | 2013-07-22 |
| JP5608849B2 (ja) | 2014-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ronen et al. | Microsoft malware classification challenge | |
| CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
| JP6106340B2 (ja) | ログ分析装置、攻撃検知装置、攻撃検知方法およびプログラム | |
| TWI543011B (zh) | Method and system for extracting digital fingerprints of malicious files | |
| US10721245B2 (en) | Method and device for automatically verifying security event | |
| CN108985064B (zh) | 一种识别恶意文档的方法及装置 | |
| CN107247902B (zh) | 恶意软件分类系统及方法 | |
| KR101851233B1 (ko) | 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체 | |
| CN103455597B (zh) | 面向海量web图像的分布式信息隐藏检测方法 | |
| CN113904861B (zh) | 一种加密流量安全检测方法及装置 | |
| KR101803066B1 (ko) | 불법 복제된 서적의 통합 식별 시스템 및 방법 | |
| Lovanshi et al. | Comparative study of digital forensic tools | |
| CN116366377B (zh) | 恶意文件检测方法、装置、设备及存储介质 | |
| White et al. | A method for the automated detection phishing websites through both site characteristics and image analysis | |
| CN111083307A (zh) | 一种基于隐写术的文件检测和破解方法 | |
| Li | Emerging digital forensics applications for crime detection, prevention, and security | |
| CN115051874B (zh) | 一种多特征的cs恶意加密流量检测方法和系统 | |
| CN112163217B (zh) | 恶意软件变种识别方法、装置、设备及计算机存储介质 | |
| CN112347272B (zh) | 一种基于音视频动态特征的流式匹配方法和装置 | |
| KR101725399B1 (ko) | 호스트 레벨 기반 악성 스크립트 탐지 및 실행 방지 장치와 악성 스크립트 탐지 및 실행 방지 방법 | |
| Toraskar et al. | Efficient computer forensic analysis using machine learning approaches | |
| CN114143074A (zh) | webshell攻击识别装置及方法 | |
| Al Fahdi et al. | Towards an automated forensic examiner (AFE) based upon criminal profiling & artificial intelligence | |
| JP5643357B2 (ja) | 電子デジタルデータ隠蔽検査装置、方法及びそのコンピュータ読み取り可能な記憶媒体 | |
| Arul et al. | Malware detection using higher order statistical parameters |