TWI547823B - 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 - Google Patents
惡意程式碼分析方法與系統、資料處理裝置及電子裝置 Download PDFInfo
- Publication number
- TWI547823B TWI547823B TW104131747A TW104131747A TWI547823B TW I547823 B TWI547823 B TW I547823B TW 104131747 A TW104131747 A TW 104131747A TW 104131747 A TW104131747 A TW 104131747A TW I547823 B TWI547823 B TW I547823B
- Authority
- TW
- Taiwan
- Prior art keywords
- code
- malicious code
- malicious
- suspicious file
- electronic device
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Description
本發明是有關於一種資料安全機制,且特別是有關於一種惡意程式碼分析方法與系統、資料處理裝置及電子裝置。
隨著科技的演進與創新,網際網路除了促進全球的資訊交流外,愈來愈多人的生活形態從現實社會中逐漸融入虛擬世界。因此,不少有心人士會透過網際網路來進行惡意攻擊。而電腦病毒是其中一種惡意程式,會將程式自我複製、或感染電腦中其他正常的程式、或破壞電腦系統,進而導致電腦無法正常運作。
「電腦病毒免疫系統」發源於生物免疫技術,將防毒系統想像為注射某種病毒的免疫疫苗後,此電腦即可以對此病毒產生自然抵抗能力一樣。而目前的防毒軟體皆是等到病毒出現後,才能制定出清除它的辦法,並無法針對未知病毒來進行防護動作。
本發明提供一種惡意程式碼分析方法與系統及資料處理裝置,即便是未知的惡意碼程式,可經由學習來獲得對應的防護措施。
本發明的惡意程式碼分析方法,包括:透過資料處理裝置自電子裝置接收可疑檔案對應的行為特徵資料,並由資料處理裝置執行下列步驟。比對可疑檔案對應的行為特徵資料與多個惡意程式碼各自的惡意特徵資料,而獲得比對結果。基於比對結果,獲得可疑檔案對應的代表攻擊碼,其中代表攻擊碼包括一個或多個惡意程式碼。傳送代表攻擊碼對應的防護措施至電子裝置。
在本發明的一實施例中,在透過資料處理裝置自電子裝置接收可疑檔案對應的行為特徵資料之前,透過電子裝置執行下列步驟。監控電子裝置中是否存在有可疑檔案。當偵測到可疑檔案時,建立沙箱(sandbox)模擬區域,以在沙箱模擬區域監測可疑檔案。識別可疑檔案是否符合電子裝置所記錄的已知惡意碼類別;若識別出可疑檔案對應的已知惡意碼類別,轉換可疑檔案為已知惡意碼類別對應的典型攻擊碼,並且套用典型攻擊碼對應的防護措施至沙箱模擬區域。若無法識別出可疑檔案對應的已知惡意碼類別,傳送可疑檔案對應的行為特徵資料至資料處理裝置。
在本發明的一實施例中,上述惡意程式碼分析方法更包括:在電子裝置接收到代表攻擊碼對應的防護措施之後,轉換可疑檔案為代表攻擊碼對應的典型攻擊碼,並且套用防護措施至沙箱模擬區域。
在本發明的一實施例中,在獲得可疑檔案對應的代表攻擊碼之後,更包括:儲存代表攻擊碼對應的防護措施至資料處理裝置的過濾資料庫;以及在經過指定時間之後,自過濾資料庫中讀取防護措施,並傳送防護措施至電子裝置。
在本發明的一實施例中,在比對可疑檔案對應的行為特徵資料與惡意程式碼各自的惡意特徵資料,而獲得比對結果的步驟中,藉由訊息熵(information entropy)理論,計算可疑檔案與各惡意程式碼之間的相似機率,其中相似機率為可疑檔案與各惡意程式碼之間相似的程度。在基於比對結果,獲得可疑檔案對應的代表攻擊碼的步驟中,比對各惡意程式碼對應的相似機率與門檻值,以取出高於門檻值的相似機率所對應的一個或多個惡意程式碼,來作為代表攻擊碼。
在本發明的一實施例中,在比對可疑檔案對應的行為特徵資料與惡意程式碼各自的惡意特徵資料,而獲得比對結果的步驟中,藉由訊息熵理論,計算可疑檔案與各惡意程式碼之間的相似機率以及最小差異機率,其中相似機率為可疑檔案與各惡意程式碼之間相似的程度,最小差異機率為可疑檔案與各惡意程式碼之間不相似的程度。而基於比對結果,獲得可疑檔案對應的代表攻擊碼的步驟中,利用樂觀(optimistic)法則、保守(conservation)法則以及遺憾(regret)法則其中之一,而基於比對結果來獲得可疑檔案對應的代表攻擊碼。
上述利用樂觀法則的步驟包括:自上述相似機率中取出最大的相似機率,而以對應的惡意程式碼來作為代表攻擊碼。上述利用保守法則的步驟包括:自上述最小差異機率中取出最大的最小差異機率,而以對應的惡意程式碼來作為代表攻擊碼。上述利用遺憾法則的步驟包括:自上述相似機率中取出最大的一個作為第一基準值,並且自上述最小差異機率中取出最大的一個作為第二基準值;以第一基準值與上述相似機率相減而獲得多個調整後相似值;以第二基準值與上述最小差異機率相減而獲得多個調整後最小差異值;比對可疑檔案與各惡意程式碼對應的調整後相似值以及調整後最小差異值,以將最大的數值作為最後比對值;以及多個上述最後比對值中取出最小的一個,而以對應的惡意程式碼來作為代表攻擊碼。
在本發明的一實施例中,在透過資料處理裝置自電子裝置接收可疑檔案對應的行為特徵資料之後,在硬體層中,辨識硬體運轉行為;在作業系統層中,辨識系統處理效能;在檔案層中,辨識惡意程式識別碼;以及在應用層中,辨識應用程式的執行行為。
本發明的惡意程式碼分析方法,包括:獲得可疑檔案對應的行為特徵資料;比對可疑檔案對應的行為特徵資料與多個惡意程式碼各自的惡意特徵資料,而獲得比對結果;基於比對結果,獲得可疑檔案對應的代表攻擊碼,其中代表攻擊碼包括一個或多個惡意程式碼;以及採用代表攻擊碼對應的防護措施。
本發明的資料處理裝置,包括:通訊單元、儲存單元以及處理單元。處理單元耦接至通訊單元與儲存單元。通訊單元與電子裝置建立連線。儲存單元包括惡意碼程式庫,儲存有多個惡意程式碼各自的惡意特徵資料。處理單元自電子裝置接收可疑檔案對應的行為特徵資料,並且比對可疑檔案對應的行為特徵資料與多個惡意程式碼各自的惡意特徵資料,而獲得比對結果,並基於比對結果,獲得可疑檔案對應的代表攻擊碼;並且,處理單元透過通訊單元,傳送代表攻擊碼對應的防護措施至電子裝置。
本發明的惡意程式碼分析系統,包括電子裝置以及上述資料處理裝置。資料處理裝置自電子裝置接收可疑檔案對應的行為特徵資料,以分析上述行為特徵資料進而獲得對應的防護措施。
本發明的電子裝置,包括:儲存單元以及處理單元。處理單元耦接至儲存單元。儲存單元包括惡意碼程式庫、監控模組以及分析模組,惡意碼程式庫儲存有多個惡意程式碼各自的惡意特徵資料。處理單元執行該監控模組及該分析模組。在此,處理單元在透過監控模組偵測到可疑檔案時,透過分析模組來執行下列動作,包括:獲得可疑檔案對應的行為特徵資料,比對可疑檔案對應的行為特徵資料與惡意程式碼各自的惡意特徵資料,而獲得比對結果,並基於比對結果,獲得可疑檔案對應的代表攻擊碼,其中代表攻擊碼包括其中一個或多個惡意程式碼,並且採用代表攻擊碼對應的防護措施。
基於上述,資料處理裝置是一個具有智能且可進行惡意程式碼分析的中心,可在發現無法識別是否為惡意程式(Malicious Program)的可疑檔案時,進行惡意程式碼的分析,並且提供對應的防護措施。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1是依照本發明一實施例的惡意程式碼(malicious code)分析系統的方塊圖。惡意程式碼分析系統100包括資料處理裝置A以及電子裝置B。資料處理裝置A包括第一處理單元110、第一儲存單元120以及第一通訊單元130。第一處理單元110耦接至第一儲存單元120以及第一通訊單元130。電子裝置B包括第二處理單元140、第二儲存單元150以及第二通訊單元160。第二處理單元140耦接至第二儲存單元150以及第二通訊單元160。
第一處理單元110及第二處理單元140例如為中央處理單元(central processing unit,CPU)、可程式化之微處理器(microprocessor)、嵌入式控制晶片、數位訊號處理器(digital signal processor,DSP)、特殊應用積體電路(application specific integrated circuits,ASIC)或其他類似裝置。第一儲存單元120及第二儲存單元150例如為非揮發性記憶體(non-volatile memory)、隨機存取記憶體(random access memory,ram)或硬碟等。第一通訊單元130及第二通訊單元160例如為支援有線或無線通訊協定的晶片。
資料處理裝置A為具有智能且可進行惡意程式碼分析的資料中心,例如為具有高運算能力的伺服器。資料處理裝置A自各方接收回饋資訊,並基於所接收到的回饋資訊來提供未知惡意程式碼的分析及解決方法。當傳送端(例如為電子裝置B)偵測到可疑檔案,但其無法提供對應的防護措施,即,無法辨識可疑檔案是否為惡意程式(Malicious Program)時,傳送端可傳送一分析請求至資料處理裝置A,藉以由資料處理裝置A透過機器學習演算法來學習出與可疑檔案相關的防護措施,如隔離或清除。
在此,惡意程式碼包括電腦病毒(computer virus)、電腦蠕蟲(computer worm)、木馬程式(trojan horse)、勒索軟體(ransomware)、間諜軟體(spyware)、廣告軟體(adware)、恐嚇軟體(scareware)等。
在資料處理裝置A中,第一儲存單元120包括惡意碼程式庫(malware library)121、分析模組122以及過濾資料庫123。惡意碼程式庫121中儲存了多個已知的惡意程式碼各自的惡意特徵資料。第一處理單元110執行分析模組122,而分析模組122經由機器學習演算法來學習出可疑檔案對應的防護措施。分析模組122亦可透過使用者定義的原則(例如:對象、內容與時間)來產生防護措施,以保護電腦的安全。而分析模組122所產生的防護措施可儲存在過濾資料庫123中。
在企業端內,可根據對象的重要性來進一步設定安全政策。例如,針對協理級以上員工的使用端裝置,進一步在安全政策中設定即使偵測到中毒,也不要干擾工作環境。例如,在上班時間,仍然允許開啟(open)、關閉(close)或執行(execute)等行為動作;在下班時間,則根據防護措施來決定隔離或清除已中毒的檔案。而針對協理級以下員工,則可在上班時間,根據防護措施來決定隔離或清除已中毒的檔案。
電子裝置B例如為伺服器、個人電腦、筆記型電腦、平板電腦、智慧型手機、穿載式裝置等具有運算能力的電子裝置。在電子裝置B中,第二儲存單元150包括監控模組151。監控模組151例如為防毒軟體(antivirus software)。在監控模組151被安裝至電子裝置B之後,由監控模組151來監控電子裝置B的舉動,並且可進一步掃描電子裝置B的儲存空間中是否含有電腦病毒、電腦蠕蟲、木馬程式等惡意程式碼。
在監控模組151偵測到電子裝置B中存在可疑檔案,且無法識別此可疑檔案是否為惡意程式時,透過第二通訊單元160將可疑檔案對應的行為特徵資料傳送至資料處理裝置A,以透過分析模組122來進行分析。底下即針對電子裝置B的監控方法以及資料處理裝置A的惡意程式碼分析方法分別舉例來說明。
圖2是依照本發明一實施例的電子裝置監控方法的流程圖。請參照圖1及圖2,在步驟S205中,透過監控模組151來監控電子裝置B中是否存在有可疑檔案。例如,與所儲存的特徵碼(signature)或行為資料進行比對,以判斷第二處理單元140目前執行的動作是否異常,藉此來判斷被存取的檔案或正在執行的程式是否可能已被惡意程式碼所感染。舉例來說,當檔案被任何程式進行例如開啟(open)、關閉(close)或執行(execute)等行為動作時,監控模組151會針對此行為動作來進行檢測。例如,監控模組151比對上述行為動作與事前儲存的行為資料,或者,監控模組151比對上述檔案與事先儲存的病毒特徵碼。在識別出上述行為動作或上述檔案為異常時,判定上述程式或上述檔案為可疑檔案。
接著,在步驟S210中,當偵測到可疑檔案時,監控模組151建立沙箱(sandbox)模擬區域,以在沙箱模擬區域監測可疑檔案。沙箱模擬區域可以視為一個有效區隔的安全區間,在沙箱模擬區域所產生的變動,不會對作業系統造成損害。因此,監控模組151在偵測到可疑檔案時,先將可疑檔案移至沙箱模擬區域的環境。而在沙箱模擬區域內的可能是一個靜態存在的資料或者是一個動態執行的行程(process)。
之後,在步驟S215中,監控模組151識別可疑檔案是否符合其所記錄的已知惡意碼類別。監控模組151內記錄有多個已知惡意碼類別及其對應的防護措施。而當偵測到可疑檔案時,監控模組151會判斷此可疑檔案是否符合其中一種已知惡意碼類別,若符合,則執行步驟S220;若無法識別可疑檔案,則執行步驟S225。
若識別出可疑檔案對應的已知惡意碼類別,在步驟S220中,監控模組151會轉換可疑檔案為已知惡意碼類別對應的典型攻擊碼,並且套用典型攻擊碼對應的防護措施至沙箱模擬區域。在此,防護措施為安全政策(policy)。
舉例來說,在判定可疑檔案為木馬程式時,監控模組151將可疑檔案轉換為典型的木馬程式,並且將典型的木馬程式對應的防護措施套用至沙箱模擬區域。例如,清除或刪除可疑檔案;若無法清除,則迅速地隔離受感染的網路區段、抑制疫情擴散。
若無法識別出可疑檔案對應的已知惡意碼類別,在步驟S225中,透過第二通訊單元160傳送可疑檔案對應的行為特徵資料至資料處理裝置A。
對於監控模組151無法識別的可疑檔案,電子裝置B將可疑檔案的行為特徵資料饋送至一資料中心(即,資料處理裝置A),經機器學習演算法來學習出可疑檔案的防護措施。在此,防護措施為安全政策(亦可稱為,電腦病毒疫苗)。資料處理裝置A提供對應的電腦病毒疫苗給電子裝置B,電子裝置B基於電腦病毒疫苗來獲得抗體(或稱規則(rule)),並將抗體部署到沙箱模擬區域,以提高惡意程式碼的過濾效率。
底下舉例來說明透過資料處理裝置A進行惡意程式碼的分析流程。圖3是依照本發明一實施例的惡意程式碼分析方法的流程圖。請同時參照圖1及圖3,在步驟S305中,資料處理裝置A自電子裝置B接收可疑檔案對應的行為特徵資料。資料處理裝置A在接收到可疑檔案對應的行為特徵資料之後,經由分析模組122來分析行為特徵資料。在此為方便說明,故以電子裝置B作為其中一例,資料處理裝置A亦可以自其他平台接收可疑檔案。
在資料處理裝置A接收到可疑檔案對應的行為特徵資料之後,可透過一層一層地學習,來獲得與惡意攻擊相關的徵兆。例如,先在硬體層(第一層)中,學會如何辨識硬體運轉行為。硬體運轉行為包括硬體當機(hardware hang)、硬體重開機(restart)、風扇轉速異常、高電源使用量、主機板溫度過高等。接著,在作業系統層(第二層)中,學會如何辨識系統處理效能。系統處理效能包括處理速度下降、檔案尺寸改變、系統資源下降、莫名埠被打開、操作不穩定、當機等。之後,在檔案層中(第三層),學會如何辨識惡意程式的特徵碼(signature)。然後,在應用層(第四層)中,學會如何辨識應用程式的執行行為。執行行為包括嘗試進行連結、自行複製、自行刪除電腦文件、傳送或接收資料、探測網路(probe network)、消除某些行程(process)。上述四層(第一層至第四層)的學習過程僅為舉例說明,亦可以為三層、五層等,在此並不限定層數。
在步驟S310中,透過分析模組122來比對可疑檔案對應的行為特徵資料與多個惡意程式碼各自的惡意特徵資料,而獲得比對結果。接著,在步驟S315中,基於比對結果,獲得可疑檔案對應的代表攻擊碼。在此,代表攻擊碼包括一個或多個惡意程式碼。例如,可利用資料探勘(data mining)、機率或訊息熵(information entropy)理論來找出與可疑檔案最相似的代表攻擊碼。所謂訊息熵理論是以訊息出現機率來測度訊息的不確定程度,進而建構出熵模式。
以夏農熵(Shannon entropy)而言,夏農熵是隨機變數I(訊息量)的期望值,反映了訊息傳輸的平均訊息量,即訊息出現的機率愈大則熵值愈小,表示了當出現某種訊息愈確定,則傳輸之平均訊息量愈少,亦即訊息出現的規則性愈大,不確定性程度低。具體涵義為,測度一事件訊息的數量,稱為訊息量。一個可能事件所包含訊息量是由訊息發生之機率決定,發生機率愈大,所包含之訊息量愈小,反之,發生機率愈小,則所包含之訊息量愈大。
最後,在步驟S320中,分析模組122透過第一通訊單元130傳送代表攻擊碼對應的防護措施至電子裝置B。而在獲得代表攻擊碼之後,分析模組122可儲存代表攻擊碼對應的防護措施至資料處理裝置A的過濾資料庫123。在此,所獲得的防護措施中包括可疑檔案的識別資訊以及代表攻擊碼的識別資訊。在經過指定時間之後,分析模組122自過濾資料庫123中讀取防護措施,並傳送防護措施至電子裝置B。在此,指定時間可以是0秒或0秒以上。
透過上述方法,由資料處理裝置A提供已知惡意碼類別對應的電腦病毒疫苗,再將電腦病毒疫苗傳送至電子裝置B,並部署至電子裝置B。據此,電子裝置B的監控模組151會對此可疑檔案進行防衛,即,基於電腦病毒疫苗來自行產生抗體,再將所獲得的抗體套用到可疑檔案對應的沙箱模擬區域中。
在此,資料處理裝置A維護的惡意程式庫121中包含許多疫苗(即防護措施)。電子裝置B及其他平台透過收集經過確認的惡意程式碼的惡意特徵資料,將這些已知的惡意特徵資料饋送至資料處理裝置A,使資料處理裝置A將基於這些惡意特徵資料產生的特徵碼,定期或不定期更新至電子裝置B及其他平台的監控模組151。
底下以訊息熵理論來進一步說明上述步驟S310及S315。分析模組122藉由訊息熵理論,計算可疑檔案與各惡意程式碼之間的相似機率。在此,相似機率為可疑檔案與各惡意程式碼之間最相似的程度。舉例來說,假設惡意程式庫121中包括已知的惡意程式碼“C01”、“C02”、“C03”。惡意程式碼“C01”採取的防護措施為清除。惡意程式碼“C02”採取的防護措施為隔離。惡意程式碼“C03”採取的防護措施為清除、隔離。而經由訊息熵理論來計算出可疑檔案分別與惡意程式碼“C01”、“C02”、“C03”的相似機率,如表1所示。
表1
<TABLE border="1" borderColor="#000000" width="_0002"><TBODY><tr><td> </td><td> 與可疑檔案的相似機率 </td><td> 防護措施 </td></tr><tr><td> 惡意程式碼“C01” </td><td> 80% </td><td> 清除 </td></tr><tr><td> 惡意程式碼“C02” </td><td> 60% </td><td> 隔離 </td></tr><tr><td> 惡意程式碼“C03” </td><td> 20% </td><td> 清除、隔離 </td></tr></TBODY></TABLE>
分析模組122將上述相似機率與門檻值進行比對,以取出高於門檻值的相似機率所對應的一個或多個惡意程式碼,來作為代表攻擊碼。例如,若門檻值設定為70%,則採用惡意程式碼“C01”的防護措施。若門檻值設定為50%,則採用惡意程式碼“C01”、“C02”兩者的防護措施。也就是說,可以結合多個惡意程式碼的防護措施。
另外,除了利用如上所述的門檻值方式之外,亦可導入決策樹概念。決策樹是一項建立分類模式(classification models)的方式之一,針對給定的資料利用歸納的方式產生樹狀結構的模式。為了要將輸入的資料分類,決策樹的每一個節點即為一個判斷式,判斷式針對一個變數去判斷輸入的資料大於或等於或小於某個數值,每一個節點因而可以將輸入的資料分成若干類。決策樹是同時提供分類和預測常用的方法。
分析模組122利用決策樹來計算從不同已知的惡意特徵資料的機率下,可採用的法則(criteria)。在本實施例中,提出底下三種法則,即,樂觀(optimistic)法則、保守(conservation)法則以及遺憾(regret)法則。
具體而言,分析模組122藉由訊息熵理論,計算可疑檔案與各惡意程式碼之間的相似機率以及最小差異機率。在此,相似機率為可疑檔案與各惡意程式碼之間最相似的程度,最小差異機率為可疑檔案與各惡意程式碼之間最不相似的程度。
例如,假設惡意程式庫121中包括已知的惡意程式碼“C01”、“C02”、“C03”。並且,假設可疑檔案的行為特徵資料包括8個徵兆,惡意程式碼“C01”包括7個徵兆,且惡意程式碼“C01”中的5個徵兆與可疑檔案的行為特徵資料最相似。故,利用訊息熵理論的訊息量公式,可以算出這些相似徵兆的相似機率。而假設惡意程式碼“C01”中的1個徵兆與可疑檔案的行為特徵資料最不相似,則利用訊息熵理論的訊息量公式,可以算出上述不相似徵兆的最小差異機率。表2所示為可疑檔案分別與惡意程式碼“C01”、“C02”、“C03”的相似機率以及最小差異機率。
表2
<TABLE border="1" borderColor="#000000" width="_0003"><TBODY><tr><td> </td><td> 與可疑檔案的 相似機率 </td><td> 與可疑檔案的 最小差異機率 </td></tr><tr><td> 惡意程式碼“C01” </td><td> 80% </td><td> 40% </td></tr><tr><td> 惡意程式碼“C02” </td><td> 60% </td><td> 70% </td></tr><tr><td> 惡意程式碼“C03” </td><td> 20% </td><td> 50% </td></tr></TBODY></TABLE>
接著,分析模組122透過決策樹來決定利用樂觀法則、保守法則以及遺憾法則其中之一,而基於比對結果來獲得可疑檔案對應的代表攻擊碼。
所述樂觀法則為:冒最大風險以求取最大利潤。即,先就每一方案中選出最大報酬,然後再就其中挑選最大者。分析模組122自上述相似機率(即,最樂觀)中取出最大的相似機率,而以對應的惡意程式碼來作為代表攻擊碼。以表2為例,以惡意程式碼“C01”作為代表攻擊碼,而採用惡意程式碼“C01”的防護措施。
所述保守法則為:先從各方案中選一個最小收益值,再從這些最小收益值中選出一個最大收益值。分析模組122自上述最小差異機率(最悲觀)中取出最大的最小差異機率,而以對應的惡意程式碼來作為代表攻擊碼。以表2為例,以惡意程式碼“C02”作為代表攻擊碼,而採用惡意程式碼“C02”的防護措施。
所述遺憾法則為:比較各種方案之最大機會損失,然後選取其中最小者。進一步地說,分析模組122自上述相似機率中取出最大的一個作為第一基準值,並且自上述最小差異機率中取出最大的一個作為第二基準值。即,以惡意程式碼“C01”的相似機率80%作為第一基準值,以惡意程式碼“C02”的最小差異機率70%作為第二基準值。
接著,以第一基準值與上述相似機率相減而獲得多個調整後相似值,並且以第二基準值與上述最小差異機率相減而獲得多個調整後最小差異值,如表3所示。
表3
<TABLE border="1" borderColor="#000000" width="_0004"><TBODY><tr><td> </td><td> 調整後相似值 </td><td> 調整後最小差異值 </td><td> 取最大 </td></tr><tr><td> 惡意程式碼“C01” </td><td> |80%-80%|= 0 </td><td> |70%-40%|=30% </td><td> 30% </td></tr><tr><td> 惡意程式碼“C02” </td><td> |80%-60%|=20% </td><td> |70%-70%|= 0 </td><td> 20% </td></tr><tr><td> 惡意程式碼“C03” </td><td> |80%-20%|=60% </td><td> |70%-50%|=20% </td><td> 60% </td></tr></TBODY></TABLE>
然後,比對各惡意程式碼自己的調整後相似值以及調整後最小差異值,以將最大的數值作為最後比對值。即,以惡意程式碼“C01”而言,其調整後相似值為0,調整後最小差異值為30%,取最大值30%做為最後比對值。同理,惡意程式碼“C02”的最後比對值為20%,惡意程式碼“C03”的最後比對值為60%。
最後,自上述最後比對值中取出最小的一個,而以對應的惡意程式碼來作為代表攻擊碼。即,以惡意程式碼“C02”作為代表攻擊碼,而採用惡意程式碼“C02”的防護措施。
然,決策方法有很多種,上述三種法則僅為舉例說明,亦可以使用期望值、貝氏定理(Bayes’ theorem)等,在此並不限制。
另外,在其他實施例中,倘若電子裝置B的運算功能足夠,亦可直接在電子裝置B中進行惡意程式碼的分析。舉例來說,圖4是依照本發明另一實施例的電子裝置的方塊圖。請參照圖4,在電子裝置B中安裝分析模組122,並且在第二儲存單元150中建立惡意程碼程式庫121。在第二處理單元140透過監控模組151偵測到電子裝置B中存在可疑檔案,且第二處理單元140無法識別出可疑檔案對應的已知惡意碼類別時,由安裝在電子裝置B的分析模組122來取得可疑檔案對應的行為特徵資料,藉以比對可疑檔案對應的行為特徵資料與電子裝置B的惡意碼程式庫121所記錄的多個惡意程式碼各自的惡意特徵資料,而獲得比對結果。並且,第二處理單元140基於比對結果,獲得可疑檔案對應的代表攻擊碼(與步驟S310、S315相似)。最後,第二處理單元140採用代表攻擊碼對應的防護措施。
綜上所述,在發現無法識別是否為惡意程式的可疑檔案時,透過機器學習演算法來學習出與可疑檔案相似的惡意程式碼,並進一步對應的防護措施,如隔離或清除。據此,針對未知的可疑檔案可以先行執行對應的防護措施,使其沒有機會去蔓延傳播。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
100‧‧‧惡意程式碼分析系統
110‧‧‧第一處理單元
120‧‧‧第一儲存單元
121‧‧‧惡意碼程式庫
122‧‧‧分析模組
123‧‧‧過濾資料庫
130‧‧‧第一通訊單元
140‧‧‧第二處理單元
110‧‧‧第一處理單元
120‧‧‧第一儲存單元
121‧‧‧惡意碼程式庫
122‧‧‧分析模組
123‧‧‧過濾資料庫
130‧‧‧第一通訊單元
140‧‧‧第二處理單元
150‧‧‧第二儲存單元
151‧‧‧監控模組
160‧‧‧第二通訊單元
A‧‧‧資料處理裝置
B‧‧‧電子裝置
S205~S225‧‧‧電子裝置監控方法的各步驟
S305~S320‧‧‧惡意程式碼分析方法的各步驟
圖1是依照本發明一實施例的惡意程式碼分析系統的方塊圖。 圖2是依照本發明一實施例的電子裝置監控方法的流程圖。 圖3是依照本發明一實施例的惡意程式碼分析方法的流程圖。 圖4是依照本發明另一實施例的電子裝置的方塊圖。
S305~S320‧‧‧惡意程式碼分析方法的各步驟
Claims (21)
- 一種惡意程式碼分析方法,包括:透過一資料處理裝置自一電子裝置接收一可疑檔案對應的一行為特徵資料,並由該資料處理裝置執行下列步驟,包括:透過該行為特徵資料辨識至少一硬體層及至少一軟體層的多筆資料;比對該些資料與多個惡意程式碼各自的一惡意特徵資料,而獲得一比對結果;基於該比對結果,獲得該可疑檔案對應的一代表攻擊碼,其中該代表攻擊碼包括該些惡意程式碼其中一個或多個;以及傳送該代表攻擊碼對應的一防護措施至該電子裝置。
- 如申請專利範圍第1項所述的惡意程式碼分析方法,其中在透過該資料處理裝置自該電子裝置接收該可疑檔案對應的該行為特徵資料之前,該電子裝置執行下列步驟:監控該電子裝置中是否存在有該可疑檔案;當偵測到該可疑檔案時,建立一沙箱模擬區域,以在該沙箱模擬區域監測該可疑檔案;識別該可疑檔案是否符合該電子裝置所記錄的已知惡意碼類別;若識別出該可疑檔案對應的該已知惡意碼類別,轉換該可疑檔案為該已知惡意碼類別對應的一典型攻擊碼,並且套用該典型攻擊碼對應的防護措施至該沙箱模擬區域;以及 若無法識別出該可疑檔案對應的該已知惡意碼類別,傳送該可疑檔案對應的該行為特徵資料至該資料處理裝置。
- 如申請專利範圍第2項所述的惡意程式碼分析方法,更包括:在該電子裝置接收到該代表攻擊碼對應的該防護措施之後,轉換該可疑檔案為該代表攻擊碼對應的典型攻擊碼,並且套用該防護措施至該沙箱模擬區域。
- 如申請專利範圍第1項所述的惡意程式碼分析方法,其中在獲得該可疑檔案對應的該代表攻擊碼的步驟之後,更包括:儲存該代表攻擊碼對應的該防護措施至該資料處理裝置的一過濾資料庫;以及在經過一指定時間之後,自該過濾資料庫中讀取該防護措施,並傳送該防護措施至該電子裝置。
- 如申請專利範圍第1項所述的惡意程式碼分析方法,其中比對該可疑檔案對應的該行為特徵資料與該些惡意程式碼各自的該惡意特徵資料,而獲得該比對結果的步驟包括:藉由一訊息熵理論,計算該可疑檔案與每一該些惡意程式碼之間的一相似機率,其中該相似機率為該可疑檔案與每一該些惡意程式碼之間相似的程度。
- 如申請專利範圍第5項所述的惡意程式碼分析方法,其中基於該比對結果,獲得該可疑檔案對應的該代表攻擊碼的步驟包括: 比對每一該些惡意程式碼對應的該相似機率與一門檻值,以取出高於該門檻值的該相似機率所對應的一個或多個上述惡意程式碼,來作為該代表攻擊碼。
- 如申請專利範圍第1項所述的惡意程式碼分析方法,其中比對該可疑檔案對應的該行為特徵資料與該些惡意程式碼各自的該惡意特徵資料,而獲得該比對結果的步驟包括:藉由一訊息熵理論,計算該可疑檔案與每一該些惡意程式碼之間的一相似機率以及一最小差異機率,其中該相似機率為該可疑檔案與每一該些惡意程式碼之間相似的程度,該最小差異機率為該可疑檔案與每一該些惡意程式碼之間不相似的程度。
- 如申請專利範圍第7項所述的惡意程式碼分析方法,其中基於該比對結果,獲得該可疑檔案對應的該代表攻擊碼的步驟包括:利用一樂觀法則、一保守法則以及一遺憾法則其中之一,而基於該比對結果來獲得該可疑檔案對應的該代表攻擊碼;其中,利用該樂觀法則的步驟包括:自多個上述相似機率中取出最大的該相似機率,而以對應的惡意程式碼來作為該代表攻擊碼;利用該保守法則的步驟包括:自多個上述最小差異機率中取出最大的該最小差異機率,而以對應的惡意程式碼來作為該代表攻擊碼;利用該遺憾法則的步驟包括: 自多個上述相似機率中取出最大的一個作為一第一基準值,並且自多個上述最小差異機率中取出最大的一個作為一第二基準值;以該第一基準值與多個上述相似機率相減而獲得多個調整後相似值;以該第二基準值與多個上述最小差異機率相減而獲得多個調整後最小差異值;比對該可疑檔案與每一該些惡意程式碼對應的該調整後相似值以及該調整後最小差異值,以將最大的數值作為一最後比對值;以及自多個上述最後比對值中取出最小的一個,而以對應的惡意程式碼來作為該代表攻擊碼。
- 如申請專利範圍第1項所述的惡意程式碼分析方法,其中該至少一軟體層包括一作業系統層、一檔案層及一應用層,其中在透過該資料處理裝置自該電子裝置接收該可疑檔案對應的該行為特徵資料的步驟之後,包括:在該至少一硬體層中,辨識一硬體運轉行為;在該作業系統層中,辨識一系統處理效能;在該檔案層中,辨識一惡意程式識別碼;以及在該應用層中,辨識一應用程式的執行行為。
- 一種惡意程式碼分析系統,包括:一電子裝置;以及 一資料處理裝置,包括:一第一通訊單元,與該電子裝置建立連線;一第一儲存單元,包括一惡意碼程式庫,儲存有多個惡意程式碼各自的一惡意特徵資料;以及一第一處理單元,耦接至該通訊單元與該儲存單元,自該電子裝置接收一可疑檔案對應的一行為特徵資料,其中該處理單元透過該行為特徵資料辨識至少一硬體層及至少一軟體層的多筆資料並比對該些資料與該些惡意程式碼各自的該惡意特徵資料,而獲得一比對結果,並基於該比對結果,獲得該可疑檔案對應的一代表攻擊碼,其中該代表攻擊碼包括該些惡意程式碼其中一個或多個;並且,該第一處理單元透過該通訊單元,傳送該代表攻擊碼對應的一防護措施至該電子裝置。
- 如申請專利範圍第10項所述的惡意程式碼分析系統,其中該電子裝置包括:一第二通訊單元,與該資料處理裝置的該第一通訊單元建立連線;一第二儲存單元,包括一監控模組;一第二處理單元,耦接至該第二通訊單元以及該第二儲存單元,其中該第二處理單元驅動該監控模組監控該電子裝置中是否存在有該可疑檔案;其中,當偵測到該可疑檔案時,透過該監控模組建立一沙箱模擬區域,以在該沙箱模擬區域監測該可疑檔案;並且透過該監 控模組識別該可疑檔案是否符合其所記錄的已知惡意碼類別;若識別出該可疑檔案對應的該已知惡意碼類別,透過該監控模組轉換該可疑檔案為該已知惡意碼類別對應的一典型攻擊碼,並且套用該典型攻擊碼對應的防護措施至該沙箱模擬區域;若無法識別出該可疑檔案對應的該已知惡意碼類別,透過第二通訊單元傳送該可疑檔案對應的該行為特徵資料至該資料處理裝置。
- 如申請專利範圍第11項所述的惡意程式碼分析系統,其中該電子裝置在接收到該代表攻擊碼對應的該防護措施之後,透過該監控模組轉換該可疑檔案為該代表攻擊碼對應的典型攻擊碼,並且套用該防護措施至該沙箱模擬區域。
- 如申請專利範圍第10項所述的惡意程式碼分析系統,其中該第一儲存單元包括:一過濾資料庫,儲存該代表攻擊碼對應的該防護措施;其中,在經過一指定時間之後,該第一處理單元自該過濾資料庫中讀取該防護措施,並傳送該防護措施至該電子裝置。
- 如申請專利範圍第10項所述的惡意程式碼分析系統,其中該第一處理單元藉由一訊息熵理論,計算該可疑檔案與每一該些惡意程式碼之間的一相似機率,其中該相似機率為該可疑檔案與每一該些惡意程式碼之間相似的程度。
- 如申請專利範圍第14項所述的惡意程式碼分析系統,其中該第一處理單元比對每一該些惡意程式碼對應的該相似機率 與一門檻值,以取出高於該門檻值的該相似機率所對應的一個或多個上述惡意程式碼,來作為該代表攻擊碼。
- 如申請專利範圍第10項所述的惡意程式碼分析系統,其中該第一處理單元藉由一訊息熵理論,計算該可疑檔案與每一該些惡意程式碼之間的一相似機率以及一最小差異機率,其中該相似機率為該可疑檔案與每一該些惡意程式碼之間相似的程度,該最小差異機率為該可疑檔案與每一該些惡意程式碼之間不相似的程度。
- 如申請專利範圍第16項所述的惡意程式碼分析系統,其中該第一處理單元利用一樂觀法則、一保守法則以及一遺憾法則其中之一,而基於該比對結果來獲得該可疑檔案對應的該代表攻擊碼;其中,該第一處理單元基於該樂觀法則,自多個上述相似機率中取出最大的該相似機率,而以對應的惡意程式碼來作為該代表攻擊碼;該第一處理單元基於該保守法則,自多個上述最小差異機率中取出最大的該最小差異機率,而以對應的惡意程式碼來作為該代表攻擊碼;該第一處理單元基於該遺憾法則的步驟,自多個上述相似機率中取出最大的一個作為一第一基準值,並且自多個上述最小差異機率中取出最大的一個作為一第二基準值;以該第一基準值與多個上述相似機率相減而獲得多個調整後相似值;以該第二基準 值與多個上述最小差異機率相減而獲得多個調整後最小差異值;比對該可疑檔案與每一該些惡意程式碼對應的該調整後相似值以及該調整後最小差異值,以將最大的數值作為一最後比對值;以及自多個上述最後比對值中取出最小的一個,而以對應的惡意程式碼來作為該代表攻擊碼。
- 如申請專利範圍第10項所述的惡意程式碼分析系統,其中該至少一軟體層包括一作業系統層、一檔案層及一應用層,其中該第一處理單元在接收到該可疑檔案對應的該行為特徵資料之後,在該至少一硬體層中,辨識一硬體運轉行為;在該作業系統層中,辨識一系統處理效能;在該檔案層中,辨識一惡意程式識別碼;以及在該應用層中,辨識一應用程式的執行行為。
- 一種資料處理裝置,包括:一通訊單元,與一電子裝置建立連線;一儲存單元,包括一惡意碼程式庫,儲存有多個惡意程式碼各自的一惡意特徵資料;以及一處理單元,耦接至該通訊單元與該儲存單元,自該電子裝置接收一可疑檔案對應的一行為特徵資料,其中該處理單元透過該行為特徵資料辨識至少一硬體層及至少一軟體層的多筆資料並比對該些資料與該些惡意程式碼各自的該惡意特徵資料,而獲得一比對結果,並基於該比對結果,獲得該可疑檔案對應的一代表攻擊碼,其中該代表攻擊碼包括該些惡意程式碼其中一個或多個;並且,該處理單元透過該通訊單元,傳送該代表攻擊碼對應 的一防護措施至該電子裝置。
- 一種惡意程式碼分析方法,包括:獲得一可疑檔案對應的一行為特徵資料;透過該行為特徵資料辨識至少一硬體層及至少一軟體層的多筆資料;比對該些資料與多個惡意程式碼各自的一惡意特徵資料,而獲得一比對結果;基於該比對結果,獲得該可疑檔案對應的一代表攻擊碼,其中該代表攻擊碼包括該些惡意程式碼其中一個或多個;以及採用該代表攻擊碼對應的一防護措施。
- 一種電子裝置,包括:一儲存單元,包括一惡意碼程式庫、一監控模組以及一分析模組,其中該惡意碼程式庫儲存有多個惡意程式碼各自的一惡意特徵資料;以及一處理單元,耦接至該儲存單元,以執行該監控模組及該分析模組;其中,該處理單元在透過該監控模組偵測到一可疑檔案時,透過該分析模組來執行下列動作,包括:獲得該可疑檔案對應的一行為特徵資料;透過該行為特徵資料辨識至少一硬體層及至少一軟體層的多筆資料;比對該些資料與該些惡意程式碼各自的該惡意特徵資料,而 獲得一比對結果;以及基於該比對結果,獲得該可疑檔案對應的一代表攻擊碼,其中該代表攻擊碼包括該些惡意程式碼其中一個或多個,並且採用該代表攻擊碼對應的一防護措施。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104131747A TWI547823B (zh) | 2015-09-25 | 2015-09-25 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
CN201510660418.XA CN106557689B (zh) | 2015-09-25 | 2015-10-14 | 恶意程序码分析方法与系统、数据处理装置及电子装置 |
US14/994,141 US10599851B2 (en) | 2015-09-25 | 2016-01-13 | Malicious code analysis method and system, data processing apparatus, and electronic apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW104131747A TWI547823B (zh) | 2015-09-25 | 2015-09-25 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI547823B true TWI547823B (zh) | 2016-09-01 |
TW201712586A TW201712586A (zh) | 2017-04-01 |
Family
ID=57444943
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104131747A TWI547823B (zh) | 2015-09-25 | 2015-09-25 | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10599851B2 (zh) |
CN (1) | CN106557689B (zh) |
TW (1) | TWI547823B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018084808A1 (en) * | 2016-11-04 | 2018-05-11 | Singapore University Of Technology And Design | Computer-implemented method and data processing system for testing device security |
TWI656453B (zh) * | 2016-11-22 | 2019-04-11 | 財團法人資訊工業策進會 | 檢測系統及檢測方法 |
TWI723632B (zh) * | 2018-12-06 | 2021-04-01 | 美商萬事達卡國際公司 | 一積體電路、方法以及計算機程式 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI599905B (zh) * | 2016-05-23 | 2017-09-21 | 緯創資通股份有限公司 | 惡意碼的防護方法、系統及監控裝置 |
US10733290B2 (en) * | 2017-10-26 | 2020-08-04 | Western Digital Technologies, Inc. | Device-based anti-malware |
TWI672605B (zh) | 2017-11-29 | 2019-09-21 | 財團法人資訊工業策進會 | 應用層行為辨識系統與方法 |
US10754950B2 (en) * | 2017-11-30 | 2020-08-25 | Assured Information Security, Inc. | Entity resolution-based malicious file detection |
CN109960928B (zh) * | 2017-12-22 | 2021-10-29 | 北京安天网络安全技术有限公司 | 可疑文件的处理方法和处理系统 |
US10839072B2 (en) | 2018-01-22 | 2020-11-17 | International Business Machines Corporation | Ransomware resetter |
CN110287697A (zh) * | 2018-03-19 | 2019-09-27 | 阿里巴巴集团控股有限公司 | 行为识别、数据处理方法及装置 |
US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
TWI676115B (zh) * | 2018-07-13 | 2019-11-01 | 優碩資訊科技股份有限公司 | 用以管控與雲端服務系統認證之系統及方法 |
US11036856B2 (en) | 2018-09-16 | 2021-06-15 | Fortinet, Inc. | Natively mounting storage for inspection and sandboxing in the cloud |
RU2739865C2 (ru) * | 2018-12-28 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносного файла |
CN109858249B (zh) * | 2019-02-18 | 2020-08-07 | 暨南大学 | 移动恶意软件大数据的快速智能比对和安全检测方法 |
CN110210224B (zh) * | 2019-05-21 | 2023-01-31 | 暨南大学 | 一种基于描述熵的大数据移动软件相似性智能检测方法 |
WO2021029871A1 (en) * | 2019-08-12 | 2021-02-18 | Hewlett-Packard Development Company, L.P. | Thread mapping |
US10997054B1 (en) * | 2019-11-25 | 2021-05-04 | Amazon Technologies, Inc. | Leveraging training data towards increasing the explainability of ML-based code analysis tools |
JP2022114778A (ja) * | 2021-01-27 | 2022-08-08 | セイコーエプソン株式会社 | 電子機器及び電子機器の制御方法 |
CN112906062A (zh) * | 2021-02-20 | 2021-06-04 | 方圆标志认证集团浙江有限公司 | 一种基于信息安全管理体系认证的便携式信息设备 |
US11818172B1 (en) * | 2021-08-24 | 2023-11-14 | Amdocs Development Limited | System, method, and computer program for a computer attack response service |
US20230351023A1 (en) * | 2022-05-02 | 2023-11-02 | Bank Of America Corporation | System for remediation of security vulnerabilities in computing devices using continuous device-level scanning and monitoring |
CN115632832B (zh) * | 2022-09-30 | 2023-09-12 | 上海豹云网络信息服务有限公司 | 一种应用于云服务的大数据攻击处理方法及系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120233656A1 (en) * | 2011-03-11 | 2012-09-13 | Openet | Methods, Systems and Devices for the Detection and Prevention of Malware Within a Network |
TWI476628B (zh) * | 2012-09-18 | 2015-03-11 | Univ Kun Shan | 以惡意程式特徵分析為基礎之資安風險評估系統 |
US20150096027A1 (en) * | 2013-09-30 | 2015-04-02 | Kaspersky Lab Zao | System and method for evaluating malware detection rules |
US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8190647B1 (en) | 2009-09-15 | 2012-05-29 | Symantec Corporation | Decision tree induction that is sensitive to attribute computational complexity |
US20110219449A1 (en) * | 2010-03-04 | 2011-09-08 | St Neitzel Michael | Malware detection method, system and computer program product |
US9501640B2 (en) * | 2011-09-14 | 2016-11-22 | Mcafee, Inc. | System and method for statistical analysis of comparative entropy |
CN102982284B (zh) * | 2012-11-30 | 2016-04-20 | 北京奇虎科技有限公司 | 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统 |
TWI515600B (zh) | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
US20150205962A1 (en) * | 2014-01-23 | 2015-07-23 | Cylent Systems, Inc. | Behavioral analytics driven host-based malicious behavior and data exfiltration disruption |
-
2015
- 2015-09-25 TW TW104131747A patent/TWI547823B/zh active
- 2015-10-14 CN CN201510660418.XA patent/CN106557689B/zh active Active
-
2016
- 2016-01-13 US US14/994,141 patent/US10599851B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120233656A1 (en) * | 2011-03-11 | 2012-09-13 | Openet | Methods, Systems and Devices for the Detection and Prevention of Malware Within a Network |
TWI476628B (zh) * | 2012-09-18 | 2015-03-11 | Univ Kun Shan | 以惡意程式特徵分析為基礎之資安風險評估系統 |
US20150096027A1 (en) * | 2013-09-30 | 2015-04-02 | Kaspersky Lab Zao | System and method for evaluating malware detection rules |
US20150096022A1 (en) * | 2013-09-30 | 2015-04-02 | Michael Vincent | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2018084808A1 (en) * | 2016-11-04 | 2018-05-11 | Singapore University Of Technology And Design | Computer-implemented method and data processing system for testing device security |
TWI656453B (zh) * | 2016-11-22 | 2019-04-11 | 財團法人資訊工業策進會 | 檢測系統及檢測方法 |
US10318731B2 (en) | 2016-11-22 | 2019-06-11 | Institute For Information Industry | Detection system and detection method |
TWI723632B (zh) * | 2018-12-06 | 2021-04-01 | 美商萬事達卡國際公司 | 一積體電路、方法以及計算機程式 |
Also Published As
Publication number | Publication date |
---|---|
US20170091461A1 (en) | 2017-03-30 |
CN106557689A (zh) | 2017-04-05 |
CN106557689B (zh) | 2019-06-07 |
TW201712586A (zh) | 2017-04-01 |
US10599851B2 (en) | 2020-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI547823B (zh) | 惡意程式碼分析方法與系統、資料處理裝置及電子裝置 | |
JP7405596B2 (ja) | コンピュータシステムのオブジェクト分類のためのシステムおよび方法 | |
US10574681B2 (en) | Detection of known and unknown malicious domains | |
US10055582B1 (en) | Automated detection and remediation of ransomware attacks involving a storage device of a computer network | |
RU2680738C1 (ru) | Каскадный классификатор для приложений компьютерной безопасности | |
US9838405B1 (en) | Systems and methods for determining types of malware infections on computing devices | |
JP6528448B2 (ja) | ネットワーク攻撃監視装置、ネットワーク攻撃監視方法、及びプログラム | |
CN111382434B (zh) | 用于检测恶意文件的系统和方法 | |
US8108931B1 (en) | Method and apparatus for identifying invariants to detect software tampering | |
WO2013164821A2 (en) | Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention | |
JP5715693B2 (ja) | マルウェア検出に使用するカスタマイズされた信頼帯を作成するシステム及び方法 | |
JP2019521400A (ja) | 推測的なエクスプロイトの試みの検出 | |
US9501742B2 (en) | System and method for assessing categorization rule selectivity | |
JP2017142744A (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
TWI599905B (zh) | 惡意碼的防護方法、系統及監控裝置 | |
Liu et al. | A system call analysis method with mapreduce for malware detection | |
Kanaker et al. | Trojan Horse Infection Detection in Cloud Based Environment Using Machine Learning. | |
US8615805B1 (en) | Systems and methods for determining if a process is a malicious process | |
KR102091787B1 (ko) | 파일 시스템에서의 랜섬웨어 탐지 방법 및 그 장치 | |
KR101988747B1 (ko) | 하이브리드 분석을 통한 머신러닝 기반의 랜섬웨어 탐지 방법 및 장치 | |
Ji et al. | Overhead analysis and evaluation of approaches to host-based bot detection | |
Firdaus et al. | Selecting root exploit features using flying animal-inspired decision | |
Sumathi et al. | Decision trees to detect malware in a cloud computing environment | |
Kim et al. | Malware application classification based on feature extraction and machine learning for malicious behavior analysis in Android platform | |
Raphael et al. | X-ANOVA and X-Utest features for android malware analysis |