TWI553502B - 用於應用程式層之防火牆裝置的保護方法與其電腦系統 - Google Patents

用於應用程式層之防火牆裝置的保護方法與其電腦系統 Download PDF

Info

Publication number
TWI553502B
TWI553502B TW104107064A TW104107064A TWI553502B TW I553502 B TWI553502 B TW I553502B TW 104107064 A TW104107064 A TW 104107064A TW 104107064 A TW104107064 A TW 104107064A TW I553502 B TWI553502 B TW I553502B
Authority
TW
Taiwan
Prior art keywords
session
firewall
mode
specific
specific firewall
Prior art date
Application number
TW104107064A
Other languages
English (en)
Other versions
TW201633202A (zh
Inventor
陳志明
Original Assignee
緯創資通股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 緯創資通股份有限公司 filed Critical 緯創資通股份有限公司
Priority to TW104107064A priority Critical patent/TWI553502B/zh
Priority to CN201510129854.4A priority patent/CN106156613B/zh
Priority to US14/797,184 priority patent/US9973471B2/en
Publication of TW201633202A publication Critical patent/TW201633202A/zh
Application granted granted Critical
Publication of TWI553502B publication Critical patent/TWI553502B/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

用於應用程式層之防火牆裝置的保護方法與其電腦系統
本發明係指一種用於應用程式層之防火牆裝置的保護方法與其電腦系統,尤指一種同時參考複數個會話通道之傳輸資料,進而產生用於應用程式層之防火牆裝置的保護方法與其電腦系統。
隨著網際網路的快速發展,一般人倚賴網路資訊的程度越來越普遍,隨之而來的惡意軟體如電腦病毒、間諜軟體、廣告軟體或垃圾郵件等,皆可大開門戶地通過網際網路之路徑,入侵或攻擊一般人所使用之電腦系統或行動裝置,或像是其他以連接網路並執行應用程式APP之電子裝置(如智慧型手錶),病毒軟體惡意破壞上述電子裝置之軟、硬體功能,更甚者竊取其中的重要資訊。
為了建立電腦系統或行動裝置的保護措施,可於應用程式層安裝防火牆裝置或相關的防毒軟體來辨識與隔離任何潛在之惡意軟體。然而,由於惡意軟體所對應之程式碼必然與時俱變,使得應用程式層所安裝之防火牆裝置或防毒軟體必須定期更新其中的病毒辨識資料庫,再加上習知技術中防火牆裝置僅於開放式系統互聯通訊參考模型(Open System Interconnection Reference Model,簡稱OSI模型)之會話層(Session layer)內單一會話通道進行偵查,而進階的病毒或惡意軟體可巧妙地對傳輸封包進行拆解或切分為多個子封包,並於會話層中複數個會話通道對應進行不同子封包間之傳輸來避免被偵查或過濾,使防火牆裝置或相關的防毒軟體難以精準地逐一辨認,而無法對全部會話通道進行有效之檢驗或隔離操作,致使透過應用網路層接 收網路資料之電子裝置仍有中毒之風險。
因此,提供另一種用於防火牆裝置的保護方法與其電腦系統,有效地於應用程式層來進行惡意軟體之防禦與保護,已成為本領域之重要課題。
因此,本發明之主要目的即在於提供一種用於應用程式層之防火牆裝置的保護方法與其電腦系統,來避免或解除相關惡意軟體之攻擊。
本發明揭露一種保護方法,用以解除一惡意軟體攻擊設置於一應用程式層之一防火牆裝置,該保護方法包含有根據至少一輸入資料,於至少一工作時點以及於複數個會話通道中進行一微批次(Microbatching)操作,以產生該複數個會話通道之複數個會話專用防火牆模式(Session-specific firewall pattern);以及於該應用程式層組合該複數個會話專用防火牆模式來產生一應用程式專用防火牆模式(Application-specific firewall pattern),以配置相對於該應用程式專用防火牆模式之一治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊;其中,該微批次操作係於每一會話通道中進行一模式重組操作,以產生彼此獨立之複數個子集專用防火牆模式(Subset-specific firewall pattern),並根據該複數個子集專用防火牆模式來產生每一會話通道所對應之一會話專用防火牆模式。
本發明另揭露一種電腦系統,耦接設置於一應用程式層之一防火牆裝置,用來解除一惡意軟體於該防火牆裝置之攻擊,該電腦系統包含一中央處理器;以及一儲存裝置,耦接於該中央處理器,並儲存有一程式碼,該程式碼用來進行一保護方法,該保護方法包含根據至少一輸入資料,於至少一工作時點以及於複數個會話通道中進行一微批次(Microbatching)操作,以產生該複數個會話通道之複數個會話專用防火牆模式(Session specific firewall pattern);以及於該應用程式層組合該複數個會話專用防火牆模式來產生一應用程式專用防火牆模式(Application specific firewall pattern),以配置 相對於該應用程式專用防火牆模式之一治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊;其中,該微批次操作係於每一會話通道中進行一模式重組操作,以產生彼此獨立之複數個子集專用防火牆模式(Subset specific firewall pattern),並根據該複數個子集專用防火牆模式來產生每一會話通道所對應之一會話專用防火牆模式。
10‧‧‧電腦系統
100‧‧‧中央處理器
102‧‧‧儲存裝置
12‧‧‧防火牆裝置
20‧‧‧保護流程
200、202、204、206、400、402、404、406、408‧‧‧步驟
30‧‧‧會話通道模組
300‧‧‧接收模組
302‧‧‧儲存模組
304‧‧‧模式重組模組
306‧‧‧輸出模組
40‧‧‧微批次流程
NW‧‧‧網際網路
LM_1~LM_N‧‧‧結構預測機器學習模型
SP_1~SP_N‧‧‧子集專用防火牆模式
F_1~F_N‧‧‧子集特徵資料
第1圖為本發明實施例一電腦系統耦接一防火牆裝置之示意圖。
第2圖為本發明實施例一保護流程之流程圖。
第3圖為本發明實施例一會話通道模組之示意圖。
第4圖為本發明實施例一微批次流程之流程圖。
在說明書及後續的申請專利範圍當中使用了某些詞彙來指稱特定的元件。所屬領域中具有通常知識者應可理解,製造商可能會用不同的名詞來稱呼同樣的元件。本說明書及後續的申請專利範圍並不以名稱的差異來作為區別元件的方式,而是以元件在功能上的差異來作為區別的基準。在通篇說明書及後續的請求項當中所提及的「包含」係為一開放式的用語,故應解釋成「包含但不限定於」。此外,「耦接」一詞在此係包含任何直接及間接的電氣連接手段。因此,若文中描述一第一裝置耦接於一第二裝置,則代表該第一裝置可直接連接於該第二裝置,或透過其他裝置或連接手段間接地連接至該第二裝置。
請參考第1圖,第1圖為本發明實施例之一電腦系統10耦接一防火牆裝置12之示意圖。本實施例的電腦系統10基本架構包含如主機板、處理器、記憶體、硬碟、南橋模組、北橋模組等,其應係本領域所熟知,為求簡潔,第1圖僅繪示出電腦系統10之一中央處理器100與一儲存裝置102。此外,本實施例中的中央處理器100可以為一處理器單元或者為一繪圖處理 單元,亦可同時整合多個處理器單元與繪圖處理單元之處理模組,來對應提供相關之運算與控制功能。儲存裝置102可以是唯讀記憶體、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫,或是熟習本領域之通常知識者所熟知之任何其它儲存媒體等,用以儲存一程式碼,中央處理器100可執行程式碼來進行防火牆裝置12所適用之一保護方法。至於防火牆裝置12係設置於OSI模型最上層的應用程式層,且用來連接電腦系統10與一網際網路NW之橋梁,同時,防火牆裝置12還設置有適當之硬體、軟體或韌體來配合保護方法之執行,以解除或避免防火牆裝置12遭受經由網際網路NW之一惡意軟體(例如電腦病毒、間諜軟體、廣告軟體或垃圾郵件等)之攻擊或入侵。
當然,本實施例中僅繪出單一電腦系統10耦接單一防火牆裝置12的態樣,於其他實施例中,亦可為複數個電腦系統耦接單一防火牆裝置或複數個電腦系統耦接複數個防火牆裝置之情形,即電腦系統10與防火牆裝置12所對應之數量非用以限縮本實施例的範疇。同時,本實施例中電腦系統10與防火牆裝置12間的傳輸方式可為一有線傳輸或一無線傳輸,至於保護方法所對應之程式碼亦可適性地儲存於防火牆裝置12之一儲存單元中,使得防火牆裝置12可獨立進行保護方法者,亦屬於本發明的範疇之一。
於本實施例中,惡意軟體係源自於一可運算裝置、一遠端儲存裝置、一應用程式或一網路資料,且經由網際網路NW所傳輸/夾帶之電子檔案、安裝一特定程式之操作或開啟一網頁資料之瀏覽操作。據此,本實施例中的電腦系統10與防火牆裝置12皆安裝有相關之防毒軟體與程式,且對應有一病毒資料庫來包含複數個已辨識資料,並用來初步辨識該些惡意軟體之全部或部分特徵模式資料。
相較於習知技術僅檢查或過濾會話層之單一會話通道的傳輸封包,而無法同時比對、檢驗與整合全部會話通道中傳輸封包之操作方式,本實施例所提供的保護方法係於OSI模型中會話層之複數個會話通道同時進行檢 查與過濾之操作,同時,本實施例還整合一結構預測機器學習模型之預測、學習或訓練操作,且於每一會話通道配置有結構預測機器學習模型,用來根據所有傳輸於會話通道之傳輸封包來進行一微批次(Microbatching)操作,以自動預測、學習或訓練所有潛在惡意軟體之全部或部分特徵模式資料,進而將預測、學習或訓練後之結果傳輸至OSI模型最上層的應用程式層來進行分析、合併與整合,同時將處理後結果所對應之保護或防衛機制/操作配置於耦接至應用程式層之防火牆裝置12,用以進行潛在惡意軟體之保護或過濾操作。至於本實施例中的結構預測機器學習模型可為一軟體或硬體實施態樣,且整合於電腦系統10或防火牆裝置12內來配合保護方法之進行,非用以限制本發明的範疇。
當然,為了配合複數個會話通道之傳輸資料將同時進行預測、學習或訓練等操作,本實施例中的電腦系統10可視為複數個電腦模組之組成/集合體,即每一電腦模組皆包含有一中央處理單元(或繪圖處理單元)以及一儲存單元,且獨立執行用於每一會話通道之微批次操作,而複數個電腦模組間為相互耦接(即透過一有線傳輸或一無線傳輸),並共享所有預測、學習或訓練之結果。至於保護方法的詳細操作步驟,將於以下段落進行說明。
進一步,本實施例防火牆裝置12所適用之保護方法可歸納為一保護流程20,且被編譯為程式碼而儲存於儲存裝置102(或防火牆裝置12之儲存單元)中,如第2圖所示,保護流程20包含以下步驟。
步驟200:開始。
步驟202:根據至少一輸入資料,於至少一工作時點以及於複數個會話通道中進行微批次操作,以產生複數個會話通道之複數個會話專用防火牆模式(Session-specific firewall pattern)。
步驟204:於應用程式層組合複數個會話專用防火牆模式來產生一應用程式專用防火牆模式(Application-specific firewall pattern),以配置相對於應用程式專用防火牆模式之一治癒資料至防火牆裝置12,進而解除惡意 軟體之攻擊。
步驟206:結束。
於本實施例中,若使用者係透過電腦系統10與防火牆裝置12連接至網際網路NW時,將對應啟動保護流程20(即步驟200),且允許電腦系統10接收來自網際網路NW之至少一輸入資料。當然,本實施例中的電腦系統10與防火牆裝置12已安裝防毒軟體與相關程式,且可定期進行更新操作來下載最新之病毒辨識資料,以維持電腦系統10與防火牆裝置12的病毒資料庫為最新版本的病毒辨識資料,且於電腦系統10(或防火牆裝置12)內儲存最新版本病毒辨識資料之預儲存模式資料來供後續操作。
於步驟202中,中央處理器100將於一第一工作時點根據已接收之輸入資料,同時於OSI模型中會話層之複數個會話通道進行各自對應的微批次操作,以產生複數個會話通道之複數個會話專用防火牆模式。較佳地,本實施例係配置有多個中央處理單元(或繪圖處理單元)來同時執行複數個會話通道專屬的微批次操作,以快速且精準之預測方式來產生彼此為獨立之複數個會話專用防火牆模式,進而提高保護流程20之執行效率與更新/學習速度。歸因於OSI模型之設計理念,本實施例的輸入資料可視為網際網路NW與電腦系統10間複數個應用程式間之對話傳輸資料,而其傳輸路徑係透過兩者間虛擬建立之複數個會話通道,對應開啟與關閉網際網路NW與電腦系統10間的傳輸或分配操作,同時傳輸對話傳輸資料所包含之複數個封包資料,至於其他OSI模型之複數個層間所用之傳輸機制或詳細步驟,非本發明的主要精神,在此不贅述。
為了理解方便,以下實施例係以一會話通道模組來說明OSI模型中每一會話通道係如何進行微批次操作之運作。請參考第3圖,第3圖為本發明實施例之一會話通道模組30之示意圖。如第3圖所示,本實施例的會話通道模組30包含有一接收模組300、一儲存模組302、一模式重組模組304、結構預測機器學習模型(Structured prediction machine learning models)LM_1 ~LM_N以及一輸出模組306。於本實施例中,接收模組300係用來接收網際網路NW之輸入資料,且對應擷取輸入資料中至少一輸入模式資料。預儲存模組302係用來預先儲存預儲存模式資料,即可用來辨識惡意軟體所對應之病毒辨識資料且已更新為最新版本之資料。模式重組模組304耦接有接收模組300、儲存模組302與結構預測機器學習模型LM_1~LM_N,且對應接收輸入模式資料以及預儲存模式資料來進行一模式重組操作,即模式重組模組304將重新組合輸入模式資料與預儲存模式資料來產生一更新模式資料,而更新模式資料係彼此獨立之子集特徵資料(Subset-specific firewall pattern)F_1~F_N。舉例來說,每一子集特徵資料係代表一種分類群聚資料,好比是個人之健康資訊、興趣喜好資訊、家庭背景資訊、或工作職涯規劃資訊等,且彼此間包含有相互獨立、不相關性(或無交集)的基本資料,據此,完成模式重組操作後,模式重組模組304將對應輸出已分類之子集特徵資料F_1~F_N至結構預測機器學習模型LM_1~LM_N。
進一步,會話通道模組30中每一結構預測機器學習模型係參考已接收之分類後子集特徵資料,來進行其對應之自動預測、學習或訓練操作,例如將子集特徵資料套入一合併特徵方程式(Joint feature function)之共同學習/訓練操作,用以預測所有潛在且未知的惡意軟體所對應之全部或部分特徵模式資料,進而產生子集專用防火牆模式SP_1~SP_N且傳輸至輸出模組306,至於如何實施本實施例中合併特徵方程式(Joint feature function)之共同學習/訓練操作,好比可透過轉導機器學習與引導機器學習等之操作,而非用以限制本發明的範疇之一。
當然,於另一實施例中,會話通道模組30中每一結構預測機器學習模型還可對應取得其他結構預測機器學習模型所產生之複數個子集專用防火牆模式,以協助其於另一工作時點(例如一第二工作時點)來產生另一子集專用防火牆模式。換言之,不同結構預測機器學習模型間還共享預測、學習或訓練操作後取得之子集專用防火牆模式,並與自身所產生之子集專用防 火牆模式進行比較、分析或整合,以提高自身之共同學習/訓練操作的執行效率與精準度,進而於下一個或之後複數個工作時點來對應產生更為精準(或預測機率更高)之子集專用防火牆模式,且對應傳輸至輸出模組306,此亦屬於本發明的範疇之一。
再者,本實施例中的輸出模組306係耦接且接收結構預測機器學習模型LM_1~LM_N所輸出之子集專用防火牆模式SP_1~SP_N,以整合且比較子集專用防火牆模式SP_1~SP_N之相關聯性,進而產生相對於每一會話通道之會話專用防火牆模式。詳細來說,本實施例中的輸出模組306將根據子集專用防火牆模式SP_1~SP_N之相似度、交集程度或差異性,擷取子集專用防火牆模式SP_1~SP_N中一或多者之部分或全部模式,來產生相對於每一會話通道之會話專用防火牆模式,進而取得複數個會話通道所對應之複數個會話專用防火牆模式,同時還將複數個會話專用防火牆模式傳輸至應用程式層來做後續操作。
同樣地,於另一實施例中,會話通道模組30中每一會話通道還可接收其他會話通道所對應之會話專用防火牆模式,以協助其於另一工作時點來產生另一會話專用防火牆模式。換言之,不同會話通道所對應之電腦模組間還共享微批次操作後取得之會話專用防火牆模式,並與自身所產生之會話專用防火牆模式進行比較、分析或整合,以提高自身之共同學習/訓練操作的執行效率與精準度,進而於下一個或之後的複數個工作時點對應產生更為精準(或預測機率更高)之會話專用防火牆模式,同時提供至應用程式層來進行後續操作,此亦屬於本發明的範疇之一。
當然,每一會話通道所進行之微批次操作亦可歸納為一微批次流程40,且被編譯為程式碼而儲存於儲存裝置102(或防火牆裝置12之儲存單元)中,如第4圖所示,微批次流程40包含以下步驟。
步驟400:開始。
步驟402:模式重組模組304根據輸入資料以及預儲存模式資料, 進行模式重組操作來產生子集特徵資料F_1~F_N。
步驟404:結構預測機器學習模型LM_1~LM_N根據子集特徵資料F_1~F_N,產生子集專用防火牆模式SP_1~SP_N。
步驟406:輸出模組306比較子集專用防火牆模式SP_1~SP_N之相關連性,以產生相對於每一會話通道之會話專用防火牆模式。
步驟408:結束。
當然,微批次流程40的相關步驟與操作方式可參考第3圖之會話通道模組30與其相關段落獲得了解,在此不贅述。據此,本實施例係根據每一會話通道所產生各自專屬的會話專用防火牆模式,對應取得複數個會話通道所對應之複數個會話專用防火牆模式,並由步驟204進行後續之操作。
於步驟204中,本實施例的中央處理器(或相關之處理器單元、繪圖處理單元)將於應用程式層組合複數個會話專用防火牆模式,以產生用於應用程式層的應用程式專用防火牆模式,進而配置相對於應用程式專用防火牆模式之治癒資料至防火牆裝置12來解除惡意軟體之攻擊。較佳地,本實施例中中央處理器(或相關之處理器單元、繪圖處理單元)將控制應用程式層來擷取複數個會話專用防火牆模式中一或多者之部分或全部模式,以產生應用程式專用防火牆模式,進而對應配置相對於應用程式專用防火牆模式之治癒資料至防火牆裝置12來解除惡意軟體之攻擊。
於本實施例中,應用程式專用防火牆模式係用來辨識潛在惡意軟體之全部或部分特徵模式資料,而應用程式專用防火牆模式所對應之治癒資料則用來根據已辨識惡意軟體之全部或部分特徵模式資料,來對應進行惡意軟體之過濾、隔離或清理刪除等操作。較佳地,本實施例中並未限制進行惡意軟體全部或部分特徵模式資料的過濾、隔離或清理刪除等操作的實施方式,例如常見的掃毒方式可透過一互動視窗或訊息來告知與建議電腦系統10之使用者,目前接觸網際網路NW之防火牆裝置12已偵測到潛在之惡意軟體,並於互動視窗或訊息中對應提供該類型惡意軟體之複數種選擇/操作清單來 讓使用者挑選,進而於防火牆裝置12適性刪除或隔離夾帶惡意軟體全部及/或部分特徵模式資料的電子檔案或其對應之傳輸封包。於另一實施例中,本實施例的保護流程20還可提供一認知性分析結果來告知電腦系統10之使用者,目前防火牆裝置12可能遭受某一特定惡意軟體類型之攻擊或入侵,而建議採用該惡意軟體類型所對應之特定掃毒操作來進行保護,以預防性地清除或隔離該特定惡意軟體類型的入侵或攻擊,進而避免電腦系統10發生無法正常運作或檔案毀損之情形。
當然,於另一實施例中,若於每一會話通道同時進行微批次操作時,即發現或偵測到有惡意軟體全部或部分特徵模式資料所對應之傳輸封包或電子檔案已通過防火牆裝置12且存在/被傳輸於至少一會話通道時,本實施例亦可將治癒資料所對應之治癒資料配置於複數個會話通道(或本實施例所提供之會話通道模組30)中,以於每一會話通道(或會話通道模組30)中利用治癒資料所對應之過濾、隔離或清理刪除等操作來解除惡意軟體之攻擊或入侵,此亦屬於本發明的範疇之一。
簡言之,本實施例中的防火牆裝置12係根據保護流程20與微批次流程40之操作,先於複數個會話通道產生所對應之複數個會話專用防火牆模式,再於應用程式層參考複數個會話專用防火牆模式來取得應用程式專用防火牆模式,進而配置應用程式專用防火牆模式所對應之治癒資料至防火牆裝置12,來進行惡意軟體全部/部分特徵模式資料所對應傳輸封包或電子檔案的過濾、隔離或清理刪除等操作。當然,為了操作方便,保護流程20與微批次流程40所對應的程式碼亦可適性地整合於防火牆裝置12之儲存單元中,以便利不同使用者於首次耦接其電子裝置/產品,來使用防火牆裝置12且連接網際網路NW時,能直接透過防火牆裝置12之保護流程20與微批次流程40的程式碼,來進行惡意軟體之過濾、隔離或清理刪除等操作者,亦屬於本發明的範疇之一。
綜上所述,本發明實施例係提供一種可於應用程式層進行惡意軟 體之過濾、隔離或清理刪除的保護方法與其電腦系統,其中單一電腦模組係於每一會話通道中微批次操作進行時,取得輸入資料與預儲存模式資料,以進行模式重組操作來對應取得複數個子集特徵資料,並由複數個結構預測機器學習模型來對複數個子集特徵資料進行共同學習/訓練操作,進而取得專屬於每一會話通道之會話專用防火牆模式,同時根據複數個電腦模組來取得複數個會話專用防火牆模式;據此,再參考複數個會話專用防火牆模式來取得應用程式專用防火牆模式,以配置應用程式專用防火牆模式所對應之治癒資料至防火牆裝置,進而有效過濾、隔離或清理刪除惡意軟體全部/部分特徵模式資料所對應之傳輸封包或電子檔案。相較於習知技術,本發明實施例已可同時參考複數個會話通道中的傳輸封包,同時複數個會話通道或單一會話通道中複數個結構預測機器學習模型皆可適性共享學習/訓練之結果,以對應加強結構預測機器學習模型預測潛在惡意軟體之保護與預防機制。
以上所述僅為本發明之較佳實施例,凡依本發明申請專利範圍所做之均等變化與修飾,皆應屬本發明之涵蓋範圍。
20‧‧‧保護流程
200、202、204、206‧‧‧步驟

Claims (16)

  1. 一種保護方法,用以解除一惡意軟體攻擊設置於一應用程式層之一防火牆裝置,該保護方法包含有:根據至少一輸入資料,於至少一工作時點以及於複數個會話通道中進行一微批次(Microbatching)操作,以產生該複數個會話通道之複數個會話專用防火牆模式(Session-specific firewall pattern);以及於該應用程式層組合該複數個會話專用防火牆模式來產生一應用程式專用防火牆模式(Application-specific firewall pattern),以配置相對於該應用程式專用防火牆模式之一治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊;其中,該微批次操作係於每一會話通道中進行一模式重組操作,以產生彼此獨立之複數個子集專用防火牆模式(Subset-specific firewall pattern),並根據該複數個子集專用防火牆模式來產生每一會話通道所對應之一會話專用防火牆模式。
  2. 如請求項1所述之保護方法,其中於每一會話通道執行該微批次操作還包含有:根據該輸入資料以及一預儲存模式資料,進行該模式重組操作來產生一更新模式資料;根據該更新模式資料以及複數個結構預測機器學習模型(Structured prediction machine learning models),產生該複數個子集專用防火牆模式;以及比較該複數個子集專用防火牆模式,以產生相對於每一會話通道之該會話專用防火牆模式。
  3. 如請求項2所述之保護方法,其中該模式重組操作係取得該輸入資料之至少一輸入模式資料,以組合該至少一輸入模式資料與該預儲存模式資 料,進而產生該更新模式資料。
  4. 如請求項2所述之保護方法,其中每一結構預測機器學習模型還取得其他結構預測機器學習模型所產生之該複數個子集專用防火牆模式,以協助其於另一工作時點來產生另一子集專用防火牆模式。
  5. 如請求項2所述之保護方法,其中比較該複數個子集專用防火牆模式,以產生相對於每一會話通道之該會話專用防火牆模式之步驟還包含有:根據該複數個子集專用防火牆模式之相似度、交集程度或差異性,擷取該複數個子集專用防火牆模式中一或多者之部分或全部模式來產生相對於每一會話通道之該會話專用防火牆模式。
  6. 如請求項1所述之保護方法,其還包含有:每一會話通道還接收其他會話通道所對應之該會話專用防火牆模式,以協助其於另一工作時點來產生另一會話專用防火牆模式。
  7. 如請求項1所述之保護方法,其中於該應用程式層組合該複數個會話專用防火牆模式來產生該應用程式專用防火牆模式,以配置相對於該應用程式專用防火牆模式之該治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊之步驟,還包含有:該應用程式層還擷取該複數個會話專用防火牆模式中一或多者之部分或全部模式來產生該應用程式專用防火牆模式,以對應配置相對於該應用程式專用防火牆模式之該治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊。
  8. 如請求項1所述之保護方法,其還包含有:於每一會話通道中配置該治癒資料來解除該惡意軟體之攻擊。
  9. 一種電腦系統,耦接設置於一應用程式層之一防火牆裝置,用來解除一惡意軟體於該防火牆裝置之攻擊,該電腦系統包含:一中央處理器;以及一儲存裝置,耦接於該中央處理器,並儲存有一程式碼,該程式碼用來 進行一保護方法,該保護方法包含:根據至少一輸入資料,於至少一工作時點以及於複數個會話通道中進行一微批次(Microbatching)操作,以產生該複數個會話通道之複數個會話專用防火牆模式(Session specific firewall pattern);以及於該應用程式層組合該複數個會話專用防火牆模式來產生一應用程式專用防火牆模式(Application specific firewall pattern),以配置相對於該應用程式專用防火牆模式之一治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊;其中,該微批次操作係於每一會話通道中進行一模式重組操作,以產生彼此獨立之複數個子集專用防火牆模式(Subset specific firewall pattern),並根據該複數個子集專用防火牆模式來產生每一會話通道所對應之一會話專用防火牆模式。
  10. 如請求項9所述之電腦系統,其中該保護方法中於每一會話通道執行該微批次操作還包含有:根據該輸入資料以及一預儲存模式資料,進行該模式重組操作來產生一更新模式資料;根據該更新模式資料以及複數個結構預測機器學習模型(Structured prediction machine learning models),產生該複數個子集專用防火牆模式;以及比較該複數個子集專用防火牆模式,以產生相對於每一會話通道之該會話專用防火牆模式。
  11. 如請求項10所述之電腦系統,其中該模式重組操作係取得該輸入資料之至少一輸入模式資料,以組合該至少一輸入模式資料與該預儲存模式資料,進而產生該更新模式資料。
  12. 如請求項10所述之電腦系統,其中每一結構預測機器學習模型還取得其 他結構預測機器學習模型所產生之該複數個子集專用防火牆模式,以協助其於另一工作時點來產生另一子集專用防火牆模式。
  13. 如請求項10所述之電腦系統,其中該保護方法中比較該複數個子集專用防火牆模式,以產生相對於每一會話通道之該會話專用防火牆模式之步驟還包含有:根據該複數個子集專用防火牆模式之相似度、交集程度或差異性,擷取該複數個子集專用防火牆模式中一或多者之部分或全部模式來產生相對於每一會話通道之該會話專用防火牆模式。
  14. 如請求項9所述之電腦系統,其中該保護方法還包含有:每一會話通道還接收其他會話通道所對應之該會話專用防火牆模式,以協助其於另一工作時點來產生另一會話專用防火牆模式。
  15. 如請求項9所述之電腦系統,其中該保護方法中於該應用程式層組合該複數個會話專用防火牆模式來產生該應用程式專用防火牆模式,以配置相對於該應用程式專用防火牆模式之該治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊之步驟,還包含有:該應用程式層還擷取該複數個會話專用防火牆模式中一或多者之部分或全部模式來產生該應用程式專用防火牆模式,以對應配置相對於該應用程式專用防火牆模式之該治癒資料至該防火牆裝置,進而解除該惡意軟體之攻擊。
  16. 如請求項9所述之電腦系統,其中該保護方法還包含有:於每一會話通道中配置該治癒資料來解除該惡意軟體之攻擊。
TW104107064A 2015-03-05 2015-03-05 用於應用程式層之防火牆裝置的保護方法與其電腦系統 TWI553502B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW104107064A TWI553502B (zh) 2015-03-05 2015-03-05 用於應用程式層之防火牆裝置的保護方法與其電腦系統
CN201510129854.4A CN106156613B (zh) 2015-03-05 2015-03-24 用于应用程序层的防火墙装置的保护方法与其电脑系统
US14/797,184 US9973471B2 (en) 2015-03-05 2015-07-13 Protection method and computer system thereof for firewall apparatus disposed to application layer

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW104107064A TWI553502B (zh) 2015-03-05 2015-03-05 用於應用程式層之防火牆裝置的保護方法與其電腦系統

Publications (2)

Publication Number Publication Date
TW201633202A TW201633202A (zh) 2016-09-16
TWI553502B true TWI553502B (zh) 2016-10-11

Family

ID=56851017

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104107064A TWI553502B (zh) 2015-03-05 2015-03-05 用於應用程式層之防火牆裝置的保護方法與其電腦系統

Country Status (3)

Country Link
US (1) US9973471B2 (zh)
CN (1) CN106156613B (zh)
TW (1) TWI553502B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI578262B (zh) * 2015-08-07 2017-04-11 緯創資通股份有限公司 風險評估系統及資料處理方法
TWI607337B (zh) * 2016-11-11 2017-12-01 Chunghwa Telecom Co Ltd Firewall command rule optimization system and method
US10216673B2 (en) * 2017-01-16 2019-02-26 International Business Machines Corporation USB device firmware sanitization
US11520939B2 (en) 2017-03-17 2022-12-06 International Business Machines Corporation Protecting computer systems from malicious USB devices via a USB firewall
CN109474636B (zh) * 2018-12-29 2021-06-29 杭州迪普科技股份有限公司 一种网络攻击检测方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8272043B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control system
US8272041B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control via process interrogation
US20130298236A1 (en) * 2012-05-01 2013-11-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US8713665B2 (en) * 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
TW201502845A (zh) * 2013-07-15 2015-01-16 Isgoodidea 網站防毒資安系統

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040146006A1 (en) * 2003-01-24 2004-07-29 Jackson Daniel H. System and method for internal network data traffic control
US7913305B2 (en) * 2004-01-30 2011-03-22 Microsoft Corporation System and method for detecting malware in an executable code module according to the code module's exhibited behavior
US7586851B2 (en) 2004-04-26 2009-09-08 Cisco Technology, Inc. Programmable packet parsing processor
US9047441B2 (en) * 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US8646089B2 (en) * 2011-10-18 2014-02-04 Mcafee, Inc. System and method for transitioning to a whitelist mode during a malware attack in a network environment
US8863042B2 (en) * 2012-01-24 2014-10-14 Charles J. Kulas Handheld device with touch controls that reconfigure in response to the way a user operates the device
US9118707B2 (en) * 2012-12-14 2015-08-25 Verizon Patent And Licensing Inc. Methods and systems for mitigating attack traffic directed at a network element

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8713665B2 (en) * 2007-06-19 2014-04-29 International Business Machines Corporation Systems, methods, and media for firewall control via remote system information
US8272043B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control system
US8272041B2 (en) * 2007-06-21 2012-09-18 International Business Machines Corporation Firewall control via process interrogation
US20130298236A1 (en) * 2012-05-01 2013-11-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
TW201502845A (zh) * 2013-07-15 2015-01-16 Isgoodidea 網站防毒資安系統

Also Published As

Publication number Publication date
US20160261560A1 (en) 2016-09-08
US9973471B2 (en) 2018-05-15
CN106156613A (zh) 2016-11-23
TW201633202A (zh) 2016-09-16
CN106156613B (zh) 2018-11-09

Similar Documents

Publication Publication Date Title
US11277423B2 (en) Anomaly-based malicious-behavior detection
US10534906B1 (en) Detection efficacy of virtual machine-based analysis with application specific events
TWI553502B (zh) 用於應用程式層之防火牆裝置的保護方法與其電腦系統
US11930022B2 (en) Cloud-based orchestration of incident response using multi-feed security event classifications
TWI547823B (zh) 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
RU2613535C1 (ru) Способ обнаружения вредоносных программ и элементов
JP5972401B2 (ja) 攻撃分析システム及び連携装置及び攻撃分析連携方法及びプログラム
US20210200870A1 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
EP2887612A1 (en) Systems and methods for incubating malware in a virtual organization
CN105024976B (zh) 一种高级持续威胁攻击识别方法及装置
EP3772004B1 (en) Malicious incident visualization
CN106161344A (zh) 基于行为增量标识躲避的恶意对象
US10839074B2 (en) System and method of adapting patterns of dangerous behavior of programs to the computer systems of users
EP3531329B1 (en) Anomaly-based-malicious-behavior detection
JP2023050189A (ja) 脅威制御方法およびシステム
TWI544361B (zh) 用於網路介面控制器系統之保護方法與其電腦系統
US11003772B2 (en) System and method for adapting patterns of malicious program behavior from groups of computer systems
RU2747464C2 (ru) Способ обнаружения вредоносных файлов на основании фрагментов файлов
US20230275908A1 (en) Thumbprinting security incidents via graph embeddings
JP6053646B2 (ja) 監視装置及び情報処理システム及び監視方法及びプログラム
US11763004B1 (en) System and method for bootkit detection
TWI667587B (zh) 資訊安全防護方法
RU2665909C1 (ru) Способ избирательного использования шаблонов опасного поведения программ
US9231969B1 (en) Determining file risk based on security reputation of associated objects
KR101710086B1 (ko) 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치