TWI668593B - 網路勒索病毒防護系統及其方法 - Google Patents
網路勒索病毒防護系統及其方法 Download PDFInfo
- Publication number
- TWI668593B TWI668593B TW107110555A TW107110555A TWI668593B TW I668593 B TWI668593 B TW I668593B TW 107110555 A TW107110555 A TW 107110555A TW 107110555 A TW107110555 A TW 107110555A TW I668593 B TWI668593 B TW I668593B
- Authority
- TW
- Taiwan
- Prior art keywords
- unit
- intrusion
- data file
- network
- evidence
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 43
- 241000700605 Viruses Species 0.000 claims abstract description 49
- 230000005540 biological transmission Effects 0.000 claims abstract description 43
- 230000009385 viral infection Effects 0.000 claims abstract description 24
- 238000011084 recovery Methods 0.000 claims abstract description 12
- 238000013479 data entry Methods 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 2
- 238000010009 beating Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明係揭露一種網路勒索病毒防護系統,係包含網路入侵證據蒐集單元、傳輸單元、證據資料庫、入侵通知單元、病毒感染控制單元、資料檔案復原單元及系統備份單元。網路入侵證據蒐集單元蒐集數位證據。傳輸單元連結網路入侵證據蒐集單元。證據資料庫連結傳輸單元,且接收數位證據。入侵通知單元連結傳輸單元產生入侵通知訊號。病毒感染控制單元連結傳輸單元,且接收入侵通知訊號,並依據入侵通知訊號產生復原通知訊號。資料檔案復原單元連結病毒感染控制單元且接收復原通知訊號,並依據復原通知訊號產生覆蓋通知訊號。系統備份單元連結資料檔案復原單元及傳輸單元,且接收覆蓋通知訊號,並依據覆蓋通知訊號傳送備份資料檔案,且備份資料檔案覆感染病毒之資料檔案。
Description
本發明是有關於一種防護系統及其方法,特別是有關於一種網路勒索病毒防護系統及其方法。
由於企業流程電子化及網際網路的盛行,營業資料均數位化。市面上各廠商對數位內容的管理,大部份僅針對其功能權限進行設定,尚缺乏針對受駭時的數位證據的管理與數位資料復原技術進行深入研究。網路勒索病毒的資安事件層出不窮,使得使用者數位資料的安全性與可用性更加重視。資訊的犯罪行為皆需要數位證據,當作司法上的呈堂證據。
有鑑於上述習知之問題,本發明的目的在於提供一種網路勒索病毒防護系統及其方法,用以解決習知技術中所面臨之問題。
基於上述目的,本發明係提供一種網路勒索病毒防護系統,適用於電腦,網路勒索病毒防護系統包含網路入侵證據蒐集單元、傳輸單元、證據資料庫、入侵通知單元、病毒感染控制單元、資料檔案復原單元及系統備份單元。網路入侵證據蒐集單元偵測電腦的病毒入侵特徵,且對應符合複數個預設入侵特徵中之其中一個的病毒入侵特徵蒐集數位證據。傳輸單元連結網路入侵證據蒐集單元。證據資料庫連結傳輸單元,且由傳輸單元接收數位證據。入侵
通知單元連結傳輸單元,且檢查證據資料庫,並對應證據資料庫接收的數位證據產生入侵通知訊號。病毒感染控制單元連結傳輸單元,且由傳輸單元接收入侵通知訊號,並對應入侵通知訊號產生復原通知訊號。資料檔案復原單元連結病毒感染控制單元且接收復原通知訊號,並對應復原通知訊號產生覆蓋通知訊號。系統備份單元連結資料檔案復原單元及傳輸單元,且由資料檔案復原單元接收覆蓋通知訊號,並對應覆蓋通知訊號由傳輸單元傳送備份資料檔案,且備份資料檔案覆感染病毒之資料檔案。
較佳地,數位證據可包含電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
較佳地,病毒感染控制單元可比對遭受病毒入侵時間點之資料檔案與備份資料檔案,與備份資料檔案不同的遭受病毒入清時間點之資料檔案為感染病毒之資料檔案。
較佳地,病毒感染控制單元可對應感染病毒之資料檔案產生通知訊息,通知訊息由傳輸單元傳送至管理端。
較佳地,管理端可對應通知訊息產生同意訊號,同意訊號由傳輸單元傳送至系統備份單元,且由系統備份單元依據覆蓋通知訊號及同意訊號傳送備份資料檔案以覆蓋感染病毒之資料檔案。
基於上述目的,本發明再提供一種網路勒索病毒防護方法,適用於網路勒索病毒防護系統,網路勒索病毒防護系統包含網路入侵證據蒐集單元、傳輸單元、證據資料庫、入侵通知單元、病毒感染控制單元、資料檔案復原單元及系統備份單元,網路勒索病毒防護方法包含下列步驟:偵測電腦的病毒入侵特徵。比對病毒入侵特徵與複數個預設入侵特徵。對應符合複數個入侵
特徵中之其中一個的病毒入侵特徵蒐集數位證據。儲存數位證據。對應數位證據產生入侵通知訊號。對應入侵通知訊號產生復原通知訊號。對應復原通知訊號產生覆蓋通知訊號。對應覆蓋通知訊號傳送備份資料檔案。將備份資料檔案覆蓋感染病毒之資料檔案。
較佳地,數位證據可包含電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
較佳地,網路勒索病毒防護方法更可包含下列步驟:比對遭受病毒入侵時間點之資料檔案與備份資料檔案。判斷與備份資料檔案不同的遭受病毒入清時間點之資料檔案為感染病毒之資料檔案。
較佳地,網路勒索病毒防護方法更可包含下列步驟:對應感染病毒之資料檔案產生通知訊息。傳送通知訊息至管理端。
較佳地,網路勒索病毒防護方法更可包含下列步驟:對應通知訊息產生同意訊號。傳送同意訊號至系統備份單元。對應覆蓋通知訊號及同意訊號傳送備份資料檔案以覆蓋感染病毒之資料檔案。
承上所述,本發明之網路勒索病毒防護系統及其方法可提供企業及組織之經網路進行資料檔案下載時,執行完整的數位證據收集流程,以提供具公信力的數位證據,嚇阻資料檔案外洩的可能性,大幅提升資料檔案下載的安全性,並進一步地保護重要資料。
100‧‧‧網路勒索病毒防護系統
110‧‧‧網路入侵證據蒐集單元
120‧‧‧傳輸單元
130‧‧‧證據資料庫
140‧‧‧入侵通知單元
150‧‧‧病毒感染控制單元
160‧‧‧資料檔案復原單元
170‧‧‧系統備份單元
200‧‧‧管理端
S21至S29、S31至S32、S41至S42、S51至S53‧‧‧步驟
第1圖係為本發明之網路勒索病毒防護系統之方塊圖。
第2圖係為本發明之網路勒索病毒防護方法之第一流程圖。
第3圖係為本發明之網路勒索病毒防護方法之第二流程圖。
第4圖係為本發明之網路勒索病毒防護方法之第三流程圖。
第5圖係為本發明之網路勒索病毒防護方法之第四流程圖。
為利瞭解本發明之特徵、內容與優點及其所能達成之功效,茲將本發明配合圖式,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍。
本發明之優點、特徵以及達到之技術方法將參照例示性實施例及所附圖式進行更詳細地描述而更容易理解,且本發明或可以不同形式來實現,故不應被理解僅限於此處所陳述的實施例,相反地,對所屬技術領域具有通常知識者而言,所提供的實施例將使本揭露更加透徹與全面且完整地傳達本發明的範疇,且本發明將僅為所附加的申請專利範圍所定義。
請參閱第1圖,其係為本發明之網路勒索病毒防護系統之方塊圖。如圖所示,本發明之網路勒索病毒防護系統100,適用於電腦,網路勒索病毒防護系統100包含網路入侵證據蒐集單元110、傳輸單元120、證據資料庫130、入侵通知單元140、病毒感染控制單元150、資料檔案復原單元160及系統備份單元170。
網路入侵證據蒐集單元110偵測電腦的病毒入侵特徵,且對應符合複數個預設入侵特徵中之其中一個的病毒入侵特徵蒐集數位證據。傳輸單元120連結網路入侵證據蒐集單元110。更進一步地,網路入侵證據蒐集單元110偵
測電腦有無被勒索病毒進行變更之相關異動證據,當偵測發現勒索病毒進行變更之相關異動證據,便開始蒐集數位證據。
其中,數位證據可包含電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
證據資料庫130連結傳輸單元120,網路入侵證據蒐集單元110所蒐集到的數位證據經由傳輸單元120傳送至證據資料庫130,並由證據資料庫130儲存數位證據。
入侵通知單元140連結傳輸單元120,且檢查證據資料庫130是否有儲存新的數位證據,並對應證據資料庫130接收新的數位證據而產生入侵通知訊號。其中,入侵通知單元140如何得知證據資料庫130是否有接收新的數位證據,其可由證據資料庫130接收儲存新的數位證據後,經由傳輸單元120通知入侵通知單元140,以使入侵通知單元140得知證據資料庫130儲存了新的數位證據;或是,當網路入侵證據蒐集單元110蒐集到新的數位證據時,經由傳輸單元120通知入侵通知單元140將有新的數位證據傳送至證據資料庫130儲存。然,上述僅為舉例,並不以此為限。
病毒感染控制單元150連結傳輸單元120,且經由傳輸單元120接收入侵通知訊號,並對應入侵通知訊號產生復原通知訊號。資料檔案復原單元160連結病毒感染控制單元150且接收復原通知訊號,並對應復原通知訊號產生覆蓋通知訊號。系統備份單元170連結資料檔案復原單元160及傳輸單元120,且接收覆蓋通知訊號,並對應覆蓋通知訊號由傳輸單元120傳送備份資料檔案,以使電腦將備份資料檔案覆感染病毒之資料檔案。
其中,病毒感染控制單元150亦可偵測證據資料庫130是否有儲存新的數位證據,當偵測到有新的數位證據儲存於證據資料庫130時,病毒感染控制單元150產生復原通知訊號,以使系統備份單元170將事先備份好的備份資料檔案傳輸並選擇性地覆蓋至被勒索病毒變更的檔案(即感染病毒之資料檔案)。
更進一步地,病毒感染控制單元150可比對遭受病毒入侵時間點之資料檔案與系統備份單元170所備份的備份資料檔案,與備份資料檔案不同的遭受病毒入清時間點之資料檔案為感染病毒之資料檔案,即與備份資料檔案不同的遭受病毒入清時間點之資料檔案便表示其已遭到勒索病毒變更,故與事先備份的備份資料檔案不同。
此外,病毒感染控制單元150可對應感染病毒之資料檔案產生通知訊息,通知訊息由傳輸單元傳送至管理端200。其中,管理端可查閱證據資料庫中數位證據的異動資訊。
更進一步地,管理端200可對應通知訊息產生同意訊號,同意訊號由傳輸單元120傳送至系統備份單元170,且由系統備份單元170依據覆蓋通知訊號及同意訊號傳送備份資料檔案以覆蓋感染病毒之資料檔案。
儘管前述在說明本發明之網路勒索病毒防護系統的過程中,亦已同時說明本發明之網路勒索病毒防護方法的概念,但為求清楚起見,以下另繪示流程圖詳細說明。
請參閱第2圖,其係為本發明之網路勒索病毒防護方法之第一流程圖。如圖所示,本發明之網路勒索病毒防護方法,適用於上述之網路勒索病毒防護系統,網路勒索病毒防護系統包含網路入侵證據蒐集單元、傳輸單元、
證據資料庫、入侵通知單元、病毒感染控制單元、資料檔案復原單元及系統備份單元,網路勒索病毒防護方法包含下列步驟:
在步驟S21中:偵測電腦的病毒入侵特徵。其中,數位證據可包含電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
在步驟S22中:比對病毒入侵特徵與複數個預設入侵特徵。
在步驟S23中:對應符合複數個入侵特徵中之其中一個的病毒入侵特徵蒐集數位證據。
在步驟S24中:儲存數位證據。
在步驟S25中:對應數位證據產生入侵通知訊號。
在步驟S26中:對應入侵通知訊號產生復原通知訊號。
在步驟S27中:對應復原通知訊號產生覆蓋通知訊號。
在步驟S28中:對應覆蓋通知訊號傳送備份資料檔案。
在步驟S29中:將備份資料檔案覆蓋感染病毒之資料檔案。
請參閱第3圖,其係為本發明之網路勒索病毒防護方法之第二流程圖。如圖所示,網路勒索病毒防護方法更可包含下列步驟:
在步驟S31中:比對遭受病毒入侵時間點之資料檔案與備份資料檔案。
在步驟S32中:判斷與備份資料檔案不同的遭受病毒入清時間點之資料檔案為感染病毒之資料檔案。
請參閱第4圖,其係為本發明之網路勒索病毒防護方法之第三流程圖。如圖所示,網路勒索病毒防護方法更可包含下列步驟:
在步驟S41中:對應感染病毒之資料檔案產生通知訊息。
在步驟S42中:傳送通知訊息至管理端。
請參閱第5圖,其係為本發明之網路勒索病毒防護方法之第四流程圖。如圖所示,網路勒索病毒防護方法更可包含下列步驟:
在步驟S51中:對應通知訊息產生同意訊號。
在步驟S52中:傳送同意訊號至系統備份單元。
在步驟S53中:對應覆蓋通知訊號及同意訊號傳送備份資料檔案以覆蓋感染病毒之資料檔案。
本發明之網路勒索病毒防護方法的詳細說明以及實施方式已於前面敘述本發明之網路勒索病毒防護系統時描述過,在此為了簡略說明便不再贅述。
承上所述,本發明之網路勒索病毒防護系統及其方法可提供企業及組織之經網路進行資料檔案下載時,執行完整的數位證據收集流程,以提供具公信力的數位證據,嚇阻資料檔案外洩的可能性,大幅提升資料檔案下載的安全性,並進一步地保護重要資料。
以上所述之實施例僅係為說明本發明之技術思想及特點,其目的在使熟習此項技藝之人士能夠瞭解本發明之內容並據以實施,當不能以之限定本發明之專利範圍,即大凡依本發明所揭示之精神所作之均等變化或修飾,仍應涵蓋在本發明之專利範圍內。
Claims (10)
- 一種網路勒索病毒防護系統,適用於一電腦,該網路勒索病毒防護系統係包含:一網路入侵證據蒐集單元,係偵測該電腦的一病毒入侵特徵,比對該病毒入侵特徵與複數個預設入侵特徵,且對應符合該複數個預設入侵特徵中之其中一個的該病毒入侵特徵蒐集一數位證據;一傳輸單元,係連結該網路入侵證據蒐集單元;一證據資料庫,係連結該傳輸單元,且由該傳輸單元接收該數位證據;一入侵通知單元,係連結該傳輸單元,且檢查該證據資料庫,並對應該證據資料庫接收的該數位證據產生一入侵通知訊號;一病毒感染控制單元,係連結該傳輸單元,且由該傳輸單元接收該入侵通知訊號,並對應該入侵通知訊號產生一復原通知訊號;一資料檔案復原單元,係連結該病毒感染控制單元且接收該復原通知訊號,並對應該復原通知訊號產生一覆蓋通知訊號;以及一系統備份單元,係連結該資料檔案復原單元及該傳輸單元,且由該資料檔案復原單元接收該覆蓋通知訊號,並對應該覆蓋通知訊號由該傳輸單元傳送一備份資料檔案,且該備份資料檔案係覆感染病毒之資料檔案。
- 如申請專利範圍第1項所述之網路勒索病毒防護系統,其中該數位證據係包含該電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
- 如申請專利範圍第1項所述之網路勒索病毒防護系統,其中該病毒感染控制單元係比對遭受病毒入侵時間點之資料檔案與該備份資料檔案,與該備份資料檔案不同的遭受病毒入清時間點之資料檔案係為該感染病毒之資料檔案。
- 如申請專利範圍第1項所述之網路勒索病毒防護系統,其中該病毒感染控制單元係對應該感染病毒之資料檔案產生一通知訊息,該通知訊息係由該傳輸單元傳送至一管理端。
- 如申請專利範圍第4項所述之網路勒索病毒防護系統,其中該管理端係對應該通知訊息產生一同意訊號,該同意訊號係由該傳輸單元傳送至該系統備份單元,且由該系統備份單元依據該覆蓋通知訊號及該同意訊號傳送該備份資料檔案以覆蓋該感染病毒之資料檔案。
- 一種網路勒索病毒防護方法,適用於一網路勒索病毒防護系統,該網路勒索病毒防護系統係包含一網路入侵證據蒐集單元、一傳輸單元、一證據資料庫、一入侵通知單元、一病毒感染控制單元、一資料檔案復原單元及一系統備份單元,該網路勒索病毒防護方法係包含下列步驟:藉由該網路入侵證據蒐集單元偵測一電腦的一病毒入侵特徵;藉由該網路入侵證據蒐集單元比對該病毒入侵特徵與複數個預設入侵特徵; 藉由該網路入侵證據蒐集單元對應符合該複數個入侵特徵中之其中一個的該病毒入侵特徵蒐集一數位證據;藉由該證據資料庫儲存該數位證據;藉由該入侵通知單元對應該數位證據產生一入侵通知訊號;藉由該病毒感染控制單元對應該入侵通知訊號產生一復原通知訊號;藉由該資料檔案復原單元對應該復原通知訊號產生一覆蓋通知訊號;藉由該系統備份單元對應該覆蓋通知訊號傳送一備份資料檔案;以及藉由該系統備份單元將該備份資料檔案覆蓋感染病毒之資料檔案。
- 如申請專利範圍第6項所述之網路勒索病毒防護方法,其中該數位證據係包含該電腦之主機獨特資訊、上網時間、網址、連線過程紀錄資訊或其組合。
- 如申請專利範圍第6項所述之網路勒索病毒防護方法,其更包含下列步驟:比對遭受病毒入侵時間點之資料檔案與該備份資料檔案;以及判斷與該備份資料檔案不同的遭受病毒入清時間點之資料檔案為該感染病毒之資料檔案。
- 如申請專利範圍第6項所述之網路勒索病毒防護方法,其更包含下列步驟:對應該感染病毒之資料檔案產生一通知訊息;以及 傳送該通知訊息至一管理端。
- 如申請專利範圍第9項所述之網路勒索病毒防護方法,其更包含下列步驟:對應該通知訊息產生一同意訊號;傳送該同意訊號至該系統備份單元;以及對應該覆蓋通知訊號及該同意訊號傳送該備份資料檔案以覆蓋該感染病毒之資料檔案。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107110555A TWI668593B (zh) | 2018-03-27 | 2018-03-27 | 網路勒索病毒防護系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107110555A TWI668593B (zh) | 2018-03-27 | 2018-03-27 | 網路勒索病毒防護系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI668593B true TWI668593B (zh) | 2019-08-11 |
| TW201942782A TW201942782A (zh) | 2019-11-01 |
Family
ID=68316228
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107110555A TWI668593B (zh) | 2018-03-27 | 2018-03-27 | 網路勒索病毒防護系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI668593B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107273747A (zh) * | 2017-05-22 | 2017-10-20 | 中国人民公安大学 | 勒索软件检测的方法 |
| CN107423623A (zh) * | 2017-08-04 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种基于行为分析的勒索病毒检测方法及系统 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
-
2018
- 2018-03-27 TW TW107110555A patent/TWI668593B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107273747A (zh) * | 2017-05-22 | 2017-10-20 | 中国人民公安大学 | 勒索软件检测的方法 |
| CN107480527A (zh) * | 2017-08-03 | 2017-12-15 | 深圳市联软科技股份有限公司 | 勒索软件的防范方法及系统 |
| CN107423623A (zh) * | 2017-08-04 | 2017-12-01 | 郑州云海信息技术有限公司 | 一种基于行为分析的勒索病毒检测方法及系统 |
| CN107506645A (zh) * | 2017-08-30 | 2017-12-22 | 北京明朝万达科技股份有限公司 | 一种勒索病毒的检测方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| A * |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201942782A (zh) | 2019-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11526611B2 (en) | Ransomware protection for cloud storage systems | |
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US11005866B2 (en) | Secure digital traffic analysis | |
| Ab Rahman et al. | Cloud incident handling and forensic‐by‐design: cloud storage as a case study | |
| CN110647744B (zh) | 文件系统中的取证分析的方法、装置、介质和系统 | |
| JP2019082989A5 (zh) | ||
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| US8370942B1 (en) | Proactively analyzing binary files from suspicious sources | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN113411295A (zh) | 基于角色的访问控制态势感知防御方法及系统 | |
| CN113992435A (zh) | 一种攻击检测溯源方法、装置及系统 | |
| CN106561026A (zh) | 一种基于用户账号操作行为诊断入侵的方法及系统 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| TWI668593B (zh) | 網路勒索病毒防護系統及其方法 | |
| GB2535579A (en) | Preventing unauthorized access to an application server | |
| CN113904920B (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
| US20220083646A1 (en) | Context Based Authorized External Device Copy Detection | |
| CN110874474A (zh) | 勒索者病毒防御方法、装置、电子设备及存储介质 | |
| CN103929407B (zh) | 一种木马拦截方法、装置和系统 | |
| JP6602471B2 (ja) | 自動化されたアプリケーション分析のための技法 | |
| US12079335B2 (en) | System context database management | |
| Ahmad et al. | A Review on Methods for Managing the Risk of Android Ransomware | |
| JP2018531470A6 (ja) | 自動化されたアプリケーション分析のための技法 | |
| Amarantidou | Computer and Network Forensics: investigating network traffic | |
| WO2023128976A1 (en) | A network protection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |