TWI732180B - 惡意檔案孤立系統 - Google Patents
惡意檔案孤立系統 Download PDFInfo
- Publication number
- TWI732180B TWI732180B TW108105853A TW108105853A TWI732180B TW I732180 B TWI732180 B TW I732180B TW 108105853 A TW108105853 A TW 108105853A TW 108105853 A TW108105853 A TW 108105853A TW I732180 B TWI732180 B TW I732180B
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- virtual
- module
- isolation
- isolated
- Prior art date
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本發明提供一種惡意檔案孤立系統,其包括實體檔案隔離模組、孤立系統管理模組及檔案執行隔離模組,其中:實體檔案隔離模組提供界面以接收原始檔案;孤立系統管理模組反應於原始檔案而建立虛擬隔離環境、虛擬隔離環境的網路連線及連結代碼;實體檔案隔離模組依據虛擬隔離環境的網路連線及將原始檔案於虛擬隔離環境中儲存為孤立檔案,並基於連結代碼產生檔案連結;以及反應於檔案連結被執行,檔案執行隔離模組將用於操作孤立檔案的操作指令單向地傳送至虛擬隔離環境,並將孤立檔案於虛擬隔離環境中的執行畫面單向地回傳至瀏覽器中。
Description
本發明是有關於一種檔案安全系統,且特別是有關於一種惡意檔案孤立系統。
進階持續性威脅(Advanced Persistent Threat,APT)惡意程式不斷的演化使得惡意程式難以防禦,讓各企業開始重視資訊安全議題與技術。以往為防止惡意程式在使用者的電腦上執行,皆依靠安裝防毒軟體進行防範,但防毒軟體依賴的是病毒碼,一旦出現新型態的惡意程式,而防毒軟體未即時更新時,則有可能讓病毒在公司網路擴散。
有鑑於此,本發明提供一種惡意檔案孤立系統,其可用於解決上述技術問題。
本發明提供一種惡意檔案孤立系統,其包括一實體檔案隔離模組、一孤立系統管理模組及一檔案執行隔離模組,其中:實體檔案隔離模組提供一界面以接收一原始檔案;孤立系統管理模組反應於原始檔案而建立一虛擬隔離環境、虛擬隔離環境的網路連線及一連結代碼;實體檔案隔離模組依據虛擬隔離環境的網路連線及將原始檔案於虛擬隔離環境中儲存為一孤立檔案,並基於連結代碼產生一檔案連結;以及反應於檔案連結被執行,檔案執行隔離模組將用於操作孤立檔案的一操作指令單向地傳送至虛擬隔離環境,並將孤立檔案於虛擬隔離環境中的一執行畫面單向地回傳至一瀏覽器中。
基於上述,本發明提出的惡意檔案孤立系統可將使用者上傳的原始檔案於虛擬隔離環境中儲存為一孤立檔案。並且,透過單向地將操作指令傳送至虛擬隔離環境中以操作孤立檔案的方式,以及僅將孤立檔案的執行畫面回傳予使用者觀看的方式,本發明可達到檔案執行結果與使用者操作的互動,以及惡意檔案孤立執行的目的。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
概略而言,本發明係揭露一種惡意檔案孤立系統,其可允許使用者可將可疑檔案上傳,並相應地判別此可疑檔案所需之執行環境,以建立相對應之遠端虛擬系統。之後,可再將可疑檔案存放於遠端虛擬系統上進行隔離,使其執行環境與網路連線皆為獨立,成為一孤立檔案。接著,本發明的系統可在使用者上傳可疑檔案後提供對應於孤立檔案的一檔案連結,以讓使用者能夠經由執行此檔案連結而觸發孤立檔案於遠端虛擬系統的執行。並且,使用者還可透過受控管的網路連線將操作指令傳送至遠端虛擬系統以操作上述孤立檔案,而本發明的系統可單向地將孤立檔案的執行畫面回傳至使用者的電腦裝置上的瀏覽器。藉由單向的網路連線管理,本發明可達到檔案執行結果與使用者操作的互動,以及惡意檔案孤立執行的目的。以下將作進一步說明。
請參照圖1,其是依據本發明之一實施例繪示的惡意檔案孤立系統的示意圖。在圖1中,惡意檔案孤立系統10包括實體檔案隔離模組100、孤立系統管理模組200及檔案執行隔離模組300。
實體檔案隔離模組100功能為實體檔案的隔離,其提供一界面以接收原始檔案。在不同的實施例中,前述原始檔案例如是被使用者判斷為可能為惡意的檔案,或是其他使用者欲隔離執行的檔案,但可不限於此。在一實施例中,在實體檔案隔離模組100接收到使用者上傳的原始檔案之後,可相應地通知孤立系統管理模組200建立對應的虛擬隔離環境,以利實體檔案隔離模組100將原始檔案儲存為孤立檔案410。
在圖1中,實體檔案隔離模組100可包括檔案傳送模組110、檔案類型識別模組120及檔案派發模組130。檔案傳送模組110可提供上述界面以接收使用者所上傳的原始檔案。檔案類型識別模組120可識別原始檔案的檔案類型,並據以決定虛擬隔離環境的作業系統及用於在虛擬隔離環境中執行孤立檔案410的應用程式。舉例而言,若原始檔案為的檔案類型為可由WindowsTM
作業系統中的Office軟體所執行的「doc.」檔,則檔案類型識別模組120可相應地決定虛擬隔離環境為WindowsTM
作業系統,而用於在虛擬隔離環境中執行孤立檔案410的應用程式則為Office軟體,但本發明可不限於此。在其他實施例中,若原始檔案的檔案類型為需在Unix作業系統中以某種特定的應用程式執行的檔案,則檔案類型識別模組120可相應地決定虛擬隔離環境為Unix及用於在虛擬隔離環境中執行孤立檔案410的應用程式。
概略而言,孤立系統管理模組200功能負責遠端虛擬系統400上虛擬主機405的環境與網路連線的建置及控制,並提供一界面讓管理者進行虛擬主機405環境與網路連線的管理。
在一實施例中,當孤立系統管理模組200收到實體檔案隔離模組100因應於接收到原始檔案而發出的通知時,孤立系統管理模組200可反應於原始檔案而建立虛擬隔離環境、此虛擬隔離環境的網路連線及一連結代碼。具體而言,孤立系統管理模組200可依據檔案類型識別模組120決定的作業系統而在遠端虛擬系統400上的虛擬主機405中建立虛擬隔離環境(例如WindowsTM
作業系統),並相應地設定虛擬隔離環境的網路連線,以及產生連結代碼。
在不同的實施例中,遠端虛擬系統400是由虛擬系統技術所建立之虛擬系統,可為Vmware、Xen、Docker等虛擬技術,並可支援多類型作業系統環境,如:各種Unix Like系統及Windows 系列系統。並且,虛擬主機405可依需求搭配各種應用程式,以供各類型檔案進行執行及操作,但本發明可不限於此。
之後,實體檔案隔離模組100可依據虛擬隔離環境的網路連線將原始檔案於虛擬隔離環境中儲存為孤立檔案410,並基於連結代碼產生檔案連結600。具體而言,實體檔案隔離模組100的檔案派發模組130可依據虛擬隔離環境的網路連線資訊將原始檔案存放至遠端虛擬系統400之虛擬主機405上進行隔離,成為與外部環境隔離之孤立檔案。之後,實體檔案隔離模組100的檔案派發模組130可基於孤立系統管理模組200回覆的連結代碼產生檔案連結600,並將檔案連結600回傳給使用者。在一實施例中,若使用者欲執行孤立檔案410,則使用者可藉由觸發檔案連結600來觸發遠端虛擬系統400上虛擬主機之檔案執行模組500,以啟動孤立檔案410的執行。在不同的實施例中,檔案連結600的可內容包含上述連結代碼,以作為孤立檔案410在未來執行時的識別,以及一Script語法,用以啟動瀏覽器程式並連線到檔案執行隔離模組300,但本發明可不限於此。
請參照圖2,其是依據圖1實施例繪示的當檔案連結被執行時的應用情境示意圖。在本實施例中,當使用者的電腦裝置20上的檔案連結600被執行時,會開啟一瀏覽器並連線到檔案執行隔離模組300。相應地,孤立系統管理模組200可基於檔案連結600存取對應的虛擬主機405,並建立檔案執行隔離模組300與遠端虛擬系統400之間的一特定網路連線。
概略而言,檔案執行隔離模組300功能為管控孤立檔案於遠端虛擬系統400執行時與使用者操作的互動資訊,包含操作指令的傳送與檔案執行結果畫面回傳。
在圖2中,檔案執行隔離模組300可包括指令傳送模組310及影像傳送模組320。具體而言,指令傳送模組310可反應於上述特定網路連線的建立而觸發檔案執行事件,進而令虛擬主機405觸發虛擬主機405上的檔案執行模組500載入並執行孤立檔案410。
之後,影像傳送模組320可將孤立檔案410於檔案執行模組500上的執行畫面回傳至電腦裝置20的瀏覽器。在不同的實施例中,上述執行畫面例如是由檔案執行模組500所拍攝的快照,但本發明可不限於此。
此外,使用者操作孤立檔案410的操作指令會送到指令傳送模組310,再經由檔案執行隔離模組300與遠端虛擬系統400之間的網路連線傳送至遠端虛擬系統400上的檔案執行模組500所啟動的孤立檔案。
由上可知,使用者係單向地將操作指令傳送至虛擬主機410,並只會從虛擬主機405接收孤立檔案410的執行畫面,而不會實質地接收孤立檔案410在執行時所產生的任何資訊或資料。藉此,本發明的系統可藉由單方向的網路連線管理以達到惡意檔案孤立執行的目的。
在一實施例中,當使用者停止執行孤立檔案410時,孤立系統管理模組200可關閉以令遠端虛擬系統400執行重置操作,以還原至一初始化狀態的作業環境,並刪除孤立檔案410。
請參照圖3,其是依據本發明之一實施例繪示的以應用程式實現啟動後的孤立檔案的示意圖。在不同的實施例中,遠端虛擬系統400上可設置有多個虛擬主機,而各虛擬主機上的檔案執行模組可用於啟動對應的孤立檔案。在圖3的實施例中,啟動的孤立檔案可成為一個應用程式(application),而每一個應用程式的環境與網路連線皆彼此獨立。藉此,可達到惡意檔案孤立執行的目的。並且,在一些實施例中,使用者可連線一個至多個孤立檔案對應的應用程式。
此外,當使用者需將某個檔案分享給其他使用者執行時,可將此檔案上傳到本發明之惡意檔案孤立系統,以相應地取得檔案連結。之後,使用者可再將此檔案連結傳送給欲分享之對象,進而讓其可透過此檔案連結進行遠端虛擬系統上的檔案執行與操作。
綜上所述,本發明提出的惡意檔案孤立系統可在接收使用者上傳的原始檔案之後,在遠端虛擬系統上建立可執行此原始檔案的虛擬隔離環境。之後,可再將原始檔案存放於虛擬隔離環境上進行隔離,使其執行環境與網路連線皆為獨立,成為一孤立檔案。接著,本發明的惡意檔案孤立系統可產生用於執行孤立檔案的檔案連結,以讓使用者能夠經由執行此檔案連結而觸發孤立檔案於遠端虛擬系統的執行。並且,使用者還可透過受控管的網路連線將操作指令傳送至遠端虛擬系統以操作上述孤立檔案,而本發明的系統可單向地將孤立檔案的執行畫面回傳至使用者的電腦裝置上的瀏覽器。由於使用者係單向地將操作指令傳送至虛擬隔離環境,並只會從虛擬隔離環境接收孤立檔案的執行畫面,而不會實質地接收孤立檔案在執行時所產生的任何資訊或資料。藉由此種單向的網路連線管理,本發明可達到檔案執行結果與使用者操作的互動,以及惡意檔案孤立執行的目的。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10:惡意檔案孤立系統
100:實體檔案隔離模組
110:檔案傳送模組
120:檔案類型識別模組
130:檔案派發模組
20:電腦裝置
200:孤立系統管理模組
300:檔案執行隔離模組
310:指令傳送模組
320:影像傳送模組
400:遠端虛擬系統
405:虛擬主機
410:孤立檔案
500:檔案執行模組
600:檔案連結
圖1是依據本發明之一實施例繪示的惡意檔案孤立系統的示意圖。
圖2是依據圖1實施例繪示的當檔案連結被執行時的應用情境示意圖。
圖3是依據本發明之一實施例繪示的以應用程式實現啟動後的孤立檔案的示意圖。
10:惡意檔案孤立系統
100:實體檔案隔離模組
110:檔案傳送模組
120:檔案類型識別模組
130:檔案派發模組
200:孤立系統管理模組
300:檔案執行隔離模組
400:遠端虛擬系統
405:虛擬主機
410:孤立檔案
500:檔案執行模組
600:檔案連結
Claims (8)
- 一種惡意檔案孤立系統,其包括一實體檔案隔離模組、一孤立系統管理模組及一檔案執行隔離模組,其中: 該實體檔案隔離模組提供一界面以接收一原始檔案; 該孤立系統管理模組反應於該原始檔案而建立一虛擬隔離環境、該虛擬隔離環境的網路連線及一連結代碼; 該實體檔案隔離模組依據該虛擬隔離環境的網路連線將該原始檔案於該虛擬隔離環境中儲存為一孤立檔案,並基於該連結代碼產生一檔案連結;以及 反應於該檔案連結被執行,該檔案執行隔離模組將用於操作該孤立檔案的一操作指令單向地傳送至該虛擬隔離環境,並將該孤立檔案於該虛擬隔離環境中的一執行畫面單向地回傳至一瀏覽器中。
- 如申請專利範圍第1項所述的系統,其中該實體檔案隔離模組包括: 一檔案傳送模組,其提供該界面以接收該原始檔案; 一檔案類型識別模組,其識別該原始檔案的一檔案類型,並據以決定該虛擬隔離環境的一作業系統及用於在該虛擬隔離環境中執行該孤立檔案的一應用程式。
- 如申請專利範圍第2項所述的系統,其中該孤立系統管理模組依據該作業系統而在一遠端虛擬系統上的一虛擬主機中建立該虛擬隔離環境,並相應地設定該虛擬隔離環境的該網路連線,以及產生該連結代碼。
- 如申請專利範圍第3項所述的系統,其中該實體檔案隔離模組更包括一檔案派發模組,其經配置以: 依據該虛擬隔離環境的該網路連線將該原始檔案於該虛擬主機上的該虛擬隔離環境中儲存為該孤立檔案; 依據該連結代碼產生該檔案連結。
- 如申請專利範圍第3項所述的系統,其中當該檔案連結被執行於一電腦裝置上時,該電腦裝置開啟該瀏覽器並基於該檔案連結連接至該檔案執行隔離模組,且該孤立系統管理模組基於該檔案連結存取對應的該虛擬主機,並建立該檔案執行隔離模組與該遠端虛擬系統之間的一特定網路連線。
- 如申請專利範圍第5項所述的系統,其中該檔案執行隔離模組包括: 一指令傳送模組,其反應於該特定網路連線的建立而觸發一檔案執行事件,進而令該虛擬主機觸發該虛擬主機上的一檔案執行模組載入並執行該孤立檔案;以及 一影像傳送模組,其將該孤立檔案於該檔案執行模組上的該執行畫面回傳至該電腦裝置的該瀏覽器。
- 如申請專利範圍第6項所述的系統,其中該指令傳送模組更經配置以接收來自該瀏覽器的該操作指令,並將該操作指令轉傳至該虛擬主機上的該檔案執行模組以操作該孤立檔案。
- 如申請專利範圍第3項所述的系統,其中反應於該孤立檔案被停止執行,該孤立系統管理模組關閉以令該遠端虛擬系統執行一重置操作,以還原至一初始化狀態的作業環境,並刪除該孤立檔案。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108105853A TWI732180B (zh) | 2019-02-21 | 2019-02-21 | 惡意檔案孤立系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108105853A TWI732180B (zh) | 2019-02-21 | 2019-02-21 | 惡意檔案孤立系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202032401A TW202032401A (zh) | 2020-09-01 |
TWI732180B true TWI732180B (zh) | 2021-07-01 |
Family
ID=73643473
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108105853A TWI732180B (zh) | 2019-02-21 | 2019-02-21 | 惡意檔案孤立系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI732180B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
CN102609299A (zh) * | 2012-01-13 | 2012-07-25 | 深圳市深信服电子科技有限公司 | 虚拟化系统及其创建方法、装置 |
CN102855129A (zh) * | 2011-06-29 | 2013-01-02 | 奇智软件(北京)有限公司 | 自动创建独立进程的方法及其系统 |
CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
CN103793321A (zh) * | 2012-11-01 | 2014-05-14 | 腾讯科技(深圳)有限公司 | 应用程序检测方法和系统 |
CN106469275A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 虚拟机杀毒方法及装置 |
-
2019
- 2019-02-21 TW TW108105853A patent/TWI732180B/zh active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102204210A (zh) * | 2011-05-18 | 2011-09-28 | 华为技术有限公司 | 启动应用的方法、服务器和系统 |
CN102855129A (zh) * | 2011-06-29 | 2013-01-02 | 奇智软件(北京)有限公司 | 自动创建独立进程的方法及其系统 |
CN102609299A (zh) * | 2012-01-13 | 2012-07-25 | 深圳市深信服电子科技有限公司 | 虚拟化系统及其创建方法、装置 |
CN103793321A (zh) * | 2012-11-01 | 2014-05-14 | 腾讯科技(深圳)有限公司 | 应用程序检测方法和系统 |
CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
CN106469275A (zh) * | 2015-08-18 | 2017-03-01 | 中兴通讯股份有限公司 | 虚拟机杀毒方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
TW202032401A (zh) | 2020-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10607007B2 (en) | Micro-virtual machine forensics and detection | |
US9501310B2 (en) | Micro-virtual machine forensics and detection | |
TWI620126B (zh) | 用於擴充針對虛擬資料中心之訪客電腦系統的服務的方法及電腦可讀取儲存媒體 | |
US20180307524A1 (en) | Executing code referenced from a microservice registry | |
US7908656B1 (en) | Customized data generating data storage system filter for data security | |
US11522904B2 (en) | Self-healing architecture for resilient computing services | |
EP3610403A1 (en) | Isolated container event monitoring | |
US20110072254A1 (en) | Method and system for secured dynamic bios update | |
US7117448B2 (en) | System and method for determining desktop functionality based on workstation and user roles | |
JP2016515267A5 (zh) | ||
WO2013023105A1 (en) | Apparatus and method for enhancing security of data on a host computing device and a peripheral device | |
EP3079057B1 (en) | Method and device for realizing virtual machine introspection | |
WO2012152212A1 (zh) | 一种注册表操作的执行方法及装置 | |
WO2012152210A1 (zh) | 一种文件操作的执行方法及装置 | |
KR101997254B1 (ko) | 고립된 사용자컴퓨팅부를 갖는 컴퓨터 | |
US10542005B2 (en) | Connection control for virtualized environments | |
JP2006260176A (ja) | 機密文書管理方法及び機密文書管理システム | |
CN101788944A (zh) | 一种利用强制访问控制检测aix系统故障的方法 | |
TWI732180B (zh) | 惡意檔案孤立系統 | |
US8042185B1 (en) | Anti-virus blade | |
JP2006510098A (ja) | 分散デスクトップ・パッケージを使用してデスクトップ・コンポーネントを復元するためのシステムおよび方法 | |
JP2018519591A (ja) | データ処理デバイスおよび周辺デバイス間の通信を制御するための中間モジュール | |
Richardson et al. | Maverick: Providing web applications with safe and flexible access to local devices | |
KR101512456B1 (ko) | 배양기반 악성코드 분석시스템의 네트워크를 통한 os재로딩 방법 | |
CN108885603A (zh) | 通过打印操作的打印接口技术不可知数据丢失防护 |