TWI741698B - 察覺惡意攻擊的方法及網路安全管理裝置 - Google Patents
察覺惡意攻擊的方法及網路安全管理裝置 Download PDFInfo
- Publication number
- TWI741698B TWI741698B TW109125349A TW109125349A TWI741698B TW I741698 B TWI741698 B TW I741698B TW 109125349 A TW109125349 A TW 109125349A TW 109125349 A TW109125349 A TW 109125349A TW I741698 B TWI741698 B TW I741698B
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- analysis data
- malicious
- unknown
- benign
- Prior art date
Links
Images
Abstract
本發明提供一種結合靜態與動態分析以察覺惡意攻擊的方法及網路安全管理裝置。所述方法包括:萃取未知應用程式的特定靜態分析資料,並基於特定靜態分析資料判斷未知應用程式屬於良性應用程式或惡意應用程式;以及反應於判定未知應用程式屬於惡意應用程式,收集未知應用程式的特定動態分析資料,並基於特定動態分析資料決定未知應用程式所屬的惡意軟體家族。
Description
本發明是有關於一種網路安全技術,且特別是有關於一種結合靜態與動態分析以察覺惡意攻擊的方法及網路安全管理裝置。
隨著科技的進步,智能裝置的效能提升與功能多樣化,令人們的生活越來越依賴它。然而,由於智能裝置上儲存了許多個人隱私資訊,也令其成為駭客的攻擊目標。隨著惡意應用程式的數量以及變形的技術與日俱增,單以人力進行應用程式分析是不可行的。另外,靜態分析技術無法分析混淆技術後的應用程式,以及會忽略執行期間的惡意行為。相對的,動態分析則有耗費大量時間與運算資源的缺點。
有鑑於此,本發明提供一種結合靜態與動態分析以察覺惡意攻擊的方法及網路安全管理裝置,其可用於解決上述技術問題。
本發明提供一種結合靜態與動態分析以察覺惡意攻擊的方法,適於一網路安全管理裝置,包括:萃取一未知應用程式的一特定靜態分析資料,並基於特定靜態分析資料判斷未知應用程式屬於一良性應用程式或一惡意應用程式;以及反應於判定未知應用程式屬於惡意應用程式,收集未知應用程式的一特定動態分析資料,並基於特定動態分析資料決定未知應用程式所屬的一惡意軟體家族。
本發明提供一種網路安全管理裝置,其包括儲存電路及處理器。儲存電路儲存多個模組。處理器耦接儲存電路,存取前述模組以執行下列步驟:萃取一未知應用程式的一特定靜態分析資料,並基於特定靜態分析資料判斷未知應用程式屬於一良性應用程式或一惡意應用程式;以及反應於判定未知應用程式屬於惡意應用程式,收集未知應用程式的一特定動態分析資料,並基於特定動態分析資料決定未知應用程式所屬的一惡意軟體家族。
概略而言,本發明的目的是建置一套能夠自動化偵測惡意應用程式,並且辨識該惡意應用程式所屬的惡意軟體家族的機制。本發明提出的網路安全管理裝置可於分析應用程式前進行初步靜態偵測,過濾出具有風險的惡意程式。此方式能大量減少動態分析中應用程式的動態資料蒐集數量,以幫助提升整個動態分析處理之速度。並且從應用程式的執行活動中,同時提取多種類封包特徵,以提升動態網路封包分析偵測的準確度,同時降低誤判率。具有進行惡意軟體家族分類的能力。由於不同惡意軟體家族具有不同的惡意行為,藉由分類結果來找出同家族內樣本的共通性,進一步歸納出惡意軟體家族之行為及特徵。不論惡意應用程式經過混淆技術變動,此系統皆可將有相似惡意行為及特徵的惡意應用程式偵測出來。經過回饋新增威脅情資資料庫的新情資,下次塑模時產生的分類器就會因為情資的增加而分類的越來越精準。以下將作進一步說明。
請參照圖1A,其是依據本發明之一實施例繪示的網路安全系統架構示意圖。如圖1A所示,本發明的網路安全系統架構可包括網路安全管理裝置100、網路設備190、外部應用程式資源池195及多個電子裝置199。在一實施例中,當企業欲藉由本發明提出的察覺惡意攻擊的方法偵測與阻斷惡意應用程式的威脅時,可以在企業內部的網路閘道口架設網路安全管理裝置100,透過定期收容與分析外部應用程式資源池195,網路安全管理裝置100可定期產生應用程式之黑白名單給企業的網路設備190(例如防火牆、代理伺服器)。另外,企業的網路設備190也能透過網路安全管理裝置100分析不在黑白名單的應用程式(例如未知應用程式P1)。
在不同的實施例中,電子裝置199個別可以是物聯網裝置、各式智慧型裝置或其他具有下載外部應用程式資源池195內應用程式需求的裝置,但可不限於此。
請參照圖1B,其是依據本發明之一實施例繪示的網路安全管理裝置示意圖。如圖1B所示,網路安全管理裝置100可包括威脅情資資料庫11、靜態分析模組12、第一模型訓練模組13、動態分析模組14、第二模型訓練模組15及情資收集模組16。
在一實施例中,情資收集模組16可用於接收不同來源的應用程式情資。所述應用程式情資來源為可信任的內外部資料,內容有已知的良性應用程式(例如Google
TMStore Top 1000)、惡意應用程式(例如Drebin)以及未知應用程式P1,另外也可以整合應用程式產生的靜態分析資料以及動態分析資料以及新辨識出來的惡意應用程式等有助於系統分類的資料,但可不限於此。
威脅情資資料庫11可用於儲存不同來源的應用程式情資,例如已知的良性/惡意應用程式及未知應用程式P1。
在圖1B中,靜態分析模組12可用於對未知應用程式P1進行靜態分析,以初步地判定未知應用程式P1屬於良性應用程式或惡意應用程式。若未知應用程式P1屬於良性應用程式,則情資收集模組16可相應地將未知應用程式P1的資訊予以記錄,但可不限於此。另一方面,若靜態分析模組12判定未知應用程式P1屬於惡意應用程式,則動態分析模組14可相應地用於對未知應用程式P1進行動態分析,以判定未知應用程式P1所屬的惡意軟體家族。以下將輔以圖2作進一步說明。
請參照圖2,其是依據本發明之一實施例繪示的結合靜態與動態分析以察覺惡意攻擊的方法流程圖。本實施例的方法可由圖1A及圖1B的網路安全管理裝置100執行,以下即搭配圖1A及圖1B所示的元件說明圖2各步驟的細節。
在一實施例中,假設電子裝置199欲從外部應用程式資源池195下載未知應用程式P1(其例如是更新程式)。在此情況下,在電子裝置199發出對於未知應用程式P1的下載請求時,網路設備190及網路安全管理裝置100例如可先執行一定的機制以判斷是否應允許電子裝置199下載未知應用程式P1。
舉例而言,網路設備190可儲存有關於各式應用程式的黑/白名單,而若未知應用程式P1經判定屬於所述黑名單,則網路設備190可禁止電子裝置199下載未知應用程式P1。另一方面,若未知應用程式P1經判定屬於所述白名單,則網路設備190可相應地允許電子裝置199下載未知應用程式P1,但本發明可不限於此。
在其他實施例中,若未知應用程式P1經判定不屬於上述黑/白名單,則網路安全管理裝置100可相應地執行圖2的方法以對未知應用程式P1進行相關的靜態/動態分析。
具體而言,在步驟S210中,靜態分析模組12可萃取未知應用程式P1的特定靜態分析資料SD1,並基於特定靜態分析資料SD1判斷未知應用程式P1屬於良性應用程式或惡意應用程式。
在圖1B中,靜態分析模組12可包括靜態分析資料特徵萃取模組121及良性/惡意應用程式偵測模型122。在一實施例中,特定靜態分析資料SD1例如是未知應用程式P1的權限資料,但可不限於此。在此情況下,靜態分析資料特徵萃取模組121例如可使用aapt dump permission指令對於未知應用程式P1的宣告權限列表進行提取。在一實施例中,未知應用程式P1的宣告權限列表例如可具有下表1所示態樣,但本發明可不限於此。
表1
| 權限列表 |
| android.permission.INTERACT_ACROSS_USERS_FULL |
| android.permission.ACCESS_WIFI_STATE |
| android.permission.CHANGE_WIFI_STATE |
| android.permission.WRITE_EXTERNAL_STORAGE |
| android.permission.READ_PHONE_STATE |
| android.permission.WRITE_SETTINGS |
| android.permission.CALL PHONE |
之後,靜態分析資料特徵萃取模組121例如可將所提取的權限列表轉換為對應的權限向量,以作為特定靜態分析資料SD1,但可不限於此。在其他實施例中,特定靜態分析資料SD1亦可以是未知應用程式P1的OpCode或其他本領域具通常知識者所熟知的應用程式靜態分析資料。
之後,靜態分析資料特徵萃取模組121可將特定靜態分析資料SD1饋入良性/惡意應用程式偵測模型122,以由良性/惡意應用程式偵測模型122依據特定靜態分析資料SD1判定未知應用程式P1屬於良性應用程式或是惡意應用程式。
在一實施例中,良性/惡意應用程式偵測模型122例如是一機器學習模型(例如隨機森林(random forest)模型),而其可基於多個已知應用程式的靜態分析資料而被第一模型訓練模組13而預先訓練過。
舉例而言,第一模型訓練模組13例如可包括良性/惡意應用程式資料集131、靜態資料特徵萃取模組132及機器學習演算法模組133。在一實施例中,第一模型訓練模組13例如可從威脅情資資料庫11取得多個已知應用程式(其包括多個已知良性應用程式及多個已知惡意應用程式),並儲存至良性/惡意應用程式資料集131。之後,第一模型訓練模組13可經由靜態資料特徵萃取模組132萃取各已知應用程式的靜態資料(例如權限、OpCode等)。
之後,第一模型訓練模組13例如可透過機器學習演算法模組133以基於各已知良性應用程式的靜態分析資料及各已知惡意應用程式的靜態分析資料訓練良性/惡意應用程式偵測模型122。相應地,良性/惡意應用程式偵測模型122可因應於各已知良性應用程式的靜態分析資料學習各已知良性應用程式的靜態分析資料的良性靜態分析資料特徵,並因應於各已知惡意應用程式的靜態分析資料學習各已知惡意應用程式的靜態分析資料的惡意靜態分析資料特徵。
因此,當良性/惡意應用程式偵測模型122接收到特定靜態分析資料SD1時,良性/惡意應用程式偵測模型122即可相應地據以判定未知應用程式P1係良性應用程式或惡意應用程式,但本發明可不限於此。
在一實施例中,若未知應用程式P1經判定為良性應用程式,此即代表未知應用程式P1對於電子裝置199而言應屬安全,故靜態分析模組12可相應地允許電子裝置199下載未知應用程式P1,但可不限於此。
另一方面,若未知應用程式P1經判定為惡意應用程式,此即代表未知應用程式P1對於電子裝置199而言有安全上的疑慮,故靜態分析模組12可相應地禁止電子裝置199下載未知應用程式P1,且網路安全管理裝置100可接續透過動態分析模組14執行步驟S220以對經判定為惡意應用程式的未知應用程式P1進行後續的動態分析。
如圖2所示,在步驟S220中,反應於判定未知應用程式P1屬於惡意應用程式,動態分析模組14可收集未知應用程式P1的特定動態分析資料DD1,並基於特定動態分析資料DD1決定未知應用程式P1所屬的惡意軟體家族。
具體而言,如圖1B所示,動態分析模組14包括動態資料特徵萃取模組141及軟體家族分類模型142。在一實施例中,動態資料特徵萃取模組141可用於萃取未知應用程式P1的特定動態分析資料DD1。在不同的實施例中,特定動態分析資料DD1例如是未知應用程式P1的網路流量內容、系統呼叫(system call)的相關特徵資料,但可不限於此。
在一實施例中,上述網路流量內容可包括域名系統(domain name system,DNS)封包內容、超文本傳輸協定(Hyper Text Transfer Protocol,HTTP)封包內容、傳輸控制協定(transfer control protocol,TCP)封包內容及其他封包內容,而上述各種封包內容可如下表2所例示,但可不限於此。
表2
| 網路流量 | 內容 | |
| TCP封包 | l 上/下行封包數量 l 上/下行流量 | l 封包平均上/下行流量 l 連線IP |
| HTTP封包 | l HOST l Request-URI | l Request-Method l User-Agent |
| DNS封包 | l Domain Name | |
| 其他封包 | l 隱私洩漏種類 | l IP聲譽分數 |
此外,其他封包內容可另具有如下表3所示態樣,但可不限於此。
表3
| 內容 | |||||
| 隱私洩漏種類 | l name | l mac address | l videos | l date of birth | |
| l phone | l passwords | l gender | l passport number | ||
| l email | l contacts | l photos | l employment info | ||
| l ssn | l listofapps | l IMEI | l SIM serial number | ||
| l address | l location | l IMSI | l Credit card | ||
| 隱私洩漏內容 | l IMEI | l 聯絡人資訊 | |||
| IP聲譽分數 | l detected_url | l detected_communicating | l detected_download | ||
在一些實施例中,上述各式封包內容的取得方式例如可把未知應用程式P1安裝在一android模擬器中,透過monkey工具產生事件來觸發惡意行為並使用tcpdump取得相關的網路封包,從.pcap檔案中,分別以DNS封包、TCP封包、HTTP封包以及其它網路封包內容的特徵。此外,在一實施例中,上述IP聲譽分數可透過VirusTotal的應用程式介面(application programming interface,API)提取,但可不限於此。
在一實施例中,在取得所需的網路流量內容之後,動態資料特徵萃取模組141可萃取其特徵作為特定動態分析資料DD1,但可不限於此。之後,動態資料特徵萃取模組141可將特定動態分析資料DD1饋入軟體家族分類模型142,以由軟體家族分類模型142判定未知應用程式P1所屬的惡意軟體家族。
在一實施例中,軟體家族分類模型142例如是一機器學習模型(例如隨機森林模型),而其可基於多個已知應用程式的動態分析資料而被第二模型訓練模組15而預先訓練過。
舉例而言,第二模型訓練模組15例如可包括已知所屬軟體家族的應用程式資料集151、動態資料特徵萃取模組152及機器學習演算法模組153。在一實施例中,第二模型訓練模組15例如可從威脅情資資料庫11取得多個已知應用程式(其包括多個已知良性應用程式及多個已知惡意應用程式)及其個別所屬的軟體家族,並儲存至已知所屬軟體家族的應用程式資料集151。之後,第二模型訓練模組15可經由動態資料特徵萃取模組152萃取各已知應用程式的動態資料(例如網路流量內容、系統呼叫等)。
之後,第二模型訓練模組15例如可透過機器學習演算法模組153以基於各已知良性應用程式的動態資料及各已知惡意應用程式的動態資料及其個別所屬的軟體家族訓練軟體家族分類模型142。在完成軟體家族分類模型142的訓練後,當軟體家族分類模型142接收到特定動態分析資料DD1時,軟體家族分類模型142即可相應地據以判定未知應用程式P1所屬的惡意軟體家族,但本發明可不限於此。
在本發明的實施例中,所考慮的軟體家族例如可為包括「BaseBridge」、「DroidKungFu」、「Plankton」、「FakeDoc」、「Iconosys」、「Opfake」、「FakeInstaller」、「FakeRun」、「Gappusin」、「MobileTx」及「Benign」等11個軟體家族,其中除了「Benign」為良性軟體家族之外,其餘的10個皆屬惡意軟體家族,但本發明可不限於此。
在判定未知應用程式P1所屬的惡意軟體家族之後,網路安全管理裝置100即可相應地將相關資訊提供於資安人員參考,藉以讓資安人員能夠較有效率地採取相應的網路防禦手段。
此外,經實驗證實,本發明的方法相較於習知只進行靜態分析或只進行動態分析的方式可達到更佳的軟體家族分類準確度及效率。
具體而言,在一實施例中,良性/惡意應用程式偵測模型122例如可先基於1000個良性應用程式及1024個惡意應用程式進行訓練,而軟體家族分類模型142則例如可先基於1410個已知應用程式進行訓練。在此實施例中,所述1410個已知應用程式例如可包括50個良性應用程式,以及分屬於上述10個惡意軟體家族的1360個惡意應用程式,但可不限於此。
之後,本發明的網路安全管理裝置100可對100個惡意應用程式及100個良性應用程式進行辨識。亦即,網路安全管理裝置100可將所述100個惡意應用程式及100個良性應用程式個別視為未知應用程式(即,共有200個未知應用程式),並對其個別進行先前教示的靜態分析及動態分析。
為佐證本發明的辨識表現,以下另將本發明的相關的偵測結果與現有技術(例如是僅採用動態分析的方法)的偵測結果例示於下表5中。
表5
| 誤判數量 | 收集動態資料所耗費的時間 | 準確度 | |
| 本發明的方法 | 11 | 1,900分鐘 | 94.5% |
| 僅採用動態分析的方法 | 14 | 4,000分鐘 | 93% |
經測試,本發明的方法在靜態分析(即,步驟S210)中將上述200個未知應用程式中的105個判定為良性應用程式(即,共有5個惡意應用程式被誤判為良性應用程式),並在動態分析(即步驟S220)中花費約1900分鐘收集被判定為惡意應用程式的剩餘95個未知應用程式的特定動態分析資料。在剩餘的95個未知應用程式中,共有6個未知應用程式的軟體家族出現分類錯誤的情形。因此,本發明的方法共有11個未知應用程式出現誤判的情形。
相較之下,若僅對上述200個未知應用程式採取動態分析,則共需約4000分鐘來收集所述200個未知應用程式的動態資料,且共有14個未知應用程式出現誤判的情形。由此可知,本發明的方法除了可有效節省收集動態資料的時間,更可提高軟體家族分類的準確度。
此外,習知技術中雖有採用網路流量內容進行惡意威脅偵測的方法,但其多半僅關注單一種網路流量內容(例如僅關注HTTP封包內容、TCP封包內容、DNS封包內容及其他封包內容中的一者),因而忽略其他種網路流量內容亦有助於觀察到惡意程式特徵的事實。
然而,由於本發明在進行動態分析時可同時考慮HTTP封包內容、TCP封包內容、DNS封包內容及其他封包內容,因此相較之下可達到更為精確的偵測結果。
此外,由於取得網路流量內容的過程相當耗費資源,故若直接對所有的未知應用程式皆提取其網路流量內容實質上並不可行。
然而,由於本發明在進行動態分析前已先行透過靜態分析找出屬於惡意應用程式的未知應用程式,故僅需對被判定為惡意應用程式的未知應用程式進行動態分析即可,因而使得同時考慮多種網路流量內容的想法變得可行,也進而提高了辨識上的準確度。
請參照圖3,其是依據本發明之一實施例繪示的準確度比較圖。如圖3所示,相較於僅考慮單一種網路流量內容的作法而言,本發明同時考慮多種網路流量內容的作法具有較高的辨識準確度。
綜上所述,本發明至少具有以下特點:(1)透過收集公開與私有之應用程式建構惡意程式偵測與分類系統;(2)結合靜態與動態分析,有效節省對於未知應用程式的分析資源以及提升準確度;(3)可以提升動態網路封包分析偵測的準確度,同時降低誤判率;(4)透過辨識惡意應用程式所屬的惡意軟體家族以協助資安人員歸納家族特性,進而建立與執行防範策略。
此外,本發明的網路安全管理裝置可部屬在企業內部,並可對於公開與私有的應用程式進行自動化的分析與塑模,以對於未知應用程式進行分析與偵測。此外,經本發明的方法所取得的惡意應用程式的威脅情資可作為第三方可信賴之黑名單提供給防火牆、代理伺服器等網路設備進行黑名單比對進而阻斷下載。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
100:網路安全管理裝置
11:威脅情資資料庫
12:靜態分析模組
121:靜態分析資料特徵萃取模組
122:良性/惡意應用程式偵測模型
13:第一模型訓練模組
131:良性/惡意應用程式資料集
132:靜態資料特徵萃取模組
133:機器學習演算法模組
14:動態分析模組
141:動態資料特徵萃取模組
142:軟體家族分類模型
15:第二模型訓練模組
16:情資收集模組
190:網路設備
195:外部應用程式資源池
199:電子裝置
P1:未知應用程式
S210,S220:步驟
SD1:特定靜態分析資料
DD1:特定動態分析資料
圖1A是依據本發明之一實施例繪示的網路安全系統架構示意圖。
圖1B是依據本發明之一實施例繪示的網路安全管理裝置示意圖。
圖2是依據本發明之一實施例繪示的結合靜態與動態分析以察覺惡意攻擊的方法流程圖。
圖3是依據本發明之一實施例繪示的準確度比較圖。
S210,S220:步驟
Claims (10)
- 一種結合靜態與動態分析以察覺惡意攻擊的方法,適於一網路安全管理裝置,包括:萃取一未知應用程式的一特定靜態分析資料,並基於該特定靜態分析資料判斷該未知應用程式屬於一良性應用程式或一惡意應用程式,包括:將該特定靜態分析資料饋入經預訓練的一良性/惡意應用程式偵測模型,其中該良性/惡意應用程式偵測模型反應於該特定靜態分析資料而判定該未知應用程式屬於該良性應用程式或該惡意應用程式,其中該良性/惡意應用程式偵測模型是一第一機器學習模型;以及反應於判定該未知應用程式屬於該惡意應用程式,收集該未知應用程式的一特定動態分析資料,並基於該特定動態分析資料決定該未知應用程式所屬的一惡意軟體家族,包括:將該特定動態分析資料饋入經預訓練的一軟體家族分類模型,其中該軟體家族分類模型反應於該特定動態分析資料而決定該未知應用程式所屬的該惡意軟體家族,其中該軟體家族分類模型是一第二機器學習模型。
- 如請求項1所述的方法,更包括:從一威脅情資資料庫取得多個已知應用程式,並萃取各該已知應用程式的一靜態分析資料,其中該些已知應用程式包括多個已知良性應用程式及多個已知惡意應用程式; 基於各該已知良性應用程式的該靜態分析資料及各該已知惡意應用程式的該靜態分析資料訓練該良性/惡意應用程式偵測模型,其中該良性/惡意應用程式偵測模型因應於各該已知良性應用程式的該靜態分析資料學習各該已知良性應用程式的該靜態分析資料的良性靜態分析資料特徵,並因應於各該已知惡意應用程式的該靜態分析資料學習各該已知惡意應用程式的該靜態分析資料的惡意靜態分析資料特徵。
- 如請求項1所述的方法,其中該第二機器學習模型包括一隨機森林模型,更包括:從一威脅情資資料庫取得多個已知應用程式,並萃取各該已知應用程式的一動態分析資料,其中該些已知應用程式包括多個已知良性應用程式及多個已知惡意應用程式,且各該已知應用程式屬於對應的一軟體家族;基於各該已知良性應用程式的該動態分析資料、所屬的該軟體家族及各該已知惡意應用程式的該動態分析資料、所屬的該軟體家族訓練該軟體家族分類模型。
- 如請求項1所述的方法,其中該特定動態分析資料包括該未知應用程式的多種網路流量內容。
- 如請求項4所述的方法,其中該些網路流量內容包括域名系統封包內容、超文本傳輸協定封包內容及傳輸控制協定封包內容。
- 如請求項5所述的方法,其中該些網路流量內容更包括隱私洩漏種類、隱私洩漏內容及協定位址聲譽分數的至少其中之一。
- 如請求項1所述的方法,其中萃取該未知應用程式的該特定靜態分析資料的步驟包括:反應於一電子裝置對於該未知應用程式提出的一下載請求而萃取該未知應用程式的該特定靜態分析資料,其中該未知應用程式已通過一黑/白名單的驗證。
- 如請求項7所述的方法,其中反應於判定該未知應用程式屬於該良性應用程式,所述方法更包括:允許該電子裝置下載該未知應用程式。
- 如請求項7所述的方法,其中反應於判定該未知應用程式屬於該惡意應用程式,所述方法更包括:禁止該電子裝置下載該未知應用程式。
- 一種網路安全管理裝置,包括:一靜態分析模組,其萃取一未知應用程式的一特定靜態分析資料,並基於該特定靜態分析資料判斷該未知應用程式屬於一良性應用程式或一惡意應用程式,包括:將該特定靜態分析資料饋入經預訓練的一良性/惡意應用程式偵測模型,其中該良性/惡意應用程式偵測模型反應於該特定靜態分析資料而判定該未知應用程式屬於該良性應用程式或該惡意應用程式,其中該良性/惡意應用程式偵測模型是一第一機器學習 模型;以及一動態分析模組,其反應於該靜態分析模組判定該未知應用程式屬於該惡意應用程式,收集該未知應用程式的一特定動態分析資料,並基於該特定動態分析資料決定該未知應用程式所屬的一惡意軟體家族,包括:將該特定動態分析資料饋入經預訓練的一軟體家族分類模型,其中該軟體家族分類模型反應於該特定動態分析資料而決定該未知應用程式所屬的該惡意軟體家族,其中該軟體家族分類模型是一第二機器學習模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109125349A TWI741698B (zh) | 2020-07-28 | 2020-07-28 | 察覺惡意攻擊的方法及網路安全管理裝置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109125349A TWI741698B (zh) | 2020-07-28 | 2020-07-28 | 察覺惡意攻擊的方法及網路安全管理裝置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI741698B true TWI741698B (zh) | 2021-10-01 |
| TW202205116A TW202205116A (zh) | 2022-02-01 |
Family
ID=80782353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109125349A TWI741698B (zh) | 2020-07-28 | 2020-07-28 | 察覺惡意攻擊的方法及網路安全管理裝置 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI741698B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201407405A (zh) * | 2012-05-01 | 2014-02-16 | Harris Corp | 在一動態電腦網路中過濾通信之防火牆 |
| TW201917595A (zh) * | 2017-10-26 | 2019-05-01 | 中華電信股份有限公司 | 雲端安全網路瀏覽方法及系統 |
| CN111131335A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 基于人工智能的网络安全防护方法、装置、电子设备 |
-
2020
- 2020-07-28 TW TW109125349A patent/TWI741698B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201407405A (zh) * | 2012-05-01 | 2014-02-16 | Harris Corp | 在一動態電腦網路中過濾通信之防火牆 |
| TW201917595A (zh) * | 2017-10-26 | 2019-05-01 | 中華電信股份有限公司 | 雲端安全網路瀏覽方法及系統 |
| CN111131335A (zh) * | 2020-03-30 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 基于人工智能的网络安全防护方法、装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202205116A (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11783035B2 (en) | Multi-representational learning models for static analysis of source code | |
| US10534906B1 (en) | Detection efficacy of virtual machine-based analysis with application specific events | |
| US10637880B1 (en) | Classifying sets of malicious indicators for detecting command and control communications associated with malware | |
| US11816214B2 (en) | Building multi-representational learning models for static analysis of source code | |
| US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
| US20190268358A1 (en) | Countering service enumeration through imposter-driven response | |
| Malik et al. | CREDROID: Android malware detection by network traffic analysis | |
| Tien et al. | KubAnomaly: Anomaly detection for the Docker orchestration platform with neural network approaches | |
| CN102694817B (zh) | 一种识别程序的网络行为是否异常的方法、装置及系统 | |
| US9350748B1 (en) | Countering service enumeration through optimistic response | |
| US11258812B2 (en) | Automatic characterization of malicious data flows | |
| US11374946B2 (en) | Inline malware detection | |
| US11636208B2 (en) | Generating models for performing inline malware detection | |
| CN113949527A (zh) | 异常访问的检测方法、装置、电子设备及可读存储介质 | |
| Riccardi et al. | A framework for financial botnet analysis | |
| CN107483386A (zh) | 分析网络数据的方法及装置 | |
| JP2024023875A (ja) | インラインマルウェア検出 | |
| Melo et al. | ISM-AC: An immune security model based on alert correlation and software-defined networking | |
| TWI741698B (zh) | 察覺惡意攻擊的方法及網路安全管理裝置 | |
| US20230344867A1 (en) | Detecting phishing pdfs with an image-based deep learning approach | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| US20230306114A1 (en) | Method and system for automatically generating malware signature | |
| US20230231857A1 (en) | Deep learning pipeline to detect malicious command and control traffic | |
| Costea et al. | Detection of Suspicious Connections on Android Mobile Devices | |
| US20230069731A1 (en) | Automatic network signature generation |