TWI798603B - 惡意程式偵測方法及系統 - Google Patents
惡意程式偵測方法及系統 Download PDFInfo
- Publication number
- TWI798603B TWI798603B TW109142111A TW109142111A TWI798603B TW I798603 B TWI798603 B TW I798603B TW 109142111 A TW109142111 A TW 109142111A TW 109142111 A TW109142111 A TW 109142111A TW I798603 B TWI798603 B TW I798603B
- Authority
- TW
- Taiwan
- Prior art keywords
- program
- behavior
- specific
- program information
- behaviors
- Prior art date
Links
Images
Landscapes
- Maintenance And Management Of Digital Transmission (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明提供一種惡意程式偵測方法及系統。所述方法包括:從分析伺服器取得程序關聯模型;監控特定程式在運作時呈現的多個程序行為;反應於判定所述多個程序行為匹配於對應的多個特徵值,判定特定程式屬於惡意程式。
Description
本發明是有關於一種網路安全技術,且特別是有關於一種惡意程式偵測方法及系統。
在習知技術中,對於惡意程式或惡意網路的檢測主要是以沙箱、程序監控或檔案比對等方式進行。然而,這些方式需在專屬環境或對於特定檔案進行掛載或分析才能執行,需耗費較高資源且侷限於特定範圍。
有鑑於此,本發明提供一種惡意程式偵測方法及系統,其可用於解決上述技術問題。
本發明提供一種惡意程式偵測方法,適於一終端主機,包括:從一分析伺服器取得一程序關聯模型,其中程序關聯模型包括多個程序資訊因子及對應於所述多個程序資訊因子的多個特徵值;監控一特定程式在運作時呈現的多個程序行為,其中特定程式運
作於終端主機上,且所述多個程序行為對應於所述多個程序資訊因子;反應於判定所述多個程序行為匹配於對應的所述多個特徵值,判定特定程式屬於一惡意程式。
本發明提供一種惡意程式偵測系統,其包括至少一終端主機及分析伺服器。分析伺服器管理終端主機,並經配置以:將一程序關聯模型部署至各終端主機,其中程序關聯模型包括多個程序資訊因子及對應於所述多個程序資訊因子的多個特徵值。終端主機中的第一終端主機經配置以:從分析伺服器取得程序關聯模型;監控一特定程式在運作時呈現的多個程序行為,其中特定程式運作於終端主機上,且所述多個程序行為對應於所述多個程序資訊因子;反應於判定所述多個程序行為匹配於對應的所述多個特徵值,判定特定程式屬於一惡意程式。
100:惡意程式偵測系統
101:分析伺服器
102:終端主機
102a:代理程式
103:特定程式
105:程序關聯模型
S210~S240:步驟
圖1是依據本發明之一實施例繪示的惡意程式偵測系統示意圖。
圖2是依據本發明之一實施例繪示的惡意程式偵測方法流程圖。
圖3是依據本發明之一實施例繪示的程序資訊因子與對應的特徵值的示意圖。
請參照圖1,其是依據本發明之一實施例繪示的惡意程式偵測系統示意圖。如圖1所示,惡意程式偵測系統100包括分析伺服器101及一或多個終端主機(例如終端主機102)。在本發明的實施例中,上述一或多個終端主機例如是各式電腦裝置、智慧型裝置或其他類似的電子裝置,而分析伺服器101可用於管理上述各個終端主機。
在本發明的實施例中,分析伺服器101及終端主機102可協同運作以實現本發明的惡意程式偵測方法,相關細節說明如下。
請參照圖2,其是依據本發明之一實施例繪示的惡意程式偵測方法流程圖。本實施例的方法可由圖1的惡意程式偵測系統100執行,以下即搭配圖1所示的元件說明圖2各步驟的細節。
首先,在步驟S210中,分析伺服器101可將程序關聯模型105部署至終端主機102。在本發明的實施例中,終端主機102上可安裝有一代理程式(agent)102a,而此代理程式102a可因應於分析伺服器101所提供的程序關聯模型105而執行後續操作。
概略而言,當有惡意程式侵入終端主機102時,此惡意程式可能會與不明的惡意中繼站/網站溝通,而程序關聯模型105可理解為用於指示/塑模惡意程式在運行時可能呈現的程序行為。相應地,終端主機102的代理程式102a可依據程序關聯模型105判斷運行於終端主機102上的某程式的程序行為是否符合惡意程
式的運作模式,進而判定此程式是否屬於惡意程式,但可不限於此。
在本發明的實施例中,程序關聯模型105例如可包括多個程序資訊因子。在不同的實施例中,上述程序資訊因子可包括程序完整路徑與名稱(PathName)、程序連網行為的本機IP(LocalAddress)、程序連網行為的本機埠號(LocalPort)、程序連網行為的遠端IP(RemoteAddress)、程序連網行為的遠端埠號(RemotePort)、程式檔案雜湊值(Hash)、程式檔案MD5值(MD5)、蒐集時間(Time)的至少其中之一。
此外,在其他實施例中,上述程序資訊因子還可包括主機唯一識別符(UUID)、程序識別符(PID)及父程序識別符(PPID)、程序開啟的帳號(Owner)、程序連網行為的通訊協定(ProtocolType)、程序連網行為的狀態(TcpState)、程序連網行為的本機域名(LocalDomainName)及遠端域名(RemoteDomainName)、程序執行檔的簽章狀態(SignedStatus)、程序執行檔的簽章發行者(Publisher)、程序的連網行為的遠端IP所屬網路服務供應商(ISP)、程序連網行為的遠端IP所屬城市(City)及所屬國家(Country)、主機名稱(HostName)的至少其中之一。
此外,程序關聯模型105還可包括及對應於所述多個程序資訊因子的多個特徵值。舉例而言,對於蒐集時間(Time)、程序完整路徑與名稱(PathName)、程序連網行為的本機埠號
(LocalPort)及程序連網行為的狀態(TcpState)等4個程序資訊因子而言,程序關聯模型105可記錄/指示對應的特徵值,如下表1所例示,但可不限於此。
之後,在步驟S220中,終端主機102的代理程式102a可從分析伺服器101取得程序關聯模型105,藉以取得程序關聯模型105中的多個程序資訊因子及對應的特徵值。為便於說明,以下假設程序關聯模型105的內容係對應於表1,但本發明可不限於此。
之後,終端主機102的代理程式102a可取得運行於終端主機102上的各個程式在運行時所呈現的對應於上述參考程序因子的多個程序行為,藉以判定各程式是否屬於惡意程式。為便於理解,以下僅基於終端主機102中的其中一個程式(下稱特定程式103)進行說明,而本領域具通常知識者應可相應理解終端主機102對於其他程式所進行的操作。
在步驟S230中,終端主機102的代理程式102a可監控特定程式103在運作時呈現的多個程序行為,其中所述多個程序行為可對應於上述程序資訊因子。舉例而言,在特定程式103運
行時,終端主機102的代理程式102a例如可取得特定程式103的相關蒐集時間(Time)、程序完整路徑與名稱(PathName)、程序連網行為的本機埠號(LocalPort)及程序連網行為的狀態(TcpState)等程序行為,並將這些程序行為與表1中對應的特徵值進行比對。
在一實施例中,假設終端主機102的代理程式102a偵測到位於「windows/」目錄下的特定程式103在「04:28:49」開啟TCP:8080埠並監聽,則終端主機102的代理程式102a可將相關的程序行為予以記錄並與對應的特徵值進行比較,如下表2所例示。
在表2情境中,由於對應於「蒐集時間(Time)」的程序行為(即,「04:28:49」)位於「蒐集時間」的特徵值所定義的時間區間(即,「00:00-06:00」)內,故終端主機102的代理程式102a可判定對應於「蒐集時間」的程序行為匹配於對應於「蒐集時間」的特徵值。另外,由於對應於「程序完整路徑與名稱(PathName)」的程序行為(即,「C:\Windows\System32\***.exe」)包括對應於「程
序完整路徑與名稱」的特徵值所定義的路徑(即,「windows/*」),故終端主機102的代理程式102a可判定對應於「程序完整路徑與名稱」的程序行為匹配於對應於「程序完整路徑與名稱」的特徵值。
此外,由於對應於「程序連網行為的本機埠號(LocalPort)」的程序行為(即,「8080」)相同於對應於「程序連網行為的本機埠號」的特徵值所定義的埠號(即,「8080」),故終端主機102的代理程式102a可判定對應於「程序連網行為的本機埠號」的程序行為匹配於對應於「程序連網行為的本機埠號」的特徵值。
再者,由於對應於「程序連網行為的狀態(TcpState)」的程序行為(即,「Listening」)相同於對應於「程序連網行為的狀態」的特徵值所定義的狀態(即,「Listening」),故終端主機102的代理程式102a可判定對應於「程序連網行為的狀態」的程序行為匹配於對應於「程序連網行為的狀態」的特徵值。
在以上情境中,由於所述多個程序行為匹配於對應的所述多個特徵值,故終端主機102的代理程式102a可相應地執行步驟S240。
在步驟S240中,反應於判定所述多個程序行為匹配於對應的所述多個特徵值,終端主機102的代理程式102a可判定特定程式103屬於惡意程式。
在一實施例中,終端主機102的代理程式102a可相應地透過發出告警等方式將特定程式103回報為惡意程式,以讓相關的網管人員可採取對應的處理手段。
在一實施例中,假設網管人員經分析後判定特定程式103實質上並非惡意程式(即,終端主機102的代理程式102a將特定程式103誤判為惡意程式),則網管人員例如可相應地修正程序關聯模型105中的一或多個特徵值,並由分析伺服器101將修正後的程序關聯模型105部署至終端主機102。
舉例而言,假設「windows/system32/***.dll」的程式於01:00開啟TCP:8080並進行監聽,則終端主機102的代理程式102a可能會將此程式回報為惡意程式。然而,若網管人員判定此為誤判,則網管人員例如可藉由在程序關聯模型105中將「windows/system32/***.dll」的程式另設定為豁免,以修正程序關聯模型105。相應地,在終端主機102接收修正後的程序關聯模型105之後,將不會再將「windows/system32/***.dll」的程式誤判為惡意程式,但本發明可不限於此。
在其他實施例中,反應於判定上述程序行為未完全匹配於對應的特徵值,終端主機102的代理程式102a可判定特定程式103不屬於惡意程式。在此情況下,終端主機102的代理程式102a例如可不將特定程式103回報為惡意程式,但可不限於此。
然而,假設網管人員日後經分析而發現特定程式103實質上應屬於惡意程式,則網管人員例如可相應地修正程序關聯模型105中的一或多個特徵值,並由分析伺服器101將修正後的程序關聯模型105部署至終端主機102。
舉例而言,假設「windows/system32/***.dll」的程式於
07:00開啟TCP:8888並進行監聽。在此情況下,終端主機102的代理程式102a可能不會將特定程式103回報為惡意程式。然而,假設網管人員日後發現特定程式103實質上應被回報為惡意程式(即,特定程式103被漏報),則網管人員例如可將程序關聯模型105中對應於「蒐集時間」的特徵值修正為「00:00-24:00」(即,全時段),並新增對應於「程序連網行為的本機埠號」的特徵值8888,以修正程序關聯模型105。相應地,在終端主機102接收修正後的程序關聯模型105之後,將不會再發生上述漏報的情形,但本發明可不限於此。
請參照圖3,其是依據本發明之一實施例繪示的程序資訊因子與對應的特徵值的示意圖。在圖3中,上半部所示的內容可理解為對應於表1。亦即,當某程式運行時所呈現的程序行為具有連續性並且程序行為依序匹配於圖3上半部的各個特徵值時,終端主機102的代理程式102a即可判定此程式屬於惡意程式。舉例來說,終端主機102的代理程式102a於04:28:49時偵測到一程式的程序行為,其匹配於「蒐集時間(Time)」的特徵值所定義的時間區間(即,「00:00-06:00」)內;接著,偵測到該程式位於「windows/」目錄下,其匹配於「程序完整路徑與名稱(PathName)」的特徵值所定義的路徑(即,「windows/*」);緊接著,偵測到該程式開啟TCP:8080埠,其匹配於「程序連網行為的本機埠號(LocalPort)」的特徵值所定義的埠號(即,「8080」);最後,偵測到該程式進行監聽,其匹配於「程序連網行為的狀態(TcpState)」的特徵值所定
義的狀態(即,「Listening」)。據此,當終端主機102的代理程式102a偵測到該程式在運作時所呈現的該些程序行為具有連續性並且該些程序行為依序匹配於圖3上半部的各個特徵值時,則判定該程式為惡意程式。
此外,當某程式運行時所呈現的程序行為具有連續性並且程序行為依序匹配於圖3下半部的各個特徵值時,終端主機102的代理程式102a即可判定此程式可能正在執行惡意行為,但本發明可不限於此。舉例來說,終端主機102的代理程式102a於預設時間區間內偵測到一程式的程序行為,其匹配於「蒐集時間(Time)」的特徵值所定義的時間區間(即,「00:00-06:00」)內;接著,偵測到該程式位於「windows/system/」目錄下,其匹配於「程序完整路徑與名稱(PathName)」的特徵值所定義的路徑(即,「system/*」);緊接著,偵測到該程式被帳號「Administrators」開啟,其匹配於「程序開啟的帳號(Owner)」的特徵值所定義的帳號(即,「Administrators」);最後,偵測到該程式的程序行為是遠端連線至一已知的惡意IP的任一埠號,其分別依序匹配於「程序連網行為的遠端IP(RemoteAddress)」的特徵值所定義的遠端IP(即圖3中所示「MALICIOUS」)以及「程序連網行為的遠端埠號(RemotePort)」的特徵值所定義的遠端埠號(即,All)。據此,當終端主機102的代理程式102a偵測到該程式在運作時所呈現的該些程序行為具有連續性並且該些程序行為依序匹配於圖3下半部的各個特徵值時,則判定該程式正在執行惡意行為。
綜上所述,本發明至少具備以下特點:(1)有別於先前技術需透過沙箱模擬、程序監控或檔案比對等高負載高針對性的方式,本發明透過電腦程序資訊分析進行自動化網路行為塑模,大幅降低系統負載,同時使檢測範圍更廣泛;(2)本發明藉由後端分析伺服器提供程序關聯模型,可即時精準偵測惡意程式與惡意網站行為;(3)本發明可藉由遞迴修正方式使程序關聯模型趨近真實狀況,管理者可快速調整模型並佈署,因而不需再一一檢視各終端主機狀態並調整程序關聯模型的狀況。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
S210~S240:步驟
Claims (8)
- 一種惡意程式偵測方法,適於一終端主機,包括:從一分析伺服器取得一程序關聯模型,其中該程序關聯模型包括多個程序資訊因子及對應於該些程序資訊因子的多個特徵值;於一預設時間區間內監控一特定程式在運作時呈現的多個程序行為,其中該特定程式運作於該終端主機上,且該些程序行為對應於該些程序資訊因子;當於該預設時間區間內偵測到該特定程式在運作時呈現的該些程序行為具有連續性且該些程序行為依序匹配於對應的該些特徵值時,判定該特定程式屬於一惡意程式,其中該些程序資訊因子包括一第一程序資訊因子及一第二程序資訊因子,該些特徵值包括分別對應於該第一程序資訊因子及該第二程序資訊因子的一第一特徵值及一第二特徵值,該些特定程序資訊因子包括分別對應於該第一程序資訊因子及該第二程序資訊因子的一第一特定程序資訊因子及一第二特定程序資訊因子,該些程序行為包括分別對應於該第一特定程序資訊因子及該第二特定程序資訊因子的一第一程序行為及一第二程序行為,其中反應於判定該第一程序行為匹配於該第一特徵值,且該第二程序行為匹配於該第二特徵值,判定該些程序行為匹配於對應的該些特徵值。
- 如請求項1所述的方法,其中該些程序資訊因子包括程序完整路徑與名稱、程序連網行為的本機IP、程序連網行為的本 機埠號、程序連網行為的遠端IP、程序連網行為的遠端埠號、程式檔案雜湊值、程式檔案MD5值、蒐集時間的至少其中之一。
- 如請求項2所述的方法,其中該些程序資訊因子更包括主機唯一識別符、程序識別符及父程序識別符、程序開啟的帳號、程序連網行為的通訊協定、程序連網行為的狀態、程序連網行為的本機域名及遠端域名、程序執行檔的簽章狀態、程序執行檔的簽章發行者、程序的連網行為的遠端IP所屬網路服務供應商、程序連網行為的遠端IP所屬城市及所屬國家、主機名稱的至少其中之一。
- 如請求項1所述的方法,其中在判定該特定程式屬於該惡意程式的步驟之後,所述方法更包括:從該分析伺服器取得修正後的該程序關聯模型,其中修正後的該程序關聯模型指示修正後的該些特徵值的至少其中之一。
- 如請求項1所述的方法,更包括:反應於判定該些程序行為未完全匹配於對應的該些特徵值,判定該特定程式不屬於該惡意程式。
- 如請求項5所述的方法,其中在判定該特定程式不屬於該惡意程式的步驟之後,所述方法更包括:從該分析伺服器取得修正後的該程序關聯模型,其中修正後的該程序關聯模型指示修正後的該些特徵值的至少其中之一。
- 一種惡意程式偵測系統,包括:至少一終端主機,其包括一第一終端主機; 一分析伺服器,其管理該至少一終端主機,並經配置以:將一程序關聯模型部署至該第一終端主機,其中該程序關聯模型包括多個程序資訊因子及對應於該些程序資訊因子的多個特徵值;其中該至少一終端主機中的一第一終端主機經配置以:從該分析伺服器取得該程序關聯模型;於一預設時間區間內監控一特定程式在運作時呈現的多個程序行為,其中該特定程式運作於該終端主機上,且該些程序行為對應於該些程序資訊因子;當於該預設時間區間內偵測到該特定程式在運作時呈現的該些程序行為具有連續性且該些程序行為依序匹配於對應的該些特徵值時,判定該特定程式屬於一惡意程式,其中該些程序資訊因子包括一第一程序資訊因子及一第二程序資訊因子,該些特徵值包括分別對應於該第一程序資訊因子及該第二程序資訊因子的一第一特徵值及一第二特徵值,該些特定程序資訊因子包括分別對應於該第一程序資訊因子及該第二程序資訊因子的一第一特定程序資訊因子及一第二特定程序資訊因子,該些程序行為包括分別對應於該第一特定程序資訊因子及該第二特定程序資訊因子的一第一程序行為及一第二程序行為,其中反應於判定該第一程序行為匹配於該第一特徵值,且該第二程序行為匹配於該第二特徵值,判定該些程序行 為匹配於對應的該些特徵值。
- 如請求項7所述的系統,其中該分析伺服器更經配置以:反應於判定該些特徵值的至少其中之一被修正,據以修正該程序關聯模型;以及將修正後的該程序關聯模型部署至該第一終端主機。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109142111A TWI798603B (zh) | 2020-11-30 | 2020-11-30 | 惡意程式偵測方法及系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109142111A TWI798603B (zh) | 2020-11-30 | 2020-11-30 | 惡意程式偵測方法及系統 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202223703A TW202223703A (zh) | 2022-06-16 |
| TWI798603B true TWI798603B (zh) | 2023-04-11 |
Family
ID=83062337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109142111A TWI798603B (zh) | 2020-11-30 | 2020-11-30 | 惡意程式偵測方法及系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI798603B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI435236B (zh) * | 2010-12-15 | 2014-04-21 | Inst Information Industry | 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品 |
| CN105580023A (zh) * | 2013-10-24 | 2016-05-11 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
-
2020
- 2020-11-30 TW TW109142111A patent/TWI798603B/zh active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI435236B (zh) * | 2010-12-15 | 2014-04-21 | Inst Information Industry | 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品 |
| CN105580023A (zh) * | 2013-10-24 | 2016-05-11 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
Non-Patent Citations (2)
| Title |
|---|
| 網路文獻 許淑秋 「如何快速發現及移除惡意程式之四大秘笈?」 龍華科技大學電子報第093002期 2004/10/15 其網址為:https://www.lhu.edu.tw/e_paper/93/lunghwa_paper_93002/computer_sense.htm * |
| 網路文獻 許淑秋 「如何快速發現及移除惡意程式之四大秘笈?」 龍華科技大學電子報第093002期 2004/10/15 其網址為:https://www.lhu.edu.tw/e_paper/93/lunghwa_paper_93002/computer_sense.htm。 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202223703A (zh) | 2022-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11086983B2 (en) | System and method for authenticating safe software | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US10911479B2 (en) | Real-time mitigations for unfamiliar threat scenarios | |
| CN111460445B (zh) | 样本程序恶意程度自动识别方法及装置 | |
| US9294505B2 (en) | System, method, and computer program product for preventing a modification to a domain name system setting | |
| US7895448B1 (en) | Risk profiling | |
| CN110493195B (zh) | 一种网络准入控制方法及系统 | |
| CN106650436A (zh) | 一种基于局域网的安全检测方法和装置 | |
| US11621974B2 (en) | Managing supersedence of solutions for security issues among assets of an enterprise network | |
| CN110943984B (zh) | 一种资产安全保护方法及装置 | |
| CN102694817A (zh) | 一种识别程序的网络行为是否异常的方法、装置及系统 | |
| JP2015531508A (ja) | コンピュータネットワークにおける自動化メモリおよびスレッド実行異常検出のためのシステムおよび方法 | |
| CN106982194A (zh) | 漏洞扫描方法及装置 | |
| US10176325B1 (en) | System and method for dynamic detection of command and control malware | |
| CN111898124B (zh) | 进程访问控制方法和装置、存储介质及电子设备 | |
| CN111371623B (zh) | 业务性能和安全的监测方法、装置、存储介质及电子设备 | |
| CN108268272B (zh) | 基于wsus的补丁更新方法和装置 | |
| CN102043649A (zh) | 插件下载控制方法及插件下载控制系统 | |
| US20170061133A1 (en) | Automated Security Vulnerability Exploit Tracking on Social Media | |
| CN110929259A (zh) | 进程安全验证白名单生成方法、装置 | |
| CN112073437A (zh) | 多维度的安全威胁事件分析方法、装置、设备及存储介质 | |
| CN115550049A (zh) | 一种物联网设备的漏洞检测方法及系统 | |
| CN108809950B (zh) | 一种基于云端影子系统的无线路由器保护方法和系统 | |
| TWI798603B (zh) | 惡意程式偵測方法及系統 | |
| US20240137768A1 (en) | Automatic dynamic secure connection system and method thereof |