TW201928746A - 偵測惡意程式的方法和裝置 - Google Patents
偵測惡意程式的方法和裝置 Download PDFInfo
- Publication number
- TW201928746A TW201928746A TW106145575A TW106145575A TW201928746A TW 201928746 A TW201928746 A TW 201928746A TW 106145575 A TW106145575 A TW 106145575A TW 106145575 A TW106145575 A TW 106145575A TW 201928746 A TW201928746 A TW 201928746A
- Authority
- TW
- Taiwan
- Prior art keywords
- suspicious
- file
- sample
- malicious program
- malicious
- Prior art date
Links
Landscapes
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本發明係揭露一種偵測惡意程式的方法和裝置。本裝置以不間斷的方式蒐集主機檔案活動軌跡或網路流量,並針對儲存的資料進行可疑行為的分析。當惡意攻擊行為被偵測時,受駭資料與攻擊發生時間點可被明確地指出。接著,可從網路流量或主機活動紀錄中還原出可疑的檔案,以進行惡意程式分析及判別檔案是否為惡意程式。若分析的結果是惡意程式,便將惡意程式的情資製作成偵測規則並將其回饋到可疑行為偵測與惡意程式偵測的模組中。本發明利用上述方法,還原第一時間未被防毒軟體偵測且已被抹除的長時間潛伏惡意程式,協助釐清攻擊事件原貌。
Description
本發明是有關於一種偵測惡意程式的方法和裝置。
隨著網路的蓬勃發展,現代人的生活已經與網路密不可分。行動網路的普及使得人們可以隨時隨地的透過智慧型手機或平板電腦存取網路。近年來,有越來越多的惡意程式被包裝於資料流之中,並且伴隨著資料流侵入電腦主機。惡意程式會對電腦主機帶來諸多不良的影響。因應於此,市面上出現越來越多的防毒軟體,用以偵測或抹除主機中的惡意程式。
然而,防毒軟體往往無法在第一時間偵測出所有種類的惡意程式,且駭客也會透過各種方式抹除惡意程式的軌跡。除此之外,對所有資料流進行惡意程式偵測通常需要耗費大量的時間以及運算能力。
本發明提供一種偵測惡意程式的裝置,包括:儲存單元以及處理器。儲存單元記錄多個模組。處理器,耦接該儲存單元,且存取並執行該儲存單元所儲存的該些模組,該些模組包括:可疑行為分析模組以及惡意程式分析模組。可疑行為分析模組,包括:保存模組,記錄資料流並且建立該資料流的索引。可疑行為偵測模組,依據可疑行為偵測規則偵測存在於該資料流的可疑行為並記錄該可疑行為的時間點。檔案萃取模組,基於該時間點與該索引,從該資料流萃取出可疑檔案樣本。惡意程式分析模組判斷該可疑檔案樣本是否為惡意程式。
本發明提供一種偵測惡意程式的方法,包括:記錄資料流並且建立該資料流的索引。依據可疑行為偵測規則偵測存在於該資料流的可疑行為並記錄該可疑行為的時間點。基於該時間點與該索引,從該資料流萃取出可疑檔案樣本。以及判斷該可疑檔案樣本是否為惡意程式。
基於上述,本發明可透過可疑行為偵測規則篩選出可疑的檔案樣本,並僅針對可疑的樣本進行惡意程式分析。如此,可降低惡意程式分析耗費的時間以及運算能力,減輕系統的負擔。此外,本發明可從終端軌跡中還原出可能受過攻擊的檔案,並且基於該些檔案訂定新的可疑行為或惡意程式的偵測規則,藉此偵測下一次類似的攻擊行為。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
本發明係揭露一種偵測惡意程式的方法和裝置。防毒軟體通常在感染的第一時間並無法偵測長時間潛伏的惡意程式。等到防毒軟體更新偵測規則時,通常惡意程式已透過自我刪除來規避偵測。本發明透過網路流量收容技術與主機檔案活動軌跡收容技術,將資料封存並建立索引。當監控環境中偵測到可疑攻擊行動,便可利用檔案萃取模組針對特定時間與資料範圍的進行檔案復原,藉此讓事件處理人員能夠取回惡意樣本,協助還原攻擊事件全貌。針對還原的檔案,本發明亦可自動化地進行惡意程式分析,進一步確認該檔案為惡意程式,並將樣本內包含的關鍵資料回饋至惡意程式情資資料庫,增加或更新惡意程式偵測規則。
圖1是依照本發明的實施例的偵測惡意程式的裝置10,裝置10包括但不限於處理器20以及儲存單元30。儲存單元30可以係任何型態的固定或可移動隨機存取記憶體(RAM)、唯讀記憶體(ROM)、快閃記憶體(flash memory)、傳統硬碟(hard disk drive)、固態硬碟(solid-state drive)或類似元件或上述元件的組合,並用以記錄多個主要的模組,該些模組包括可疑行為分析模組310、惡意程式分析模組320、保存資料庫330、可疑行為偵測規則資料庫340、可疑樣本資料庫350以及惡意程式情資資料庫360。
處理器20耦接儲存單元30,並可以是中央處理單元(CPU),或是其他可程式化之一般用途或特殊用途的微處理器(Microprocessor)、數位信號處理器(DSP)、可程式化控制器、特殊應用積體電路(ASIC)或其他類似元件或上述元件的組合。在本發明實施例中,處理單元20用以執行偵測惡意程式的裝置10的所有功能,且可存取並執行儲存單元30中記錄的模組。
可疑行為分析模組310用以判別資料流是否存在可疑行為,並萃取出可疑行為發生時點的可疑檔案樣本,以利進行後續的惡意程式分析。可疑行為分析模組310包括多個子模組,其分別為保存模組311、可疑行為偵測模組312、檔案萃取模組313。
保存模組311係用以記錄資料流並且建立索引。當資料流的類型為主機檔案時,保存模組311透過監控程式蒐集主機系統上的檔案活動軌跡。檔案活動軌跡包含但不限於檔案異動歷程、主機程式呼叫應用程式介面(application programming interface,API)、程序執行API呼叫與自動啟動設定值/機碼等,詳如表一所示。表一、主機活動軌跡蒐集資料表
當資料流的類型為網路流量時,保存模組311透過網路流量鏡像側錄,以PCAP檔案格式儲存網路流量。保存模組311並可針對TCP/IP層通訊協定與常用應用層通訊協定,如TELNET、FTP、HTTP、POP3、SMTP或DNS等協定進行解析與記錄。保存模組311針對上述蒐集的資訊、日期時間以及受監控環境中主機的UID(Unique ID)建立索引,並且儲存於保存資料庫330。
可疑行為偵測模組312係用以依據可疑行為偵測規則資料庫340中的可疑行為偵測規則來比對資料流(即上述的主機活動軌跡或網路流量),並且偵測資料流中的可疑行為或攻擊事件。可疑行為偵測模組312還會記錄可疑行為或攻擊事件發生的時間點。當資料流的類型為網路流量時,可疑行為偵測規則所比對的資料可包括但不限於IP位址、連接埠、通訊協定標頭(諸如HTTP/ SMTP/ POP3/ FTP/ DNS)以及封包內容特徵比對等。當資料流的類型為主機檔案時,可疑行為偵測規則所比對的資料可包括但不限於檔案建立API、程序啟動API、系統排程啟動變更與自動啟動設定值/機碼等。當發現可疑行為時,可疑行為偵測模組312將記錄受監控之主機的主機名稱或網路流量對應的IP,以及記錄事件發生的日期時間。
檔案萃取模組313係用以基於可疑事件發生的日期時間與索引,從資料流萃取出可疑檔案樣本。檔案萃取模組313根據可疑行為偵測模組312比對出的主機名稱/IP與可疑事件發生時間。接著,檔案萃取模組313從保存資料庫330中進行檔案還原萃取,萃取出的可疑檔案樣本以壓縮檔格式儲存。例如,檔案萃取模組313可依據所還原之可疑檔案樣本的SHA256雜湊值命名並建立索引,並且將其儲存於可疑樣本資料庫350之中。接著,惡意程式分析模組320便可針對可疑檔案樣本執行自動化的惡意程式分析。裝置10可透過此方法降低檔案萃取所耗費的系統運算資源與萃取所需時間。
惡意程式分析模組320係基於惡意程式偵測規則分析可疑檔案樣本是否為惡意程式。惡意程式分析模組320包括多個子模組,其分別為信譽評等模組321、靜態分析模組322、動態分析模組323以及情資回饋模組324,其中信譽評等模組321、靜態分析模組322以及動態分析模組323可基於不同的惡意程式偵測規則分析可疑檔案樣本是否為惡意程式。
信譽評等模組321係惡意程式分析模組320首先執行的模組。信譽評等模組321以可疑檔案樣本的SHA256雜湊值向情資系統進行查詢,其中情資系統可例如是來自外部的惡意程式資料庫或是來自惡意程式情資資料庫360。若可疑檔案樣本已有惡意程式的相關紀錄,則直接讀取紀錄並且判斷該可疑檔案樣本惡意程式,不須執行後續分析(即:不須執行靜態分析模組322以及動態分析模組323的惡意程式分析功能)。若信譽評等模組321判定可疑檔案樣本並非惡意程式,則由靜態分析模組322對該可疑檔案樣本執行進一步的分析。
靜態分析模組322可透過YARA特徵規則、執行檔Mutex資訊、執行檔程式資料庫(program database)資訊與執行檔簽章內容等進行靜態分析特徵比對,藉以判斷可疑檔案樣本是否為惡意程式。靜態分析模組322的執行速度較動態分析模組323快速、誤判率(false positive)較低、漏判率(false negative)較高。若符合靜態分析特徵比對,則直接將可疑檔案樣本歸類為惡意程式,不須執行後續其他分析(即:不須執行動態分析模組323的惡意程式分析功能)。
動態分析模組323係透過沙箱(sandbox)分析技術記錄可疑檔案樣本的可疑行為並進行動態分析。此技術的執行較耗費時間,但可詳細記錄可疑檔案樣本的所有行為,供後續特徵偵測規則使用。動態分析模組323記錄的項目如下表二所示。表二、惡意程式動態分析記錄項目表
當可疑檔案樣本經過上述三個模組執行惡意程式分析後,惡意程式分析模組320將給予一個惡意等級評分(例如:介於0.0~1.0分)。當惡意等級評分高於閥值,則判定該可疑檔案樣本為惡意程式並將其標記。接著,由情資回饋模組324萃取惡意程式的關鍵資訊。關鍵資訊包括但不限於連線中繼站、特定目錄或檔案路徑,註冊機碼變更等。情資回饋模組324並自動產出對應於該可疑檔案樣本的可疑行為偵測規則及/或惡意程式偵測規則,並將可疑行為偵測規則回饋至可疑行為偵測規則資料庫340及/或將惡意程式偵測規則回饋至惡意程式情資資料庫360。可疑行為分析模組310可藉由更新後的可疑行為偵測規則重新起始分析流程,藉此發現其它未被發現的可疑檔案或惡意程式。
圖2是依照本發明的實施例的偵測惡意程式的方法200的主流程之流程圖,其可由本發明的裝置10實施。
在步驟S210,保存模組311記錄資料流並且建立該資料流的索引。例如,保存模組311可用於蒐集受監控主機之TCP/IP層網路封包與系統上的檔案活動軌跡。
在步驟S220,可疑行為偵測模組312依據可疑行為偵測規則來偵測存在於資料流的可疑行為,並且記錄該可疑行為發生的時間點。例如,當資料流的類型為主機檔案時,可疑行為偵測模組312可以從主機活動軌跡資料中偵測系統上是否有可疑的檔案建立、刪除與執行動作。比對內容包含但不限於檔案類型、檔案雜湊值、檔案建立來源、檔案被執行的父程序與系統註冊機碼等資訊。當資料流的類型為網路流量時,可疑行為偵測模組312執行比對黑名單IP地址、高風險通訊協定、可疑檔案下載或是傳輸之行為等。若發現可疑行為之風險評分超過系統制定的風險評分閥值則進入步驟S230,否則直接結束。
在步驟S230,檔案萃取模組313基於可疑行為發生的時間點與索引,從資料流萃取出可疑檔案樣本。例如,檔案萃取模組313可從步驟S220獲得報可疑行為發生之主機名稱、IP地址與日期時間,並以此作為索引至可疑行為分析模組310進行搜尋。檔案萃取模組313並利用檔案還原技術還原可疑檔案樣本,然後將可疑檔案樣本派送至惡意程式分析模組320進行自動化的分析。
在步驟S240,透過惡意程式分析模組320對可疑檔案樣本進行惡意程式分析。分析惡意程式的方法將於後續的圖3說明。惡意程式分析模組320執行完惡意程式的分析後,會給予可疑檔案樣本惡意等級評分(例如:介於0.0~10.0分),當評分高於閥值,則將其判定為惡意程式並進入步驟S250,否則直接建檔後結束流程。
在步驟S250,情資回饋模組324擷取被判定為惡意程式之可疑檔案樣本的資訊,並且將惡意程式之資訊製作成偵測規則(例如:可疑行為偵測規則或惡意程式偵測規則),並將偵測規則回饋至可疑行為分析模組310並進行檢索,重新啟動新一輪分析流程,藉此發現其它未被發現的可疑檔案或惡意程式。情資回饋模組324所萃取的惡意程式資訊請參照下表三。表三、惡意程式資訊擷取表
圖3是依照本發明的實施例的進一步說明步驟S220的可疑行為分析的流程圖,其可由本發明的裝置10實施。步驟S220可透過定期排程(例如:將預設頻率設為1次/1天)檢查的方式被執行,用以監控環境中是否存在可疑行為。
在步驟S310,透過可疑行為偵測模組312進行網路的流量可疑行為比對,若某主機之流量行為符合可疑行為偵測規則,則將該主機之IP與可疑行為發生之日期時間記錄下來,傳送至步驟S330,否則進入步驟S320以檢視主機上是否存在可疑檔案行為。
在步驟S320,透過可疑行為偵測模組312進行主機的檔案可疑行為比對,若符合可疑行為偵測規則,則將符合的主機名稱與可疑行為發生之日期時間記錄下來,傳送至步驟S430,否則直接結束。
在步驟S330,檔案萃取模組313可將主機之IP、主機名稱與日期時間作為參數,藉以從資料流中還原出可疑檔案樣本,並將可疑檔案樣本送至惡意程式分析模組320進行自動化分析。
圖4是依照本發明的實施例的進一步說明步驟S240的惡意程式分析的流程圖,其可由本發明的裝置10實施。
在步驟S410,信譽評等模組321透過計算可疑檔案樣本的SHA256雜湊值,並向情資系統進行資料查詢,其中情資系統可例如是來自外部的惡意程式資料庫或是來自惡意程式情資資料庫360。若可疑檔案樣本在資料庫中已有相關資訊,則可直接標示成惡意程式,不需執行後續分析。若樣本為未知樣本,則進入步驟S420。
在步驟S420,靜態分析模組322透過YARA規則、執行檔Mutex、執行等PDB資訊與執行檔簽章內容等靜態內容進行靜態分析特徵比對。靜態分析特徵比對的執行速度相對步驟S430的動態分析較為快速。若符合靜態分析特徵比對則直接將可疑檔案樣本歸類為惡意程式,若不符合則由進入步驟S430。
在步驟S430,動態分析模組323透過沙箱分析技術(sandbox)進行動態分析。分析過程中會記錄可疑檔案樣本在監控的沙箱環境中的所有行為,行為紀錄表可參考下表四。表四、惡意程式動態分析行為紀錄表
在步驟S440,惡意程式分析模組320會對進行惡意等級評分。具體來說,每筆行為偵測規則有一分數值(例如:介於0.0 ~ 1.0),範例格式如下表五。若可疑檔案樣本的行為與偵測規則相符則得分。假使可疑檔案樣本同時符合多筆規則,則以累加方式計算總分。當總分超過預定義之閥值(例如:預設為0.6),則將可疑檔案標示為惡意程式。若總分低於閥值,代表該可疑檔案經過上述模組分析後皆無明顯惡意程式特徵,因此標示為正常程式。表五、惡意程式偵測規則格式表
在步驟S450,惡意程式分析模組320以SHA-256雜湊值為主要索引,將可疑檔案樣本標示為惡意程式。
在步驟S460,惡意程式分析模組320以SHA-256雜湊值為主要索引,將可疑檔案樣本標示為正常程式。
圖5是依照本發明的偵測惡意程式的裝置10實際應用於一系統的範例。
步驟一:進行系統設定。在一公司的伺服器與主機內執行監控程式60。將主機上之活動軌跡回傳至可疑行為分析模組A。並在路由器鏡像分流網路流量至可疑行為分析模組B,藉以分析網路流量並確保設定正確後即開始網路流量監控。可疑行為分析模組A與可疑行為分析模組B均可由本發明的可疑行為分析模組310實施。
步驟二:進行活動軌跡收容。同時收容伺服器的流量與檔案活動軌跡,並以日期與系統IP/主機名稱建立索引,以便日後調用存查。
步驟三:進行可疑行為分析。預設分析周期為每日一次。可疑行為分析模組A以及可疑行為分析模組B自動地分析主機或網路流量中是否有可疑行為。當可疑行為之風險評分超過閥值則進行可疑樣本萃取,否則直接結束。
步驟四:進行可疑樣本萃取。偵測惡意程式的裝置10可從流量與主機活動軌跡系統中以可疑行為發生之日期時間、相關主機IP與主機名稱進行索引,利用檔案還原技術還原可疑檔案並進行自動化分析。
步驟五:進行可疑樣本。對惡意檔案進行靜態分析、動態分析與情資信譽評分析,並回報管理者在分析後,是否惡意程式,管理者可根據此報表進行追蹤或資安事件調查。若未發現可疑程式則結束。
步驟六:進行樣本情資回饋。從被發現的惡意程式行為中萃取關鍵資訊,如惡意程式連線中繼站、惡意程式執行過程中寫入特定目錄或建立特定檔案,寫入註冊機碼等。並將上述資訊製作成可疑行為偵測規則與惡意程式偵測規則。
步驟七:產生威脅情資。分別將可疑行為偵測規則與惡意程式偵測規則匯入可疑行為分析模組與惡意程式分析模組進行檢測,並透過保存的流量查閱過去已被植入的其他惡意程式,找出其它已受駭主機,提升管理員對內部資訊系統的可視性。
綜上所述,本發明可透過可疑行為偵測規則篩選出可疑的檔案樣本,並僅針對可疑的樣本進行惡意程式分析。如此,可降低惡意程式分析耗費的時間以及運算能力,減輕系統的負擔。此外,本發明可從終端軌跡中還原出可能受過攻擊的檔案,並且基於該些檔案訂定新的可疑行為或惡意程式的偵測規則,藉此偵測下一次類似的攻擊行為。
本發明之特點及功效:
本發明實施例所提供之偵測惡意程式方法,與前述引證案及其他習用技術相互比較時,更具有下列之優點: 1.透過本發明中的樣本回溯機制,可以還原已被攻擊者抹除的惡意程式樣本,對於資安事件調查有極大助益。 2.透過本發明中的可疑行為偵測機制,可從大量紀錄中篩選出少量的受駭主機與攻擊發生時間,再從這些原始資料去還原檔案,而不是直接從所有收容的紀錄中去還原所有檔案。這樣的做法可大幅降低系統運算資源與儲存空間的耗損。 3.本發明所提出之惡意程式分析方法,包含使用外部信譽評等情資、靜態特徵偵測與動態行為分析,當惡意程式變形、加殼或程式碼混淆的情況下亦可正確偵測。 4.本發明之系統具備將惡意程式樣本關鍵資訊轉換為偵測規則之功能,並回饋到可疑行為偵測規則資料庫與惡意程式特徵資料庫,可協助使用者產生在地化資安威脅情資。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
10‧‧‧裝置
20‧‧‧處理器
200‧‧‧方法
30‧‧‧儲存單元
310‧‧‧可疑行為分析模組
311‧‧‧保存模組
312‧‧‧可疑行為偵測模組
313‧‧‧檔案萃取模組
320、A、B‧‧‧惡意程式分析模組
321‧‧‧信譽評等模組
322‧‧‧靜態分析模組
323‧‧‧動態分析模組
324‧‧‧情資回饋模組
330‧‧‧保存資料庫
340‧‧‧可疑行為偵測規則資料庫
350‧‧‧可疑樣本資料庫
360‧‧‧惡意程式情資資料庫
60‧‧‧主機監控程式
S210、S220、S230、S240、S250、S310、S320、S330、S410、S420、S430、S440、S450、S460‧‧‧步驟
圖1是依照本發明的實施例的偵測惡意程式的裝置。 圖2是依照本發明的實施例的偵測惡意程式的方法的主流程之流程圖。 圖3是依照本發明的實施例的進一步說明步驟S220的可疑行為分析的流程圖。 圖4是依照本發明的實施例的進一步說明步驟S240的惡意程式分析的流程圖。 圖5是依照本發明的偵測惡意程式的裝置實際應用於一系統的範例。
Claims (10)
- 一種偵測惡意程式的裝置,包括: 儲存單元,記錄多個模組;以及 處理器,耦接該儲存單元,且存取並執行該儲存單元所儲存的該些模組,該些模組包括: 可疑行為分析模組,包括: 保存模組,記錄資料流並且建立該資料流的索引; 可疑行為偵測模組,依據可疑行為偵測規則偵測存在於該資料流的可疑行為並記錄該可疑行為的時間點;以及 檔案萃取模組,基於該時間點與該索引,從該資料流萃取出可疑檔案樣本;以及 惡意程式分析模組,判斷該可疑檔案樣本是否為惡意程式。
- 如申請專利範圍第1項所述的裝置,其中該惡意程式分析模組基於惡意程式偵測規則分析該可疑檔案樣本是否為惡意程式,且該惡意程式分析模組包括: 信譽評等模組,查詢該可疑檔案樣本是否為已知的惡意程式,若是,則判斷該可疑檔案樣本為惡意程式; 靜態分析模組,透過YARA特徵規則、執行檔Mutex資訊、執行檔程式資料庫以及執行檔簽章內容的至少其中之一來判斷該可疑檔案樣本是否為惡意程式;以及 動態分析模組,透過沙箱(sandbox)分析技術來判斷該可疑檔案樣本是否為惡意程式。
- 如申請專利範圍第2項所述的裝置,其中該惡意程式分析模組執行: 對由該惡意程式偵測規則分析過的該可疑檔案樣本進行惡意等級評分, 若該可疑檔案樣本的惡意等級高過閾值,則判定該可疑檔案樣本為惡意程式。
- 如申請專利範圍第3項所述的裝置,其中該惡意程式分析模組更包括: 情資回饋模組,回報被判定為惡意程式的該可疑檔案樣本的資訊,並且產生與該可疑檔案樣本相關的可疑行為偵測規則,或產生與該可疑檔案樣本相關的惡意程式偵測規則。
- 如申請專利範圍第1項所述的裝置,其中該可疑行為偵測規則關聯於檔案類型、檔案雜湊值、檔案建立來源、檔案被執行的父程序、系統註冊機碼、黑名單IP地址、高風險通訊協定、可疑檔案下載以及可疑檔案傳輸的至少其中之一。
- 一種偵測惡意程式的方法,包括: 記錄資料流並且建立該資料流的索引; 依據可疑行為偵測規則偵測存在於該資料流的可疑行為並記錄該可疑行為的時間點; 基於該時間點與該索引,從該資料流萃取出可疑檔案樣本;以及 判斷該可疑檔案樣本是否為惡意程式。
- 如申請專利範圍第6項所述的方法,該方法更包括基於惡意程式偵測規則分析該可疑檔案樣本是否為惡意程式,其包括: 查詢該可疑檔案樣本是否為已知的惡意程式,若是,則判斷該可疑檔案樣本為惡意程式; 透過YARA特徵規則、執行檔Mutex資訊、執行檔程式資料庫以及執行檔簽章內容的至少其中之一來判斷該可疑檔案樣本是否為惡意程式;以及 透過沙箱(sandbox)分析技術來判斷該可疑檔案樣本是否為惡意程式。
- 如申請專利範圍第7項所述的方法,更包括: 對由該惡意程式偵測規則分析過的該可疑檔案樣本進行惡意等級評分, 若該可疑檔案樣本的惡意等級高過閾值,則判定該可疑檔案樣本為惡意程式。
- 如申請專利範圍第8項所述的方法,更包括: 回報被判定為惡意程式的該可疑檔案樣本的資訊,並且產生與該可疑檔案樣本相關的可疑行為偵測規則,或產生與該可疑檔案樣本相關的惡意程式偵測規則。
- 如申請專利範圍第6項所述的方法,其中該可疑行為偵測規則關聯於檔案類型、檔案雜湊值、檔案建立來源、檔案被執行的父程序、系統註冊機碼、黑名單IP地址、高風險通訊協定、可疑檔案下載以及可疑檔案傳輸的至少其中之一。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106145575A TWI640891B (zh) | 2017-12-25 | 2017-12-25 | 偵測惡意程式的方法和裝置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106145575A TWI640891B (zh) | 2017-12-25 | 2017-12-25 | 偵測惡意程式的方法和裝置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI640891B TWI640891B (zh) | 2018-11-11 |
| TW201928746A true TW201928746A (zh) | 2019-07-16 |
Family
ID=65034143
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106145575A TWI640891B (zh) | 2017-12-25 | 2017-12-25 | 偵測惡意程式的方法和裝置 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI640891B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| SG10202004811XA (en) * | 2019-08-29 | 2021-03-30 | Flexxon Pte Ltd | Methods and systems using an ai co-processor to detect anomalies caused by malware in storage devices |
| CN112583763B (zh) * | 2019-09-27 | 2022-09-09 | 财团法人资讯工业策进会 | 入侵侦测装置以及入侵侦测方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI434173B (zh) * | 2009-12-02 | 2014-04-11 | Inst Information Industry | 用於監控一硬體之一資料之監控方法、監控裝置及其電腦程式產品 |
| TWI435236B (zh) * | 2010-12-15 | 2014-04-21 | Inst Information Industry | 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品 |
| TW201705035A (zh) * | 2015-07-23 | 2017-02-01 | Chunghwa Telecom Co Ltd | 快速篩檢資安風險主機方法與系統 |
| CN107247902B (zh) * | 2017-05-10 | 2021-07-06 | 深信服科技股份有限公司 | 恶意软件分类系统及方法 |
-
2017
- 2017-12-25 TW TW106145575A patent/TWI640891B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TWI640891B (zh) | 2018-11-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| CN102819713B (zh) | 一种检测弹窗安全性的方法和系统 | |
| US9300682B2 (en) | Composite analysis of executable content across enterprise network | |
| US20170026398A1 (en) | Identifying anomalous messages | |
| CN110519264B (zh) | 攻击事件的追踪溯源方法、装置及设备 | |
| US12155678B1 (en) | Detecting and mitigating leaked cloud authorization keys | |
| EP3646218A1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
| CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
| KR101132197B1 (ko) | 악성 코드 자동 판별 장치 및 방법 | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN103701793A (zh) | 服务器肉鸡的识别方法和装置 | |
| CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| CN115967566A (zh) | 网络威胁信息的处理方法、装置、电子设备及存储介质 | |
| CN114257403A (zh) | 误报检测方法、设备及可读存储介质 | |
| CN113965419A (zh) | 一种通过反连判定攻击成功的方法及装置 | |
| CN112910895A (zh) | 网络攻击行为检测方法、装置、计算机设备和系统 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN111159702A (zh) | 一种进程名单生成方法和装置 | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| US11763004B1 (en) | System and method for bootkit detection | |
| TW202205116A (zh) | 察覺惡意攻擊的方法及網路安全管理裝置 | |
| CN116232612B (zh) | 异常流量的检测方法、装置和计算机可读存储介质 | |
| RU2852485C2 (ru) | Способ идентификации вредоносного программного обеспечения, компьютерная система и невременный машиночитаемый носитель |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |