TW201901514A - 程式異動監控與應變系統及方法 - Google Patents
程式異動監控與應變系統及方法 Download PDFInfo
- Publication number
- TW201901514A TW201901514A TW106116665A TW106116665A TW201901514A TW 201901514 A TW201901514 A TW 201901514A TW 106116665 A TW106116665 A TW 106116665A TW 106116665 A TW106116665 A TW 106116665A TW 201901514 A TW201901514 A TW 201901514A
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- program
- unit
- monitoring
- profile
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
一種程式異動監控與應變系統及方法,該系統包括監控通報模組與應變模組。監控通報模組包括管理單元、建立單元與異動比對單元,且應變模組包括採證單元與惡意程式檢測單元。管理單元設定排外設定檔與程式異動監控設定檔。建立單元根據程式異動監控設定檔建立檔案雜湊列表。異動比對單元將異動檔案比對排外設定檔與檔案雜湊列表,當比對結果為異常時,異動比對單元產生異常警告,且令通報單元通報異常警告。當異常警告產生時,採證單元採證與存放異動檔案,且令惡意程式檢測單元將異動檔案與資料庫中之惡意程式特徵碼進行比對,以判斷異動檔案是否為惡意程式。
Description
本發明係關於一種程式異動監控與應變技術,特別是指一種程式異動監控與應變系統及方法。
隨著科技的進步,人們已習慣利用瀏覽網站的方式吸收資訊,或是利用超商與銀行的公共資訊機(KIOSK)、銷售點終端機台(Point of Sale Terminal;POS)等功能限定專用設備上進行網路交易。雖然科技的進步帶給人們許多方便,但伴隨而來是網路駭客或是網路病毒所帶來的資安風險,因此防毒軟體與監控軟體等維護資安的軟體因應而生。
雖然現有的大多數防毒或是監控軟體可達成監控網站流量/系統日誌是否異常部分與偵測病毒入侵等功能。然而現有防毒針對未知型病毒或腳本型病毒的偵測效果不佳,而常見的資安監控軟體往往留存相當大量的日誌資訊,針對資安事故的調查與證據採證往往需要投入專業的分析人員進行分析調查與採證處理,不易滿足需快速調查採證以正確應變減少災損的資安應變時效需求。此外,一般網站常會有開放使用者上傳檔案或圖片等檔案上傳功能,傳統 利用白名單限制檔案機制阻擋駭客利用漏洞上傳後門,往往會因為網站設計必須允許上傳檔案或圖片而因此必須將白名單設定整個目錄排外,不夠細緻的排外規則設定反而形成資安防護的死角。
因此,如何解決上述習知技術之問題,實已成為本領域技術人員之一大課題。
有鑑於此,本發明係提供一種程式異動監控與應變系統,其能應用於例如監控網站程式、或公共資訊機(KIOSK)與銷售點終端機台(POS)等功能限定專用設備上的程式變動。
本發明提供一種程式異動監控與應變系統,係用於具有儲存器與處理器之電子裝置中,該系統包括監控通報模組與應變模組,監控通報模組包括管理單元、建立單元與異動比對單元,且應變模組包括採證單元與惡意程式檢測單元。管理單元用以設定一排外設定檔與一程式異動監控設定檔。建立單元用以根據程式異動監控設定檔建立一檔案雜湊列表。異動比對單元用以將一異動檔案比對排外設定檔與檔案雜湊列表,當比對結果為異常時,異動比對單元產生一異常警告,且令通報單元通報異常警告。當異常警告產生時,採證單元採證與存放異動檔案,且令惡意程式檢測單元將異動檔案與一資料庫中之惡意程式特徵碼進行比對,以判斷異動檔案是否為一惡意程式。
本發明復提供一種程式異動監控與應變方法,係用於 具有儲存器與處理器之電子裝置中,該方法包括:設定一排外設定檔與一程式異動監控設定檔;根據程式異動監控設定檔建立一檔案雜湊列表;將一異動檔案比對排外設定檔與檔案雜湊列表,當比對結果為異常時,產生一異常警告,進而通報異常警告;以及當異常警告產生時,採證與存放異動檔案,進而將異動檔案與一資料庫中之惡意程式特徵碼進行比對,以判斷該異動檔案是否為一惡意程式。
前述之系統與方法中,該儲存器為暫存器、記憶體、記憶卡或磁碟,該處理器為微處理器或中央處理器,該電子裝置為伺服器。
前述之系統與方法中,該監控通報模組、管理單元、建立單元、異動比對單元、通報單元、應變模組、採證單元與惡意程式檢測單元係為軟體程式,且該些軟體程式係儲存於該儲存器中並由該處理器處理之。
前述之系統與方法中,該監控通報模組更包括一為軟體程式之排外管理單元,用以根據排外設定檔比對異動檔案,藉以避免已知的正常異動(例如允許用戶上傳圖片檔案)而觸發該異常警告的警報通報。
前述之系統與方法中,還包括一為軟體程式之還原單元,當惡意程式檢測單元檢測出異動檔案為一惡意程式時,還原單元根據建立單元所建立之備份檔案進行系統自動還原。
前述之系統與方法中,檔案雜湊列表包括複數雜湊值與相對應之複數檔案路徑。
前述之系統與方法中,排外設定檔可不具有或同時具有多項排外規則,藉以排除允許用戶異動的資料檔,避免假警報。
由上可知,本發明之程式異動監控與應變系統及方法中,可應用於監控網站程式或公共資訊機(KIOSK)、銷售點終端機台(POS)等功能限定專用設備上的程式變動,且自動傳遞訊息通報可能的駭客植入病毒後門的入侵檔案程式,並可透過系統日誌(syslog)傳送事件整合到資安事件管理監控平台(Security Information and Event Management,SIEM)使用。利用建立程式異動監控設定檔與檔案雜湊列表前後比對,當監控到檔案異動時,透過採證單元的採證功能保留供調查的可疑檔案程式證據並可結合惡意程式檢測單元檢測該異動檔案是否為已知之惡意程式。一旦惡意程式檢測單元檢測出異動檔案為一惡意程式時,還原單元根據建立單元所建立之備份檔案進行系統自動還原,以達到針對異動的程式自動進行應變處置,快速控制可能地駭客入侵風險,進而維護系統的安全及正常運作。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容顯而易見,或可藉由對本發明之實踐習得。本發明之特徵及優點借助於在申請專利範圍中特別指出的元件及組合來認識到並達到。應理解,前文一般描述與以下詳細描述兩者均僅為例示性及解釋性的,且 不欲約束本發明所主張之範圍。
1‧‧‧電子裝置
2‧‧‧儲存器
21‧‧‧監控通報模組
211‧‧‧管理單元
2111‧‧‧排外設定檔
2112‧‧‧程式異動監控設定檔
212‧‧‧建立單元
2121‧‧‧檔案雜湊列表
2121a‧‧‧雜湊值
2121b‧‧‧檔案路徑
2122‧‧‧備份檔案
213‧‧‧異動比對單元
214‧‧‧通報單元
215‧‧‧排外管理單元
22‧‧‧應變模組
221‧‧‧採證單元
222‧‧‧惡意程式檢測單元
223‧‧‧還原單元
23‧‧‧資料庫
3‧‧‧處理器
S1至S8‧‧‧步驟
第1圖繪示本發明之程式異動監控與應變系統之電子裝置結構示意圖;第2圖繪示本發明之程式異動監控與應變系統之方塊示意圖;第3圖繪示本發明之程式異動監控與應變系統之檔案雜湊列表之組成示意圖;以及第4圖繪示本發明之程式異動監控與應變方法之流程圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容輕易地了解本發明之其他優點與功效,亦可藉由其他不同的具體實施形態加以施行或應用。
第1圖為本發明之程式異動監控與應變系統之電子裝置結構示意圖,第2圖為本發明之程式異動監控與應變系統之方塊示意圖,第3圖為本發明之程式異動監控與應變系統之檔案雜湊列表之組成示意圖。
如第1至2圖所示,本發明程式異動監控與應變系統用於具有儲存器2、處理器3與作業系統(圖未示)之電子裝置1中。其中,儲存器2可為暫存器、記憶體(如快取記憶體或隨機存取記憶體)、記憶卡或磁碟(如硬碟或光碟),處理器3可為微處理器或中央處理器,電子裝置1可為伺服 器(如中央伺服器、網路伺服器或雲端伺服器)。上述之舉例僅供參考,但本發明並不以此為限。
程式異動監控與應變系統包括一監控通報模組21與一應變模組22。如第1圖所示,監控通報模組21、應變模組22與一資料庫23儲存於儲存器2中。處理器3係電性連接儲存器2,以進行相關的程式運算與資料交換。
如第2圖所示,監控通報模組21包括一管理單元211、一建立單元212、一異動比對單元213與一通報單元214。管理單元211主要進行設定管理,作用包含設定監控範圍、設定通報對象、設定通報方式與資訊、應變處置方式設定等設定資訊。管理單元211包括一排外設定檔2111與一程式異動監控設定檔2112。管理單元211利用設定一排外設定檔2111與一程式異動監控設定檔2112的方式,其中,排外設定檔2111具有至少一排外規則,藉以排除正常的資料檔(如:允許用戶異動的資料檔),以避免假警報產生。亦即,排外規則將正常的資料檔,如網路使用者所上傳之資料檔(包括照片檔案、文字檔案等)加以排除,同時設定相關的監控與通報資料,藉此避免錯誤通報正常的應用程式需求。在一些實施例中,排外設定檔2111亦可不具有排外規則。
建立單元212根據程式異動監控設定檔2112建立一檔案雜湊列表2121與一備份檔案2122。如第3圖所示,檔案雜湊列表2121包括複數雜湊值2121a與相對應之複數檔案路徑2121b。複數雜湊值2121a與檔案路徑2121b為一對 一的對應情況。在一些實施例中,在每次授權進行程式異動時,程式異動監控與應變系統可先暫停監控機制,並於佈署好檔案後,建立單元212重新建立檔案雜湊列表2121,並可同時備份監控範圍內的檔案,建立一備份檔案2122,以作為日後自動還原功能使用。
異動比對單元213將一異動檔案與管理單元211中的排外設定檔2111與建立單元212中的檔案雜湊列表2121進行比對,亦即異動比對單元213可透過即時或定時方式監控計算目前監控範圍檔案的雜湊值(Hash)與程式異動監控設定檔2112的資料。當比對結果為異常時,異動比對單元213產生一異常警告。隨後異動比對單元213將此異常警告傳送給通報單元214,藉由通報單元214通報該異常警告,以提醒相關人士進行處理。其中,通報單元可利用電子郵件(email)寄送或是透過系統日誌(syslog)傳送事件針對監控到的異動資訊進行通報。
在一些實施例中,監控通報模組21還包括一排外管理單元215,且排外管理單元215根據排外設定檔2111比對該異動檔案。同時,排外管理單元215解析排外規則,於設定監控範圍內設定排外路徑、排外檔案、排外附檔名等機制,避免例如網站正常上傳檔案行為的已知的正常異動,觸發通報單元214發出異常警告的警報通報。其中,排外規則可用正規表示式表示或自行定義排外條件,將監控範圍內的正常異動進行排外動作。
如第2圖所示,應變模組22包括一採證單元221與一 惡意程式檢測單元222。當該異常警告產生時,採證單元221於第一時間針對異動檔案進行採證與存放該異動檔案,以供後續調查與佐證使用。換句話說,採證單元221可針對異動比對單元213比對到異動檔案與程式異動監控設定檔2112為不同且非正常的異動時,且採證單元221針對非排外規則的異動檔案自動進行採證收集,並保留計算的雜湊值(Hash)清單,作為日後鑑識分析與調查時的原始資料,並確保鑑識蒐證資料的完整性,亦即透過採證功能保留供調查的可疑檔案程式證據,用以日後進行比對檢討之用,以避免再次受到相同惡意程式之攻擊。
另外,當該異常警告產生時,惡意程式檢測單元222將該異動檔案與資料庫23中之惡意程式特徵碼進行比對,藉以判斷該異動檔案是否為一惡意程式。亦即,惡意程式檢測單元222可根據惡意程式特徵碼庫或結合外部防毒軟體進行惡意程式檢測,提供更多通報資訊來判斷是否遭到惡意程式入侵植入後門程式,以提高惡意程式檢測的效率與準確率。
在一些實施例中,應變模組22還包括一還原單元223。當惡意程式檢測單元222檢測出該異動檔案為一惡意程式時,惡意程式檢測單元222將相關訊息通報給還原單元223,還原單元223根據建立單元212所建立之備份檔案2122進行系統自動還原。亦即,將被惡意程式刪除的檔案資料回補,或是將被惡意程式新增的檔案資料刪除,或是將被惡意程式修改的資料回復到設定的初始狀態。換句 話說,還原單元223可將監控範圍還原成程式異動監控與應變系統最初建立的檔案程式與目錄結構。
上述的程式異動監控與應變系統中,監控通報模組21、管理單元211、建立單元212、異動比對單元213、通報單元214、應變模組22、採證單元221與惡意程式檢測單元222均為軟體程式。如第1圖所示,上述的軟體程式均儲存於儲存器2中,並藉由處理器3進行相關的資料處理。
由上可知,本發明之程式異動監控與應變系統中,可應用於監控一般的網站程式或公共資訊機(KIOSK)、銷售點終端機台(POS)等功能限定專用設備上的程式中所發生的變動,且自動傳遞訊息通報可能的駭客植入病毒後門的入侵檔案程式,並可透過系統日誌(syslog)傳送事件整合到資安事件管理監控平台(SIEM)使用。以達到針對異動的程式自動進行應變處置,快速控制可能地駭客入侵風險,透過異常異動偵測來補足防毒軟無法偵測未知型病毒後門檔案的資安風險,進而維護系統的安全及正常運作。
第4圖為本發明之程式異動監控與應變方法之流程圖。如圖所示,該方法係用於具有儲存器2與處理器3之電子裝置1中,包括:
步驟S1:利用一管理單元211設定一排外設定檔2111與一程式異動監控設定檔2112。管理單元211主要進行設定管理,作用包含設定監控範圍、設定通報對象、設定通報方式與資訊、應變處置方式設定等設定資訊。其中,排 外設定檔2111具有至少一排外規則,藉以排除正常資料檔(如:允許用戶異動的資料檔),以避免假警報產生。亦即,排外規則將正常的資料檔,如網路使用者所上傳之資料檔(包括照片檔案、文字檔案等)加以排除,同時設定相關的監控與通報資料,藉此避免錯誤通報正常的應用程式需求。在一些實施例中,排外設定檔2111亦可不具有排外規則。
步驟S2:利用一建立單元212根據該程式異動監控設定檔2112建立一檔案雜湊列表2121與一備份檔案2122。該檔案雜湊列表2121包括複數雜湊值2121a與相對應之複數檔案路徑2121b。複數雜湊值2121a與檔案路徑2121b為一對一的對應情況。在一些實施例中,在每次授權進行程式異動時(例如程式正常的改版更版作業),程式異動監控與應變系統可先暫停監控機制,並於佈署好檔案後,建立單元212重新建立檔案雜湊列表2121,並可同時備份監控範圍內的檔案,建立一備份檔案2122,以作為日後自動還原功能使用。
步驟S3:利用一異動比對單元213將一異動檔案比對該排外設定檔2111與該檔案雜湊列表2121,當比對結果異常時,該異動比對單元213產生一異常警告。
步驟S4:利用一排外設定單元215根據該排外設定檔2111比對該異動檔案,藉以避免已知的正常異動觸發警報通報。排外管理單元215解析排外規則,於設定監控範圍內設定排外路徑、排外檔案、排外附檔名等機制,避免例 如網站正常上傳檔案行為的已知的正常異動,觸發通報單元214發出異常警告的警報通報。其中,排外規則可用正規表示式表示或自行定義排外條件,將監控範圍內的正常異動進行排外。
步驟S5:利用一通報單元214通報該異常警告。異動比對單元213可透過即時或定時方式監控計算目前監控範圍檔案的雜湊值(Hash)與程式異動監控設定檔2112的資料。當比對結果為異常時,異動比對單元213產生並將一異常警告傳送給通報單元214,藉由通報單元214通報該異常警告,以提醒相關人士進行處理。其中,通報單元可利用電子郵件(email)寄送或是透過系統日誌(syslog)傳送事件針對監控到的異動資訊進行通報。
步驟S6:當該異常警告產生時,利用一採證單元221採證與存放該異動檔案。採證單元221可針對異動比對單元213比對到異動檔案與程式異動監控設定檔2112為不同且非正常的異動時,且採證單元221針對非排外規則的異動檔案自動進行採證收集,並保留計算的雜湊值(Hash)清單,作為日後鑑識分析與調查時的原始資料,並確保鑑識蒐證資料的完整性。亦即,透過採證功能保留供調查的可疑檔案程式證據,用以日後進行比對之用,以避免再次受到相同惡意程式之攻擊。
步驟S7:當該異常警告產生時,惡意程式檢測單元222將該異動檔案與該惡意程式特徵碼進行比對,檢測判斷該異動檔案是否為一惡意程式。惡意程式檢測單元222可根 據惡意程式特徵碼庫或結合外部防毒軟體進行惡意程式檢測,提供更多通報資訊來判斷是否遭到惡意程式入侵植入後門程式,以提高檢測的效率與準確率。
步驟S8:當該惡意程式檢測單元222檢測出該異動檔案為一惡意程式時,利用一還原單元223根據建立單元212所設立一備份檔案2122進行系統自動還原。還原單元223將被惡意程式刪除的檔案資料回補,或是將被惡意程式新增的檔案資料刪除,或是將被惡意程式修改的資料回復到設定的初始狀態。換句話說,還原單元223可將監控範圍還原成程式異動監控與應變系統最初建立的檔案程式與目錄結構。
由上可知,本發明之程式異動監控與應變系統及方法,可應用於監控網站程式或公共資訊機(KIOSK)、銷售點終端機台(POS)等功能限定專用設備上的程式變動,且自動傳遞訊息通報可能的駭客植入病毒後門的入侵檔案程式,並可透過系統日誌(syslog)傳送事件整合到資安事件管理監控平台(SIEM)使用。利用建立程式異動監控設定檔與檔案雜湊列表進行前後比對,當監控到檔案異動時,透過採證單元的採證功能保留供調查的可疑檔案程式證據並可結合惡意程式檢測單元檢測該異動檔案是否為已知之惡意程式。一旦惡意程式檢測單元檢測出異動檔案為一惡意程式時,還原單元根據建立單元所建立之備份檔案進行系統自動還原,以達到針對異動的程式自動進行應變處置。同時,利用排外設定單元排除如網站正常上傳檔案行為的已知的 正常異動,避免觸發通報單元發出異常警告的警報通報。如此可快速控制可能的駭客入侵風險,進而維護系統的安全及正常運作。
上述實施形態僅例示性說明本發明之原理、特點及其功效,並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何運用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍,應如申請專利範圍所列。
Claims (12)
- 一種程式異動監控與應變系統,係用於具有儲存器與處理器之電子裝置中,該系統包括:一監控通報模組,包括:一管理單元,用以設定一排外設定檔與一程式異動監控設定檔;一建立單元,用以根據該程式異動監控設定檔建立一檔案雜湊列表;一異動比對單元,用以將一異動檔案比對該排外設定檔與該檔案雜湊列表,當比對結果為異常時,該異動比對單元產生一異常警告;及一通報單元,用以通報該異常警告;以及一應變模組,包括:一採證單元,當該異常警告產生時,用以採證與存放該異動檔案;及一惡意程式檢測單元,當該異常警告產生時,用以將該異動檔案與一資料庫中之惡意程式特徵碼進行比對,以判斷該異動檔案是否為一惡意程式。
- 如申請專利範圍第1項所述之程式異動監控與應變系統,其中,該儲存器為暫存器、記憶體、記憶卡或磁碟,該處理器為微處理器或中央處理器,該電子裝置為伺服器。
- 如申請專利範圍第2項所述之程式異動監控與應變系統,其中,該監控通報模組、管理單元、建立單元、異動比對單元、通報單元、應變模組、採證單元與惡意程式檢測單元係為軟體程式,且該些軟體程式係儲存於該儲存器中並由該處理器處理之。
- 如申請專利範圍第1項所述之程式異動監控與應變系統,該監控通報模組更包括一為軟體程式之排外管理單元,用以根據該排外設定檔比對該異動檔案,藉以避免已知的正常異動觸發該異常警告的警報通報。
- 如申請專利範圍第1項所述之程式異動監控與應變系統,更包括一為軟體程式之還原單元,當該惡意程式檢測單元檢測出該異動檔案為一惡意程式時,該還原單元根據該建立單元所建立之備份檔案進行系統自動還原。
- 如申請專利範圍第1項所述之程式異動監控與應變系統,其中,該檔案雜湊列表包括複數雜湊值與相對應之複數檔案路徑。
- 如申請專利範圍第1項所述之程式異動監控與應變系統,其中,該排外設定檔具有至少一排外規則,藉以排除資料檔。
- 一種程式異動監控與應變方法,係用於具有儲存器與處理器之電子裝置中,該方法包括:設定一排外設定檔與一程式異動監控設定檔;根據該程式異動監控設定檔建立一檔案雜湊列 表;將一異動檔案比對該排外設定檔與該檔案雜湊列表,當比對結果為異常時,產生一異常警告,進而通報該異常警告;以及當該異常警告產生時,採證與存放該異動檔案,進而將該異動檔案與一資料庫中之惡意程式特徵碼進行比對,以判斷該異動檔案是否為一惡意程式。
- 如申請專利範圍第8項所述之程式異動監控與應變方法,更包括根據該排外設定檔比對該異動檔案,藉以避免已知的正常異動觸發該異常警告的警報通報。
- 如申請專利範圍第8項所述之程式異動監控與應變方法,更包括當檢測出該異動檔案為一惡意程式時,根據一備份檔案進行系統自動還原。
- 如申請專利範圍第8項所述之程式異動監控與應變方法,其中,該檔案雜湊列表包括複數雜湊值與相對應之複數檔案路徑。
- 如申請專利範圍第8項所述之程式異動監控與應變方法,其中,該排外設定檔具有至少一排外規則,藉以排除資料檔。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106116665A TW201901514A (zh) | 2017-05-19 | 2017-05-19 | 程式異動監控與應變系統及方法 |
| US15/869,327 US10579797B2 (en) | 2017-05-19 | 2018-01-12 | Program integrity monitoring and contingency management system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106116665A TW201901514A (zh) | 2017-05-19 | 2017-05-19 | 程式異動監控與應變系統及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201901514A true TW201901514A (zh) | 2019-01-01 |
Family
ID=64271742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106116665A TW201901514A (zh) | 2017-05-19 | 2017-05-19 | 程式異動監控與應變系統及方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US10579797B2 (zh) |
| TW (1) | TW201901514A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859896A (zh) * | 2019-04-01 | 2020-10-30 | 长鑫存储技术有限公司 | 配方文档检测方法、装置、计算机可读介质及电子设备 |
| TWI749717B (zh) * | 2020-08-17 | 2021-12-11 | 新加坡商鴻運科股份有限公司 | 異常日誌處理方法、裝置、終端設備、雲端伺服器及系統 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3605374A1 (en) * | 2018-08-03 | 2020-02-05 | Hewlett-Packard Development Company, L.P. | Intrusion resilient applications |
| CN111832018A (zh) * | 2019-04-19 | 2020-10-27 | 富泰华工业(深圳)有限公司 | 病毒检测方法、装置、计算机装置及存储介质 |
| CN110177147A (zh) * | 2019-05-28 | 2019-08-27 | 西安邮电大学 | 一种基于物联网的多终端资源联合*** |
| CN112231694A (zh) * | 2020-10-27 | 2021-01-15 | 北京人大金仓信息技术股份有限公司 | 一种数据库的检测方法、装置、设备及介质 |
| CN112596752B (zh) * | 2020-12-29 | 2022-07-15 | 厦门市美亚柏科信息股份有限公司 | 一种电子取证设备物联化方法及*** |
| US20230267209A1 (en) * | 2022-02-18 | 2023-08-24 | Saudi Arabian Oil Company | System and method for preserving forensic computer data |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9009820B1 (en) * | 2010-03-08 | 2015-04-14 | Raytheon Company | System and method for malware detection using multiple techniques |
| US9213838B2 (en) * | 2011-05-13 | 2015-12-15 | Mcafee Ireland Holdings Limited | Systems and methods of processing data associated with detection and/or handling of malware |
| US20120011200A1 (en) * | 2010-07-06 | 2012-01-12 | Roxbeam Media Network Corporation | Method and apparatus for data storage in a peer-to-peer network |
| US9245114B2 (en) * | 2010-08-26 | 2016-01-26 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| TWI435236B (zh) * | 2010-12-15 | 2014-04-21 | Inst Information Industry | 惡意程式偵測裝置、惡意程式偵測方法及其電腦程式產品 |
| US9672355B2 (en) * | 2011-09-16 | 2017-06-06 | Veracode, Inc. | Automated behavioral and static analysis using an instrumented sandbox and machine learning classification for mobile security |
| US9251343B1 (en) * | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| US10194321B2 (en) * | 2013-10-24 | 2019-01-29 | The Mitre Corporation | Periodic mobile forensics |
| US9569617B1 (en) * | 2014-03-05 | 2017-02-14 | Symantec Corporation | Systems and methods for preventing false positive malware identification |
| CN104573515A (zh) * | 2014-12-19 | 2015-04-29 | 百度在线网络技术(北京)有限公司 | 一种病毒处理方法、装置和*** |
| US9715589B2 (en) * | 2015-01-23 | 2017-07-25 | Red Hat, Inc. | Operating system consistency and malware protection |
| US10114949B2 (en) * | 2015-12-24 | 2018-10-30 | Mcafee, Llc | Techniques for monitoring integrity of OS security routine |
| US20170214716A1 (en) * | 2016-01-26 | 2017-07-27 | Korea Internet & Security Agency | Violation information management module forming violation information intelligence analysis system |
-
2017
- 2017-05-19 TW TW106116665A patent/TW201901514A/zh unknown
-
2018
- 2018-01-12 US US15/869,327 patent/US10579797B2/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859896A (zh) * | 2019-04-01 | 2020-10-30 | 长鑫存储技术有限公司 | 配方文档检测方法、装置、计算机可读介质及电子设备 |
| TWI749717B (zh) * | 2020-08-17 | 2021-12-11 | 新加坡商鴻運科股份有限公司 | 異常日誌處理方法、裝置、終端設備、雲端伺服器及系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20180336350A1 (en) | 2018-11-22 |
| US10579797B2 (en) | 2020-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201901514A (zh) | 程式異動監控與應變系統及方法 | |
| EP3479280B1 (en) | Ransomware protection for cloud file storage | |
| EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
| US10652274B2 (en) | Identifying and responding to security incidents based on preemptive forensics | |
| US9306956B2 (en) | File system level data protection during potential security breach | |
| US10284587B1 (en) | Systems and methods for responding to electronic security incidents | |
| US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
| CN102902928B (zh) | 一种网页防篡改方法及装置 | |
| CN112039894B (zh) | 一种网络准入控制方法、装置、存储介质和电子设备 | |
| JP2019512142A (ja) | トリップワイヤファイルを生成するためのシステム及び方法 | |
| US10169595B2 (en) | Detecting malicious data access in a distributed environment | |
| CN110008392A (zh) | 一种基于网络爬虫技术的网页篡改检测方法 | |
| CN109784055A (zh) | 一种快速检测和防范恶意软件的方法和*** | |
| JP2017191604A (ja) | エクスプロイトアクティビティーの相関ベースの検知 | |
| JP4462849B2 (ja) | データの保護装置、方法およびプログラム | |
| CN106446718A (zh) | 一种基于事件驱动机制的文件保护方法及*** | |
| KR101940864B1 (ko) | 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체 | |
| CN103916376A (zh) | 具攻击防护机制的云端***及其防护方法 | |
| KR102311997B1 (ko) | 인공지능 행위분석 기반의 edr 장치 및 방법 | |
| CN116611058A (zh) | 一种勒索病毒检测方法及相关*** | |
| CN114238279A (zh) | 数据库安全防护方法、装置、***、存储介质和电子设备 | |
| JP6041727B2 (ja) | 管理装置、管理方法及び管理プログラム | |
| US20180330082A1 (en) | Preserving system integrity using file manifests | |
| US20200374295A1 (en) | Method for integrity protection in a computer network | |
| Barbera et al. | Judicial Security: Safeguarding Courts and Protecting Judges |