TWI559166B - 應用程式的威脅程度評估 - Google Patents

應用程式的威脅程度評估 Download PDF

Info

Publication number
TWI559166B
TWI559166B TW101113249A TW101113249A TWI559166B TW I559166 B TWI559166 B TW I559166B TW 101113249 A TW101113249 A TW 101113249A TW 101113249 A TW101113249 A TW 101113249A TW I559166 B TWI559166 B TW I559166B
Authority
TW
Taiwan
Prior art keywords
application
user
behavior
threat level
threat
Prior art date
Application number
TW101113249A
Other languages
English (en)
Other versions
TW201250512A (en
Inventor
佛提爾多明尼克
Original Assignee
微軟技術授權有限責任公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 微軟技術授權有限責任公司 filed Critical 微軟技術授權有限責任公司
Publication of TW201250512A publication Critical patent/TW201250512A/zh
Application granted granted Critical
Publication of TWI559166B publication Critical patent/TWI559166B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Stored Programmes (AREA)
  • User Interface Of Digital Computer (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Description

應用程式的威脅程度評估
本發明係關於應用程式之威脅程度評估。
現今,電腦系統之使用者從各種來源獲得軟體應用程式。儘管傳統上籍由在零售店貨架上以光碟或其他碟片之形式出售盒裝軟體來分發軟體,但現今使用者可自網際網路下載軟體應用程式、安裝由一或更多個應用程式商店或儲存庫(例如,Ubuntu軟體中心及Mac應用程式商店)提供之應用程式、經由電子郵件接收應用程式、在通用串列匯流排(USB)驅動器上接收應用程式,等等。軟體亦可自商店購買,但是已自若干熟知軟體公司擴展到包括可能僅製造及出售一個或兩個應用程式的許多供應者。
惡意軟體及其他有害應用程式日益成為電腦使用者之問題。惡意軟體應用程式可盜取或損害使用者的資料、使電腦系統減慢、出於另一使用者之目的盜取處理資源及頻寬,或執行其他有害或不當動作。使用者在傳統上有兩種方法用以檢查應用程式之安全性:1)運行依靠使軟體程式代碼與已知惡意軟體之簽名匹配之防毒程式,及2)用軟體來源來提升信賴級別。在前一種情況下,嚴格說來並非惡意軟體之許多應用程式可執行不當動作或可在將來以不偵測防毒軟體之方式被損害。最近,來自 主要軟體製造商之軟體由於安裝隱匿程式(rootkit)而被許多使用者批評,該隱匿程式允許對電腦系統進行未授權存取。因此,防毒軟體或來自可信賴來源之軟體都不足以防止潛在危害。
使用者在沒有充足的資訊來瞭解該應用程式是否值得信賴的情況下安裝許多應用程式。軟體解決如此大範圍之問題,且存在使用者可能認為潛在地有幫助而想要安裝的相應之各種應用程式。在安裝之後,使用者可能不瞭解該應用程式對該使用者之系統的所有動作,且該使用者可能未察覺到該應用程式之行為是否隨時間變化。需要更多幫助以允許使用者做出關於在安裝該應用程式時及在與該應用程式之後續會話中是否信賴該應用程式的有根據之決定。
本文描述一種應用程式安全系統,該應用程式安全系統提供計分系統,該計分系統基於對應用程式之行為檢查瞭解應用程式之危險程度。在偵測應用程式之安裝或首次執行該應用程式之後,該應用程式安全系統在籍由作業系統執行新應用程式之前執行靜態分析。靜態分析可識別應用程式之多種行為,且該系統可警告使用者該應用程式是否保存及修改檔案、連接至網際網路、使用電子郵件,或執行其他動作。該系統可在顯示關於該應用程式之功能之資訊或顯示基於系統對應用程式之動作 的危險程度的判定所計算之得分後,允許該使用者批准運行應用程式。
接下來,該系統在應用程式運行時籍由攔截應用程式(例如,類似調試程式之操作)及留意應用程式之運轉來執行動態分析。該系統可向使用者警告任何潛在之有害行為,且儲存描述應用程式如何正常運轉之基線。該基線幫助該系統判定應用程式何時可能以不適當之方式動作。此外,該系統允許使用者限制特定應用程式可執行之行為。因此,該應用程式安全系統在安裝時、運行時及當應用程式之行為變化時隨時間向使用者提供各種資訊,且允許使用者將應用程式行為限制為已知或預期動作之集合。
本文提供此發明內容以用簡化形式介紹可供選擇之概念,該等概念於下文在實施方式中進一步描述。本發明內容不欲識別所主張主題之關鍵特徵或基本特徵,亦不欲用以限制所主張主題之範疇。
安全缺陷時常在使用者不知不覺地或無意地允許惡意應用程式執行時被開發。本文描述一種應用程式安全系統,該應用程式安全系統提供計分系統,該計分系統基於對應用程式之行為檢查瞭解應用程式之危險程度。該系統可在自動選擇執行應用程式之前提供威脅程度評估以幫助使用者做出更明智之決策。在偵測到應用程式之 安裝或首次執行該應用程式之後,應用程式安全系統在新應用程式籍由作業系統執行之前執行靜態分析。靜態分析可識別應用程式之多種行為,及系統可警告使用者應用程式是否保存及修改檔案、連接至網際網路、使用電子郵件,或執行其他動作。系統可在顯示關於應用程式之功能之資訊或顯示基於系統對應用之動作之危險程度的判定所計算之得分以後,允許使用者批准運行應用程式。
接下來,系統在應用程式運行時籍由攔截應用程式(例如,類似調試程式之操作)及留意應用程式之運轉來執行動態分析。系統可向使用者警告任何潛在之有害行為,且儲存描述應用程式如何正常運轉之基線。基線幫助系統判定應用程式何時可能以不適當之方式動作。舉例而言,若應用程式已運行多次,但是今天第一次企圖發送電子郵件,則系統可警告使用者此新行為。此外,系統允許使用者限制特定應用程式可執行之行為。對某些應用程式而言,應用程式使用網際網路、修改檔案或發送電子郵件是不適當的。使用者可限制此等應用程式執行此等動作。因此,應用程式安全系統在安裝時、運行時及當應用程式之行為變化時隨時間向使用者提供各種資訊,且允許使用者將應用程式行為限制為已知或預期動作的行為之集合。此等動作之每一者均允許使用者更好地保護使用者之電腦免受來自惡意軟體之潛在損害影響。
應用程式安全系統可在靜態分析過程中獲悉很多關於應用程式之資訊。現有許多工具,諸如軟體代碼分析器(例如,MICROSOFT TM PREfast、Lint及其他工具)、提供物件模型用以處理編譯二進制碼之編譯程式及其他可靜態分析軟體代碼(亦即,不執行該代碼)之工具以判定該代碼執行之動作。系統可繼而在安裝時或其他時間通知使用者此應用程式計劃執行之動作之類型。系統可概括此資訊至使用模型中(亦即,將應用程式識別為重網際網路應用程式、檔案建立應用程式等)。此舉可允許使用者比較系統對應用程式之評估與使用者對應用程式之用途期望。任何差異將引起猜疑且使用者可繼而選擇不運行或安裝應用程式。系統亦可經由靜態分析判定可導致安全缺陷之潛在不安全實施且將潛在威脅通知使用者。舉例而言,系統可判定應用程式安裝且使用包括已知安全漏洞之運行時過時軟體。使用者可用此方法做出理性決策。
在動態分析過程中(亦即,當應用程式執行時),系統可監視應用程式之行為及留意潛在有害動作。在某些實施例中,系統發送應用程式行為資訊至基於雲端之服務以在大規模資料集上概括應用程式行為。系統可比較自大量使用者及安裝收集之資訊以判定應用程式如何正常運轉,及因此以瞭解在任何特定場合中應用程式是否異常地運轉。若應用之行為變化或行為在正常預期之外,則系統可警告使用者或禁用應用程式。舉例而言,許多 應用程式含有可延展介面或執行某些特定類型之資料,該等介面及資料可受到損害以使得應用程式以有害方式運轉。系統可在已損害之應用程式損害使用者之計算裝置或資料之前攔截該等應用程式。
應用程式安全系統亦可收縮隱藏應用程式之存取面(例如,建立類沙箱環境)且防止應用程式能夠被用以執行有害任務。舉例而言,可能僅期待應用程式與特定的統一資源定位符(URL)通訊。倘若如此,任何其他通訊可表明該應用程式係損害應用程式。系統可請求使用者批准存取新地址或簡單地關閉應用程式及通知使用者應用程式可能已受損害。籍由比較在使用者之計算裝置上之行為與數千或更多其他裝置之使用者記錄之行為,系統可對應用程式是否正常動作具有高度把握。因此,即使使用者不常使用應用程式功能(但是其他使用者時常使用),系統亦將避免主動錯誤訊息且適當保護使用者免受缺乏控制的應用程式行為影響。
第1圖係方塊圖,該圖圖示了在一個實施例中應用程式安全系統之元件。系統100包括應用程式識別元件110、靜態分析元件120、動態分析元件130、威脅評估元件140、基線行為元件150、應用程式行為資料儲存器160、應用程式監視元件170及使用者介面元件。此等元件之每一者在本文中進一步詳細描述。
應用程式識別元件110識別應用程式以分析且對該應用程式產生威脅評估。元件110可籍由攔截用以安裝及 執行應用程式之作業系統函數來識別應用程式,以便作業系統在安裝或運行應用程式時通知元件110。元件110可比較應用程式與一系列先前分析之應用程式以判定對應用程式執行之分析之類型。舉例而言,系統100可快取對每一應用程式執行之靜態分析,使得除非應用程式已變化(例如,由於更新),不需要重複靜態分析。系統可執行動態分析及監視應用程式之每次運行以偵測偏離本文描述之基線行為之變化,及阻止應用程式執行任何受阻或禁止之動作。
靜態分析元件120靜態分析應用程式二進制碼或其他應用程式代碼以判定應用程式如何與外部資源互動。元件130可分析二進制代碼、中間代碼(例如,MICROSOFT TM中間語言(IL)代碼),或應用程式之其他編譯或可運行版本。靜態分析在過去幾年中已有實質進步,且在本技術領域中已知判定應用程式二進制碼之功能及如何執行功能之許多技術。系統100將此等技術特別集中在應用程式與外部互動之領域,諸如與資料、通訊通道(例如,網際網路、電子郵件、資料庫,諸如此類)、硬體或其他資源互動。元件130可裝備應用程式二進制碼以接收資訊或攔截應用程式之特定動作且可用新的或額外動作替換已攔截動作。舉例而言,若元件130發現發送電子郵件之呼叫且使用者已要求阻止應用程式發送電子郵件,則元件130可用不執行任何動作之短線替換發送電子郵件功能。以此方式,系統100可控制應用程式之執 行及向使用者報告應用程式之行為。
動態分析元件130動態分析運行中應用程式以收集關於應用程式之行為之附加資訊,該等附加信息難以經由靜態分析判定。應用程式時常包括使靜態分析無效(有意地或僅僅因為該等步驟結果是如此)之程式化步驟。動態分析具有可用之資訊,諸如自外部元件接收之回覆內容、應用程式所使用之記憶體之實際內容及使用者配置資訊,對於該等資訊在靜態分析過程中僅可利用猜測或近似值。因此,動態分析可潛在發現在靜態分析過程中未發現之應用程式行為。元件130亦可使用動態分析以確認實靜態分析之結果。動態分析元件130將經判定資訊提供至威脅評估元件170用以向使用者報告任何問題。元件130亦可實施使用者施加於該應用程式上之任何限制。舉例而言,若使用者已限制應用程式存取特定磁碟驅動器、連接至網際網路、發送電子郵件、讀取使用者之資料或其他動作,則元件130阻止應用程式之上述動作。
威脅評估元件140基於對應用程式執行之靜態及/或動態分析判定與應用程式相聯繫之威脅評估程度。在某些情況下,系統可分階段地判定應用程式之威脅程度。舉例而言,對於首次安裝要求,系統100可執行靜態分析以避免運行未知應用程式及向使用者報告基於靜態分析之威脅評估程度。繼而,在運行應用程式時,系統可執行動態分析、使用任何附加資訊更新威脅評估且再次 向使用者報告威脅程度。在任何時候,使用者可採取動作以防止應用程式運行或者防止應用程式安裝在該系統上。在某些實施例中,系統判定表明威脅評估程度之分數。分數可為數字、一系列用以評級之星形、信號燈(例如,紅色=壞的,黃色=警告,綠色=好的),或任何其他對使用者之指示。在某些實施例中,系統可參考已知應用程式之資料庫且可將威脅評估顯示給使用者,該威脅評估包括由專家或一組其他使用者判定之評估。
基線行為元件150判定應用程式之基線行為,該基線行為表明應用程式過去所採取動作之總結。系統100使用基線行為以識別應用程式之不尋常之行為,使得系統100可在應用程式做出任何損害或採取意外動作之前警告使用者或關閉應用程式。系統將基線行為資訊儲存於應用程式行為資料儲存器160中及可自資料儲存器160中擷取由應用程式之其他使用者所提交之基線行為資訊。籍由自多個使用者積累行為資料,系統可更完善地評估對該應用程式之行為係正常的還是預期之外的。
應用程式行為資料儲存器160儲存描述正常應用程式行為之資訊。資料庫160可包括一或更多個檔案、檔案系統、硬碟、資料庫、儲存區域網路、基於雲端的儲存服務或用以隨時間儲存資料之其他設備。資料庫160可包括由運行應用程式之一或更多個使用者所提交之資訊,且可做成來自多個使用者之集合資料,該集合資料可由任何執行應用程式之使用者利用。資料庫160完成 應用程式如何正常運轉之隨時間的完善評估及應用程式之不尋常行為之隨時間的完善評估。
應用程式監視元件170在每次應用程式運行時監視應用程式以識別不同於經判定基線行為之行為。舉例而言,若應用程式先前未企圖存取網際網路,但某一天企圖存取,則元件170偵測到新行為且判定是否要警告使用者。元件170可首先參考應用程式行為資料儲存器160以判定其他使用者是否經歷過相同應用程式行為及對新行為之反應如何(例如,關閉應用程式、允許應用程式繼續,等等)。基於使用者之決策,元件170可阻止應用程式執行新行為或若使用者表明行為係預期內的則可允許應用程式繼續。
使用者介面元件180提供介面用以向使用者顯示資訊及接收來自使用者之輸入。介面可包括桌面圖形使用者介面(GUI)、行動介面、控制臺使用者介面(CUI)、網頁頁面,或用以向使用者顯示資訊之任何其他類型之設備。使用者介面可與其他軟體應用程式(諸如作業系統應用程式安裝精靈或應用程式儲存器)整合,以在其他現有工作流程(諸如安裝應用程式)中顯示威脅程度資訊。介面亦可向使用者顯示輸入控制,諸如在偵測威脅時顯示是或否按鈕,使得使用者可表明是否將允許應用程式安裝、運行或執行特定動作。
實施應用程式安全系統之計算裝置可包括中央處理單元、記憶體、輸入裝置(例如,鍵盤及指向裝置)、輸出 裝置(例如,顯示裝置),及儲存裝置(例如磁碟驅動器或其他非揮發性儲存媒體)。記憶體及儲存裝置係電腦可讀儲存,該等儲存媒體可用電腦可執行指令編碼(例如,軟體)以實施或實現系統。此外,資料結構及訊息結構可經由資料傳輸媒介(諸如在通訊鏈路上之訊號)儲存或傳輸。可使用各種通訊鏈路,諸如網際網路、區域網路、廣域網路、點對點撥號連接、蜂巢式電話網路,等等。
系統之實施例可在各種操作環境中實施,該等操作環境包括個人電腦、伺服器電腦、手持或膝上型裝置、多處理器系統、基於微處理器之系統、可程式化消費型電子設備、數字攝像機、網路個人電腦、小型電腦、大型電腦、包括任何上述系統或裝置之任一者之分佈式計算環境、視訊轉換器、片上系統(SOCs),等等。電腦系統可為蜂巢式電話、個人數位助理、智慧電話、個人電腦、可程式化消費型電子設備、數位攝像機,等等。
系統可在電腦可執行指令(諸如程式模組)之大體上下文中描述,該等可執行指令籍由一或更多個電腦或其他裝置執行。大體而言,程式模組包括常式、程式、物件、元件、資料結構,等等,該等程式模組執行特定任務或實施特定抽象資料類型。通常,該等程式模組之功能性可按需組合或分配在各種實施例中。
第2圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統處理安裝及評估新應用程式之威脅程度之處 理。
從方塊210開始,系統識別安裝在計算裝置上之應用程式。舉例而言,作業系統可在安裝應用程式時向註冊元件提供通知或系統可提供驅動程式或其他攔截用以攔截安裝應用程式之企圖。系統可在每次安裝應用程式時運行且可判定描述該應用程式之元資料(諸如應用程式來源、與應用程式相關聯之任何證書簽署者、應用程式是否匹配熟知應用程式,諸如此類)。
繼續在方塊220中之操作,系統對已識別應用程式執行靜態分析。靜態分析存取一或更多個應用程式二進制模組且判定儲存在模組中之二進制代碼執行之動作。動作可包括某些不欲視為有害或有趣之動作(諸如執行內部計算),及其他潛在有害動作(諸如存取資料、經由網際網路或其他網路發送資訊、存取裝置硬體,諸如此類)。
繼續方塊230中之操作,系統基於靜態分析及應用程式之經偵測行為判定威脅程度以分配給該應用程式。威脅程度可包括數值評分或目觀評分或關於使用者應擔心安裝該應用程式之程度的另一指示。威脅程度可包括由應用程式執行之種類或實際行為列表,如在靜態分析過程中偵測到的。舉例而言,威脅程度可表明應用程式是否存取本端儲存資料、應用程式是否存取網際網路,等等。
繼續方塊240中之操作,系統經由使用者介面向使用 者顯示經判定之威脅程度。系統可於整合到另一使用者介面中的對話框、彈出通知、圖像顯示中顯示威脅程度,或以向使用者提供威脅程度的任何其他方式顯示。在某些實施例中,系統可採取自動動作且向使用者顯示威脅程度而非顯示已採取動作(例如,由於有害行為拒絕安裝應用程式)。當顯示時,威脅程度指示可要求使用者表明是否繼續安裝應用程式(例如,經由「是」或「否」按鈕)。
繼續決策方塊250中之操作,若系統判定安裝應用程式係安全的,則系統方塊250處繼續;否則系統結束運行。系統基於使用者對要求使用者批准安裝應用程式之請求的反應可判定安裝是否為安全的。使用者在看到威脅程度以後,可決定是否將繼續安裝。
繼續方塊260中之操作,系統在計算裝置上安裝應用程式。無論計算裝置使用什麽平臺,安裝以正常方式進行。舉例而言,安裝可複製檔案至計算裝置、修改一或更多個配置檔案或資料庫、註冊任何作業系統或其他擴充部分,等等。在某些實施例中,系統可致使應用程式安裝在專用地址(諸如應用程式虛擬化環境、虛擬機,或應用程式沙箱),直到進一步分析應用程式。
繼續方塊270中之操作,系統視情況儲存靜態分析之結果以便結果可在對應用程式行為之後續分析过程中使用。在某些情況下,靜態分析可花費大量時間或消耗足夠資源,所以值得儲存分析之結果以使得以後可在不重 新創建分析結果的情況下再次使用該結果。舉例而言,系統可在每次應用程式執行時再次分析該應用程式,且可組合對該應用程式之行為之靜態及動態分析。在此情況下,系統可存取靜態分析結果之快取副本。在方塊270以後,此等步驟結束。
第3圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統監視運行中中應用程式及識別任何有害行為之處理。
從方塊310開始,系統識別正在計算裝置上執行之應用程式。舉例而言,作業系統可在執行應用程式時向註冊元件提供通知或系統可提供驅動程式或其他攔截用以攔截執行應用程式之企圖。系統可在每次應用程式運行時執行且可判定描述該應用程式之元資料(諸如應用程式來源、與應用程式相關聯之任何證書之簽署者、應用程式是否匹配熟知應用程式,諸如此類)。
繼續方塊320中之操作,系統對已識別應用程式執行動態分析。動態分析存取一或更多個加載於記憶體中之應用程式二進制模組且判定儲存在模組中之二進制代碼執行之動作。該等動作可包括某些不欲視為有害或有趣之動作(諸如執行內部計算),及其他潛在有害動作(諸如存取資料、經由網際網路或其他網路發送資訊、存取裝置硬體,諸如此類)。動態分析可識別在靜態分析過程中未識別之應用程式行為。舉例而言,迷亂及難以靜態分析之代碼可在執行過程中以更可存取之方式載入記憶 體。此外,可能並非靜態可用之使用者配置資料、環境資料及其他資訊在運行過程中可用。
繼續方塊330中之操作,系統存取任何先前之靜態分析結果且將結果併入至動態分析中。系統可使用動態分析以確認早先之靜態分析及增加對由動態分析判定之應用程式行為之任何認知。系統可在安裝應用程式過程中(例如,如第2圖中所示)或第一次在計算裝置上運行應用程式時執行及儲存靜態分析資訊。系統亦可自基於網際網路之儲存服務(例如,諸如由應用程式之其他使用者儲存)存取共享靜態分析資訊及/或共享動態分析資訊。
繼續方塊340中之操作,系統基於動態分析及應用程式之經偵測行為判定威脅程度以分配至該應用程式。威脅程度可包括數值評分或目觀評分或關於使用者應擔心安裝該應用程式之程度的另一指示。威脅程度可包括由應用程式執行之種類或實際行為列表,如在靜態分析過程中偵測到的。舉例而言,威脅程度可表明應用程式是否存取本端儲存資料、應用程式是否存取網際網路,等等。系統可比較威脅程度與先前經判定之威脅程度,諸如在安裝應用程式過程中或在該應用程式的先前執行過程中所判定之程度。
繼續決策方塊350中之操作,若系統判定威脅程度較先前經判定之威脅程度已變化,則系統方塊360處繼續,否則系統循環至方塊320以在應用程式執行時繼續 執行動態分析。威脅程度可由於種種原因變化,諸如當新軟體代碼經由正常操作或由於病毒或其他惡意軟體而載入至應用製程中時。系統亦可偵測應用程式行為方面之變化且識別應用程式在威脅程度方面之變化。
繼續方塊360中之操作,系統經由使用者介面向使用者顯示經判定之威脅程度。系統可於整合到另一使用者介面中的對話框、彈出通知、圖像顯示中顯示威脅程度,或以向使用者提供威脅程度的任何其他方式顯示。在某些實施例中,系統可採取自動動作且向使用者顯示威脅程度而非顯示已採取動作而非顯示(例如,由於有害行為關閉應用程式)。當顯示時,威脅程度指示可要求使用者表明是否繼續執行應用程式(例如,經由「是」或「否」按鈕)。
繼續決策方塊370中的操作,若系統判定應用程式可繼續運行,則系統循環至方塊320以在應用程式執行時繼續執行動態分析,否則系統關閉應用程式且結束。系統可基於使用者之輸入判定將採取之動作。舉例而言,若使用者已預期應用程式之行為,則使用者將可能允許應用程式繼續運行。另一方面,若行為係預期之外的,則使用者可終止應用程式或執行另外之矯正動作(諸如調用病毒掃描器或其他工具)以驗證應用程式之安全。在方塊370以後,此等步驟結束。
第4圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統限制應用程式行為之處理。
從方塊410開始,系統識別正在計算裝置上執行之應用程式。舉例而言,作業系統可在執行應用程式時向註冊元件提供通知或系統可提供驅動程式或其他攔截用以攔截執行應用程式之企圖。系統可在每次應用程式執行時運行且可判定描述該應用程式之元資料(諸如應用程式來源、與應用程式相關聯之證書之任何簽署者、應用程式是否匹配熟知應用程式,諸如此類)。
繼續方塊420中之操作,系統接收描述經識別應用程式之已接受行為之資訊。已接受行為可來自在安裝該應用程式時或在另一時間指定之使用者配置。已接受行為亦可來自已接受應用程式行為之公共或共享資料庫。舉例而言,電子郵件讀取應用程式可籍由與網際網路連接而適當動作,但是檔案讀取應用程式可能不行。可在允許行為之種類中(例如,存取儲存資料、存取網路,等等)描述已接受應用程式行為或籍由允許調用該應用程式之特定作業系統及其他應用程式設計介面(APIs)描述。
繼續方塊430中之操作,系統運行經識別應用程式且監視應用程式行為。在執行过程中,系統可執行動態分析或其他監視以偵測應用程式行為。動態分析存取加載於記憶體中之一或更多個應用程式二進制模組且判定儲存在模組中之二進制代碼執行之動作。動作可包括某些不欲視為有害或有趣之動作(諸如執行內部計算),及其他潛在有害動作(諸如存取資料、經由網際網路或其他 網路發送資訊、存取裝置硬體,諸如此類)。在執行過程中,系統比較經偵測應用程式行為與接收之已接受應用程式行為。
繼續決策方塊440中之操作,若系統偵測到未批准之應用程式行為,則系統在方塊450處繼續,否則系統循環至方塊430以繼續運行應用程式。系統偵測且識別任何並不匹配接收之已接受應用程式行為之行為作為不良行為。舉例而言,若應用程式調用非預期API、存取未授權資料、與未授權網路連接,或執行其他非預期動作,系統將注意到且採取行動。
繼續方塊450中之操作,系統阻止應用程式執行未批准之應用程式行為。舉例而言,系統可攔截該應用程式之一或更多個功能,提供一短截調用API,該短截返回成功結果至應用程式而不實際進行該API通常執行之任何動作,諸如此類。系統防止應用程式執行未設計該應用程式執行或未批准該應用程式執行的動作。在某些情況下,通常安全的應用程式可因為惡意軟體對該應用程式之損害而企圖執行未授權之動作。系統偵測隨著時間應用程式行為中,甚至在大體安全的應用程式中之變化。
繼續方塊460中之操作,系統視情況警告使用者以通知使用者關於企圖的未授權之行為。系統可於整合到另一使用者介面中的對話框、彈出通知、圖像顯示中顯示資訊,或以向該使用者警告該未授權行為的任何其他方式顯示。當顯示時,該警告可要求使用者表明是否繼續 執行該應用程式(例如,經由「是」或「否」按鈕)。
繼續決策方塊470中之操作,若系統接收關閉應用程式之要求,則系統關閉應用程式且結束,否則系統循環至方塊430以繼續運行及監視應用程式。系統可基於使用者之輸入判定將採取之動作。舉例而言,若使用者已預期應用程式之行為,則使用者將可能允許應用程式繼續運行。另一方面,若行為係預期之外的,則使用者可終止應用程式或執行另外之矯正動作(諸如調用病毒掃描器或其他工具)以驗證應用程式之安全。在方塊470以後,此等步驟結束。
在某些實施例中,應用程式安全系統接收描述來自應用程式之開發者或製造商之應用程式正常行為的資訊。開發者可描述應用程式預期在哪一方面比任何應用程式做得好,且可對系統之操作者提供期望行為列表或描述開發者之期望之應用程式安裝。在所接收的期望外之行為則被系統視為有害之異常、非期望行為,及系統可關閉應用程式或阻止期望之外的行為。若應用程式已被惡意軟體損害,則將限制惡意軟體可造成之損害且可完全限制惡意軟體運行。
系統亦可在應用程式開發過程中對開發者提供幫助。舉例而言,系統可在測試過程中執行分析及註解、注意應用程式之正常使用且輸出描述應用程式之原本的無損害行為之簽署表格或其他資料結構。系統可繼而對照已知良好行為檢查將來行為。若應用程式無論在何處運行 時執行非預期動作,系統亦可對開發者提供反饋,使得開發者可改良應用程式。
在某些實施例中,應用程式安全系統比較應用程式行為與描述應用程式之公共資訊。應用程式儲存器中或自下載或其他服務所提供之應用程式可識別與該應用程式相關聯之種類或提供通知系統應用程式之預期操作之其他資訊。舉例而言,可預期圖片編輯應用程式存取本端儲存圖像、修改圖像且保存圖像至圖像檔案。系統比較對應用程式動態監視之行為與應用程式之聲明範圍以在應用程式包括間諜軟體或其他諸如違反該使用者之期望之「背景連線通訊(phoning home)」之非預期行為時警告該使用者。
在某些實施例中,應用程式安全系統偵測迷亂應用程式之行為之應用程式之企圖且警告使用者。企圖隱瞞執行之動作之應用程式表現出更可能威脅使用者之计算裝置。因此,對此等應用程式,系統可提供增強警告程度及安全程度。舉例而言,系統可請求使用者批准應用程式存取各項資源之應用程式動作。系統亦可警告使用者應用程式迷亂該應用程式之行為,使得使用者可採取適當動作。
在某些實施例中,應用程式安全系統使用遠端處理資源用以靜態分析及/或動態分析。舉例而言,系統可存取基於雲端的處理服務、提供應用程式二進制碼或其他資料,且要求服務籍由靜態分析及/或動態分析應用程式提 供威脅評估。遠端服務可具有在安全沙箱中執行應用程式及監視應用程式之企圖之資源。此資訊可繼而用以通知使用者應用程式之功能及應用程式是否潛在有害。
根據前述內容,應瞭解出於說明之目的已於本文中描述本應用程式安全系統之特定實施例,但可做各種修改而不背離本發明之精神及範疇。因此,本發明除受附加專利範圍限制之外不受其他限制。
100‧‧‧應用程式安全系統
110‧‧‧應用程式識別元件
120‧‧‧靜態分析元件
130‧‧‧動態分析元件
140‧‧‧威脅評估元件
150‧‧‧基線行為元件
160‧‧‧應用程式行為資料
170‧‧‧應用程式監視元件 儲存器
180‧‧‧使用者介面元件
210‧‧‧方塊
220‧‧‧方塊
230‧‧‧方塊
240‧‧‧方塊
250‧‧‧方塊
260‧‧‧方塊
270‧‧‧方塊
310‧‧‧方塊
320‧‧‧方塊
330‧‧‧方塊
340‧‧‧方塊
350‧‧‧方塊
360‧‧‧方塊
370‧‧‧方塊
410‧‧‧方塊
420‧‧‧方塊
430‧‧‧方塊
440‧‧‧方塊
450‧‧‧方塊
460‧‧‧方塊
470‧‧‧決策方塊
第1圖係方塊圖,該圖圖示了在一個實施例中應用程式安全系統之元件。
第2圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統處理安裝及評估新應用程式之威脅程度之處理。
第3圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統監視運行中應用程式及識別任何有害行為之處理。
第4圖係流程圖,該圖圖示了在一個實施例中應用程式安全系統限制應用程式行為之處理。
100‧‧‧應用程式安全系統
110‧‧‧應用程式識別元件
120‧‧‧靜態分析元件
130‧‧‧動態分析元件
140‧‧‧威脅評估元件
150‧‧‧基線行為元件
160‧‧‧應用程式行為資料儲存器
170‧‧‧應用程式監視元件
180‧‧‧使用者介面元件

Claims (20)

  1. 一種用以處理一新應用程式之安裝且評估該新應用程式之一威脅程度之電腦實施方法,該方法包含以下步驟:識別安裝在一計算裝置上之一應用程式;對該經識別應用程式執行靜態分析;基於該應用程式之該靜態分析及經偵測行為判定一威脅程度以分配至該應用程式,其中該威脅程度描述具有潛在威脅的該應用程式所採取的一或多個特定動作;經由一使用者介面向一使用者顯示該經判定威脅程度;及基於該使用者對於該顯示的威脅程度之反應判定該應用程式之安裝安全後,將該應用程式安裝於該計算裝置上,其中該等前述步驟藉由至少一個處理器執行。
  2. 如請求項1所述之方法,其中識別該應用程式之步驟包含以下步驟:自一作業系統接收一通知,該作業系統在正安裝該應用程式之該計算裝置上運行。
  3. 如請求項1所述之方法,其中識別該應用程式之步驟包含以下步驟:判定描述該應用程式之元資料,該元資料包括該應用程式之一來源。
  4. 如請求項1所述之方法,其中執行靜態分析之步驟包含以下步驟:存取一或更多個應用程式二進制模組及籍由儲存於每個模組中之二進制代碼判定執行的動作。
  5. 如請求項1所述之方法,其中執行靜態分析之步驟包含以下步驟:識別對該計算裝置或一使用者潛在有害之動作。
  6. 如請求項1所述之方法,其中判定該威脅程度之步驟包含以下步驟:判定表明該應用程式是否執行可疑活動的一數值評分或目觀評分。
  7. 如請求項1所述之方法,其中判定該威脅程度之步驟包含以下步驟:判定由該應用程式執行在靜態分析過程中偵測到之一或更多個行為種類。
  8. 如請求項1所述之方法,其中顯示該經判定威脅程度之步驟包含以下步驟:採取自動動作以允許或拒絕該應用程式之安裝及向該使用者顯示所採取之動作。
  9. 如請求項1所述之方法,其中顯示該經判定威脅程度之步驟包含以下步驟:要求該使用者表明是否繼續安裝該應用程式。
  10. 如請求項1所述之方法,判定該應用程式之安裝安全之步驟包含以下步驟:向該使用者顯示該威脅程度之後接收該使用者對一詢問之反應,該詢問請求該使用者批准安裝該應用程式。
  11. 如請求項1所述之方法,該方法進一步包含以下步驟:在判定該應用程式之安裝不安全後,拒絕在該計算裝置上安裝該應用程式。
  12. 如請求項1所述之方法,其中安裝該應用程式之步驟包含以下步驟:安裝該應用程式至一專用地址用以在執行該應用程式時進一步分析。
  13. 如請求項1所述之方法,該方法進一步包含以下步驟:儲存靜態分析結果以在對該應用之行為的後續分析過程中使用。
  14. 一種用以評估應用程式之威脅程度之電腦系統,該系統包含:一處理器及記憶體,該處理器及記憶體配置為執行包含在以下元件中之軟體指令;一應用程式識別元件,該應用程式識別元件識別一應用程式以分析且對該應用程式產生一威脅評估;一靜態分析元件,該靜態分析元件靜態地分析一應用程式二進制碼或其他應用程式代碼以判定該應用程式如何與外部資源互動;一動態分析元件,該動態分析元件動態地分析一運行中程式以收集關於該應用程式之行為之附加資訊,該等附加資訊難以經由靜態分析判定; 一威脅評估元件,該威脅評估元件基於對該應用程式執行之靜態及/或動態分析判定與該應用程式關聯之一威脅評估程度,其中該威脅評估程度描述具有潛在威脅的該應用程式所採取的一或多個特定動作;一基線行為元件,該基線行為元件判定該應用程式之一基線行為,該基線行為表明該應用程式過去所採取動作之一總結;一應用程式行為資料儲存器,該應用程式行為資料儲存器儲存描述正常應用程式之行為之資訊;一應用程式監視元件,該應用程式監視元件在每次該應用程式運行時監視該應用程式以識別不同於該經判定基線行為之行為;及一使用者介面元件,該使用者介面元件提供一介面用以向該使用者顯示該威脅程度及接收來自該使用者之輸入,其中該使用者對於該顯示的威脅評估程度之反應決定該應用程式是否安全。
  15. 如請求項14所述之系統,其中該應用程式識別元件比較該應用程式與一系列先前經分析之應用程式以判定將對該應用程式執行之分析的類型。
  16. 如請求項14所述之系統,其中該靜態及動態分析元件向該威脅評估元件提供資訊以向該使用者報告一或更多個偵測到的問題。
  17. 如請求項14所述之系統,其中該動態分析元件實施由該使用者加於該應用程式上之一或更多個限制。
  18. 如請求項14所述之系統,其中該應用程式行為資料儲存器在多使用者間共享且提供聚合資料,該聚合資料描述應用程式如何正常運轉,自該聚合資料偵測該應用程式之不尋常之行為。
  19. 一種電腦可讀儲存裝置,該裝置包含用以控制一電腦系統之指令以監視一運行中應用程式及識別任何有害行為,其中該等指令在執行時致使一處理器執行動作,該等動作包含:識別在一計算裝置上執行之一應用程式;對該經識別應用程式執行動態分析,其中動態分析存取加載於記憶體中之一或更多個應用程式二進制模組且判定藉由儲存在該模組中之該二進制代碼執行的動作;基於該應用程式之該動態分析及經偵測行為判定一威脅程度以分配至該應用程式,其中該威脅程度描述具有潛在威脅的該應用程式所採取的一或多個特定動作;判定該威脅程度是否自一先前判定之威脅程度有所變化;在判定該威脅程度變化後,經由一使用者介面向該使用者顯示該判定威脅程度,其中該顯示的威脅程度包含該等所描述的一或多個特定動作;及 自該使用者接收關於是否繼續運行該應用程式之一指示,其中該使用者對於該顯示的威脅程度之反應決定該應用程式是否安全。
  20. 如請求項19所述之裝置,該裝置進一步包含,在動態分析過程中,存取先前靜態分析結果且將該等結果併入該動態分析中。
TW101113249A 2011-06-13 2012-04-13 應用程式的威脅程度評估 TWI559166B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US13/158,459 US9158919B2 (en) 2011-06-13 2011-06-13 Threat level assessment of applications

Publications (2)

Publication Number Publication Date
TW201250512A TW201250512A (en) 2012-12-16
TWI559166B true TWI559166B (zh) 2016-11-21

Family

ID=47294295

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101113249A TWI559166B (zh) 2011-06-13 2012-04-13 應用程式的威脅程度評估

Country Status (4)

Country Link
US (1) US9158919B2 (zh)
AR (1) AR086873A1 (zh)
TW (1) TWI559166B (zh)
WO (1) WO2012173906A2 (zh)

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856782B2 (en) 2007-03-01 2014-10-07 George Mason Research Foundation, Inc. On-demand disposable virtual work system
US9098698B2 (en) 2008-09-12 2015-08-04 George Mason Research Foundation, Inc. Methods and apparatus for application isolation
US8839422B2 (en) 2009-06-30 2014-09-16 George Mason Research Foundation, Inc. Virtual browsing environment
US9152795B2 (en) * 2011-09-30 2015-10-06 Tata Consultancy Services Limited Security vulnerability correction
WO2013082437A1 (en) * 2011-12-02 2013-06-06 Invincia, Inc. Methods and apparatus for control and detection of malicious content using a sandbox environment
US8863288B1 (en) * 2011-12-30 2014-10-14 Mantech Advanced Systems International, Inc. Detecting malicious software
US10262148B2 (en) * 2012-01-09 2019-04-16 Visa International Service Association Secure dynamic page content and layouts apparatuses, methods and systems
US11308227B2 (en) * 2012-01-09 2022-04-19 Visa International Service Association Secure dynamic page content and layouts apparatuses, methods and systems
US9372991B2 (en) * 2012-03-06 2016-06-21 International Business Machines Corporation Detecting malicious computer code in an executing program module
US9832211B2 (en) * 2012-03-19 2017-11-28 Qualcomm, Incorporated Computing device to detect malware
US9223961B1 (en) * 2012-04-04 2015-12-29 Symantec Corporation Systems and methods for performing security analyses of applications configured for cloud-based platforms
US8869274B2 (en) * 2012-09-28 2014-10-21 International Business Machines Corporation Identifying whether an application is malicious
US10162693B1 (en) 2012-10-18 2018-12-25 Sprint Communications Company L.P. Evaluation of mobile device state and performance metrics for diagnosis and troubleshooting of performance issues
US9386463B1 (en) * 2012-11-19 2016-07-05 Sprint Communications Company L.P. Application risk analysis
US9424426B2 (en) * 2013-04-24 2016-08-23 Coveros, Inc. Detection of malicious code insertion in trusted environments
US10284570B2 (en) * 2013-07-24 2019-05-07 Wells Fargo Bank, National Association System and method to detect threats to computer based devices and systems
CN105431859A (zh) * 2013-07-31 2016-03-23 惠普发展公司,有限责任合伙企业 指示恶意软件的信号标记
US9800605B2 (en) * 2015-01-30 2017-10-24 Securonix, Inc. Risk scoring for threat assessment
US10185480B1 (en) * 2015-06-15 2019-01-22 Symantec Corporation Systems and methods for automatically making selections in user interfaces
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
CN105160251A (zh) * 2015-07-06 2015-12-16 国家计算机网络与信息安全管理中心 一种apk应用软件行为的分析方法及装置
US9462010B1 (en) * 2015-07-07 2016-10-04 Accenture Global Services Limited Threat assessment level determination and remediation for a cloud-based multi-layer security architecture
CN105488388A (zh) * 2015-12-22 2016-04-13 中软信息***工程有限公司 一种基于cpu时空隔离机制实现应用软件行为监控***的方法
US10628602B2 (en) * 2015-12-28 2020-04-21 Quest Software Inc. Controlling content modifications by enforcing one or more constraint links
US10681059B2 (en) 2016-05-25 2020-06-09 CyberOwl Limited Relating to the monitoring of network security
US10248788B2 (en) 2016-06-28 2019-04-02 International Business Machines Corporation Detecting harmful applications prior to installation on a user device
US10496820B2 (en) 2016-08-23 2019-12-03 Microsoft Technology Licensing, Llc Application behavior information
US10572680B2 (en) * 2017-03-21 2020-02-25 Microsoft Technology Licensing, Llc Automated personalized out-of-the-box and ongoing in-application settings
US20190362075A1 (en) * 2018-05-22 2019-11-28 Fortinet, Inc. Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween
US10911486B1 (en) * 2018-06-13 2021-02-02 NortonLifeLock Inc. Systems and methods for utilizing custom tagging to protect against phishing attacks from malicious applications
US12019716B2 (en) * 2018-12-11 2024-06-25 Avago Technologies International Sales Pte. Limited Multimedia content recognition with local and cloud-assisted machine learning
US20200193026A1 (en) * 2018-12-18 2020-06-18 Vmware, Inc. Application updates detection in data centers
US11899792B2 (en) * 2019-04-08 2024-02-13 Walmart Apollo, Llc System for security scanning code with minimal user interface
US11550903B1 (en) * 2019-04-26 2023-01-10 Joseph Alan Epstein System and method for trustworthiness, reputation, provenance, and measurement of software
US11341238B2 (en) * 2019-09-09 2022-05-24 Aptiv Technologies Limited Electronic device intrusion detection
US11394733B2 (en) 2019-11-12 2022-07-19 Bank Of America Corporation System for generation and implementation of resiliency controls for securing technology resources
US11290475B2 (en) 2019-11-12 2022-03-29 Bank Of America Corporation System for technology resource centric rapid resiliency modeling
US11595428B2 (en) * 2021-01-06 2023-02-28 Citrix Systems, Inc. Application security threat awareness
US11934533B2 (en) 2021-06-22 2024-03-19 Microsoft Technology Licensing, Llc Detection of supply chain-related security threats to software applications
US12032693B2 (en) * 2021-08-05 2024-07-09 Cloud Linux Software Inc. Systems and methods for robust malware signature detection in databases
US12067115B2 (en) * 2021-09-30 2024-08-20 Acronis International Gmbh Malware attributes database and clustering
US11934534B2 (en) * 2021-11-29 2024-03-19 Microsoft Technology Licensing, Llc Vulnerability analysis of a computer driver

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050108562A1 (en) * 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
TW200917020A (en) * 2007-10-12 2009-04-16 Univ Nat Taiwan Science Tech Malware detection system, data mining module, malware detection module, data mining method and malware detection method thereof
TW201035795A (en) * 2009-03-16 2010-10-01 Chunghwa Telecom Co Ltd System and method for detecting web malicious programs and behaviors
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6802061B1 (en) * 1996-12-12 2004-10-05 Microsoft Corporation Automatic software downloading from a computer network
US7284274B1 (en) 2001-01-18 2007-10-16 Cigital, Inc. System and method for identifying and eliminating vulnerabilities in computer software applications
WO2004019186A2 (en) 2002-08-26 2004-03-04 Guardednet, Inc. Determining threat level associated with network activity
US7523308B2 (en) 2004-02-23 2009-04-21 Microsoft Corporation Method and system for dynamic system protection
US20050283622A1 (en) 2004-06-17 2005-12-22 International Business Machines Corporation System for managing security index scores
JP2006053788A (ja) * 2004-08-12 2006-02-23 Ntt Docomo Inc ソフトウェア動作監視装置及びソフトウェア動作監視方法
US7784099B2 (en) 2005-02-18 2010-08-24 Pace University System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning
US9384345B2 (en) * 2005-05-03 2016-07-05 Mcafee, Inc. Providing alternative web content based on website reputation assessment
KR100791290B1 (ko) 2006-02-10 2008-01-04 삼성전자주식회사 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법
US8443354B1 (en) * 2006-03-29 2013-05-14 Symantec Corporation Detecting new or modified portions of code
US20080022274A1 (en) 2006-04-22 2008-01-24 Shieh Johnny M Method and system for pre-installation conflict identification and prevention
US20070261124A1 (en) * 2006-05-03 2007-11-08 International Business Machines Corporation Method and system for run-time dynamic and interactive identification of software authorization requirements and privileged code locations, and for validation of other software program analysis results
US20080028464A1 (en) * 2006-07-25 2008-01-31 Michael Paul Bringle Systems and Methods for Data Processing Anomaly Prevention and Detection
US8789172B2 (en) * 2006-09-18 2014-07-22 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for detecting attack on a digital processing device
US8141049B2 (en) * 2007-03-14 2012-03-20 Nec Laboratories America, Inc. System and method for scalable flow and context-sensitive pointer alias analysis
US8701197B2 (en) 2007-12-20 2014-04-15 Nokia Corporation Method, apparatus and computer program product for secure software installation
US8595282B2 (en) 2008-06-30 2013-11-26 Symantec Corporation Simplified communication of a reputation score for an entity
US8347272B2 (en) * 2008-07-23 2013-01-01 International Business Machines Corporation Call graph dependency extraction by static source code analysis
US8943478B2 (en) * 2009-07-14 2015-01-27 International Business Machines Corporation Fault detection and localization in dynamic software applications
US8516449B2 (en) * 2009-07-14 2013-08-20 International Business Machines Corporation Detecting and localizing security vulnerabilities in client-server application
US9275246B2 (en) * 2009-10-08 2016-03-01 International Business Machines Corporation System and method for static detection and categorization of information-flow downgraders
US8381242B2 (en) * 2010-07-20 2013-02-19 International Business Machines Corporation Static analysis for verification of software program access to secure resources for computer systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050108562A1 (en) * 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
TW200917020A (en) * 2007-10-12 2009-04-16 Univ Nat Taiwan Science Tech Malware detection system, data mining module, malware detection module, data mining method and malware detection method thereof
US20110047620A1 (en) * 2008-10-21 2011-02-24 Lookout, Inc., A California Corporation System and method for server-coupled malware prevention
TW201035795A (en) * 2009-03-16 2010-10-01 Chunghwa Telecom Co Ltd System and method for detecting web malicious programs and behaviors

Also Published As

Publication number Publication date
US20120317645A1 (en) 2012-12-13
TW201250512A (en) 2012-12-16
AR086873A1 (es) 2014-01-29
WO2012173906A2 (en) 2012-12-20
WO2012173906A3 (en) 2013-04-11
US9158919B2 (en) 2015-10-13

Similar Documents

Publication Publication Date Title
TWI559166B (zh) 應用程式的威脅程度評估
US11042647B1 (en) Software assurance system for runtime environments
EP3610403B1 (en) Isolated container event monitoring
Brady et al. Docker container security in cloud computing
US10867041B2 (en) Static and dynamic security analysis of apps for mobile devices
US9094451B2 (en) System and method for reducing load on an operating system when executing antivirus operations
RU2645268C2 (ru) Сложное классифицирование для выявления вредоносных программ
KR101442654B1 (ko) 동작 샌드박싱용 시스템 및 방법
US20210264030A1 (en) Integrated application analysis and endpoint protection
US12026256B2 (en) Context-based analysis of applications
US20230021414A1 (en) Security tool integrated into build platform to identify vulnerabilities
US10320810B1 (en) Mitigating communication and control attempts
US11620129B1 (en) Agent-based detection of fuzzing activity associated with a target program
US20210084054A1 (en) Simulating user interactions for malware analysis
US12041070B2 (en) Detecting malicious activity on an endpoint based on real-time system events
US11943371B2 (en) Root-level application selective configuration
US10970392B2 (en) Grouping application components for classification and malware detection
US10489593B2 (en) Mitigation of malicious actions associated with graphical user interface elements
US9483645B2 (en) System, method, and computer program product for identifying unwanted data based on an assembled execution profile of code
EP4276665A1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines
US20230161882A1 (en) Security tool integrated into build platform to identify vulnerabilities
US12001545B2 (en) Detecting stack pivots using stack artifact verification
Okebule et al. IMPLEMENTATION OF CONTENTANALYZER FOR INFORMATION LEAKAGE DETECTION AND PREVENTION ON ANDROID SMART DEVICES
Oh et al. Android malware analysis and conceptual malware mitigation approaches
Busch et al. {GlobalConfusion}:{TrustZone} Trusted Application 0-Days by Design

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees