TWI656453B - 檢測系統及檢測方法 - Google Patents

檢測系統及檢測方法 Download PDF

Info

Publication number
TWI656453B
TWI656453B TW105138306A TW105138306A TWI656453B TW I656453 B TWI656453 B TW I656453B TW 105138306 A TW105138306 A TW 105138306A TW 105138306 A TW105138306 A TW 105138306A TW I656453 B TWI656453 B TW I656453B
Authority
TW
Taiwan
Prior art keywords
usage rate
file
test machine
machine
memory
Prior art date
Application number
TW105138306A
Other languages
English (en)
Other versions
TW201820198A (zh
Inventor
廖建維
田謹維
張舜傑
Original Assignee
財團法人資訊工業策進會
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人資訊工業策進會 filed Critical 財團法人資訊工業策進會
Priority to TW105138306A priority Critical patent/TWI656453B/zh
Priority to US15/369,769 priority patent/US10318731B2/en
Priority to CN201611114156.8A priority patent/CN108090352B/zh
Publication of TW201820198A publication Critical patent/TW201820198A/zh
Application granted granted Critical
Publication of TWI656453B publication Critical patent/TWI656453B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一種檢測方法,其藉由一處理裝置實施,包含以下步驟:(A)令該處理裝置將一待測檔案傳送至一第一測試機器,並於該第一測試機器用以執行該待測檔案;(B)令該處理裝置監控該待測檔案於該第一測試機器執行過程中,該第一測試機器的一元件使用率是否高於一預設門檻值;以及(C)若該元件使用率高於一預設門檻值,則令該處理裝置鑑識該第一測試機器的一記憶體空間,以判斷該待測檔案是否包含一惡意程式並產生一鑑識結果。

Description

檢測系統及檢測方法
本案是有關於一種檢測系統及檢測方法。特別是有關於一種檢測惡意程式行為的檢測系統及檢測方法。
隨著科技發展,網路成為現今人們生活中不可或缺的部份。然而,網路也帶來了多種資訊安全危害。例如,使用者在使用電子裝置的過程中,在不知情的情況下接收到惡意程式,且惡意程式可能會竊取使用者資料,或是攻擊使用者的電子裝置使其造成損害。
因此,如何在有效地於系統中進行惡意程式的檢測,已成為本領域相關人員所需解決的問題。
為解決上述課題,本案之一態樣是提供一種檢測方法,其藉由一處理裝置實施,包含以下步 驟:(A)令該處理裝置將一待測檔案傳送至一第一測試機器,並於該第一測試機器用以執行該待測檔案;(B)令該處理裝置監控該待測檔案於該第一測試機器執行過程中,該第一測試機器的一元件使用率是否高於一預設門檻值;以及(C)若該元件使用率高於一預設門檻值,則令該處理裝置鑑識該第一測試機器的一記憶體空間,以判斷該待測檔案是否包含一惡意程式並產生一鑑識結果。
本案之另一態樣是提供一種檢測系統,包含一記憶體空間、一中央排程模組、一效能監控模組、一記憶體鑑識模組及一分析模組。中央排程模組用以將一待測檔案傳送至一第一測試機器,並該第一測試機器用以執行該待測檔案;效能監控模組用以監控該待測檔案於該第一測試機器執行過程中,該第一測試機器的一元件使用率是否高於一預設門檻值,若該元件使用率高於一預設門檻值,則令該處理裝置鑑識該第一測試機器的該記憶體空間;當該元件使用率高於一預設門檻值時,該記憶體鑑識模組用以鑑識該第一測試機器的該記憶體空間;分析模組用以根據該記憶體空間的鑑識結果判斷該待測檔案是否包含一惡意程式。
藉由上述檢測系統及檢測方法,可在有意義的多個執行階段中針對特定的虛擬元件進行檢 測,避免在惡意程式發作的過程中有檢測上的疏漏情形。此外,本案可動態地鑑識記憶體是否異常,不須中斷第一測試機器的運作,也不須將第一測試機器關閉再進行傾倒記憶體機制。再者,由於本案係透過監控測試機器(即第二測試機器)以監控執行待測檔案的測試機器(即第一測試機器)是否異常,並未修改到虛擬機器管理器中的管理機制,因此可避免惡意程式的抗反偵測機制。
P1~P6‧‧‧執行階段
DM1~DM5‧‧‧傾印記憶體
t‧‧‧時間軸
200‧‧‧檢測系統
VM1‧‧‧第一測試機器
VM2‧‧‧第二測試機器
210‧‧‧效能監控模組
220‧‧‧記憶體鑑識模組
VMR‧‧‧記憶體空間
VDK‧‧‧虛擬硬碟
VIF‧‧‧虛擬網卡
VCPU‧‧‧虛擬處理器
VMM‧‧‧虛擬機器管理器
HOS‧‧‧作業系統
240‧‧‧樣本格式模組
250‧‧‧中央排程模組
260‧‧‧分析模組
400、300‧‧‧檢測方法
310~340、410~460‧‧‧步驟
211‧‧‧記憶體空間監控模組
213‧‧‧虛擬硬碟監控模組
215‧‧‧虛擬網卡監控模組
217‧‧‧虛擬處理器監控模組
219‧‧‧驗證模組
T‧‧‧記憶體門檻值
為讓本揭示內容之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖示之說明如下:第1A~1B圖為根據本案一實施例繪示的一種惡意程式之偵測方法的示意圖;第2圖為根據本案一實施例繪示的一種檢測系統的方塊圖;第3圖為根據本案一實施例繪示的一種檢測方法的流程圖;第4圖為根據本案一實施例繪示的一種電子系統之檢測方法的流程圖;第5圖為根據本案一實施例繪示的一種效能監控模組的方塊圖;以及 第6圖為根據本案一實施例繪示的預設門檻值設置方法的示意圖。
請參閱第1A~1B圖,第1A~1B圖為根據本案一實施例繪示的一種惡意程式之偵測方法的示意圖。於第1A~1B圖中,時間軸t上標示有多個執行階段P1~P6,其各自代表惡意程式的部分執行過程。舉例而言,執行階段P1代表開始執行期,執行階段P2代表漏洞搜尋及利用期,執行階段P3代表程式安裝期,執行階段P4代表命令與控制期,執行階段P5代表惡意行為實施期,執行階段P6代表惡意程式滅證期。此些執行階段P1~P6為一般惡意程式的執行過程。
於第1A圖中,此偵測方法係於每一間隔時間(例如為10秒),則針對待測電腦進行一次傾印記憶體DM1~DM5(memory dump),藉以取得待測電腦當下記憶體中所有執行的程式、執行緒、工作、開啟的檔案等等資料。藉由分析此些資料可判斷待測電腦是否遭受惡意程式之攻擊。其中,待測電腦可以實施為平板電腦、筆記型電腦、智慧型手機或其他具有傳輸功能之裝置。然而,由於傾印記憶體需要耗費額外的時間及儲存空間,因此,若間隔時間設置過短,可能造成過度 耗費執行傾印記憶體所需的時間及儲存空間,反之,若間隔時間設置過長,則可能無法偵測到每一個執行階段(例如第1A圖之執行階段P3、P6)中是否遭受惡意程式之攻擊。
於第1B圖中,此偵測方法係於偵測到待測電腦執行一特定應用程式介面(Application Programming Interface,API)時,則針對待測電腦進行一次傾印記憶體DM1~DM3,藉以取得待測電腦當下記憶體中所有執行的程式、執行緒、工作、開啟的檔案等等資料。此外,藉由分析此資料可判斷待測電腦是否遭受惡意程式之攻擊。然而,此偵測方法也無法偵測待測電腦於執行階段(例如第1B圖之執行階段P2、P4、P6)中是否遭受惡意程式之攻擊。
因此,以下實施例提供一種惡意程式之檢測方法及檢測系統,可於多個執行階段內持續地監控待測檔案。
請參閱第2圖,第2圖為根據本案一實施例繪示的一種檢測系統200的方塊圖。於一實施例中,檢測系統200包含第二測試機器VM2,第二測試機器VM2包含:效能監控模組210、記憶體鑑識模組220、中央排程模組250及分析模組260。於一實施例中,第二測試機器VM2更包含樣本格式模組240。
於一實施例中,效能監控模組210耦接於記憶體鑑識模組220及中央排程模組250、記憶體鑑識模組220耦接於分析模組260、分析模組260耦接於中央排程模組250、中央排程模組250耦接於樣本格式模組240。
於一實施例中,效能監控模組210、記憶體鑑識模組220、樣本格式模組240、中央排程模組250及分析模組260可以分別或合併被實施為微控制單元(microcontroller)、微處理器(microprocessor)、數位訊號處理器(digital signal processor)、特殊應用積體電路(application specific integrated circuit,ASIC)或一邏輯電路。
於一實施例中,檢測系統200包含第一測試機器VM1、第二測試機器VM2及虛擬機器管理器(Hypervisor)VMM。
於一實施例中,第一測試機器VM1及第二測試機器VM2建構(安裝或執行)於虛擬機器管理器VMM上,虛擬機器管理器VMM用以運行一作業系統HOS,第一測試機器VM1及第二測試機器VM2透過虛擬機器管理器VMM上所運行的作業系統HOS以存取至少一實體裝置。例如,第一測試機器VM1及第二測試機器VM2可各自透過作業系統HOS以對同一實體硬碟進行存取。
於一實施例中,虛擬機器管理器VMM是一個硬體虛擬化的產物,介於硬體與軟體之間,可以讓多個作業系統運作於一部電腦上。換言之,虛擬機器管理器VMM除了自身可運行作業系統HOS之外,亦可以使同一台實體機器(如電腦)上能同時運行多個測試機器(Virtual Machine,VM),例如,第一測試機器VM1及第二測試機器VM2。其中,第一測試機器VM1及第二測試機器VM2擁有各自的作業系統,例如,第一測試機器VM1可運行Windows作業系統,第二測試機器VM2可運行Linux作業系統。
於一實施例中,這些位於相同實體主機上的第一測試機器VM1及第二測試機器VM2是彼此獨立,就如同擁有實體環境一樣。
於一實施例中,本發明亦可將第一測試機器VM1運行於一第一伺服器上,將第二測試機器VM2運行於一第二伺服器上,且第二伺服器用以監控第一伺服器中各元件的運作情形,以分析第一伺服器是否遭受惡意程式之攻擊。
於一實施例中,第二測試機器VM2包含效能監控模組210及記憶體鑑識模組220,其中,效能監控模組210耦接於記憶體鑑識模組220。記憶體鑑識模組220與虛擬機器管理器VMM中的記憶體空間VMR通訊連接。第一測試機器VM1及第二測 試機器VM2中效能監控模組210各自與虛擬機器管理器VMM中的虛擬元件通訊耦接,此些虛擬元件包含:記憶體空間VMR(例如為虛擬記憶體)、虛擬硬碟VDK、虛擬網卡VIF及虛擬處理器VCPU,以分別存取記憶體空間VMR、虛擬硬碟VDK、虛擬網卡VIF及虛擬處理器VCPU之資料。
於一實施例中,記憶體空間VMR可由虛擬記憶體、唯讀記憶體、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由網路存取之資料庫或熟悉此技藝者可輕易思及具有相同功能之儲存媒體以實現之。
於一實施例中,此些虛擬元件是透過軟體模擬的技術,藉由軟體以建置出以底層硬體相同的功能介面,例如利用實體處理器的排程演算法,可模擬出有多個虛擬處理器VCPU。然,本案可以應用已知技術以產生各種虛擬元件,故此處不贅述之。
於一些實施例中,第一測試機器VM1用以執行待測檔案,第二測試機器VM2用以監控第一測試機器VM1之運作情形,以分析此待測檔案是否造成第一測試機器VM1遭受惡意程式之攻擊。其中,待測檔案可以是一程式檔、一文字檔、一圖片檔、一壓縮檔或各種惡意程式可能潛在的檔案。
請參閱第3圖,第3圖為根據本案一實施例繪示的一種檢測方法300的流程圖。於一實施例中,檢測方法300的各步驟可藉由一處理裝置實施。於一實施例中,處理裝置包含效能監控模組210、記憶體鑑識模組220、樣本格式模組240、中央排程模組250及分析模組260。
於步驟310中,中央排程模組250將一待測檔案傳送至一第一測試機器VM1,並於第一測試機器VM1用以執行待測檔案。
於一實施例中,第一測試機器VM1包括一記憶體、一硬碟、一網卡及一處理器以上至少其一。
於一實施例中,元件使用率包含一記憶體使用率、一硬碟使用率、一網卡或網路使用率、及一處理器使用率以上至少其一,且不同之元件使用率對應不同之預設門檻值。
於一實施例中,第一測試機器VM1為一虛擬機器,記憶體包含一記憶體空間VMR,硬碟可以為一虛擬硬碟VDK,網卡可以為一虛擬網卡VIF,處理器可以為一虛擬處理器VCPU。於一實施例中,第二測試機器VM2可以為另一虛擬機器。
於一實施例中,樣本格式模組240接收待測檔案,並判斷待測檔案之一檔案格式,並依檔案格式選擇對應該檔案格式的第一測試機器VM1。
於步驟320中,效能監控模組210監控待測檔案於第一測試機器VM1執行過程中,第一測試機器VM1的一元件使用率是否高於一預設門檻值,若元件使用率高於一預設門檻值,則令記憶體鑑識模組220鑑識第一測試機器VM1的記憶體空間VMR。
於一實施例中,效能監控模組210根據不同之元件使用率高於預設門檻值之一時點,判斷時點對應惡意程式之一執行階段,執行階段包括一漏洞搜尋及利用期、一程式安裝期、一命令與控制期及一惡意行為實施期。
於一實施例中,效能監控模組210判斷僅網卡或網路使用率大於其對應之預設門檻值之該時點,為惡意程式之該程式安裝期和命令與控制期以上其一。
於一實施例中,效能監控模組210判斷一記憶體使用率、一硬碟使用率、一網卡或網路使用率及一處理器使用率皆大於其對應之預設門檻值之時點,為惡意程式之漏洞搜尋及利用期,和惡意行為實施期以上其一。
於步驟330中,當元件使用率高於預設門檻值時,記憶體鑑識模組220鑑識第一測試機器VM1的記憶體空間VMR。
於一實施例中,記憶體鑑識模組220鑑識記憶體空間VMR係採用採複數個行程分析、一動態連結函示庫分析、一檔案操作分析、一機碼操作分析、一網路行為分析、一代碼注入行為及一隱匿行為分析以上至少其一,以產生鑑識結果。
於步驟340中,分析模組260根據記憶體空間VMR的鑑識結果判斷待測檔案是否包含一惡意程式。
於一實施例中,檢測系統300是藉由第二測試機器VM2以監控第一測試機器VM1。
於一實施例中,第一測試機器VM1與第二測試機器VM2建構於一虛擬機器管理器VMM上,第一測試機器VM1與第二測試機器VM2透過虛擬機器管理器VMM上所運行的一作業系統HOS以存取至少一實體裝置。
請參閱第4圖,第4圖為根據本案一實施例繪示的一種檢測方法400的流程圖。
於步驟410中,樣本格式模組240用以接收一待測檔案,並判斷待測檔案之一檔案格式。其中,檔案格式是指用以執行或開啟待測檔案的作業系統名稱。
於一實施例中,第二測試機器VM2可自動將待測檔案(例如至少一電子郵件或一程式)傳送到樣本格式模組240中,樣本格式模組240可判斷此 待測檔案應係運作於Windows作業系統、Linux作業系統或其他作業系統,以通知中央排程模組250選擇正確的測試機器以執行此待測檔案。
於步驟420中,中央排程模組250用以將待測檔案傳送至對應檔案格式的第一測試機器VM1。
例如,若用以執行或開啟此待測檔案的作業系統為Windows作業系統,而第一測試機器VM1上所運行亦為Windows作業系統,因此,中央排程模組250將待測檔案傳送至對應檔案格式的第一測試機器VM1。
又例如,若用以執行或開啟此待測檔案的作業系統為Linux作業系統,而一第三測試機器(未繪示)上所運行亦為Linux作業系統,因此,中央排程模組250將待測檔案傳送至對應檔案格式的第三測試機器。
於一實施例中,當樣本格式模組240接收到多個待測檔案時,中央排程模組250用以排程處理此些待測檔案之順序。
於步驟430中,第一測試機器VM1用以執行待測檔案。例如,第一測試機器VM1用以執行一待測程式、開啟一電子郵件、解壓縮一壓縮檔案或按下一連結等操作。
於步驟440中,效能監控模組210用以監控於執行待測檔案過程中的執行階段(如第1A圖所示 P2~P5),並判斷於執行階段P2~P5內,第一測試機器VM1的元件使用率是否高於一預設門檻值,若判斷第一測試機器P2~P5的元件使用率高於一預設門檻值,則傳送一鑑識訊號,以觸發記憶體鑑識模組220,並進入步驟450;若判斷第一測試機器P2~P5的元件使用率未高於預設門檻值,則再次執行步驟440。
於一實施例中,效能監控模組210用以監控的執行階段P2~P5分別為一漏洞搜尋及利用期、一程式安裝期、一命令與控制期及一惡意行為實施期。
其中,漏洞搜尋及利用期例如為惡意程式導致記憶體溢位的時間區段,使得記憶體的使用異常。程式安裝期例如為惡意程式從網路下載後進行安裝的時間區段。命令與控制期例如為惡意程式由遠端控制的時間區段,使第一測試機器VM1透過網路接收到各種惡意的操作命令,而造成網路流量異常。另外,惡意行為實施期則是指惡意軟體發作的時間區段,惡意軟體發作的情形例如為惡意軟體竊取使用者資料。
另一方面,由於在執行階段P1所代表的開始執行階段中,待測檔案的惡意行為可能尚未完全被觸發,而在執行階段P6所代表的惡意程式滅證期中,待測檔案的惡意行為可能已被滅證(例如刪 除紀錄檔),因此,效能監控模組210不針對執行階段P1、P6進行監控。
於一實施例中,效能監控模組210監控於執行階段P2~P5中,第一測試機器VM1的元件使用率是否高於一預設門檻值。由於第一測試機器VM1是建構於虛擬機器管理器VMM上,故第一測試機器VM1在執行待測檔案時,會使用到虛擬機器管理器VMM中的各種虛擬元件,例如為記憶體空間VMR、虛擬硬碟VDK、虛擬網卡VIF及虛擬處理器VCPU。於一實施例中,元件使用率可包含第一測試機器VM1在執行待測檔案時,虛擬機器管理器VMM中的記憶體空間使用率、虛擬硬碟使用率、虛擬網卡使用率及/或虛擬處理器使用率,換言之,效能監控模組210會將此些虛擬元件的使用率各自視為一元件使用率,並監控此些元件使用率。
請參閱第5圖,第5圖為根據本案一實施例繪示的一種效能監控模組210的方塊圖。效能監控模組210包含記憶體空間監控模組211、虛擬硬碟監控模組213、虛擬網卡監控模組215及虛擬處理器監控模組217,此些監控模組各自耦接於驗證模組219。
於一實施例中,記憶體空間監控模組211、虛擬硬碟監控模組213、虛擬網卡監控模組215、 虛擬處理器監控模組217及驗證模組219可以分別或一併以一處理器實現之。
於一實施例中,當元件使用率包含一記憶體空間使用率時,預設門檻值包含一記憶體門檻值。記憶體空間監控模組211用以由記憶體空間VMR中取得記憶體空間使用率,驗證模組219則用以判斷記憶體空間使用率是否高於記憶體門檻值,若是,則效能監控模組210傳送一鑑識訊號至記憶體鑑識模組220,若否,則效能監控模組210持續監控記憶體空間使用率。
於一實施例中,當元件使用率包含一虛擬硬碟使用率時,預設門檻值包含一硬碟門檻值。虛擬硬碟監控模組213用以由虛擬硬碟VDK中取得虛擬硬碟使用率,驗證模組219則用以判斷虛擬硬碟使用率是否高於硬碟門檻值,若是,則效能監控模組210傳送一鑑識訊號至記憶體鑑識模組220,若否,則效能監控模組210持續監控虛擬硬碟使用率。
於一實施例中,當元件使用率包含一虛擬網卡使用率時,預設門檻值包含一網路流量門檻值。虛擬網卡監控模組215用以由虛擬網卡VIF中取得虛擬網卡使用率,驗證模組219則用以判斷虛擬網卡使用率是否高於網路流量門檻值,若是,則效能監控模組210傳送一鑑識訊號至記憶 體鑑識模組220,若否,則效能監控模組210持續監控虛擬網卡使用率。
於一實施例中,當元件使用率包含一虛擬處理器使用率時,預設門檻值包含一處理器門檻值。虛擬處理器監控模組217用以由虛擬處理器VCPU中取得虛擬處理器使用率,驗證模組219則用以判斷虛擬處理器使用率是否高於處理器門檻值,若是,則效能監控模組210傳送一鑑識訊號至記憶體鑑識模組220,若否,則效能監控模組210持續監控虛擬處理器使用率。
於一實施例中,效能監控模組210藉由計算一歷史紀錄的一平均值、一標準差或依據一經驗法則,以設置預設門檻值。其中,預設門檻值可包含記憶體門檻值、硬碟門檻值、網路流量門檻值及/或處理器門檻值。
另外,關於預設門檻值的設置,請參閱第6圖,第6圖為根據本案一實施例繪示的一種預設門檻值設置方法的示意圖。舉例而言,效能監控模組210可累積過去一週的記憶體空間使用率,並統計其平均值與標準差,並依據平均值與標準差以設置記憶體門檻值。
於一實施例中,第6圖所示,效能監控模組210將記憶體門檻值T設為高於平均值一個標準差的位置。之後,當記憶體空間使用率大於此記 憶體門檻值T時,則效能監控模組210傳送鑑識訊號,以觸發記憶體鑑識模組220。
於一實施例中,使用者可透過經驗法則以設置預設門檻值。例如,使用者設定將記憶體門檻值設為70%,因此,當記憶體空間使用率大於70%時,則效能監控模組210傳送鑑識訊號,以觸發記憶體鑑識模組220。
此外,其餘各種預設門檻值亦可依上述方式設置之。
由此可知,由於本案係透過第二測試機器VM2以監控執行待測檔案的第一測試機器VM1是否異常,無須在第一測試機器VM1加入一偵測程式,也沒有修改到虛擬機器管理器VMM中的管理機制,因此,本案可避免惡意程式偵測到第一測試機器VM1或虛擬機器管理器VMM被更動時,所進行的抗反偵測機制(例如惡意程式暫時不發作,以避免被偵測到的行為)。
於步驟450中,記憶體鑑識模組220用以於接收鑑識訊號後,鑑識記憶體空間VMR,以產生一鑑識結果。
於一實施例中,記憶體鑑識模組220藉由檢視複數個行程(process)分析、一動態連結函式庫(Dynamic Link Library,DLL)分析、一檔案(file)操作分析、一機碼(registry)操作分析、一網路 (network)行為分析、一代碼注入行為(code injection)及/或一隱匿行為(rootkit)分析,以鑑識記憶體空間VMR。
舉例而言,一些惡意軟體會更改執行行程的關聯性。因此,記憶體鑑識模組220亦會監控記憶體空間VMR中行程之間的關聯性,例如檢測隱藏行程與開啟行程之間的關聯性。
舉例而言,一些惡意軟體藉由代碼注入行為,將特定代碼導入到第一測試機器VM1中,以改變正常程式的執行程序或目的。因此,記憶體鑑識模組220可透過監控記憶體空間VMR,以檢查待測檔案是否進行代碼注入行為。
舉例而言,一些惡意軟體透過網路會將記憶體內的資料上傳到遠端的其他電子裝置中。因此,記憶體鑑識模組220可透過監控記憶體空間VMR,以得知待測檔案的網路行為,以判斷是否發生資料傳輸的異常。
藉由上述檢測方法,記憶體鑑識模組220依據監控結果產生一鑑識結果。
於步驟460中,分析模組260用以分析鑑識結果,以判斷待測檔案是否包含一惡意程式,並將鑑識結果儲存於資料庫(未繪示)中。此鑑識結果包含判斷此待測檔案是否為惡意程式之相關資訊。
例如,分析模組260依據鑑識結果得知第一測試機器VM1在執行待測檔案時,待測檔案是否進行惡意代碼注入行為,且造成第一測試機器VM1運作異常(例如當機),則判斷此待測檔案包含一惡意程式,並將此鑑識結果儲存於資料庫中。
藉由上述檢測系統及檢測方法,可在有意義的多個執行階段中針對特定的虛擬元件進行檢測,避免在惡意程式發作的過程中有檢測上的疏漏情形。此外,本案可動態地鑑識記憶體是否異常,不須中斷第一測試機器的運作,也不須將第一測試機器關閉再進行傾倒記憶體機制。再者,由於本案係透過監控測試機器(即第二測試機器)以監控執行待測檔案的測試機器(即第一測試機器)是否異常,並未修改到虛擬機器管理器中的管理機制,因此可避免惡意程式的抗反偵測機制。
雖然本案已以實施例揭露如上,然其並非用以限定本案,任何熟習此技藝者,在不脫離本案之精神和範圍內,當可作各種之更動與潤飾,因此本案之保護範圍當視後附之申請專利範圍所界定者為準。

Claims (14)

  1. 一種檢測系統,包含:一記憶體空間;一中央排程模組,用以將一待測檔案傳送至一第一測試機器,該第一測試機器用以執行該待測檔案;一效能監控模組,用以監控該待測檔案於該第一測試機器執行過程中,該第一測試機器的一元件使用率是否高於一預設門檻值;一記憶體鑑識模組,當該元件使用率高於該預設門檻值時,該記憶體鑑識模組用以鑑識該第一測試機器的一記憶體空間;以及一分析模組,用以根據該記憶體空間的一鑑識結果判斷該待測檔案是否包含一惡意程式;其中該效能監控模組根據不同之該元件使用率高於該預設門檻值之一時點,判斷該時點對應該惡意程式之一執行階段,該執行階段包括一漏洞搜尋及利用期、一程式安裝期、一命令與控制期及一惡意行為實施期;該效能監控模組判斷一記憶體使用率、一硬碟使用率、一網卡或網路使用率及一處理器使用率皆大於其對應之該預設門檻值之該時點,為該惡意程式之該漏洞搜尋及利用期,和該惡意行為實施期以上其一;以及 該效能監控模組判斷僅該網卡或網路使用率大於其對應之該預設門檻值之該時點,為該惡意程式之該程式安裝期和該命令與控制期以上其一。
  2. 如申請專利範圍第1項所述之檢測系統,其中該第一測試機器包括一記憶體、一硬碟、一網卡及一處理器以上至少其一,該元件使用率包含該記憶體使用率、該硬碟使用率、該網卡或網路使用率、及該處理器使用率以上至少其一,且不同之該元件使用率對應不同之該預設門檻值。
  3. 如申請專利範圍第2項所述之檢測系統,其中該第一測試機器為一虛擬機器,該記憶體包含該記憶體空間,該硬碟為一虛擬硬碟,該網卡為一虛擬網卡,該處理器為一虛擬處理器。
  4. 如申請專利範圍第1項所述之檢測系統,更包含:一樣本格式模組,用以接收該待測檔案,並判斷該待測檔案之一檔案格式,並依該檔案格式選擇對應該檔案格式的該第一測試機器。
  5. 如申請專利範圍第1項所述之檢測系統,其中該記憶體鑑識模組鑑識該記憶體空間係採用複數個行程分析、一動態連結函示庫分析、一 檔案操作分析、一機碼操作分析、一網路行為分析、一代碼注入行為及一隱匿行為分析以上至少其一,以產生該鑑識結果。
  6. 如申請專利範圍第3項所述之檢測系統,更包含:藉由一第二測試機器以監控該第一測試機器。
  7. 如申請專利範圍第6項所述之檢測系統,其中該第一測試機器與該第二測試機器建構於一虛擬機器管理器上,該第一測試機器與該第二測試機器透過該虛擬機器管理器上所運行的一作業系統以存取至少一實體裝置。
  8. 一種檢測方法,其藉由一處理裝置實施,包含以下步驟:(A)令該處理裝置將一待測檔案傳送至一第一測試機器,並於該第一測試機器執行該待測檔案;(B)令該處理裝置監控該待測檔案於該第一測試機器執行過程中,該第一測試機器的一元件使用率是否高於一預設門檻值;以及(C)若該元件使用率高於該預設門檻值,則令該處理裝置鑑識該第一測試機器的一記憶體空間,以判斷該待測檔案是否包含一惡意程式並產生 一鑑識結果;其中步驟(C)更包括:令該處理裝置根據不同之該元件使用率高於該預設門檻值之一時點,判斷該時點對應該惡意程式之一執行階段,該執行階段包括一漏洞搜尋及利用期、一程式安裝期、一命令與控制期及一惡意行為實施期;令該處理裝置判斷一記憶體使用率、一硬碟使用率、一網卡或網路使用率及一處理器使用率皆大於其對應之該預設門檻值之該時點,為該惡意程式之該漏洞搜尋及利用期,和該惡意行為實施期以上其一;以及令該處理裝置判斷僅該網卡或網路使用率大於其對應之該預設門檻值之該時點,為該惡意程式之該程式安裝期和該命令與控制期以上其一。
  9. 如申請專利範圍第8項所述之檢測方法,其中該第一測試機器包括一記憶體、一硬碟、一網卡及一處理器以上至少其一,該元件使用率包含該記憶體使用率、該硬碟使用率、該網卡或網路使用率、及該處理器使用率以上至少其一,且不同之該元件使用率對應不同之該預設門檻值。
  10. 如申請專利範圍第9項所述之檢測方法,其中該第一測試機器為一虛擬機器,該記 憶體為該記憶體空間,該硬碟為一虛擬硬碟,該網卡為一虛擬網卡,該處理器為一虛擬處理器。
  11. 如申請專利範圍第8項所述之檢測方法,其中步驟(A)更包括以下步驟:令該處理裝置接收該待測檔案,並判斷該待測檔案之一檔案格式,並依該檔案格式選擇對應該檔案格式的該第一測試機器。
  12. 如申請專利範圍第8項所述之檢測方法,其中步驟(C)中,該處理裝置鑑識該記憶體空間係採用採複數個行程分析、一動態連結函示庫分析、一檔案操作分析、一機碼操作分析、一網路行為分析、一代碼注入行為及一隱匿行為分析以上至少其一,以產生該鑑識結果。
  13. 如申請專利範圍第10項所述之檢測方法,更包含:藉由一第二測試機器以監控該第一測試機器。
  14. 如申請專利範圍第13項所述之檢測方法,其中該第一測試機器與該第二測試機器建構於一虛擬機器管理器上,該第一測試機器與該第二測試機器透過該虛擬機器管理器上所運行的一作業系統以存取至少一實體裝置。
TW105138306A 2016-11-22 2016-11-22 檢測系統及檢測方法 TWI656453B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW105138306A TWI656453B (zh) 2016-11-22 2016-11-22 檢測系統及檢測方法
US15/369,769 US10318731B2 (en) 2016-11-22 2016-12-05 Detection system and detection method
CN201611114156.8A CN108090352B (zh) 2016-11-22 2016-12-07 检测***及检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW105138306A TWI656453B (zh) 2016-11-22 2016-11-22 檢測系統及檢測方法

Publications (2)

Publication Number Publication Date
TW201820198A TW201820198A (zh) 2018-06-01
TWI656453B true TWI656453B (zh) 2019-04-11

Family

ID=62147580

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105138306A TWI656453B (zh) 2016-11-22 2016-11-22 檢測系統及檢測方法

Country Status (3)

Country Link
US (1) US10318731B2 (zh)
CN (1) CN108090352B (zh)
TW (1) TWI656453B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI827203B (zh) * 2022-08-18 2023-12-21 中華電信股份有限公司 容器之惡意檔案的驗證系統和驗證方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11481487B2 (en) 2019-07-08 2022-10-25 Google Llc System and method of detecting file system modifications via multi-layer file system state
US11636204B2 (en) * 2019-10-01 2023-04-25 Acronis International Gmbh Systems and methods for countering removal of digital forensics information by malicious software
CN111786853A (zh) * 2020-07-01 2020-10-16 公安部第三研究所 针对安全隔离与信息交换产品实现吞吐量和延时指标测试的***及其方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI470468B (zh) * 2009-03-16 2015-01-21 Chunghwa Telecom Co Ltd 惡意程式及行為偵測的方法及系統
US20150242626A1 (en) * 2014-02-27 2015-08-27 National Chiao Tung University Method of generating in-kernel hook point candidates to detect rootkits and the system thereof
CN105590063A (zh) * 2015-12-25 2016-05-18 北京金山安全软件有限公司 一种挖掘漏洞的方法、装置及电子设备
TWI547823B (zh) * 2015-09-25 2016-09-01 緯創資通股份有限公司 惡意程式碼分析方法與系統、資料處理裝置及電子裝置

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8117659B2 (en) * 2005-12-28 2012-02-14 Microsoft Corporation Malicious code infection cause-and-effect analysis
US8719936B2 (en) * 2008-02-01 2014-05-06 Northeastern University VMM-based intrusion detection system
CN101848092A (zh) * 2009-03-25 2010-09-29 华为技术有限公司 恶意代码检测方法和装置
US9165136B1 (en) * 2010-10-27 2015-10-20 Amazon Technologies, Inc. Supervising execution of untrusted code
CN102254120B (zh) * 2011-08-09 2014-05-21 华为数字技术(成都)有限公司 恶意代码的检测方法、***及相关装置
US9092625B1 (en) * 2012-07-03 2015-07-28 Bromium, Inc. Micro-virtual machine forensics and detection
CN103632084A (zh) * 2012-08-20 2014-03-12 百度在线网络技术(北京)有限公司 恶意特征数据库的建立方法、恶意对象检测方法及其装置
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9536091B2 (en) * 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US9860155B1 (en) * 2013-09-27 2018-01-02 Amazon Technologies, Inc. Code coverage and data analysis
US9747446B1 (en) * 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US20170185785A1 (en) * 2014-07-14 2017-06-29 Iota Security Inc. System, method and apparatus for detecting vulnerabilities in electronic devices
CN104715201B (zh) 2015-03-31 2018-02-27 北京奇虎科技有限公司 一种虚拟机恶意行为检测方法和***
CN106611122A (zh) * 2015-10-27 2017-05-03 国家电网公司 基于虚拟执行的未知恶意程序离线检测***
US10482249B2 (en) * 2016-08-09 2019-11-19 Nicira, Inc. Excluding stressed machines from load balancing of distributed applications

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI470468B (zh) * 2009-03-16 2015-01-21 Chunghwa Telecom Co Ltd 惡意程式及行為偵測的方法及系統
US20150242626A1 (en) * 2014-02-27 2015-08-27 National Chiao Tung University Method of generating in-kernel hook point candidates to detect rootkits and the system thereof
TWI547823B (zh) * 2015-09-25 2016-09-01 緯創資通股份有限公司 惡意程式碼分析方法與系統、資料處理裝置及電子裝置
CN105590063A (zh) * 2015-12-25 2016-05-18 北京金山安全软件有限公司 一种挖掘漏洞的方法、装置及电子设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI827203B (zh) * 2022-08-18 2023-12-21 中華電信股份有限公司 容器之惡意檔案的驗證系統和驗證方法

Also Published As

Publication number Publication date
CN108090352B (zh) 2021-07-20
US10318731B2 (en) 2019-06-11
CN108090352A (zh) 2018-05-29
TW201820198A (zh) 2018-06-01
US20180144134A1 (en) 2018-05-24

Similar Documents

Publication Publication Date Title
US9516060B2 (en) Malware analysis methods and systems
TWI547874B (zh) 虛擬機器影像分析
US10540498B2 (en) Technologies for hardware assisted native malware detection
TWI656453B (zh) 檢測系統及檢測方法
TWI528216B (zh) 隨選檢測惡意程式之方法、電子裝置、及使用者介面
KR101715759B1 (ko) 멀티코어 환경에서의 악성코드 분석 장치 및 방법
US9411711B2 (en) Adopting an existing automation script to a new framework
US9544399B2 (en) Visually depicting cloud resource utilization during execution of an application
WO2017173925A1 (zh) 一种软件管理方法及装置、终端、存储介质
US10366226B2 (en) Malicious code analysis device and method based on external device connected via USB cable
US20140365833A1 (en) Capturing trace information using annotated trace output
US10395033B2 (en) System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks
EP2988242B1 (en) Information processing device, and information processing method
US9448888B2 (en) Preventing a rollback attack in a computing system that includes a primary memory bank and a backup memory bank
US10691791B2 (en) Automatic unpacking of executables
US10915624B2 (en) Method and apparatus for determining behavior information corresponding to a dangerous file
US9069895B2 (en) Analyzing concurrent debugging sessions
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
EP2854065B1 (en) A system and method for evaluating malware detection rules
EP2750066B1 (en) System and method for detecting malware that interferes with a user interface
Baird et al. Automated Dynamic Detection of Self-Hiding Behavior
US20120324438A1 (en) Methods and systems for generating read-only operating systems
US20240184887A1 (en) Activity trace extraction device, activity trace extraction method, and activity trace extraction program
US10761840B2 (en) Software analysis device, software analysis method, and recording medium
WO2018122990A1 (ja) 情報処理装置、情報処理方法及び情報処理プログラム