恶意程序码分析方法与系统、数据处理装置及电子装置制造方法及图纸

一种恶意程序码分析方法与系统、数据处理装置及电子装置。通过数据处理装置自电子装置接收可疑档案对应的行为特征数据，以对行为特征数据进行分析。比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据，而获得比对结果。并且，基于比对结果，获得可疑档案对应的代表攻击码，并传送代表攻击码对应的防护措施至电子装置。通过实施本发明专利技术，即便是未知的恶意码程序，可经由学习来获得对应的防护措施。

【技术实现步骤摘要】

本专利技术是有关于一种数据安全机制，且特别是有关于一种恶意程序码分析方法与系统、数据处理装置及电子装置。
技术介绍
随着科技的演进与创新，网际网络除了促进全球的信息交流外，愈来愈多人的生活形态从现实社会中逐渐融入虚拟世界。因此，不少有心人士会通过网际网络来进行恶意攻击。而电脑病毒是其中一种恶意程序，会将程序自我复制或感染电脑中其他正常的程序或破坏电脑系统，进而导致电脑无法正常运作。“电脑病毒免疫系统”发源于生物免疫技术，将防毒系统想象为注射某种病毒的免疫疫苗后，此电脑即可以对此病毒产生自然抵抗能力一样。而目前的防毒软件皆是等到病毒出现后，才能制定出清除它的办法，并无法针对未知病毒来进行防护动作。
技术实现思路
本专利技术提供一种恶意程序码分析方法与系统及数据处理装置，即便是未知的恶意码程序，可经由学习来获得对应的防护措施。本专利技术的恶意程序码分析方法，包括：通过数据处理装置自电子装置接收可疑档案对应的行为特征数据，并由数据处理装置执行下列步骤。比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据，而获得比对结果。基于比对结果，获得可疑档案对应的代表攻击码，其中代表攻击码包括一个或多个恶意程序码。传送代表攻击码对应的防护措施至电子装置。在本专利技术的一实施例中，在通过数据处理装置自电子装置接收可疑档案对应的行为特征数据之前，通过电子装置执行下列步骤。监控电子装置中是否存在有可疑档案。当检测到可疑档案时，建立沙箱(sandbox)模拟区域，以在沙箱模拟区域监测可疑档案。识别可疑档案是否符合电子装置所记录的已知恶意码类别；若识别出可疑档案对应的已知恶意码类别，转换可疑档案为已知恶意码类别对应的典型攻击码，并且套用典型攻击码对应的防护措施至沙箱模拟区域。若无法识别出可疑档案对应的已知恶意码类别，传送可疑档案对应的行为特征数据至数据处理装置。在本专利技术的一实施例中，上述恶意程序码分析方法更包括：在电子装置接收到代表攻击码对应的防护措施之后，转换可疑档案为代表攻击码对应的典型攻击码，并且套用防护措施至沙箱模拟区域。在本专利技术的一实施例中，在获得可疑档案对应的代表攻击码之后，更包括：储存代表攻击码对应的防护措施至数据处理装置的过滤数据库；以及在经过指定时间之后，自过滤数据库中读取防护措施，并传送防护措施至电子装置。在本专利技术的一实施例中，在比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据，而获得比对结果的步骤中，通过信息熵(informationentropy)理论，计算可疑档案与各恶意程序码之间的相似机率，其中相似机率为可疑档案与各恶意程序码之间相似的程度。在基于比对结果，获得可疑档案对应的代表攻击码的步骤中，比对各恶意程序码对应的相似机率与门槛值，以取出高于门槛值的相似机率所对应的一个或多个恶意程序码，来作为代表攻击码。在本专利技术的一实施例中，在比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据，而获得比对结果的步骤中，通过信息熵理论，计算可疑档案与各恶意程序码之间的相似机率以及最小差异机率，其中相似机率为可疑档案与各恶意程序码之间相似的程度，最小差异机率为可疑档案与各恶意程序码之间不相似的程度。而基于比对结果，获得可疑档案对应的代表攻击码的步骤中，利用乐观(optimistic)法则、保守(conservation)法则以及遗憾(regret)法则其中之一，而基于比对结果来获得可疑档案对应的代表攻击码。上述利用乐观法则的步骤包括：自上述相似机率中取出最大的相似机率，而以对应的恶意程序码来作为代表攻击码。上述利用保守法则的步骤包括：自上述最小差异机率中取出最大的最小差异机率，而以对应的恶意程序码来作为代表攻击码。上述利用遗憾法则的步骤包括：自上述相似机率中取出最大的一个作为第一基准值，并且自上述最小差异机率中取出最大的一个作为第二基准值；以第一基准值与上述相似机率相减而获得多个调整后相似值；以第二基准值与上述最小差异机率相减而获得多个调整后最小差异值；比对可疑档案与各恶意程序码对应的调整后相似值以及调整后最小差异值，以将最大的数值作为最后比对值；以及多个上述最后比对值中取出最小的一个，而以对应的恶意程序码来作为代表攻击码。在本专利技术的一实施例中，在通过数据处理装置自电子装置接收可疑档案对应的行为特征数据之后，在硬件层中，辨识硬件运转行为；在操作系统层中，辨识系统处理效能；在档案层中，辨识恶意程序识别码；以及在应用层中，辨识应用程序的执行行为。本专利技术的恶意程序码分析方法，包括：获得可疑档案对应的行为特征数据；比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据，而获得比对结果；基于比对结果，获得可疑档案对应的代表攻击码，其中代表攻击码包括一个或多个恶意程序码；以及采用代表攻击码对应的防护措施。本专利技术的数据处理装置，包括：通讯单元、储存单元以及处理单元。处理单元耦接至通讯单元与储存单元。通讯单元与电子装置建立连线。储存单元包括恶意码程序库，储存有多个恶意程序码各自的恶意特征数据。处理单元自电子装置接收可疑档案对应的行为特征数据，并且比对可疑档案对应的行为特征数据与多个恶意程序码各自的恶意特征数据，而获得比对结果，并基于比对结果，获得可疑档案对应的代表攻击码；并且，处理单元通过通讯单元，传送代表攻击码对应的防护措施至电子装置。本专利技术的恶意程序码分析系统，包括电子装置以及上述数据处理装置。数据处理装置自电子装置接收可疑档案对应的行为特征数据，以分析上述行为特征数据进而获得对应的防护措施。本专利技术的电子装置，包括：储存单元以及处理单元。处理单元耦接至储存单元。储存单元包括恶意码程序库、监控模块以及分析模块，恶意码程序库储存有多个恶意程序码各自的恶意特征数据。处理单元执行该监控模块及该分析模块。在此，处理单元在通过监控模块检测到可疑档案时，通过分析模块来执行下列动作，包括：获得可疑档案对应的行为特征数据，比对可疑档案对应的行为特征数据与恶意程序码各自的恶意特征数据，而获得比对结果，并基于比对结果，获得可疑档案对应的代表攻击码，其中代表攻击码包括其中一个或多个恶意程序码，并且采用代表攻击码对应的防护措施。基于上述，数据处理装置是一个具有智能且可进行恶意程序码分析的中心，可在发现无法识别是否为恶意程序(MaliciousProgram)的可疑档案时，进行恶意程序码的分析，并且提供对应的防护措施。为让本专利技术的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图式作详细说明如下。附图说明图1是依照本专利技术一实施例的恶意程序码分析系统的方块图。图2是依照本专利技术一实施例的电子装置监控方法的流程图。图3是依照本专利技术一实施例的恶意程序码分析方法的流程图。图4是依照本专利技术另一实施例的电子装置的方块图。附图标号100恶意程序码分析系统110第一处理单元120第一储存单元121恶意码程序库122分析模块123过滤数据库130第一通讯单元140第二处理单元150第二储存单元151监控模块160第二通讯单元A数据处理装置B电子装置S205～S225电子装置监控方法的各步骤S305～S320恶意程序码分析方法的各步骤具体实施方式图1是依照本专利技术一实施例的恶意程序码(maliciousc本文档来自技高网...

【技术保护点】
一种恶意程序码分析方法，其特征在于，所述恶意程序码分析方法包括：通过一数据处理装置自一电子装置接收一可疑档案对应的一行为特征数据，并由所述数据处理装置执行下列步骤，所述步骤包括：比对所述可疑档案对应的所述行为特征数据与多个恶意程序码各自的一恶意特征数据，而获得一比对结果；基于所述比对结果，获得所述可疑档案对应的一代表攻击码，其中所述代表攻击码包括所述恶意程序码其中一个或多个；以及传送所述代表攻击码对应的一防护措施至所述电子装置。

【技术特征摘要】
2015.09.25 TW 1041317471.一种恶意程序码分析方法，其特征在于，所述恶意程序码分析方法包括：通过一数据处理装置自一电子装置接收一可疑档案对应的一行为特征数据，并由所述数据处理装置执行下列步骤，所述步骤包括：比对所述可疑档案对应的所述行为特征数据与多个恶意程序码各自的一恶意特征数据，而获得一比对结果；基于所述比对结果，获得所述可疑档案对应的一代表攻击码，其中所述代表攻击码包括所述恶意程序码其中一个或多个；以及传送所述代表攻击码对应的一防护措施至所述电子装置。2.如权利要求1所述的恶意程序码分析方法，其特征在于，在通过所述数据处理装置自所述电子装置接收所述可疑档案对应的所述行为特征数据之前，所述电子装置执行下列步骤：监控所述电子装置中是否存在有所述可疑档案；当检测到所述可疑档案时，建立一沙箱模拟区域，以在所述沙箱模拟区域监测所述可疑档案；识别所述可疑档案是否符合所述电子装置所记录的已知恶意码类别；若识别出所述可疑档案对应的所述已知恶意码类别，转换所述可疑档案为所述已知恶意码类别对应的一典型攻击码，并且套用所述典型攻击码对应的防护措施至所述沙箱模拟区域；以及若无法识别出所述可疑档案对应的所述已知恶意码类别，传送所述可疑档案对应的所述行为特征数据至所述数据处理装置。3.如权利要求2所述的恶意程序码分析方法，其特征在于，所述恶意程序码分析方法更包括：在所述电子装置接收到所述代表攻击码对应的所述防护措施之后，转换所述可疑档案为所述代表攻击码对应的典型攻击码，并且套用所述防护措施至所述沙箱模拟区域。4.如权利要求1所述的恶意程序码分析方法，其特征在于，在获得所述可疑档案对应的所述代表攻击码的步骤之后，所述恶意程序码分析方法更包括：储存所述代表攻击码对应的所述防护措施至所述数据处理装置的一过滤数据库；以及在经过一指定时间之后，自所述过滤数据库中读取所述防护措施，并传送所述防护措施至所述电子装置。5.如权利要求1所述的恶意程序码分析方法，其特征在于，比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据，而获得所述比对结果的步骤包括：通过一信息熵理论，计算所述可疑档案与每一所述恶意程序码之间的一相似机率，其中所述相似机率为所述可疑档案与每一所述恶意程序码之间相似的程度。6.如权利要求5所述的恶意程序码分析方法，其特征在于，基于所述比对结果，获得所述可疑档案对应的所述代表攻击码的步骤包括：比对每一所述恶意程序码对应的所述相似机率与一门槛值，以取出高于所述门槛值的所述相似机率所对应的一个或多个所述恶意程序码，来作为所述代表攻击码。7.如权利要求1所述的恶意程序码分析方法，其特征在于，比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据，而获得所述比对结果的步骤包括：通过一信息熵理论，计算所述可疑档案与每一所述恶意程序码之间的一相似机率以及一最小差异机率，其中所述相似机率为所述可疑档案与每一所述恶意程序码之间相似的程度，所述最小差异机率为所述可疑档案与每一所述恶意程序码之间不相似的程度。8.如权利要求7所述的恶意程序码分析方法，其特征在于，基于所述比对结果，获得所述可疑档案对应的所述代表攻击码的步骤包括：利用一乐观法则、一保守法则以及一遗憾法则其中之一，而基于所述比对结果来获得所述可疑档案对应的所述代表攻击码；其中，利用所述乐观法则的步骤包括：自多个所述相似机率中取出最大的所述相似机率，而以对应的恶意程序码来作为所述代表攻击码；利用所述保守法则的步骤包括：自多个所述最小差异机率中取出最大的所述最小差异机率，而以对应的恶意程序
\t码来作为所述代表攻击码；利用所述遗憾法则的步骤包括：自多个所述相似机率中取出最大的一个作为一第一基准值，并且自多个所述最小差异机率中取出最大的一个作为一第二基准值；以所述第一基准值与多个所述相似机率相减而获得多个调整后相似值；以所述第二基准值与多个所述最小差异机率相减而获得多个调整后最小差异值；比对所述可疑档案与每一所述恶意程序码对应的所述调整后相似值以及所述调整后最小差异值，以将最大的数值作为一最后比对值；以及自多个所述最后比对值中取出最小的一个，而以对应的恶意程序码来作为所述代表攻击码。9.如权利要求1所述的恶意程序码分析方法，其特征在于，在通过所述数据处理装置自所述电子装置接收所述可疑档案对应的所述行为特征数据的步骤之后，所述恶意程序码分析方法包括：在一硬件层中，辨识一硬件运转行为；在一操作系统层中，辨识一系统处理效能；在一档案层中，辨识一恶意程序识别码；以及在一应用层中，辨识一应用程序的执行行为。10.一种恶意程序码分析系统，其特征在于，所述恶意程序码分析系统包括：一电子装置；以及一数据处理装置，包括：一第一通讯单元，与所述电子装置建立连线；一第一储存单元，包括一恶意码程序库，储存有多个恶意程序码各自的一恶意特征数据；以及一第一处理单元，耦接至所述通讯单元与所述储存单元，自所述电子装置接收一可疑档案对应的一行为特征数据，其中所述处理单元比对所述可疑档案对应的所述行为特征数据与所述恶意程序码各自的所述恶意特征数据，而获得一比对结果，并基于所述比对结果，获得所述可疑档案对应的一代表攻击码，其中所述代表攻击码包括所述恶意程序码其中一个或多个；并且，所述第一处理单元通过所述通讯单元，传送所述代表攻击码对应的一防护措施至所述电子装置。11.如权利要求10所述的恶意程序码分析系统，其特征在于，所述电子装置包括：一第二通讯单元...

【专利技术属性】
技术研发人员：丁筱雯，陈志明，
申请(专利权)人：纬创资通股份有限公司，
类型：发明
国别省市：中国台湾;71