恶意程序防护方法与系统及其过滤表格更新方法

摘要

一种恶意程序防护方法与系统及其过滤表格更新方法。此恶意程序防护方法包括：由电子装置接收网络封包，其中电子装置存储有过滤表格；由电子装置判断网络封包是否符合过滤表格中的特定过滤规则；若网络封包符合所述特定过滤规则，由电子装置根据所述特定过滤规则对网络封包执行特定操作；以及若网络封包不符合所述特定过滤规则，由电子装置将网络封包的特征信息上传至恶意程序分析装置。通过本发明所提供用户端装置一定程度的恶意程序防护能力，并且可有效减少用户端装置的系统资源消耗。

说明书

技术领域

本发明涉及一种信息安全技术，且特别是关于一种恶意程序防护方法与系统及其 过滤表格更新方法。

背景技术

随着信息科技越来越进步，网际网络已与现代人的生活产生密不可分的关系。举 例来说，使用者只要在家中使用电脑，就可以轻易的通过网际网络与远方的朋友聊天、 下载文件或者进行线上交易等等。也因如此，恶意程序(malware)也更容易进入使用者 的电脑。例如，当使用者通过网际网络下载来路不明的应用程序或多媒体文件时，恶 意程序可能会随着此应用程序或多媒体文件被下载至使用者的电脑，进而可窃取电脑 中的帐号与密码等使用者信息。

此外，随着智能电视(Smart TV)与数字机顶盒(Set Top Box,STB)等多媒体播放装 置的系统性能普遍提升，多媒体播放装置俨然已成为小型的个人电脑，并且逐渐成为 网络黑客的攻击目标。然而，在多媒体播放装置上运行传统的防毒软件或架设入侵检 测系统(Intrusion Detection System)，对于数据处理能力有限的多媒体播放装置来说还 是略显吃力。因此，有必要提出系统需求相对较低且具有一定程度的防护能力的恶意 程序防护系统，以提升多媒体播放装置的安全性。

发明内容

本发明要解决的技术问题是：提供一种恶意程序防护方法与系统，可提供用户端 装置一定程度的恶意程序防护能力，并且可有效减少用户端装置的系统资源消耗。

本发明还提供一种过滤表格更新方法，可由用户端装置与服务器端装置合作产生 新的过滤规则，并且据以更新用户端装置的过滤表格。

本发明解决技术问题的方案包括：提供一种恶意程序防护方法，此恶意程序防护 方法包括：由电子装置接收网络封包，其中电子装置存储有过滤表格；由电子装置判 断网络封包是否符合过滤表格中的特定过滤规则；若网络封包符合过滤表格中的所述 特定过滤规则，由电子装置根据所述特定过滤规则对网络封包执行特定操作；以及若 网络封包不符合过滤表格中的所述特定过滤规则，由电子装置将网络封包的特征信息 上传至恶意程序分析装置。

在本发明的一范例实施例中，所述电子装置还存储有恶意程序特征组，并且所述 恶意程序防护方法还包括：由电子装置根据所述恶意程序特征组对网络封包执行恶意 程序特征检查程序，以产生网络封包的特征信息。

在本发明的一范例实施例中，所述恶意程序特征组中的第一恶意程序特征组包括 多个恶意程序特征，并且由电子装置根据所述恶意程序特征组对网络封包执行所述恶 意程序特征检查程序的步骤包括：在对应于第一恶意程序特征组的第一恶意程序特征 检查程序中，由电子装置根据恶意程序特征对应在网络封包中的位置顺序，依序检查 网络封包中的数据。

在本发明的一范例实施例中，所述恶意程序防护方法还包括：由恶意程序分析装 置根据网络封包的特征信息判断网络封包是否包含恶意程序；若网络封包包含恶意程 序，由恶意程序分析装置产生对应于恶意程序的过滤规则，并且发送更新指令；由电 子装置从恶意程序分析装置接收更新指令，且根据更新指令新增对应于恶意程序的过 滤规则至过滤表格。

在本发明的一范例实施例中，所述恶意程序分析装置存储有对应于所述恶意程序 特征组的恶意程序脚本，并且由恶意程序分析装置根据网络封包的特征信息判断网络 封包是否包含恶意程序的步骤包括：由恶意程序分析装置根据所述恶意程序脚本重新 排序网络封包的特征信息；由恶意程序分析装置根据排序后的特征信息判断网络封包 是否包含恶意程序。

在本发明的一范例实施例中，若恶意程序为可清除恶意程序时，由恶意程序分析 装置设定对应于恶意程序的过滤规则为清除指令。若恶意程序非为可清除恶意程序 时，由恶意程序分析装置设定对应于恶意程序的过滤规则为阻挡指令。

在本发明的一范例实施例中，所述恶意程序防护方法还包括：当电子装置接收到 包含恶意程序的另一网络封包时，由电子装置根据清除指令清除另一网络封包中至少 部分的恶意程序，或者根据阻挡指令阻挡另一网络封包。

在本发明的一范例实施例中，所述恶意程序防护方法还包括：由恶意程序分析装 置模拟使用者行为，并且记录应用程序或网页反应于使用者行为而执行的异常行为； 若异常行为不合法，由恶意程序分析装置产生对应于应用程序或网页的过滤规则，并 发送更新指令；由电子装置从恶意程序分析装置接收更新指令，且根据更新指令，新 增对应于应用程序或网页的过滤规则至过滤表格。

在本发明的一范例实施例中，所述恶意程序防护方法还包括：若电子装置所在的 网络环境内存在高传染性恶意程序，由恶意程序分析装置发送网络管制指令；由电子 装置从恶意程序分析装置接收网络管制指令，且根据网络管制指令，管制至少部分电 子装置与网际网络的连线。

本发明另提供一种恶意程序防护系统，此恶意程序防护系统包括电子装置与恶意 程序分析装置。此电子装置包括第一网络模块、第一数据库模块及初步处理模块。第 一网络模块用以接收网络封包。第一数据库模块用以存储过滤表格。初步处理模块耦 接第一网络模块与第一数据库模块，并且用以判断网络封包是否符合过滤表格中的特 定过滤规则。若网络封包符合过滤表格中的所述特定过滤规则，初步处理模块还用以 根据所述特定过滤规则对网络封包执行特定操作。若网络封包不符合过滤表格中的所 述特定过滤规则，初步处理模块还用以通过第一网络模块上传网络封包的特征信息至 恶意程序分析装置。

在本发明的一范例实施例中，所述第一数据库模块还存储有恶意程序特征组。初 步处理模块还用以根据所述恶意程序特征组对网络封包执行恶意程序特征检查程序， 以产生网络封包的特征信息。

在本发明的一范例实施例中，所述恶意程序特征组中的第一恶意程序特征组包括 多个恶意程序特征。在对应于第一恶意程序特征组的第一恶意程序特征检查程序中， 初步处理模块还用以根据恶意程序特征对应在网络封包中的位置顺序，依序检查网络 封包中的数据。

在本发明的一范例实施例中，所述恶意程序分析装置包括第二网络模块与进阶处 理模块。第二网络模块用以接收网络封包的特征信息。进阶处理模块耦接第二网络模 块，并且用以根据网络封包的特征信息判断网络封包是否包含恶意程序。若网络封包 包含恶意程序，进阶处理模块还用以产生对应于恶意程序的过滤规则，并且通过第二 网络模块发送更新指令至电子装置。初步处理模块还用以根据更新指令新增对应于恶 意程序的过滤规则至过滤表格。

在本发明的一范例实施例中，所述恶意程序分析装置还包括第二数据库模块。第 二数据库模块耦接进阶处理模块，并且用以存储对应于所述恶意程序特征组的恶意程 序脚本。进阶处理模块还用以根据所述恶意程序脚本重新排序网络封包的特征信息。 进阶处理模块还用以根据排序后的特征信息判断网络封包是否包含恶意程序。

在本发明的一范例实施例中，若恶意程序为可清除恶意程序，进阶处理模块还用 以设定对应于恶意程序的过滤规则为清除指令。若恶意程序非为可清除恶意程序，则 进阶处理模块还用以设定对应于恶意程序的过滤规则为阻挡指令。

在本发明的一范例实施例中，当第一网络模块接收到包含恶意程序的另一网络封 包时，初步处理模块还用以根据清除指令清除另一网络封包中至少部分的恶意程序， 或者根据阻挡指令阻挡另一网络封包。

在本发明的一范例实施例中，所述进阶处理模块还用以模拟使用者行为，并且记 录应用程序或网页反应于使用者行为而执行的异常行为。若异常行为不合法，进阶处 理模块还用以产生对应于应用程序或网页的过滤规则，并发送更新指令至电子装置。 初步处理模块还用以根据更新指令，新增对应于应用程序或网页的过滤规则至过滤表 格。

在本发明的一范例实施例中，若电子装置所在的网络环境内存在高传染性恶意程 序，进阶处理模块还用以通过第二网络模块发送网络管制指令至电子装置。初步处理 模块还用以根据网络管制指令，管制至少部分第一网络模块与网际网络的连线。

此外，本发明另提出一种过滤表格更新方法，此过滤表格更新方法包括：由电子 装置根据恶意程序特征组对网络封包执行恶意程序特征检查程序，以产生网络封包的 特征信息，并将网络封包的特征信息上传至恶意程序分析装置；由恶意程序分析装置 根据网络封包的特征信息判断网络封包是否包含恶意程序；若网络封包包含恶意程 序，由恶意程序分析装置产生对应于恶意程序的过滤规则，并且发送更新指令至电子 装置；由电子装置根据更新指令新增对应于恶意程序的过滤规则至过滤表格。

在本发明的一范例实施例中，所述恶意程序特征组中的第一恶意程序特征组包括 多个恶意程序特征，并且由电子装置根据所述恶意程序特征组对网络封包执行所述恶 意程序特征检查程序的步骤包括：在对应于第一恶意程序特征组的第一恶意程序特征 检查程序中，由电子装置根据恶意程序特征对应在网络封包中的位置顺序，依序检查 网络封包中的数据。

在本发明的一范例实施例中，所述恶意程序分析装置存储有对应于所述恶意程序 特征组的恶意程序脚本，并且由恶意程序分析装置根据网络封包的特征信息判断网络 封包是否包含恶意程序的步骤包括：由恶意程序分析装置根据所述恶意程序脚本重新 排序网络封包的特征信息；由恶意程序分析装置根据排序后的特征信息判断网络封包 是否包含恶意程序。

在本发明的一范例实施例中，所述过滤表格更新方法还包括：由恶意程序分析装 置模拟使用者行为，并且记录应用程序或网页反应于使用者行为而执行的异常行为； 若异常行为不合法，由恶意程序分析装置产生对应于应用程序或网页的过滤规则，并 发送更新指令至电子装置；由电子装置根据更新指令，新增对应于应用程序或网页的 过滤规则至过滤表格。

基于上述，本发明仅让本地端的电子装置负责简单的封包内容比对，而将需要较 多系统资源的排序与决策交由服务器端的恶意程序分析装置执行，以达到提升电子装 置的恶意程序防护能力与降低其系统资源消耗的功效。

为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图式 作详细说明如下。

附图说明

图1为根据本发明的一范例实施例所绘示的恶意程序防护系统的示意图。

图2为根据本发明的一范例实施例所绘示的电子装置与恶意程序分析装置的示 意图。

图3A为根据本发明的一范例实施例所绘示的执行恶意程序特征检查程序的示意 图。

图3B为根据本发明的一范例实施例所绘示的重新排序网络封包的特征信息的示 意图。

图4为根据本发明的一范例实施例所绘示的恶意程序防护方法的流程图。

图5为根据本发明的一范例实施例所绘示的过滤表格更新方法的流程图。

图6为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。

主要元件标号说明

10：恶意程序防护系统          11：电子装置

112、122：数据库模块          114、124：网络模块

116：   初步处理模块          12：恶意程序分析装置

126：   进阶处理模块          13：网际网络

14：    网页服务器            15：应用程序服务器

301、302、303、304、305、306、307、308：位置

31：    网络封包              32：特征信息

33：    已排序检查结果序列

D1、D2、D3、D4、D5、D6、D7、D8：数据

R1、R2、R3、R4、R5、R6、R7、R8：检查结果

SC1、SC2：恶意程序脚本

S402、S404、S406、S408：本发明的一范例实施例中恶意程序防护方法各步骤

S502、S504、S506、S508、S510：本发明的一范例实施例中过滤表格更新方法 各步骤

S602、S604、S606、S608：本发明的另一范例实施例中过滤表格更新方法各步 骤

具体实施方式

图1为根据本发明的一范例实施例所绘示的恶意程序防护系统的示意图。

请参照图1，恶意程序(malware)防护系统10包括电子装置11与恶意程序分析 装置12。

在本范例实施例中，电子装置11可以是智能手机(smart phone)、智能电视(smart  TV)及数字机顶盒(Set Top Box,STB)等数据处理能力较为有限的电子装置。此外， 在一实施例中，电子装置11也可以是任意具有连网、有线传输及/或无线传输功能 的电子装置，例如智能手机(smart phone)、平板电脑(tablet PC)、笔记本电脑(notebook) 或台式电脑等，本发明不对其限制。

在本范例实施例中，恶意程序分析装置12可以是一个电脑主机，或者是由多个 电脑主机经由内部网络或外部网络(例如，网际网络13)连线形成的恶意程序分析平 台(malware analyzing platform)。在一范例实施例中，恶意程序分析装置12的数据处 理能力可能是电子装置11的数倍以上。特别是，对于包括智能手机(smart phone)、 智能电视及数字机顶盒等数据处理能力较为有限的电子装置11来说，恶意程序分析 装置12的数据处理能力相对强大。

此外，电子装置11与恶意程序分析装置12皆可通过有线或无线的方式连线至 网际网络13，以接收或发送网络封包。

图2为根据本发明的一范例实施例所绘示的电子装置与恶意程序分析装置的示 意图。

请参照图2，电子装置11包括数据库模块112、网络模块114及初步处理模块 116。

数据库模块112例如是配置在电子装置11的存储器(memory)或硬盘(hard drive  disc,HDD)等存储媒体(未绘示)中。

网络模块114包括有线/无线网络接口卡(Network Interface Card,NIC)。网络模 块114可通过有线/无线的方式接收来自网际网络13的网络封包，或者发送网络封 包至网际网络13。

初步处理模块116例如是以硬件电路形式配置在电子装置11的处理器 (processor)或微处理器(micro-processor)等系统芯片组(未绘示)中，并且耦接至数据库 模块112与网络模块114。或者，在一范例实施例中，初步处理模块116也可以是 以软件或韧件模块形式存储于电子装置11的存储媒体中，而由电子装置11的处理 器或微处理器将其载入并且运行等等，本发明不对其限制。

恶意程序分析装置12包括数据库模块122、网络模块124及进阶处理模块126。 类似于数据库模块112，数据库模块122例如是配置在恶意程序分析装置12的存储 器或硬盘等存储媒体(未绘示)中。类似于网络模块114，网络模块124包括有线/无 线网络接口卡，以通过有线/无线的方式收发网络封包。类似于初步处理模块116， 进阶处理模块126例如是以硬件电路形式配置在恶意程序分析装置12的处理器等系 统芯片组(未绘示)内，并且耦接至数据库模块122与网络模块124。此外，在一范例 实施例中，进阶处理模块126也可以是以软件或韧件模块形式存储于恶意程序分析 装置12的存储媒体中，而由恶意程序分析装置12的处理器载入并且运行等等，本 发明不对其限制。

在一范例实施例中，数据库模块112存储有过滤表格(filtering table)。此过滤表 格通常包括多个过滤规则(filtering rule)，并且每一个过滤规则可包括特定的字串 (string)及/或符号(symbol)。例如，在一范例实施例中，当电子装置11(或网络模块 114)接收到网络封包时，初步处理模块116可判断此网络封包是否符合过滤表格中 的某些过滤规则(以下统称为至少一特定过滤规则)。若此网络封包符合此至少一特 定过滤规则，初步处理模块116可根据此至少一特定过滤规则来对此网络封包执行 特定操作，例如让此网络封包通过、阻挡此网络封包或者修改此网络封包的部分封 包内容等等。

此外，这些过滤规则也可用来识别出可能带有恶意程序的网络封包。例如，当 使用者通过包含数字机顶盒的电子装置11自网际网络13下载电影时，电子装置 11(或初步处理模块116)可根据预设的比对规则来判断接收到的网络封包的标头 (Header)及/或负载(payload)中是否存在过滤表格中的特定字串及/或符号。若接收到 的网络封包的标头及/或负载中存在过滤表格中的特定字串及/或符号，表示此网络封 包符合过滤规则，也就是说，所下载的电影可能带有恶意程序，因此，电子装置11(或 初步处理模块116)可以根据此网络封包所符合的过滤规则，来执行阻挡或丢弃(drop) 此网络封包，以避免网络封包中的恶意程序顺利进入电子装置11的文件系统(file  system)。或者，在一范例实施例中，电子装置11(或初步处理模块116)也可以通过 清除网络封包中与过滤表格相符的特定字串及/或符号等特定操作，来破坏网络封包 中已知的恶意程序。

在一范例实施例中，过滤表格也可包括白名单与黑名单，若网络封包符合黑名 单中的过滤规则，则电子装置11(或初步处理模块116)会阻挡或修改此网络封包。 若网络封包符合白名单中的过滤规则，则电子装置11(或初步处理模块116)会让此 网络封包进入电子装置11的文件系统。

此外，当接收到的网络封包不符合过滤表格中的所有过滤规则时，表示此网络 封包的标头及/或负载中的内容没有预先被定义在过滤规则中，其包含恶意程序的机 率不高，因此电子装置11(或初步处理模块116)例如是让此网络封包进入电子装置 11的文件系统。

值得一提的是，不符合过滤表格中的所有过滤规则的网络封包虽然有可能是干 净的，却也有可能带有新的恶意程序，而此新的恶意程序的特征还没有被定义在过 滤规则中。因此，在一范例实施例中，数据库模块112还存储有一个或一个以上的 恶意程序特征组，并且数据库模块122则存储有一个或一个以上的恶意程序脚本 (malware script)。其中，每一个恶意程序特征组包括一个或一个以上的恶意程序特征， 并且每一个恶意程序特征组对应于一个恶意程序脚本。此外，恶意程序脚本也可称 为病毒脚本(virus script)或病毒代码(virus pattern)。当接收到的网络封包不符合过滤 表格中的所有过滤规则时，电子装置11(或初步处理模块116)可根据存储在数据库 模块112的恶意程序特征组，对接收到的网络封包执行恶意程序特征检查程序。在 恶意程序特征检查程序执行完毕之后，电子装置11(或初步处理模块116)会产生此 网络封包的特征信息，并且通过第一网络模块114将此网络封包的特征信息上传至 恶意程序分析装置12。

此外，在一范例实施例中，电子装置11(或初步处理模块116)执行恶意程序特 征检查程序的时机，也可以是在电子装置11(或第一网络模块114)接收到任一个网 络封包时等等，而非限于上述。

详细而言，假设一个恶意程序特征组是对应至一个恶意程序特征检查程序。当 数据库模块112存储有多个恶意程序特征组时，电子装置11(或初步处理模块116) 可根据这些恶意程序特征组平行地(in parallel)对此网络封包执行多个恶意程序特征 检查程序。以下将配合图式详细说明执行恶意程序特征检查程序的范例。

图3A为根据本发明的一范例实施例所绘示的执行恶意程序特征检查程序的示 意图。

请参照图3A，假设数据库模块112存储有第一恶意程序特征组与第二恶意程序 特征组，其中，第一恶意程序特征组可用来检查一个特定的恶意程序或一种特定类 型的恶意程序，并且第二恶意程序特征组可用来检查另一个特定的恶意程序或另一 种特定类型的恶意程序。电子装置11(或初步处理模块116)可平行地根据第一恶意 程序特征组与第二恶意程序特征组，从位置301至位置308依序检查网络封包31 的封包内容(包括标头与负载)，并根据检查结果产生网络封包31的特征信息32。

也就是说，假设第一恶意程序特征检查程序对应于第一恶意程序特征组，并且 第二恶意程序特征检查程序对应于第二恶意程序特征组，电子装置11(或初步处理模 块116)可平行地执行第一恶意程序特征检查程序与第二恶意程序特征检查程序。在 第一恶意程序特征检查程序中，电子装置11(或初步处理模块116)可根据第一恶意 程序特征组中的多个恶意程序特征分别对应在网络封包31中的位置，依据检查网络 封包31中的数据。例如，先检查网络封包31的位置301的数据D1，再检查位置 304的数据D3，再检查位置306的数据D4，最后才检查位置308的数据D2。而检 查的方式，则例如是依序比对第一恶意程序特征组中分别对应在位置301、304、306 及308的多个恶意程序特征与数据D1、D3、D4及D2，进而产生检查结果R1、R3、 R4及R2。举例来说，当数据D1与第一恶意程序特征组中对应在位置301的某一恶 意程序特征相符，而数据D3、D4及D2皆与第一恶意程序特征组中对应在位置304、 306及308的其余恶意程序特征不相符时，所产生的检查结果例如是R1=1、R3=0、 R4=0并且R2=0。

类似地，在第二恶意程序特征检查程序中，电子装置11(或初步处理模块116) 可根据第二恶意程序特征检查程序中的多个恶意程序特征分别对应在网络封包31 中的位置，依据检查网络封包31中的数据。例如，先检查网络封包31的位置302 的数据D5，再检查位置303的数据D8，再检查位置305的数据D7，最后才检查位 置307的数据D6。检查的方式例如是依序比对第二恶意程序特征检查程序中分别对 应在位置302、303、305及307的多个恶意程序特征与数据D5、D8、D7及D6， 进而产生检查结果R5、R8、R7及R6。也就是说，在本范例实施例中，特征信息 32至少会包括检查结果R1、R5、R8、R3、R7、R4、R6及R2。

特别是，在一范例实施例中，由于电子装置11的数据处理能力有限，因此电子 装置11并不适合执行例如数据排序(sorting)等进阶数据处理程序。因此，在一范例 实施例中，实际上特征信息32中的检查结果R1、R5、R8、R3、R7、R4、R6及R2 是依照电子装置11(或初步处理单元116)对网络封包31中的数据的检查顺序进行排 列的，例如最先检查位置301的数据D1而最先产生检查结果R1，并且最后检查位 置308的数据D2而最后才产生检查结果R2等。然后，电子装置11(或初步处理模 块116)可通过网络模块114即时地将特征信息32上传至恶意程序分析装置12。

值得一提的是，相对于网络封包本身，由于网络封包的特征信息(例如，恶意程 序特征检查程序的检查结果)的数据量相对较少，因此即使电子装置11在短时间内 上传多个网络封包的特征信息，正在操作此电子装置11的使用者可能也不会察觉。 此外，由于电子装置11所执行的恶意程序特征检查程序仅包括简单的封包内容比 对，因此即使电子装置11在短时间内执行多个恶意程序特征检查程序，对于电子装 置11的运算资源的消耗量也同样不至于影响电子装置11的使用者的操作行为。也 就是说，相对于传统完全在用户端的电脑系统中执行扫毒而消耗用户端电脑系统的 大量系统资源，或者完全在服务器端执行恶意程序的检测而传输大量的网络封包内 容，导致消耗用户端大量的网络带宽，本发明可在减少用户端网络流量的占用，以 及减少用户端系统资源消耗的前提下，有效提升用户端电子装置对于恶意程序的防 护能力。

当恶意程序分析装置12(或网络模块124)接收到来自电子装置11的网络封包的 特征信息时，恶意程序分析装置12(或进阶处理模块126)可根据网络封包的特征信 息判断此网络封包是否包含恶意程序。特别是，由于恶意程序分析装置12接收到的 网络封包的特征信息不一定符合恶意程序脚本的数据分析顺序，因此，在一范例实 施例中，在判断网络封包是否包含恶意程序之前，恶意程序分析装置12(或进阶处理 模块126)会根据恶意程序脚本的数据分析顺序或恶意程序检测规则，重新排序网络 封包的特征信息，并且根据排序后的特征信息来判断此网络封包中是否包含恶意程 序。以下将配合图式举例说明重新排序网络封包的特征信息的运作。

图3B为根据本发明的一范例实施例所绘示的重新排序网络封包的特征信息的 示意图。

请参照图3B，接续图3A所示的范例，在接收到特征信息32之后，恶意程序 分析装置12(或进阶处理模块126)可根据存储在数据库模块122且对应于第一恶意 程序特征组的第一恶意程序脚本SC1与对应于第二恶意程序特征组的第二恶意程序 脚本SC2，重新排列特征信息32为已排序检查结果序列33。例如，恶意程序分析 装置12(或进阶处理模块126)可以将第一恶意程序特征检查程序的检查结果R1、R3、 R4及R2移至已排序检查结果序列33的前半段，并且将第二恶意程序特征检查程序 的检查结果R5、R8、R7及R6移至已排序检查结果序列33的后半段，以便于依序 利用第一恶意程序脚本SC1与第二恶意程序脚本SC2来进行恶意程序的检查。

然后，假设第一恶意程序脚本SC1的数据分析顺序是先检查数据D1，再基于 数据D2而选择性地检查数据D3或D4，并且第二恶意程序脚本SC2的数据分析顺 序是基于数据D5而选择性地检查数据D6、D7或D8。恶意程序分析装置12(或进 阶处理模块126)可将位于已排序检查结果序列33的前半段的检查结果R1、R3、R4 及R2重新排序为“R1、R2、R3及R4”，以符合第一恶意程序脚本SC1的数据分 析顺序，并且将位于已排序检查结果序列33的后半段的检查结果R5、R8、R7及 R6重新排序为“R5、R6、R7及R8”，以符合第二恶意程序脚本SC2的数据分析 顺序。

然后，经比对，当恶意程序分析装置12(或进阶处理模块126)发现“R1、R2、 R3及R4”符合第一恶意程序脚本SC1的恶意程序检测规则(例如，R1=1、R2=1且 R3=1)及/或“R5、R6、R7及R8”符合第二恶意程序脚本SC2的恶意程序检测规则 (例如，R5=1且R7=1)时，恶意程序分析装置12(或进阶处理模块126)可判定网络封 包31包括恶意程序。此外，恶意程序分析装置12(或进阶处理模块126)还可进一步 得知网络封包31中包含的恶意程序类型等相关信息。例如，当已排序检查结果序列 33符合第一恶意程序脚本SC1的恶意程序检测规则时，表示网络封包31中包含某 一种特定类型的恶意程序。当已排序检查结果序列33符合第二恶意程序脚本SC2 的恶意程序检测规则时，表示网络封包31中包含另一种特定类型的恶意程序。或者， 当已排序检查结果序列33同时符合第一恶意程序脚本SC1与第二恶意程序脚本SC2 的恶意程序检测规则时，表示网络封包31中同时包含两种特定类型的恶意程序等 等。

然后，当恶意程序分析装置12(或进阶处理模块126)判定此网络封包包含一个 (或一个以上的)恶意程序时，恶意程序分析装置12(或进阶处理模块126)可产生对应 于此恶意程序的过滤规则。例如，恶意程序分析装置12(或进阶处理模块126)可根 据此恶意程序对应在网络封包中的特定字串、符号及/或带有此恶意程序的网络封包 的来源端(source)信息(例如，来源端IP地址与来源端口)等等，而归纳出对应于此恶 意程序的过滤规则。例如，阻挡来自某一特定IP地址的网络封包或者带有会控制电 子装置11向外发送帐号与密码的字串及/或符号的网络封包等等，本发明不对其限 制。

此外，在一范例实施例中，恶意程序分析装置12(或进阶处理模块126)还可以 进一步判断此恶意程序是否为可清除恶意程序。也就是说，若此恶意程序可很容易 地从网络封包中清除或移除，表示此恶意程序为可清除恶意程序。反之，若此恶意 程序难以从网络封包中清除或移除，表示此恶意程序不是可清除恶意程序。若恶意 程序分析装置12(或进阶处理模块126)判定此恶意程序为可清除恶意程序，恶意程 序分析装置12(或进阶处理模块126)会设定对应于此恶意程序的过滤规则为清除指 令。反之，若恶意程序分析装置12(或进阶处理模块126)判定此恶意程序非为可清 除恶意程序，恶意程序分析装置12(或进阶处理模块126)会设定对应于此恶意程序 的过滤规则为阻挡指令。

然后，恶意程序分析装置12(或进阶处理模块126)可以通过第二网络模块124 发送更新指令至电子装置11。当电子装置11(或网络模块114)接收到此更新指令时， 电子装置11(或初步处理单元116)会根据此更新指令新增对应于此恶意程序的过滤 规则至数据库模块112中的过滤表格。例如，恶意程序分析装置12(或进阶处理模块 126)会将此恶意程序的过滤规则等最新的过滤规则存在数据库模块122的一个更新 表格中，并且电子装置11(或初步处理单元116)会根据此更新指令，通过网络模块 114自此更新表格下载此恶意程序的过滤规则。

当下一次电子装置11(或网络模块114)接收到包含此恶意程序的网络封包时， 由于数据库模块112中的过滤表格已存有对应于此恶意程序的过滤规则，因此，电 子装置11(或初步处理单元116)可识别出包含此恶意程序的网络封包，并且执行对 应的特定操作。例如，在一范例实施例中，若对应于此恶意程序的过滤规则为清除 指令，则电子装置11(或初步处理单元116)可根据此清除指令清除此网络封包中至 少部分的恶意程序。此外，在一范例实施例中，若对应于此恶意程序的过滤规则为 阻挡指令，则电子装置11(或初步处理单元116)可根据此阻挡指令阻挡或直接丢弃 此网络封包。

在一范例实施例中，根据每一个电子装置11上传的网络封包的特征信息，当恶 意程序分析装置12(或进阶处理模块126)检查出多个电子装置11在一预设时间范围 内都接收到带有特定恶意程序的网络封包时，恶意程序分析装置12(或进阶处理模块 126)还可判定发生病毒爆发(virus outbreak)。其中，先后接收到带有此特定恶意程序 的网络封包的这些电子装置11可能具有共通特性。例如，当处于某一网域(例如， IP地址为140.116.X.X)、某一地区(例如，士林区)及/或某一类型的电子装置11(例如， 智能电视)在同一天内分别接收到带有特定恶意程序的网络封包，表示这些电子装置 11所在的网络环境内目前存在一个以上的高传染性恶意程序。此时，由于恶意程序 分析装置12(或进阶处理模块126)可能尚未归纳出对应于此高传染性恶意程序的过 滤规则，因此，恶意程序分析装置12(或进阶处理模块126)例如是先即时通过网络 模块124发送网络管制指令至此网络环境内(例如，同一网域、同一地区或同一类型) 的每一个电子装置11。当电子装置11(或网络模块114)接收到此网络管制指令时， 电子装置11(或初步处理模块116)会根据此网络管制指令，管制至少部分电子装置 11与网际网络13的连线。例如，电子装置11(或初步处理模块116)会根据此网络管 制指令关闭其与某一IP地址之间的网络连线，禁止接收来自此IP地址的网络封包， 或者甚至暂时切断对外的所有网络连线等等，直到恶意程序分析装置12(或进阶处理 模块126)归纳出对应于此高传染性恶意程序的过滤规则为止。借此，从病毒爆发到 病毒代码公布期间的防护空窗期，电子装置11也可具有基本的恶意程序防范能力。

此外，在一范例实施例中，恶意程序分析装置12(或进阶处理模块126)也可以 模拟使用者行为(user behavior)，并且记录应用程序或网页反应于此使用者行为而执 行的异常行为。若此异常行为不合法，则恶意程序分析装置12(或进阶处理模块126) 可产生对应于此应用程序或此网页的过滤规则，并通过网络模块124发送更新指令 至电子装置11。接着，在电子装置11(或网络模块114)接收到此更新指令之后，电 子装置11(或初步处理模块116)可根据此更新指令新增对应于此应用程序或此网页 的过滤规则至存储于数据库模块112中的过滤表格。

举例来说，请再次参照图1，在一实施例中，恶意程序(malware)防护系统10还 可还包括网页服务器14与应用程序服务器15。例如，网页服务器14是网站主机， 并且存储有多个网页。而应用程序服务器15例如是应用程序的维护主机，并且可定 期发布应用程序的更新/维护信息至用户端等等。

在一范例实施例中，恶意程序分析装置12(或进阶处理模块126)会依据一特定 规则(例如，每天1～2次)对网页服务器14提供的网页及/或应用程序服务器15提供 的应用程序进行测试，例如，通过模拟开启网页及/或下载文件等使用者行为，并记 录进行测试的网页及/或应用程序反应于此使用者行为而执行的正常行为。此外，此 正常行为也可以是由网页服务器14及/或应用程序服务器15通过注册或认证等程序 而提供。经过反复测试，当某一次(例如，2013年9月17日下午3:00)网页服务器 14提供的网页及/或应用程序服务器15提供的应用程序反应于此使用者行为而执行 的行为(以下统称为异常行为)与先前(例如，2013年9月17日上午6:00)记录的正常 行为不同时，恶意程序分析装置12(或进阶处理模块126)可通过自动或手动的方式 分析并判断此异常行为是否合法。若此异常行为不合法，例如某一网页或某一应用 程序会执行将使用者的帐号与密码偷偷传送至一特定主机等异常行为，表示此网页 或应用程序可能已被恶意程序感染或其程序代码已被恶意窜改，因此，在经过确认 之后，恶意程序分析装置12(或进阶处理模块126)可通过更新指令将对应于此网页 或应用程序的过滤规则新增至电子装置11的过滤表格。借此，当电子装置11再次 接收到来自网页服务器14及/或应用程序服务器15的网络封包，或者带有相关信息 的网络封包时，此网络封包就可能会被修改、被阻挡或者直接被丢弃，以避免电子 装置11受到恶意程序的感染。

类似地，上述电子装置11根据更新指令来更新过滤表格的方式，例如是由电子 装置11根据更新指令通过网际网络13至恶意程序分析装置12下载最新的过滤规 则，或者由恶意程序分析装置12直接将最新的过滤规则夹带在更新指令中，而发送 至电子装置11，本发明不对其限制。

图4为根据本发明的一范例实施例所绘示的恶意程序防护方法的流程图。

请同时参照图2与图4，在步骤S402中，由电子装置11(或网络模块114)接收 网络封包，其中，电子装置11(或数据库模块112)存储有过滤表格，并且此过滤表 格包括至少一过滤规则。然后，在步骤S404中，由电子装置11(或初步处理模块116) 判断网络封包是否符合此过滤表格中的一个或多个特定过滤规则。

若此网络封包符合此过滤表格中的一个或多个特定过滤规则，在步骤S406中， 由电子装置11(或初步处理模块116)根据此一个或多个特定过滤规则对网络封包执 行特定操作。反之，若此网络封包不符合过滤表格中的此一个或多个特定过滤规则， 则在步骤S408中，电子装置11(或初步处理模块116)通过网络模块114上传此网络 封包的特征信息至恶意程序分析装置12。

必须了解的是，对应于不同的应用，本发明的恶意程序防护方法也可适应性的 调整，而不限于图4所示的步骤。

图5为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。

请同时参照图2与图5，在步骤S502中，由电子装置11(或网络模块114)接收 网络封包，其中，电子装置11(或数据库模块112)存储有至少一恶意程序特征组与 过滤表格。

然后，在步骤S504中，由电子装置11(或初步处理模块116)根据此至少一恶意 程序特征组对此网络封包执行恶意程序特征检查程序，以产生此网络封包的特征信 息，并通过网络模块114将此网络封包的特征信息上传至恶意程序分析装置12。

接着，在步骤S506中，由恶意程序分析装置12(或进阶处理模块126)根据此网 络封包的特征信息判断此网络封包是否包含恶意程序。

若此网络封包包含恶意程序，在步骤S508中，由恶意程序分析装置12(或进阶 处理模块126)产生对应于此恶意程序的过滤规则，并且通过网络模块124发送更新 指令至电子装置11。

然后，在步骤S510中，由电子装置11(或初步处理模块116)根据此更新指令新 增对应于此恶意程序的过滤规则至数据库模块112中的过滤表格。

此外，在步骤S506中，若恶意程序分析装置12(或进阶处理模块126)判定此网 络封包并未包含任何(例如，已知的)恶意程序，则步骤S502被重复执行。

图6为根据本发明的另一范例实施例所绘示的过滤表格更新方法的流程图。

请参照图2与图6，在步骤S602中，由恶意程序分析装置12(或进阶处理模块 126)模拟使用者行为，并且记录应用程序或网页反应于此使用者行为而执行的异常 行为。

然后，在步骤S604中，由恶意程序分析装置12(或进阶处理模块126)判断此异 常行为是否合法。若此异常行为合法，例如，只是网页或应用程序的功能有变动， 则依照特定的规则重复执行步骤S602。

反之，若此异常行为不合法，则在步骤S606中，由恶意程序分析装置12(或进 阶处理模块126)产生对应于此应用程序或网页的过滤规则，并发送更新指令至电子 装置11。

然后，在步骤S608中，由电子装置11(或初步处理模块116)根据此更新指令， 新增对应于此应用程序或此网页的过滤规则至其过滤表格。

综上所述，本发明提出的恶意程序防护方法与系统，仅需要让用户端的电子装 置负责简单的封包内容比对，而将需要较多系统资源的排序与决策交由服务器端的 恶意程序分析装置执行。借此，可有效改善以往完全由服务器端或者用户端进行恶 意程序检测而造成的网络流量过高及/或资源消耗过大的困扰，并且可达到提升电子 装置的恶意程序防护能力与降低其系统资源消耗的功效。此外，针对从病毒爆发到 病毒代码公布期间的防毒空窗期，本发明也提出可增强电子装置安全性的解决方案， 有效改善传统防毒软件及/或入侵检测系统可能存在的缺陷。

再者，本发明提出的过滤表格更新方法，可通过用户端的电子装置与服务器端 的恶意程序分析装置合作对网络封包进行分析，以决定是否更新用户端的电子装置 的过滤表格，从而达到减轻服务器端与用户端的系统负担与强化恶意程序回报机制 的功效。

虽然本发明已以实施例揭露如上，然而其并非用以限定本发明，任何所属技术 领域中具有通常知识者，在不脱离本发明的精神和范围内，当可作些许的更动与润 饰，故本发明的保护范围当视申请专利范围所界定者为准。