CN108874462A - 一种浏览器行为获取方法、装置、存储介质及电子设备 - Google Patents
一种浏览器行为获取方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN108874462A CN108874462A CN201711471173.1A CN201711471173A CN108874462A CN 108874462 A CN108874462 A CN 108874462A CN 201711471173 A CN201711471173 A CN 201711471173A CN 108874462 A CN108874462 A CN 108874462A
- Authority
- CN
- China
- Prior art keywords
- browser
- behavior
- registration
- unit
- collection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44521—Dynamic linking or loading; Link editing at or after load time, e.g. Java class loading
- G06F9/44526—Plug-ins; Add-ons
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明的实施例公开一种浏览器行为获取方法、装置、存储介质及电子设备,涉及信息安全技术,能够提升样本行为检测精度。所述浏览器行为获取方法包括:监测浏览器辅助对象插件在浏览器中的注册行为;若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;采集所述行为集对应的浏览器行为。
Description
技术领域
本发明涉及信息安全技术,尤其涉及一种浏览器行为获取方法、装置、存储介质及电子设备。
背景技术
随着互联网技术的快速发展,网络上的数据流量越来越多,使得一些恶意软件通过网络攻击,能够非法获取用户的数据流量,从而给用户的网络信息安全带来极大的危害,并严重危害了网络安全环境。
为了维护互联网络安全,需要对恶意软件的网络攻击行为进行有效防范。目前,通常采用动态沙箱的方法对疑似恶意软件(样本)行为进行检测及分析,通过模拟恶意软件的运行环境,使恶意软件能在动态沙箱中正常运行,从而获取其恶意行为。
浏览器辅助对象(BHO,Browser Helper Object)插件是使用BHO编写IE浏览器的扩展程序,是微软推出的作为浏览器对第三方程序员开放交互接口的业界标准,文件格式为DLL文件,可对IE浏览器的界面和访问内容进行修改操作,实现在浏览器中定制个性化的功能。BHO插件技术本身虽然是合法的,但是如果被攻击者利用达成恶意的目的,例如,一些恶意软件(样本)在运行过程中会通过BHO插件向IE浏览器进行注册,通过BHO插件注册,可以控制BHO插件或浏览器实现对指定浏览器某些功能的修改,例如,篡改浏览器主页、进行浏览器劫持、窃取密码等恶意行为,从而给信息安全带来极大危害。但由于BHO插件技术的合法性,在动态沙箱技术中没有考虑该情形,因而并没有对注册浏览器的BHO插件的行为设置有具体的监控策略,因此也未能获取样本利用BHO插件在浏览器中的操作行为,从而遗漏一些危险的恶意样本行为,降低了动态沙箱的检测精度以及信息安全性强度,影响动态沙箱的检出率和安全鉴定结果。
发明内容
有鉴于此,本发明实施例提供一种浏览器行为获取方法、装置、存储介质及电子设备,能够提升样本行为检测精度,以解决现有由于BHO插件技术的合法性导致的不能获取样本在浏览器中的恶意操作行为,使得样本行为检测精度低的技术问题。
第一方面,本发明实施例提供一种浏览器行为获取方法,包括:
监测浏览器辅助对象插件在浏览器中的注册行为;
若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
采集所述行为集对应的浏览器行为。
结合第一方面,在第一方面的第一种实施方式中,所述监测到所述浏览器辅助对象插件的注册行为包括:
监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
结合第一方面,在第一方面的第二种实施方式中,所述监测到所述浏览器辅助对象插件的注册行为包括:
获取注册脚本文件中的宏声明;
若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;
若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;
若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
结合第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述注册脚本文件为后缀名为.rgs的文件。
结合第一方面、第一方面的第一种至第三种中的任一实施方式,在第一方面的第四种实施方式中,所述触发预先设置的访问所述浏览器的行为集包括:
运行所述浏览器;
依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
结合第一方面、第一方面的第一种至第三种中的任一实施方式,在第一方面的第五种实施方式中,所述方法还包括:
对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
第二方面,本发明实施例提供一种浏览器行为获取装置,包括:注册监测模块、行为集触发模块以及行为采集模块,其中,
注册监测模块,用于监测浏览器辅助对象插件在浏览器中的注册行为;
行为集触发模块,若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
行为采集模块,用于采集所述行为集对应的浏览器行为。
结合第二方面,在第二方面的第一种实施方式中,所述行为集触发模块包括:注册确定单元以及行为集触发单元,其中,
注册确定单元,用于在监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变后,确定所述浏览器辅助对象插件具有注册行为,通知行为集触发单元;
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
结合第二方面,在第二方面的第二种实施方式中,所述行为集触发模块包括:注册行为确定单元以及行为集触发单元,其中,
注册行为确定单元,用于获取注册脚本文件中的宏声明;若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为;
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
结合第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述注册脚本文件为后缀名为.rgs的文件。
结合第二方面的第二种实施方式或第三种实施方式,在第二方面的第四种实施方式中,所述行为集触发单元包括:运行子单元以及访问子单元,其中,
运行子单元,用于运行所述浏览器;
访问子单元,用于依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
结合第二方面、第二方面的第一种实施方式或第二种实施方式或第三种实施方式,在第二方面的第五种实施方式中,所述装置还包括:
安全分析模块,用于对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
第三方面,本发明实施例提供一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行前述任一实施方式所述的方法。
第四方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施方式所述的方法。
本发明实施例提供的一种浏览器行为获取方法、装置、计算机可读存储介质及电子设备,通过监测浏览器辅助对象插件在浏览器中的注册行为;若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;采集所述行为集对应的浏览器行为,能够提升样本行为检测精度,以解决现有由于BHO插件技术的合法性导致的不能获取样本在浏览器中的恶意操作行为,使得样本行为检测精度低的技术问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明的实施例一浏览器行为获取方法流程示意图;
图2为本发明的实施例二浏览器行为获取装置结构示意图;
图3为本发明电子设备一个实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1为本发明的实施例一浏览器行为获取方法流程示意图。如图1所示,该浏览器行为获取方法包括:
步骤101,监测浏览器辅助对象插件在浏览器中的注册行为;
本实施例中,作为一可选实施例,浏览器为IE浏览器。
本实施例中,由于BHO插件本质上是com类组件,因而,作为一可选实施例,样本可以使用程序集注册工具(regasm.exe)对BHO插件进行浏览器注册,关于利用regasm.exe向浏览器进行注册,具体可参见相关技术文献,在此略去详述。
本实施例中,样本通过利用浏览器辅助对象插件,使得浏览器辅助对象插件向浏览器注册,从而可对IE浏览器的界面和访问内容进行修改操作,例如,篡改浏览器主页、进行浏览器劫持、窃取密码等恶意行为。
本实施例中,BHO插件在向浏览器注册时,与BHO插件注册的相关文件、进程、注册表项等会发生相应改变,因而,作为一可选实施例,在样本运行过程中,通过监测与BHO插件注册的相关文件、进程、注册表项来监测浏览器辅助对象插件在浏览器中的注册行为。
步骤102,若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
本实施例中,作为一可选实施例,监测到所述浏览器辅助对象插件的注册行为包括:
监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
本实施例中,程序集注册工具对应进程。这样,在样本运行过程中,通过监控BHO插件向浏览器注册的进程以及注册表,如果有相应进程调用且注册表项发生变化,则确定BHO插件有向浏览器注册的行为,即样本有注册BHO插件的行为。
本实施例中,作为一可选实施例,浏览器的注册表项发生改变是指与IE浏览器相关的注册表项发生改变。
作为另一可选实施例,监测到所述浏览器辅助对象插件的注册行为包括:
A11,获取注册脚本文件中的宏声明;
本实施例中,作为一可选实施例,注册脚本文件为后缀名为.rgs的文件,该注册脚本文件由动态模板库(ATL,Active Template Library)向导生成,利用DECLARE_REGISTRY_RESOURCEID或DECLARE_REGISTRY_APPID_RESOURCEID等宏来声明安装和卸载。
A12,若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;
本实施例中,如果宏声明安装,则获取设备信息脚本文件(INF,DeviceInformation File)的运行状态,设备信息脚本文件用于执行安装,如果设备信息脚本文件的运行状态为已运行,表明已执行过安装。
A13,若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;
A14,若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
本实施例中,通过监控注册脚本文件、设备信息脚本文件以及浏览器的注册表项,如果检测到注册脚本文件中的宏声明为安装,设备信息脚本文件的运行状态为已运行,表明有com类组件的注册行为,然后再根据注册表项的修改是否为IE浏览器相关的注册表项修改,如果是,则可以确定IE浏览器中有BHO插件注册行为。
本实施例中,作为一可选实施例,触发预先设置的访问所述浏览器的行为集包括:
运行所述浏览器;
依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
本实施例中,作为一可选实施例,行为集为一脚本文件,行为集中的行为用于模拟浏览器的一些常规操作,包括但不限于:打开设定的网页、点击网页中的前进控件、点击后退控件以及在密码框中输入密码字符串等。其中,作为一可选实施例,设定的网页的路径可以是网站的路径,也可以是本地的html文件的路径,可以按照预先设置的点击频率点击网页中的前进控件和后退控件,在网页页面上的密码字符串输入框中输入密码字符串,以启动BHO插件并触发BHO插件对这些行为的处理行为。
本实施例中,作为另一可选实施例,行为集也可以是预先安装在浏览器所属客户端的一交互模拟工具,例如按键精灵,通过提前录制用于交互模拟的操作,例如,输入验证码操作、滑动操作、滚动操作、点击操作、打开网页操作等,从而使得交互模拟工具能够按照预先录制的交互模拟操作访问浏览器。
本实施例中,在确定样本有注册BHO插件的行为后,触发运行访问浏览器的行为集中的行为,例如,打开IE浏览器,模拟用户的真实操作,例如,前进、后退、密码字符串输入、验证码输入等,以通过这些模拟的真实操作动作,使利用BHO插件注册的样本能够暴露恶意的攻击行为。
步骤103,采集所述行为集对应的浏览器行为。
本实施例中,作为一可选实施例,在启动浏览器的同时,去监控浏览器的运行过程,采集浏览器行为,由于BHO插件作为浏览器的一部分,其行为也包含在浏览器行为中。
本实施例中,作为一可选实施例,该方法还包括:
对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
本实施例中,作为一可选实施例,对所述浏览器行为进行分析,以确定所述浏览器行为的安全性包括:
将所述浏览器行为与预先设置的恶意行为库进行匹配,若确定所述浏览器行为与所述恶意行为库中的任一恶意行为相匹配,确定所述浏览器行为为危险浏览器行为。
本实施例中,可以逐条或者按照预先设置的组合方式组合浏览器行为后,与行为检测规则,例如,恶意行为库或白名单行为库进行匹配,如果能匹配上,则确定该浏览器行为与行为检测规则相匹配,如果确定某一浏览器行为为危险浏览器行为,则可以确定出相应的样本,从而对样本进行相应处理,例如,将该样本置于预先设置的恶意样本库中。
本实施例中,通过监控并采集浏览器行为,从浏览器行为中可以暴露出BHO插件中样本的恶意行为,从而对于样本运行过程中有注册浏览器BHO插件的行为提出了一种有效的解决方案,避免遗漏样本的一些危险行为,从而提升样本的行为采集能力,使鉴定结果更加准确,提升动态沙箱的检测精度以及信息安全性强度,增强动态沙箱的检出率和安全鉴定结果的可靠性。
图2为本发明的实施例二浏览器行为获取装置结构示意图。如图2所示,该浏览器行为获取装置包括:注册监测模块21、行为集触发模块22以及行为采集模块23,其中,
注册监测模块21,用于监测浏览器辅助对象插件在浏览器中的注册行为;
本实施例中,作为一可选实施例,浏览器为IE浏览器。
本实施例中,作为一可选实施例,样本可以使用程序集注册工具(regasm.exe)对BHO插件进行浏览器注册。
行为集触发模块22,若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
本实施例中,作为一可选实施例,行为集触发模块22包括:注册确定单元以及行为集触发单元(图中未示出),其中,
注册确定单元,用于在监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变后,确定所述浏览器辅助对象插件具有注册行为,通知行为集触发单元;
本实施例中,程序集注册工具对应进程。这样,在样本运行过程中,通过监控BHO插件向浏览器注册的进程以及注册表,如果有相应进程调用且注册表项发生变化,则确定BHO插件有向浏览器注册的行为。
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
本实施例中,作为另一可选实施例,行为集触发模块22包括:注册行为确定单元以及行为集触发单元,其中,
注册行为确定单元,用于获取注册脚本文件中的宏声明;若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为;
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
本实施例中,作为一可选实施例,所述注册脚本文件为后缀名为.rgs的文件。该注册脚本文件利用DECLARE_REGISTRY_RESOURCEID或DECLARE_REGISTRY_APPID_RESOURCEID等宏来声明安装和卸载。
本实施例中,作为一可选实施例,行为集触发单元包括:运行子单元以及访问子单元,其中,
运行子单元,用于运行所述浏览器;
访问子单元,用于依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
本实施例中,作为一可选实施例,行为集为一脚本文件,行为集中的行为用于模拟浏览器的一些常规操作,作为另一可选实施例,行为集也可以是预先安装在浏览器所属客户端的一交互模拟工具。
行为采集模块23,用于采集所述行为集对应的浏览器行为。
本实施例中,作为一可选实施例,该装置还包括:
安全分析模块(图中未示出),用于对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
本实施例中,作为一可选实施例,对所述浏览器行为进行分析,以确定所述浏览器行为的安全性包括:
将所述浏览器行为与预先设置的恶意行为库进行匹配,若确定所述浏览器行为与所述恶意行为库中的任一恶意行为相匹配,确定所述浏览器行为为危险浏览器行为。
本发明实施例还提供一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行图1所示方法实施例的技术方案。
本发明实施例还提供了一种应用程序,用于执行本发明实施例所提供的一种浏览器行为获取方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,″计算机可读介质″可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。
在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本发明实施例还提供一种电子设备,所述电子设备包含前述任一实施例所述的装置。
图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1-2所示实施例的流程,如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的浏览器行为获取方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-2所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (14)
1.一种浏览器行为获取方法,其特征在于,包括:
监测浏览器辅助对象插件在浏览器中的注册行为;
若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
采集所述行为集对应的浏览器行为。
2.根据权利要求1所述的浏览器行为获取方法,其特征在于,所述监测到所述浏览器辅助对象插件的注册行为包括:
监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
3.根据权利要求1所述的浏览器行为获取方法,其特征在于,所述监测到所述浏览器辅助对象插件的注册行为包括:
获取注册脚本文件中的宏声明;
若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;
若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;
若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为。
4.根据权利要求3所述的浏览器行为获取方法,其特征在于,所述注册脚本文件为后缀名为.rgs的文件。
5.根据权利要求1至4任一项所述的浏览器行为获取方法,其特征在于,所述触发预先设置的访问所述浏览器的行为集包括:
运行所述浏览器;
依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
6.根据权利要求1至4任一项所述的浏览器行为获取方法,其特征在于,所述方法还包括:
对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
7.一种浏览器行为获取装置,其特征在于,包括:注册监测模块、行为集触发模块以及行为采集模块,其中,
注册监测模块,用于监测浏览器辅助对象插件在浏览器中的注册行为;
行为集触发模块,若监测到所述浏览器辅助对象插件的注册行为,触发预先设置的访问所述浏览器的行为集;
行为采集模块,用于采集所述行为集对应的浏览器行为。
8.根据权利要求7所述的浏览器行为获取装置,其特征在于,所述行为集触发模块包括:注册确定单元以及行为集触发单元,其中,
注册确定单元,用于在监测到程序集注册工具被调用,且所述浏览器的注册表项发生改变后,确定所述浏览器辅助对象插件具有注册行为,通知行为集触发单元;
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
9.根据权利要求7所述的浏览器行为获取装置,其特征在于,所述行为集触发模块包括:注册行为确定单元以及行为集触发单元,其中,
注册行为确定单元,用于获取注册脚本文件中的宏声明;若所述宏声明为声明安装的值,提取设备信息脚本文件的运行状态;若所述设备信息脚本文件的运行状态为已运行,查找所述浏览器的注册表项;若所述浏览器的注册表项发生改变,确定所述浏览器辅助对象插件具有注册行为;
行为集触发单元,用于依据接收的通知触发预先设置的访问所述浏览器的行为集。
10.根据权利要求9所述的浏览器行为获取装置,其特征在于,所述注册脚本文件为后缀名为.rgs的文件。
11.根据权利要求8或9所述的浏览器行为获取装置,其特征在于,所述行为集触发单元包括:运行子单元以及访问子单元,其中,
运行子单元,用于运行所述浏览器;
访问子单元,用于依次提取预先设置的用于模拟与所述浏览器交互的行为集中的行为,访问所述浏览器。
12.根据权利要求7至10任一项所述的浏览器行为获取装置,其特征在于,所述装置还包括:
安全分析模块,用于对所述浏览器行为进行分析,以确定所述浏览器行为的安全性。
13.一种计算机可读存储介质,其存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行如权利要求1-6任一项所述的方法。
14.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求1-6所述的浏览器行为获取方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711471173.1A CN108874462B (zh) | 2017-12-28 | 2017-12-28 | 一种浏览器行为获取方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711471173.1A CN108874462B (zh) | 2017-12-28 | 2017-12-28 | 一种浏览器行为获取方法、装置、存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108874462A true CN108874462A (zh) | 2018-11-23 |
CN108874462B CN108874462B (zh) | 2021-09-21 |
Family
ID=64325820
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711471173.1A Active CN108874462B (zh) | 2017-12-28 | 2017-12-28 | 一种浏览器行为获取方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108874462B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110648108A (zh) * | 2019-08-30 | 2020-01-03 | 广东工业大学 | 一种基于按键精灵的办公自动化方法及系统 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101159000A (zh) * | 2007-10-17 | 2008-04-09 | 深圳市迅雷网络技术有限公司 | 一种网页安全信息检测系统及方法 |
CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
US20130097429A1 (en) * | 2003-12-16 | 2013-04-18 | Citibank Development Center, Inc. | Method and System for Secure Authentication of a User by a Host System |
CN103532912A (zh) * | 2012-07-04 | 2014-01-22 | 中国电信股份有限公司 | 浏览器业务数据的处理方法和装置 |
CN103699840A (zh) * | 2013-12-12 | 2014-04-02 | 北京奇虎科技有限公司 | 网页劫持的检测方法和装置 |
US20150188936A1 (en) * | 2013-12-26 | 2015-07-02 | Electronics And Telecommunications Research Institute | System and method for real-time malware detection based on web browser plugin |
CN104850789A (zh) * | 2015-04-01 | 2015-08-19 | 河海大学 | 一种基于Web浏览器帮助对象的远程代码注入漏洞检测方法 |
CN105160246A (zh) * | 2015-09-30 | 2015-12-16 | 北京奇虎科技有限公司 | 一种识别被劫持浏览器的方法及浏览器 |
CN105468993A (zh) * | 2015-11-25 | 2016-04-06 | 北京金山安全软件有限公司 | 一种信息处理方法及装置 |
US20170185778A1 (en) * | 2015-12-24 | 2017-06-29 | Mcafee, Inc. | Executing full logical paths for malware detection |
-
2017
- 2017-12-28 CN CN201711471173.1A patent/CN108874462B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130097429A1 (en) * | 2003-12-16 | 2013-04-18 | Citibank Development Center, Inc. | Method and System for Secure Authentication of a User by a Host System |
CN101159000A (zh) * | 2007-10-17 | 2008-04-09 | 深圳市迅雷网络技术有限公司 | 一种网页安全信息检测系统及方法 |
CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
CN103532912A (zh) * | 2012-07-04 | 2014-01-22 | 中国电信股份有限公司 | 浏览器业务数据的处理方法和装置 |
CN103699840A (zh) * | 2013-12-12 | 2014-04-02 | 北京奇虎科技有限公司 | 网页劫持的检测方法和装置 |
US20150188936A1 (en) * | 2013-12-26 | 2015-07-02 | Electronics And Telecommunications Research Institute | System and method for real-time malware detection based on web browser plugin |
CN104850789A (zh) * | 2015-04-01 | 2015-08-19 | 河海大学 | 一种基于Web浏览器帮助对象的远程代码注入漏洞检测方法 |
CN105160246A (zh) * | 2015-09-30 | 2015-12-16 | 北京奇虎科技有限公司 | 一种识别被劫持浏览器的方法及浏览器 |
CN105468993A (zh) * | 2015-11-25 | 2016-04-06 | 北京金山安全软件有限公司 | 一种信息处理方法及装置 |
US20170185778A1 (en) * | 2015-12-24 | 2017-06-29 | Mcafee, Inc. | Executing full logical paths for malware detection |
Non-Patent Citations (3)
Title |
---|
[美]JOHN MUELLER著,希望图书创作室 译: "《Visual C++ 5.0从入门到精通》", 31 July 1998, 北京:中国轻工业出版社 * |
BURTON HARVEY等著,康博 译: "《C#程序设计教程》", 31 October 2001, 北京:清华大学出版社 * |
余英 等编: "《Visual C++实践与提高——COM和COM+篇》", 28 February 2001, 北京:中国铁道出版社 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110648108A (zh) * | 2019-08-30 | 2020-01-03 | 广东工业大学 | 一种基于按键精灵的办公自动化方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108874462B (zh) | 2021-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yu et al. | Can we trust the privacy policies of android apps? | |
Huang et al. | {SUPOR}: Precise and scalable sensitive user input detection for android apps | |
Lin et al. | Automated forensic analysis of mobile applications on Android devices | |
US20130117855A1 (en) | Apparatus for automatically inspecting security of applications and method thereof | |
CN106326737B (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
CN104537308B (zh) | 提供应用安全审计功能的系统及方法 | |
CN102541729A (zh) | 软件安全漏洞检测装置和方法 | |
CN104508672B (zh) | 程序执行装置以及程序分析装置 | |
CN110474900B (zh) | 一种游戏协议测试方法及装置 | |
CN105224869A (zh) | 组件测试方法和装置 | |
CN105431859A (zh) | 指示恶意软件的信号标记 | |
CN105069354A (zh) | 基于攻击树模型的Android软件混合检测方法 | |
Keng et al. | The case for mobile forensics of private data leaks: Towards large-scale user-oriented privacy protection | |
Aggarwal et al. | I spy with my little eye: Analysis and detection of spying browser extensions | |
Tang et al. | Detecting permission over-claim of android applications with static and semantic analysis approach | |
CN109271789A (zh) | 恶意进程检测方法、装置、电子设备及存储介质 | |
Li et al. | Large-scale third-party library detection in android markets | |
US10671456B2 (en) | Method and device for acquiring application information | |
WO2018199366A1 (ko) | 덱스 파일의 난독화 적용 여부의 탐지 및 보안성 평가를 위한 방법 및 시스템 | |
CN108874462A (zh) | 一种浏览器行为获取方法、装置、存储介质及电子设备 | |
CN115391230A (zh) | 一种测试脚本生成、渗透测试方法、装置、设备及介质 | |
CN115600199A (zh) | 安全评估的方法、装置、电子设备及计算机可读存储介质 | |
CN114662097A (zh) | Csv文件注入攻击的检测方法和装置、电子设备和存储介质 | |
US9703676B2 (en) | Testing application internal modules with instrumentation | |
CN114969759B (zh) | 工业机器人系统的资产安全评估方法、装置、终端及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |