CN109791588B - 缓解与图形用户界面元素相关联的恶意动作 - Google Patents
缓解与图形用户界面元素相关联的恶意动作 Download PDFInfo
- Publication number
- CN109791588B CN109791588B CN201880002686.4A CN201880002686A CN109791588B CN 109791588 B CN109791588 B CN 109791588B CN 201880002686 A CN201880002686 A CN 201880002686A CN 109791588 B CN109791588 B CN 109791588B
- Authority
- CN
- China
- Prior art keywords
- user interface
- interface element
- malware
- malicious action
- computing device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/629—Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/83—Protecting input, output or interconnection devices input devices, e.g. keyboards, mice or controllers thereof
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/031—Protect user input by software means
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/032—Protect output to user by software means
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
本发明公开了可以由计算设备执行缓解与图形用户界面元素相关联的恶意动作。在该计算设备上执行的图形用户界面环境中监视用户界面元素。确定用户界面元素和恶意动作之间的关联。阻止对用户界面元素的访问以阻止恶意动作。
Description
技术领域
本公开整体涉及计算机安全,更具体地涉及缓解图形用户界面(GUI)环境中的恶意软件。
背景技术
恶意软件诸如计算机病毒、蠕虫、木马、勒索软件、间谍软件、广告软件等,对计算机系统造成严重危害并给用户带来不便。随着计算机系统和互联网的使用不断增加,恶意软件的扩散呈爆发趋势,一些计算机分析员估计恶意代码和其他不期望的程序的发布率可能超过合法软件应用程序的发布率。
传统的恶意软件缓解通常检测和防止安装恶意软件,并且/或者检测和删除已经危害系统的恶意软件。例如,一些反恶意软件系统扫描计算机系统的存储器,以寻找已知恶意软件的存在。
在图形用户环境(GUI)中,恶意软件可以通过修改GUI元素的事件处理程序将自身附加到有用的应用程序中。一些恶意软件诸如间谍软件可能故意嵌入合法的、有用应用程序中。反恶意软件系统的感知有效性有时部分地取决于系统是否“破坏”现有应用程序。已附加到或故意嵌入合法应用程序的GUI的恶意软件威胁的通知和/或删除可导致用户相信反恶意软件系统已标记了假正。这种对假正的认知可能导致用户不明智地忽略或中断反恶意软件系统的部分或全部保护功能。即使在用户理解标记了真正的情况下,用户也可能认为反恶意软件系统在用户仍希望使用部分应用程序方面存在欠缺。例如,用户可能希望使用具有故意嵌入的间谍软件的应用程序,而不会遇到间谍软件在未经知情同意的情况下泄露信息的负面影响。
如果没有新的可靠的方法来缓解恶意软件,关键计算基础结构可能会更经常地受到损害。这些损害可能导致现实世界的系统停机,给组织和用户带来不便、经济损失,甚至可能威胁人类安全。
这些问题需要得到解决。
发明内容
用计算设备实现用于缓解与图形用户界面(GUI)元素相关联的恶意动作的方法。在计算机系统上执行的图形用户界面环境中监视用户界面元素。识别用户界面元素与恶意动作之间的关联。阻止对用户界面元素的访问以防止恶意行为,同时允许图形用户界面环境和与用户界面元素相关联的应用程序在计算机系统上继续执行。
阻止对用户界面元素的访问可以通过各种机制实现。例如,可以将挂钩插入用户界面元素中。弹出消息可以抓住GUI环境的焦点,从而防止对用户界面元素的访问。在一些具体实施中,可禁用人机接口(例如,鼠标指针)。作为另一个示例,窗口可以覆盖在阻止的用户界面元素的顶部。
恶意动作可通过多种机制来确定。例如,可以对可疑的过程行为进行指纹识别并与恶意软件数据库中的指纹进行比较。在一些情况下,恶意软件数据库可以通过用户界面元素的众包信誉来生成和维护。因此,在某些情况下,用户界面元素可具有指纹识别的各种属性以插入恶意软件数据库。恶意软件数据库还可以具有特定恶意软件易于附加到其上的一组关联的用户界面元素。在一些情况下,恶意软件可以包括作者故意将恶意软件(例如,间谍软件)嵌入应用程序的应用程序。在一些具体实施中,可能存在安全用户界面元素的白名单。还可以对用户界面元素进行签名,并且在一些情况下,如果恶意软件已附加到已签名的用户界面元素上,签名的认证可能无效。
用于识别用户界面元素的属性的一些示例包括自动标识符、过程标识符、空间标识符等。在一些情况下,这些或其他属性可以具有一个或多个子属性,这些子属性可以用于识别或指纹识别用户界面元素。例如,过程标识符可以具有图像文件大小、可执行文件名、内存占用、计算机资源消耗指纹等。
该技术可以被实现为识别与用户界面元素的用户交互,识别在计算机系统上执行的动作,并且通过重复确定识别的与用户界面元素的用户交互以及在计算机系统上执行的识别动作之间的时间接近度,将用户界面与在计算机系统上执行的动作相关联,从而建立高于阈值的置信水平。
在一些具体实施中,Microsoft Windows操作系统(OS)中的Windows应用编程接口可用于实现该技术的一部分。GUI环境的其他示例OS包括macOS、Linux和Chrome OS等。在其他具体实施中,GUI环境可通过web浏览器提供。Web浏览器可具有专有API和/或标准API(例如,由万维网联盟(W3C)发布的标准等)。
本发明内容和以下具体实施方式中所述的特征和优点并不包括全部,并且特别地,相关领域的普通技术人员在考虑本文的附图、说明书和权利要求书后,许多另外的特征和优点将显而易见。此外,应该指出的是,说明书中所用的语言主要被选择用于可读性和指导目的,而不是被选择用来限定或限制本发明的主题,必需借助权利要求书确定此发明主题。
附图说明
图1是根据一些实施方案的GUI环境中的恶意软件缓解的示意图。
图2是根据一些实施方案的适合于实现GUI恶意软件缓解应用程序的计算机系统的框图。
图3是根据一些实施方案的GUI恶意软件缓解应用程序的框图。
图4是根据一些实施方案的用于在GUI环境中缓解恶意软件的方法的流程图。
这些图仅出于举例说明的目的来示出各种实施方案。本领域技术人员根据下列讨论将易于认识到,在不脱离本文所述原理的情况下,可采用本文所述的结构和方法的替代实施方案。
具体实施方式
看似有用的应用程序可能会伪装用户界面元素的事件处理程序中的恶意操作。例如,在购买交易期间的应用程序不仅可以发送输入的信用卡信息,而且还可以发送存储在执行应用程序的计算机上的其他信息。作为另一个示例,事件处理程序可以发起下载恶意文件。作为另一个示例,重要的OS文件可能由合法应用程序的事件处理程序引发的恶意代码修改。在另一种情况下,用于更新系统或软件的用户界面元素可能无意地导致系统或软件故障或者可能以其他方式对系统产生不利影响。在这种情况下,该技术可以检测这种UI元素的存在,并且通知用户更新可能是有害的,等待直到发布进一步的补丁。在一些情况下,用户可能仍然希望使用应用程序,但是仍然受到保护,以防这些潜在的恶意用户界面元素。传统的反恶意软件系统通常倾向于阻止整个过程。因此,在仍然允许用户使用与用户界面元素相关联的底层应用程序时,可能希望保护用户不访问链接到恶意动作的某些用户界面元素。
图1是GUI环境100中的恶意软件缓解的示意图。其中,GUI环境100包括用户界面窗口102。例如,用户界面窗口102可以是用户应用程序的一部分。在所示的示例中,作为通过电子商务系统提交订单的一部分,用户界面窗口102要求用户输入信息(例如,信用卡支付信息)。因此,用户界面窗口102具有位于其上的用户界面元素104(例如,“提交”按钮)。如箭头所示,如果用户与用户界面元素104交互,则用户界面元素104可以调用恶意软件代码106。
GUI环境100可以是若干可用GUI环境中的一种。例如,由于其庞大的用户基础,Microsoft的Windows操作系统常常是恶意软件的目标。Microsoft Windows公开了一种通用应用编程接口(API)来实现一些GUI功能。该通用API有助于提供一致的用户体验,但恶意软件也可以使用其来伪装或混合恶意代码与合法代码。
GUI环境的其他示例OS包括macOS、Linux、Chrome OS等。例如,Linux可以运行若干个不同的GUI环境。一些示例包括Gnome和KDE。此外,Linux中的各种GUI环境包括常见GUI环境的子层。一个这样的示例是X Windows系统(即X11视窗系统)。当前的macOS实现使用AquaGUI环境。另一个常见的GUI环境是web浏览器。一些web浏览器实现标准化API的部分,诸如W3C、Ecma国际等发布的那些(例如,ECMA-262)。此外,一些浏览器或浏览器扩展可提供专有API。无论确切的GUI环境如何,GUI环境100都具有允许用户应用程序与之交互的API。
作为一个示例,用户界面窗口102可以用超文本标记语言(HTML)生成并在web浏览器窗口中呈现。
本文描述的技术可以阻止应用程序的用户界面的部分,以防止用户触发可能由应用程序暴露的恶意功能。在所描绘的示例中,弹出窗口108部分地覆盖在用户界面窗口102的顶部,该用户界面窗口包含有问题的用户界面元素104。在一些具体实施中,弹出窗口108可抓住GUI环境的焦点。在一些情况下,可以禁用人机接口(HCI)设备(例如,可禁用鼠标指针110)。
图2是适于实现GUI恶意软件缓解应用程序230的计算机系统200的框图。如图所示,计算机系统200的一个部件是总线202。总线202通信地耦接计算机系统200的其他部件,诸如至少一个处理器204、系统存储器206(例如,随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器)、输入/输出(I/O)控制器208和网络接口210。
网络接口210可以包括连接到本地网络和/或互联网的各种协议。总线202还可以通信地耦接到其他可选部件,诸如通信地耦接到一个或多个硬盘221(或其他形式存储介质)的存储接口220、通信地耦接到视频输出设备诸如显示屏223的显示适配器222、通信地耦接到音频输出设备诸如扬声器225的音频输出接口224、以及通信地耦接到各种外围设备诸如人机交互(HCI)设备227(例如,键盘、鼠标、传感器等)的一个或多个接口诸如通用串行总线(USB)插座226。
总线202允许处理器204与系统存储器206之间的数据通信,如上所指出的,所述系统存储器可包括ROM和/或闪存存储器以及RAM。RAM通常是将操作系统和应用程序加载到其中的主存储器。除其他代码外,ROM和/或闪存存储器可包含控制某些基本硬件操作的基本输入输出系统(BIOS)。应用程序可被存储在本地计算机可读介质(例如,硬盘221、闪存存储器、ROM等)上并加载到系统存储器206中并且被处理器204执行。应用程序还可以例如经由网络接口210从远程位置加载到系统存储器206。在图2中,GUI恶意软件缓解应用程序230被示出为驻留在系统存储器206中。下面结合图3和图4更详细地解释GUI恶意软件缓解应用程序230的工作原理。
操作系统214还被示出为驻留在系统存储器206中。操作系统214可以提供应用程序和计算机系统200的硬件之间的交互。例如,操作系统214可以包括用于控制和从网络接口210、显示适配器222、USB插座226、HCI设备227等接收数据的驱动器。此外,操作系统214可以包括应用编程接口(API),以为应用程序诸如GUI恶意软件缓解应用程序230提供对操作系统服务的访问。操作系统214还可以为应用程序提供公共GUI环境。
存储接口220耦接到一个或多个硬盘221(和/或其他标准存储介质)。硬盘221可以是计算机系统200的一部分,或者可以是物理上独立的并且可以通过其他接口系统进行访问。
为了便于讨论,下面将一起讨论其余的附图。图3是GUI恶意软件缓解应用程序230的框图。图4是用于在GUI环境中缓解恶意软件的方法400的流程图。
如上文所讨论的,GUI环境可以是现代操作系统中可用的各种GUI环境中的一者。一个特定示例是Microsoft Windows中的Win32GUI环境。在另一个示例中,GUI环境可以是web浏览器。在又一个示例中,GUI环境可以是OS GUI环境(例如,Win32)和运行在OS GUI环境中的web浏览器(例如,Mozilla Firefox、Chrome等)的组合。此外,如上所述,可以将GUI恶意软件缓解应用程序230加载到计算机系统200的存储器206中。在一些情况下,GUI恶意软件缓解应用程序230可以是在计算会话的整个生存期驻留在存储器206中的驻留模块。在一些实施方案中,GUI恶意软件缓解应用程序230可以包括直接加载在OS中的部件和/或加载到在OS中执行的浏览器中的部件。
用户界面监视部件302包括用于监视402在计算机系统200上执行的GUI环境100中的用户界面元素104的代码。通常,用户界面监视部件302可以监视GUI环境中的若干用户界面元素。在监视用户界面元素时,用户界面监视部件302可以识别用户界面元素的各种属性。
例如,在一些GUI环境中,用户界面元素可具有附加在其上的自动标识符。这些自动标识符通常用于使用脚本语言自动化与GUI环境的交互。例如,在Microsoft Windows中,Windows Scripting Host(WSH)是可以使用与用户界面元素相关联的唯一自动标识符的脚本环境。因此,这些自动标识符可以在多个应用程序GUI上唯一地描述和识别用户界面元素。
用户界面元素涵盖GUI环境中使用的各种部件。这包括项目诸如按钮、链接、复选框等。通常,用户界面元素是用户可以与之交互的应用程序GUI的一部分。
恶意软件识别器部件304包括用以识别用户界面元素104与恶意动作106之间的关联404的代码。因此,恶意软件识别器部件304实现了用户交互与用户界面元素以及此类动作对计算机系统200的影响之间的相关性,以确定它们是否导致计算机系统200上的恶意动作。在一些具体实施中,识别用户界面元素104与恶意操作106之间的关联包括利用用户界面元素104的属性来查询恶意软件数据库(例如,恶意软件定义410)。
恶意软件识别器部件304可以在恶意软件定义410文件或数据库中查找此关联。恶意软件定义410通常将用户界面元素与动作、声誉和/或信任级别相关联。此外,恶意软件定义410可将用户界面元素的各种属性一起关联到用户界面元素指纹中,以帮助确定特定用户界面元素是否与恶意软件定义410中引用的用户界面元素相同。
在一些情况下,恶意软件定义410可通过经由网络412上链接在一起的多个计算机来众包。这样,恶意软件定义410可存储在云服务中,并且可通过云服务进行访问,并且可随着远程计算机启发式地发现新用户界面元素和GUI恶意软件而持续更新。在一些情况下,远程用户可以在用户界面元素被怀疑为有恶意时发出指示。在一些实施方案中,恶意软件定义410中的条目可由计算机安全研究人员(例如,计算机安全公司、非营利计算机研究组织等)包括。
下面将参考下面的框420、422、424和426更详细地讨论恶意软件定义410的创建和维护。在这种情况下,应当理解,框420、422、424和426可在与框402、404和406相同的计算机上执行,但也可在一起由网络412联接的远程计算机上被实例化。
如果在查询恶意软件定义410数据库时,恶意软件识别器部件304确定特定用户界面元素安全或换句话说无害,则方法400可利用用户界面监视器部件302继续监视402其他用户界面元素。在一些情况下,用户界面监视器部件302还可以继续监视已被查找的特定用户界面元素。例如,特定用户界面元素可以落入某个阈值范围内,该阈值范围对于该特定用户界面元素是安全的还是恶意的是不确定的。在另一个示例中,用户界面监视器部件302可以继续定期监视特定用户界面元素,以确保该特定用户界面元素继续不被恶意软件污染。在一些具体实施中,用户界面监视器部件302可持续地监视GUI环境中的所有活动用户界面元素。无论框402和404的确切实施细节如何,当检测到恶意用户界面元素时,对该用户界面元素的访问被阻止406。
因此,用户界面阻止器部件306包括用以阻止406访问用户界面元素104从而防止恶意动作106,同时允许图形用户界面环境100和与用户界面元素104相关联的应用程序继续在计算机系统200上执行的代码。这样,用户界面阻止器部件306提供了防止访问用户界面元素的机制。例如,用户界面阻止器部件306可插入钩子,生成弹出消息,禁用对人机界面的使用,或覆盖窗口等,以阻止对用户界面元素的访问。
在一些情况下,用户界面阻止器部件306还可提供用于向用户传送信息的通知机制。例如,图1中所示的弹出窗口108清楚地向用户指示为什么对用户界面元素104的访问已被阻止。也可以使用其他方式来向用户传送信息。在一些情况下,还可以向企业环境中的系统管理员提供通知。例如,可以向组织中的一个或多个系统管理员发送包含有关所识别的GUI恶意软件的详细信息的电子邮件。在一些情况下,恶意软件定义包括对用户界面元素的断定的恶意性的描述,并且通知机制可传送该描述,使得用户可以决定是否继续使用该用户界面元素。
指纹部件308包括用以识别420与用户界面元素的用户交互以及识别422计算机系统上执行的动作的代码。指纹部件308由此可关联用户界面交互及其对计算机系统200的影响。例如,如果用户对特定按钮的选择导致将下载恶意文件,则可唯一地标识该按钮并将其归类为具有低声誉。在一些情况下,可能需要一段时间来建立与用户界面元素的交互和对计算机系统200的影响之间的相关性。对新的、未识别的威胁尤其如此,因为恶意软件威胁具有不断变化的性质。某些动作可被认为比其他动作更有恶意,并且基于此而具有恶意度评分。例如,对用户数据的破坏可被认为比挖掘用户偏好或社交网络信息更有恶意。
因此,指纹部件308还可包括用以将用户界面与在计算机系统上执行的动作相关联424的代码。在一些实施方案中,这可以如此完成:重复确定所识别的与用户界面元素的用户交互与所识别的在计算机系统上执行的动作之间的时间接近度,以建立高于阈值的置信水平。一旦建立了用户界面元素与恶意动作之间的相关性,恶意软件识别器部件304就可将该相关性插入426到恶意软件定义410中。
在一些具体实施中,插入到恶意软件定义410可包括用户界面元素104的一个或多个属性以及在计算机系统200上执行的相关动作106的一个或多个属性。例如,用户界面元素104可具有可唯一识别的属性,诸如自动化标识符、过程标识符或空间标识符。过程标识符可以包括诸如图像文件大小、可执行文件名、存储器占用空间、计算机资源消耗指纹等的项目。因此,可以生成恶意软件定义410文件或数据库以包含已知恶意用户界面元素的列表以便GUI恶意软件缓解应用程序230使用。在一些情况下,恶意软件定义410可以包括确定的无害用户界面元素的定义(例如,属性、指纹等)。因此,在一些情况下,该方法不仅可以用于识别有威胁的用户界面元素,还可以用于快速识别安全的用户界面元素。
在一些情况下,GUI恶意软件缓解应用程序可以包括信任部件310,其具有用以确定用户界面元素被列入白名单或被签名的代码。在用户界面元素被列入白名单或被签名的情况下,信任部件310可以与GUI恶意软件缓解应用程序230的其他部件通信以允许对用户界面元素的访问。例如,信任部件310可以通知恶意软件识别器部件304忽略具有特定指纹的用户界面元素。又如,信任部件310可以通知用户界面监视器部件302停止监视具有特定的一组属性的用户界面元素。
如熟悉本领域的技术人员所理解,在不脱离本发明的实质或本质特征的情况下,本发明可以以其他特定形式来体现。同样地,对部分、应用程序、部件、模块、代理程序、管理器、部件、功能、程序、动作、层、特征、属性、方法、数据结构和其他方面的具体命名和划分不是强制性的或重要的,并且实施本发明或其特征的机制可具有不同名称、划分和/或格式。出于阐释目的,已参考特定实施方案进行了以上描述。然而,以上示例性讨论并非意图是穷举的或限制为所公开的精确形式。鉴于上述教导,许多修改形式和变型形式都是可能的。为了最好地阐释相关原理及其实际应用,选择并描述了实施方案,由此使得本领域其他技术人员最好地利用具有或不具有可适合所设想的具体用途的各种修改形式的各种实施方案。
Claims (15)
1.一种计算机实现的方法,所述方法用于缓解与图形用户界面元素相关联的恶意动作,所述方法的至少一部分由包括至少一个处理器的计算设备执行,所述方法包括以下步骤:
由所述计算设备监视在所述计算设备上执行的应用程序的图形用户界面环境中的用户界面元素;
基于确定和所述用户界面元素的用户交互与发生所述恶意动作之间的时间接近度,由所述计算设备识别所述用户界面元素与恶意动作之间的关联,其中确定和所述用户界面元素的用户交互与发生所述恶意动作之间的时间接近度包括重复确定和所述用户界面元素的用户交互与发生所述恶意动作之间的所述时间接近度以建立高于阈值的置信水平;以及
由所述计算设备阻止对所述用户界面元素的访问以阻止所述恶意动作执行,同时允许所述应用程序以及所述图形用户界面环境继续在所述计算设备上执行。
2.根据权利要求1所述的方法,其中识别所述用户界面元素与所述恶意动作之间的所述关联包括由所述计算设备利用所述用户界面元素的属性来查询恶意软件数据库。
3.根据权利要求1所述的方法,其中基于所述用户界面元素的一个或多个属性的众包声誉来识别所述用户界面元素与所述恶意动作之间的所述关联。
4.根据权利要求1所述的方法,还包括:
由所述计算设备识别与所述用户界面元素的所述用户交互;
由所述计算设备识别在所述计算设备上执行的所述恶意动作;
响应于识别所述用户界面元素与所述恶意动作之间的关联,由所述计算设备将所述用户界面元素的属性和在所述计算设备上执行的相关联恶意动作的属性插入恶意软件数据库中。
5.根据权利要求4所述的方法,其中所述用户界面元素的所述属性是以下中的至少一者:自动化标识符、过程标识符和空间标识符。
6.根据权利要求5所述的方法,其中所述过程标识符是以下中的至少一者:图像文件大小、可执行文件名、存储器占用空间以及计算机资源消耗指纹。
7.根据权利要求1所述的方法,还包括:
由所述计算设备确定所述用户界面元素被列入白名单或被签名;以及
由所述计算设备允许对所述用户界面元素的访问。
8.根据权利要求1所述的方法,其中阻止对所述用户界面元素的访问包括以下操作中的至少一者:插入钩子、产生弹出消息、禁用对人机界面的使用以及覆盖窗口。
9.根据权利要求1所述的方法,其中使用微软Windows操作系统中的Windows应用程序编程接口来执行所述监视、所述识别和所述阻止。
10.一种计算机系统,所述计算机系统用于缓解与图形用户界面元素相关联的恶意动作,所述计算机系统包括:
系统存储器;
用户界面监视器部件,所述用户界面监视器部件驻留在所述系统存储器中,所述用户界面监视器部件被编程为监视在所述计算机系统上执行的应用程序的图形用户界面环境中的用户界面元素;
恶意软件识别器部件,所述恶意软件识别器部件驻留在所述系统存储器中,所述恶意软件识别器部件被编程为基于确定和所述用户界面元素的用户交互与发生所述恶意动作之间的时间接近度,识别所述用户界面元素与恶意动作之间的关联,其中确定和所述用户界面元素的用户交互与发生所述恶意动作之间的时间接近度包括重复确定和所述用户界面元素的用户交互与发生所述恶意动作之间的所述时间接近度以建立高于阈值的置信水平;
用户界面阻止器部件,所述用户界面阻止器部件驻留在所述系统存储器中,所述用户界面阻止器部件被编程为阻止对所述用户界面元素的访问以阻止所述恶意动作执行,同时允许所述应用程序和所述图形用户界面环境继续在所述计算机系统上执行;和
至少一个处理器,所述至少一个处理器被配置为执行所述用户界面监视器部件、所述恶意软件识别器部件和所述用户界面阻止器部件。
11.根据权利要求10所述的计算机系统,其中识别所述用户界面元素与所述恶意动作之间的所述关联包括利用所述用户界面元素的属性查询恶意软件数据库。
12.根据权利要求10所述的计算机系统,其中基于所述用户界面元素的一个或多个属性的众包声誉来识别所述用户界面元素与所述恶意动作之间的所述关联。
13.根据权利要求10所述的计算机系统,还包括:
指纹部件,所述指纹部件驻留在所述系统存储器中,所述指纹部件被编程为:识别与所述用户界面元素的所述用户交互,识别在所述计算机系统上执行的所述恶意动作,并且
其中所述恶意软件识别器部件还被编程为响应于识别所述用户界面元素与所述恶意动作之间的关联,将所述用户界面元素的属性和在所述计算机系统上执行的相关联恶意动作的属性插入恶意软件数据库中。
14.根据权利要求10所述的计算机系统,还包括信任部件,所述信任部件驻留在所述系统存储器中,所述信任部件被编程为确定所述用户界面元素被列入白名单或被签名,并且允许对所述用户界面元素的访问。
15.根据权利要求10所述的计算机系统,其中阻止对所述用户界面元素的访问包括以下操作中的至少一者:插入钩子、产生弹出消息、禁用对人机界面的使用以及覆盖窗口。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/635047 | 2017-06-27 | ||
US15/635,047 US10489593B2 (en) | 2017-06-27 | 2017-06-27 | Mitigation of malicious actions associated with graphical user interface elements |
PCT/US2018/035178 WO2019005395A2 (en) | 2017-06-27 | 2018-05-30 | MITIGATION OF MALICIOUS ACTIONS ASSOCIATED WITH GRAPHICAL USER INTERFACE ELEMENTS |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109791588A CN109791588A (zh) | 2019-05-21 |
CN109791588B true CN109791588B (zh) | 2023-10-13 |
Family
ID=64692613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201880002686.4A Active CN109791588B (zh) | 2017-06-27 | 2018-05-30 | 缓解与图形用户界面元素相关联的恶意动作 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10489593B2 (zh) |
EP (1) | EP3482335B1 (zh) |
JP (1) | JP6714112B2 (zh) |
CN (1) | CN109791588B (zh) |
WO (1) | WO2019005395A2 (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20190108355A1 (en) * | 2017-10-09 | 2019-04-11 | Digital Guardian, Inc. | Systems and methods for identifying potential misuse or exfiltration of data |
US20220398311A1 (en) * | 2021-06-11 | 2022-12-15 | Bank Of America Corporation | Network Security Using a Malware Defense Profile |
US20230022279A1 (en) * | 2021-07-22 | 2023-01-26 | Vmware Inc. | Automatic intrusion detection based on malicious code reuse analysis |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8225104B1 (en) * | 2005-10-06 | 2012-07-17 | Symantec Corporation | Data access security |
CN103530221A (zh) * | 2012-07-02 | 2014-01-22 | 北京大学 | 一种Android系统中程序行为与界面操作映射方法 |
CN103620613A (zh) * | 2011-03-28 | 2014-03-05 | 迈克菲股份有限公司 | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 |
US8904538B1 (en) * | 2012-03-13 | 2014-12-02 | Symantec Corporation | Systems and methods for user-directed malware remediation |
CN104598287A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的检测方法、装置和客户端 |
CN104992117A (zh) * | 2015-06-16 | 2015-10-21 | 北京航空航天大学 | Html5移动应用程序的异常行为检测方法和行为模型建立方法 |
CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
US9679134B1 (en) * | 2014-03-20 | 2017-06-13 | Symantec Corporation | Systems and methods for detecting display-controlling malware |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070072661A1 (en) * | 2005-09-27 | 2007-03-29 | Alexander Lototski | Windows message protection |
US7945563B2 (en) * | 2006-06-16 | 2011-05-17 | Yahoo! Inc. | Search early warning |
US8763114B2 (en) * | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
JP5119059B2 (ja) * | 2008-06-25 | 2013-01-16 | 株式会社Kddi研究所 | 情報処理装置、情報処理システム、プログラム、および記録媒体 |
US8312539B1 (en) | 2008-07-11 | 2012-11-13 | Symantec Corporation | User-assisted security system |
US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
US9785909B2 (en) * | 2009-08-27 | 2017-10-10 | International Business Machines Corporation | Preventing propagation of malicious content in a virtual universe |
US8844039B2 (en) * | 2010-06-30 | 2014-09-23 | F-Secure Corporation | Malware image recognition |
US9235586B2 (en) * | 2010-09-13 | 2016-01-12 | Microsoft Technology Licensing, Llc | Reputation checking obtained files |
US9152791B1 (en) * | 2011-05-11 | 2015-10-06 | Trend Micro Inc. | Removal of fake anti-virus software |
US20120311710A1 (en) * | 2011-06-03 | 2012-12-06 | Voodoosoft Holdings, Llc | Computer program, method, and system for preventing execution of viruses and malware |
US20130254880A1 (en) * | 2012-03-21 | 2013-09-26 | Mcafee, Inc. | System and method for crowdsourcing of mobile application reputations |
US8413236B1 (en) * | 2012-06-04 | 2013-04-02 | Robert Hansen | Clickjacking protection |
GB2507574B (en) * | 2012-11-06 | 2015-05-27 | F Secure Corp | Malicious object detection |
RU2645265C2 (ru) * | 2013-12-05 | 2018-02-19 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ блокировки элементов интерфейса приложения |
RU2580032C2 (ru) * | 2014-08-01 | 2016-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ определения категории доверенности приложения |
JP2016181208A (ja) * | 2015-03-25 | 2016-10-13 | 三菱電機株式会社 | 不正監視装置および不正監視プログラム |
RU2618947C2 (ru) | 2015-06-30 | 2017-05-11 | Закрытое акционерное общество "Лаборатория Касперского" | Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал |
-
2017
- 2017-06-27 US US15/635,047 patent/US10489593B2/en active Active
-
2018
- 2018-05-30 EP EP18823597.2A patent/EP3482335B1/en active Active
- 2018-05-30 CN CN201880002686.4A patent/CN109791588B/zh active Active
- 2018-05-30 JP JP2018569045A patent/JP6714112B2/ja active Active
- 2018-05-30 WO PCT/US2018/035178 patent/WO2019005395A2/en unknown
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8225104B1 (en) * | 2005-10-06 | 2012-07-17 | Symantec Corporation | Data access security |
CN103620613A (zh) * | 2011-03-28 | 2014-03-05 | 迈克菲股份有限公司 | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 |
US8904538B1 (en) * | 2012-03-13 | 2014-12-02 | Symantec Corporation | Systems and methods for user-directed malware remediation |
CN103530221A (zh) * | 2012-07-02 | 2014-01-22 | 北京大学 | 一种Android系统中程序行为与界面操作映射方法 |
CN104598287A (zh) * | 2013-10-30 | 2015-05-06 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的检测方法、装置和客户端 |
US9679134B1 (en) * | 2014-03-20 | 2017-06-13 | Symantec Corporation | Systems and methods for detecting display-controlling malware |
CN104992117A (zh) * | 2015-06-16 | 2015-10-21 | 北京航空航天大学 | Html5移动应用程序的异常行为检测方法和行为模型建立方法 |
CN105653946A (zh) * | 2016-03-09 | 2016-06-08 | 哈尔滨工程大学 | 基于组合事件行为触发的Android恶意行为检测系统及其检测方法 |
CN105893848A (zh) * | 2016-04-27 | 2016-08-24 | 南京邮电大学 | 一种基于代码行为相似度匹配的Android恶意应用程序防范方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3482335B1 (en) | 2021-11-24 |
US10489593B2 (en) | 2019-11-26 |
EP3482335A2 (en) | 2019-05-15 |
WO2019005395A2 (en) | 2019-01-03 |
JP2019525314A (ja) | 2019-09-05 |
EP3482335A4 (en) | 2020-05-27 |
WO2019005395A3 (en) | 2019-06-13 |
US20180373872A1 (en) | 2018-12-27 |
CN109791588A (zh) | 2019-05-21 |
JP6714112B2 (ja) | 2020-06-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10893068B1 (en) | Ransomware file modification prevention technique | |
US20210209225A1 (en) | Methods and apparatus for control and detection of malicious content using a sandbox environment | |
US7779062B2 (en) | System for preventing keystroke logging software from accessing or identifying keystrokes | |
KR102307534B1 (ko) | 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들 | |
KR101543237B1 (ko) | 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법 | |
EP2786295B1 (en) | Preventing execution of task scheduled malware | |
US8984629B2 (en) | Apparatus and method for preemptively protecting against malicious code by selective virtualization | |
US9015829B2 (en) | Preventing and responding to disabling of malware protection software | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
US20110239306A1 (en) | Data leak protection application | |
US9323925B2 (en) | Method and system for prevention of windowless screen capture | |
JP2014509421A (ja) | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 | |
US20140331323A1 (en) | Detection of rogue software applications | |
CN109791588B (zh) | 缓解与图形用户界面元素相关联的恶意动作 | |
EP2624163A1 (en) | Method for detecting malware | |
US8392992B1 (en) | Method and apparatus for preventing sensitive data leakage due to input focus misappropriation | |
KR100710032B1 (ko) | 윈도우즈 운영체제에서 보안 입력 필터 드라이버와 인터넷 익스플로러 내부의 키보드 보안 입력 비에이치오를 통한 인터넷 익스플로러 사용자의 키보드 입력 정보 해킹 방지 방법 및 시스템 | |
Ahmed et al. | Survey of Keylogger technologies | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
EP3652647B1 (en) | System and method for detecting a malicious file using image analysis prior to execution of the file | |
RU2634168C1 (ru) | Система и способ блокирования доступа к защищаемым приложениям | |
KR101568872B1 (ko) | 프로그램 이상흐름 검출 장치 및 방법 | |
KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
KR100937010B1 (ko) | 유해 프로세스 검출/차단 재발방지 방법 | |
Kaur | Network Security: Anti-virus. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: California, USA Applicant after: Norton identity protection Address before: California, USA Applicant before: Symantec Corp. |
|
CB02 | Change of applicant information | ||
GR01 | Patent grant | ||
GR01 | Patent grant |