CN111538990B - 一种互联网分析系统 - Google Patents
一种互联网分析系统 Download PDFInfo
- Publication number
- CN111538990B CN111538990B CN202010331464.6A CN202010331464A CN111538990B CN 111538990 B CN111538990 B CN 111538990B CN 202010331464 A CN202010331464 A CN 202010331464A CN 111538990 B CN111538990 B CN 111538990B
- Authority
- CN
- China
- Prior art keywords
- widget
- metadata
- data
- feature
- analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims abstract description 11
- 230000008859 change Effects 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 33
- 238000001514 detection method Methods 0.000 claims description 25
- 238000012544 monitoring process Methods 0.000 claims description 24
- 230000006870 function Effects 0.000 claims description 23
- 230000008569 process Effects 0.000 claims description 18
- 230000003068 static effect Effects 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 10
- 238000013515 script Methods 0.000 claims description 10
- 230000005540 biological transmission Effects 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 4
- 230000006855 networking Effects 0.000 claims description 3
- 238000012806 monitoring device Methods 0.000 claims description 2
- 230000000694 effects Effects 0.000 abstract description 4
- 230000009471 action Effects 0.000 abstract description 2
- 230000007547 defect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000002513 implantation Methods 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000009877 rendering Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 241000283086 Equidae Species 0.000 description 1
- 208000003443 Unconsciousness Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种互联网分析系统,包括接收模块,其被构造成从网络服务器接收包括元数据的窗口小部件;分析模块,其被构造成执行所述包括元数据的窗口小部件,在执行过程中分析窗口小部件,基于分析结果确定在窗口小部件执行时要维护的第一特征,并将第一特征数据与第二特征进行比较元数据中包含的特征;警报模块,其被构造成当在第一特征数据和第二特征数据之间检测到等于或大于预定值的变化时发出警报。本系统通过采用将元数据文件与窗口小部件相关联,并在其中将相关联的元数据文件包括在窗口小部件中的状态下提供窗口小部件,以实现对窗口小部件的活动进行监控,防止非法行为对信息的盗用或者篡改。
Description
技术领域
本发明涉及互联网搜索技术领域,尤其涉及一种互联网分析系统。
背景技术
由于在移动端设备的目标应用程序中植入测试代码,对应用程序的侵入较大,由于植入的代码可能与目标应用程序中的部分逻辑冲突,也会导致测试的稳定性、兼容性下降。
如CN101442412B现有技术公开了一种种基于软件缺陷及网络攻击关系挖掘的攻击预警方法,而基于攻击模式的入侵检测方法只能检测出入侵攻击的类型,却不能为软件开发者提供建设性的软件缺陷修补意见,很难从实质上改善软件安全质量。另一种典型的如WO2012166440A2的现有技术公开的一种孤页植入攻击检测方法,各种注入、攻击直接导致了WEB网站的安全性下降。甚至于某些黑客通过web前端直接获取到系统权限,对后台进行更改和破坏,以此达到其非法的目的。这些行为表现在普通用户可见的形式上,就是篡改、挂马、植入暗链和孤页等。再来看如WO2013029504A1的现有技术公开的一种病毒或恶意程序的防御方法和系统,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。木马程序可能会赤裸裸地偷偷监视别人和盜窃别人的密码或数据用于它用。
为了解决本领域普遍存在难以发现、检测手段单一、安全性能差或者可靠性差等等问题,作出了本发明。
发明内容
本发明的目的在于,针对目前互联网交叉搜索所存在的不足,提出了一种互联网分析系统。
为了克服现有技术的不足,本发明采用如下技术方案:
一种互联网分析系统,包括:
接收模块,其被构造成从网络服务器接收包括元数据的窗口小部件;
分析模块,其被构造成执行所述包括元数据的窗口小部件,在执行过程中分析窗口小部件,基于分析结果确定在窗口小部件执行时要维护的第一特征,并将第一特征数据与第二特征进行比较元数据中包含的特征;
警报模块,其被构造成当在第一特征数据和第二特征数据之间检测到等于或大于预定值的变化时发出警报。
优选的,其中所述第一特性的数据和所述第二特征数据包括以下各项中的至少一个:超文本标记语言HTML页面、Java脚本、JS函数调用图、所使用的外部JS库项目;
小部件或小部件使用的级联样式表;
所述HTML页面包括所述HTML页面的文档对象模型树。
优选的,所述分析模块还用于解析执行程序的统一资源定位符URL、以及处理协议;解析小部件的HTML;并执行小部件的JS。
优选的,执行所述HTML解析包括:将包括在所述执行程序的运行时间期间使用的外部依赖关系的列表与包括在所述元数据中的包括外部依赖关系的列表进行比较;以及将所述包含在所述执行程序的运行时间中的外部依赖关系进行比较,或将在窗口小部件运行时生成的DOM树与元数据中包含的DOM树进行比较,使用加密和签名中的至少一种将所述元数据绑定到所述执行程序。
优选的,所述分析模块还用于分析窗口小部件;以及,
基于分析的结果,确定在执行程序执行时所保持的至少一个特征;
生成包括所述至少一个特征的数据的元数据;
将元数据与窗口小部件关联;
在小部件中包括相关的元数据文件;并将小部件提供给设备。
优选的,所述至少一个特征的数据包括超文本标记语言HTML页面、Java脚本、JS功能调用图,小部件使用的外部JS库项或级联之一。
优选的,所述HTML页面包括所述HTML页面的文档对象模型DOM树。
本发明所取得的有益效果是:
本系统通过采用将元数据文件与窗口小部件相关联,并在其中将相关联的元数据文件包括在窗口小部件中的状态下提供窗口小部件,以实现对窗口小部件的活动进行监控;
并且通过采用在小部件的运行时间期间使用的外部依赖关系的列表与包括在元数据中包括的外部依赖关系的列表进行比较,或者将在小部件的运行时间期间生成的DOM树与元数据中包含的DOM树进行比较;只要不符合运行规则的执行程序就要进行拉黑处理,保证浏览网页的过程中,执行程序能够高效的对恶意的窗口小部件进行限制运行或者进行挂起处理。
附图说明
从以下结合附图的描述可以进一步理解本发明。图中的部件不一定按比例绘制,而是将重点放在示出实施例的原理上。在不同的视图中,相同的附图标记指定对应的部分。
图1为在检测交叉搜索中窗口小部件的控制流程示意图。
图2为对解析执行程序进行检测的控制流程示意图。
图3为所述窗口小部件生成元数据的控制流程示意图。
图4为所述检测方法的控制流程示意图。
具体实施方式
为了使得本发明的目的技术方案及优点更加清楚明白,以下结合其实施例,对本发明进行进一步详细说明;应当理解,此处所描述的具体实施例仅用于解释本发明,并不用于限定本发明。对于本领域技术人员而言,在查阅以下详细描述之后,本实施例的其它系统.方法和/或特征将变得显而易见。旨在所有此类附加的系统.方法.特征和优点都包括在本说明书内.包括在本发明的范围内,并且受所附权利要求书的保护。在以下详细描述描述了所公开的实施例的另外的特征,并且这些特征根据以下将详细描述将是显而易见的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”.“下”.“左”.“右”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或组件必须具有特定的方位.以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本专利的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
实施例一:一种互联网分析系统,包括:接收模块,其被构造成从网络服务器接收包括元数据的窗口小部件;分析模块,其被构造成执行所述包括元数据的窗口小部件,在执行过程中分析窗口小部件,基于分析结果确定在窗口小部件执行时要维护的第一特征,并将第一特征数据与第二特征进行比较元数据中包含的特征;警报模块,其被构造成当在第一特征数据和第二特征数据之间检测到等于或大于预定值的变化时发出警报。所述第一特性的数据和所述第二特性的数据包括以下各项中的至少一个:超文本标记语言HTML页面、Java脚本、JS函数调用图,所使用的外部JS库项目;小部件或小部件使用的级联样式表;所述HTML页面包括所述HTML页面的文档对象模型树;解析所述执行程序的统一资源定位符URL、以及处理协议;解析小部件的HTML;并执行小部件的JS;执行所述HTML解析方法包括:将包括在所述执行程序的运行时间期间使用的外部依赖关系的列表与包括在所述元数据中的包括外部依赖关系的列表进行比较;以及将所述包含在所述执行程序的运行时间中的外部依赖关系进行比较,或将在窗口小部件运行时生成的DOM树与元数据中包含的DOM树进行比较;使用加密和签名中的至少一种将所述元数据绑定到所述执行程序;分析窗口小部件;基于分析的结果,确定在执行程序执行时所保持的至少一个特征;生成包括所述至少一个特征的数据的元数据;将元数据与窗口小部件关联;在小部件中包括相关的元数据文件;并将小部件提供给设备;所述至少一个特征的数据包括超文本标记语言HTML页面、Java脚本、JS功能调用图,小部件使用的外部JS库项或级联之一;所述HTML页面包括所述HTML页面的文档对象模型DOM树;检测方法包括:更新所述执行程序;以及基于更新结果,更新元数据中包括的至少一个特征的数据;将更新后的元数据提供给设备,并使用加密和签名中的至少一种将所述元数据绑定到所述执行程序。
实施例二:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进,具体的,一种互联网分析系统,包括:接收模块,其被构造成从网络服务器接收包括元数据的窗口小部件;分析模块,其被构造成执行所述包括元数据的窗口小部件,在执行过程中分析窗口小部件,基于分析结果确定在窗口小部件执行时要维护的第一特征,并将第一特征数据与第二特征进行比较元数据中包含的特征;警报模块,其被构造成当在第一特征数据和第二特征数据之间检测到等于或大于预定值的变化时发出警报。具体的,在进行交叉搜索的过程中,网页经常存在孤页植入的情况存在,在该情况下,存在各个小窗口悬浮在网页的表面,使得对网页上进行的各个信息被偷用或者篡改,造成个人信息等私有信息被泄露;在本实施例针对该情况下进行着重的解决;所述分析模块还构造为:在进行网页切换或者搜索的过程中,从网络服务器接收并执行包括元数据的窗口小部件,记录所述小部件的HTML或者URL;本实施例的系统至少可以用于检测网络上的恶意攻击,其可以基于包括恶意代码通过网络服务器被注入到在设备中的恶性软件,检测方法从恶性软件是基于网络的操作系统上运行的小部件的命令流中提供系统;所述攻击检测包括:分析网络服务器中的窗口小部件;根据分析结果,确定窗口小部件运行时至少一个恒定不变的常量;产生元数据文件,所述元数据文件包括满足至少一个不变式的数据;将元数据文件与窗口小部件相关联,并在其中将相关联的元数据文件包括在窗口小部件中的状态下提供窗口小部件;
在步骤S1和步骤S2中所述第一特性的数据和所述第二特性的数据包括以下各项中的至少一个:超文本标记语言HTML页面、Java脚本、JS函数调用图,所使用的外部JS库项目;小部件或小部件使用的级联样式表;所述HTML页面包括所述HTML页面的文档对象模型树;具体的,所述超文本标记语言(HTML)页面、Java Script(JS)函数调用图、执行程序使用的外部JS库项目以及小部件使用的级联样式表(CSS)均在控制器的控制下进行运行的操作;不变量的数据中包括的HTML页面是HTML页面的文档对象模型(DOM)树;对正在运行的窗口小部件执行:统一资源定位符(URL)解析、执行协议处理、执行HTML解析、以及并执行小部件的JS;在执行HTML解析中,采用的执行HTML解析包括:将包括在小部件的运行时间期间使用的外部依赖关系的列表与包括在元数据中包括的外部依赖关系的列表进行比较,或者将在小部件的运行时间期间生成的DOM树与元数据中包含的DOM树进行比较;只要不符合运行规则的执行程序就要进行拉黑处理,保证浏览网页的过程中,所述执行程序能够高效的对恶意的窗口小部件进行限制运行或者进行挂起处理;
解析执行程序的统一资源定位符URL、以及处理协议;解析小部件的HTML;并执行小部件的JS;具体的,解析所述执行程序的同一的资源的定位符URL,并由所述网络服务器进行检测并注入到无线通信系统中的设备上的基于网络的操作系统上运行的执行程序的命令流中的恶意代码;所述网络服务器包括:控制器和传输单元;所述控制器能够通过所述网络服务器来分析所述窗口小部件,确定在所述窗口小部件运行时不断维护并保存的至少一个不变式,创建包括所述至少一个不变式的数据的元数据文件,并将所述元数据文件与小部件存储在存储器中;传输单元被配置为在执行程序中包括相关联的元数据文件,并将元数据文件提供给设备;
另外,在本实施例中,提供一种用于检测基于网络上操作系统上运行的执行程序的命令流的恶意代码的检测装置;所述检测装置包括微处理器,所述微处理器被配为从网络服务器接收并执行包括元数据的执行程序,基于分析的结果,确定在执行程序运行时不断维护和保存的第一不变量,并比较该第一不变量的数据;元数据中包含第二个不变量的数据;当检测到第一不变量的数据和第二不变量的数据之间的变化等于或大于预定值时,发送单元发出警报;执行所述HTML解析包括:将包括在所述执行程序的运行时间期间使用的外部依赖关系的列表与包括在所述元数据中的包括外部依赖关系的列表进行比较;以及将所述包含在所述执行程序的运行时间中的外部依赖关系进行比较,或将在窗口小部件运行时生成的DOM树与元数据中包含的DOM树进行比较,使用加密和签名中的至少一种将所述元数据绑定到所述执行程序;
监视模块被包括在网络的操作系统渲染引擎中;当窗口小部件在设备中运行时,网络浏览器的运行时开始窗口小部件的执行,并且窗口小部件的元数据文件与窗口小部件的代码一起被加载到网络运行时;监视模块在运行时通过解析执行以确定和识别相关不变量或相关不变量的结构的执行程序代码来操作,监视模块使用解析结果来识别不变量或其结构的有效性,正确性和准确性;通过将实时解析结果与元数据文件中的相应数据进行比较来执行此标识,当识别出实时不变量和与元数据文件内的不变量相关联的各个数据之间存在不匹配时,监视模块发出警报;此外,当元数据文件内的各个数据和实时不变性彼此一致时,通过执行程序的执行使得所述执行程序进行清除的操作,将恶意代码进行清除的;监视模块实时地将调用图信息包含在元数据文件中以及相应的标识中,这可以减轻脚本注入漏洞;例如:可以通过使用静态代码分析技术来提取执行程序的调用图;应当注意,本发明不限于用完整的调用图来操作,因为可以用简化的调用图来执行识别,该简化的调用图包括从输入控件可到达的一些代码;用减少的调用图执行标识将减少与标识相关联的一些交叉或者链接;监视模块可以在执行程序的执行期间通过对元数据文件执行识别来识别与不变量的期望列表或不变量的相应结构的任何偏差;当然,随着关于不变量的信息更加完整即,所监视的不变量的数量增加和/或每个不变量的详细程度增加,检测的准确性变得更高;
分析窗口小部件是基于分析的结果,来确定在执行程序执行时所保持的至少一个特征;生成包括所述至少一个特征的数据的元数据;将元数据与窗口小部件关联;在小部件中包括相关的元数据文件;并将小部件提供给设备;具体的,当在网络运行时在设备处执行窗口小部件时,实际上是窗口小部件的一部分的元数据文件也被加载,并且网络运行时开始同时执行监视模块;在本实施例中,所述执行程序执行包括如下几个附加步骤:(a)识别页面(外部)的依赖关系,即:放入页面以使页面渲染成功所需的代码组件如:JS、CSS、图像等;(b)HTML解析,包括构建用于呈现页面的DOM;(c)执行JavaScript程序;监视单元的功能可以以特殊回调的形式实现,在以上三个步骤中的适当位置调用:在小部件执行期间,监视模块记录并维护所有或一部分的相应列表;在运行时由窗口小部件加载的库和CSS;
在此过程结束时,将执行回调以将列表与元数据文件中的相应数据进行比较;如果在库的名称或版本中检测到偏差,则会触发适当的警报;监视模块中的HTML解析功能构建DOM树,该DOM树是执行程序的布局管理器操作的实体;在完成DOM树的创建后,将启动回调并将DOM或其部分与元数据文件中的相应数据进行比较;当在DOM结构或DOM元素中发现偏差时,将生成警报;
JS解析包括三个阶段:(a)解析步骤,其中验证语法并构建相应的二进制表示形式;(b)功能解析步骤,其中注册了所有功能;(c)执行重验证代码的步骤,其中重验证代码;被插入到第三阶段进行执行;
在以上的第三步骤中,可以检查堆栈是否与在交叉搜索中创建的调用图匹配;此外,在第三步骤中,还能确定是否调用了特殊的预定义敏感功能或者是否存在对安全敏感资源的意外访问;在监视模块检测到这些事件之一的情况下,触发适当的警报;
特征数据包括超文本标记语言HTML页面、Java脚本、JS功能调用图,小部件使用的外部JS库项或级联之一;所述HTML页面包括所述HTML页面的文档对象模型DOM树;具体的,所述特征数据包括第一特征数据和第二特征数据,所述第一特征数据和所述第二数据在所述控制器中执行;验证所有活动的窗口小部件的HTML页面和运行所述窗口小部件的运行脚本;在本实施例中,所述运行脚本会被所述控制器进行屏蔽的操作,使得所述
监视单元创建列表,所述监视单元创建列表总结在运行时小部件使用的所有外部功能,并将该列表与元数据文件中的对应列表进行比较;此外,监视单元为正在运行的窗口小部件创建DOM树,并且当正在运行的窗口小部件完成时,监视单元将DOM树与元数据文件中的对应DOM树进行比较;当发现任何偏差时,监视单元将发出警报;在这一过程中,需要对所述窗口小部件或者插件的联网URL进行屏蔽,使得用于所述插件或者窗口小部件不会与外边设备进行数据的传输;在本实施例中,设有列表遍历装置,用于对所述检测单元创建的列表进行检测或者验证,如果所述检测单元创建列表存在极大的差别后,通过控制器或者控制单元对整个生成所述监视单元创建列表的小部件进行锁定或者对其进行冻结,使得所述操作系统在失去在浏览的过程中进行活动的功能;在其他的实施例中,也可以采用是的对整个所述窗口小部件的运行的活动进行监控,且当所述窗口小部件在运行的过程中,可以与操作人员或者浏览人员有一个交互的动作,用于对所述窗口小部件的运行活动进行实用性的调整;在本实施中,如果所述窗口小部件设置为不需要时候,所述监控装置用于对所述窗口小部件进行放置进黑盒里,使得所述窗口小部件不会占据在浏览界面上,使得所述窗口小部件不会对个人的浏览的界面进行干扰;被拉黑进所述小黑盒中的程序或者软件,其联网的功能和信息授权获取的功能会被剥夺;在本实施例中,拉黑的操作通过所述控制其或者控制单元进行操作;
检测包括:更新所述执行程序;以及基于更新结果更新元数据中包括的至少一个特征的数据;将更新后的元数据提供给设备,并使用加密和签名中的至少一种将所述元数据绑定到所述执行程序;具体的,所述检测用于对所述执行程序进行检测,在检测的过程中用于首先对所述执行程序的版本号进行识别的操作,检测所述执行程序版本号进行识别是的通过所述执行程序版本号码识别传输的路劲进行识别的操作;在本实施例中,在结果数据进更新后,通过所述结果的元数据的各个所述特征数据进行实际的划分,并在诸多的特征数据供给设备进行使用,并对该元数据的触发装置进行实时的监控;另外,在诸多的元数据进行数据的传输的过程中,通过原数据进行加密,使得所述元数据能够与所述执行程序进行绑定,有效的保证所述元数据的安全;在本实施例中,所述执行程序与加密的所述元数据中为一一对应的关系,即:特定的元数据需要通过特定的所述执行程序号才能识别,有效的保证所述元数据传输的安全,也有效的防止在网页浏览的过程中孤页植入后对信息的盗用或者篡改的危险。
实施例三:本实施例应当理解为至少包含前述任一一个实施例的全部特征,并在其基础上进一步改进,具体的,本实施例的系统包括一种执行Web程序产品,包括:硬件存储设备,在其中存储了计算机可执行程序代码,该计算机可执行程序代码在由包括被配置为测试Web服务的安全性系统的计算机硬件系统执行时使计算机硬件系统执行以下操作:执行由安全系统对Web服务执行静态分析;由安全系统在Web服务上执行静态分析;在静态分析期间,在Web服务的程序代码中定位种子指令,其中,请求者的身份由Web服务确定;在静态分析期间,确定种子指令中的值是否在程序代码中分支的多个路径之间进行选择时是确定的;并由安全系统响应于该确定,基于该Web服务根据请求者的身份选择多个路径之一来指示该Web服务具有潜在的漏洞;具体的,在静态分析期间,在Web服务的程序代码中定位种子指令,其中,请求者的身份由Web服务确定;在静态分析期间,确定种子指令中的值是否在程序代码中分支的多个路径之间进行选择时是确定的;并由安全系统并响应于确定基于Web服务根据请求者的身份选择多个路径之一来指示Web服务具有潜在的漏洞,确定与之比较的可信身份,并且将有效载荷提交给其中模拟了所述可信身份的Web服务;所述Web服务的程序代码被配置有第一诊断程序代码,所述第一诊断程序代码被配置为响应于所述Web服务的执行来确定所述可信身份将对来自所述Web服务的所述有效载荷的响应与预期响应进行比较;指示是基于比较,使用第二诊断程序代码来检测所述Web服务的程序代码,所述第二诊断程序代码被配置为响应于所述Web服务的执行而使所述Web服务内的身份解密无效;通过所述安全系统在Web服务上执行静态分析,使得所述窗口部件的操作能够别监控,并由所述Web服务程序代码中定位种子指令,对所述窗口小部件的操作进行监控防止在交叉搜索的过程中孤页的植入对个人信息的盗用。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
综上所述,本发明的一种互联网分析系统,通过采用将元数据文件与窗口小部件相关联,并在其中将相关联的元数据文件包括在窗口小部件中的状态下提供窗口小部件;通过采用在小部件的运行时间期间使用的外部依赖关系的列表与包括在元数据中包括的外部依赖关系的列表进行比较,或者将在小部件的运行时间期间生成的DOM树与元数据中包含的DOM树进行比较;只要不符合运行规则的执行程序就要进行拉黑处理,保证浏览网页的过程中,执行程序能够高效的对恶意的窗口小部件进行限制运行或者进行挂起处理;通过采用解析执行程序的同一的资源的定位符URL,并由网络服务器进行检测并注入到无线通信系统中的设备上的基于网络的操作系统上运行的执行程序的命令流中的恶意代码,并创建包括至少一个不变式的数据的元数据文件,并将元数据文件与小部件存储在存储器中;传输单元被配置为在执行程序中包括相关联的元数据文件,并将元数据文件提供给设备对窗口小部件的操作进行监控;通过将实时解析结果与元数据文件中的相应数据进行比较来执行此标识,当识别出实时不变量和与元数据文件内的不变量相关联的各个数据之间存在不匹配时,监视模块发出警报;通过采用设有列表遍历装置,用于对检测单元创建的列表进行检测或者验证,如果检测单元创建列表存在极大的差别后,通过控制器或者控制单元对整个生成监视单元创建列表的小部件进行锁定或者对其进行冻结,使得操作系统在失去在浏览的过程中进行活动的功能。
虽然上面已经参考各种实施例描述了本发明,但是应当理解,在不脱离本发明的范围的情况下,可以进行许多改变和修改。也就是说上面讨论的方法,系统和设备是示例。各种配置可以适当地省略,替换或添加各种过程或组件。例如,在替代配置中,可以以与所描述的顺序不同的顺序执行方法,和/或可以添加,省略和/或组合各种部件。而且,关于某些配置描述的特征可以以各种其他配置组合,如可以以类似的方式组合配置的不同方面和元素。此外,随着技术发展其中的元素可以更新,即许多元素是示例,并不限制本公开或权利要求的范围。
在说明书中给出了具体细节以提供对包括实现的示例性配置的透彻理解。然而,可以在没有这些具体细节的情况下实践配置例如,已经示出了众所周知的电路,过程,算法,结构和技术而没有不必要的细节,以避免模糊配置。该描述仅提供示例配置,并且不限制权利要求的范围,适用性或配置。相反,前面对配置的描述将为本领域技术人员提供用于实现所描述的技术的使能描述。在不脱离本公开的精神或范围的情况下,可以对元件的功能和布置进行各种改变。
综上,其旨在上述详细描述被认为是例示性的而非限制性的,并且应当理解,以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后,技术人员可以对本发明作各种改动或修改,这些等效变化和修饰同样落入本发明权利要求所限定的范围。
Claims (3)
1.一种互联网分析系统,其特征在于,包括:
接收模块,其被构造成从网络服务器接收包括元数据的窗口小部件;
分析模块,其被构造成执行所述包括元数据的窗口小部件,在执行过程中分析窗口小部件,基于分析结果确定在窗口小部件执行时要维护的第一特征,并将第一特征数据与第二特征进行比较元数据中包含的特征;
警报模块,其被构造成当在第一特征数据和第二特征数据之间检测到等于或大于预定值的变化时发出警报;
其中所述第一特征的数据和所述第二特征数据包括以下各项中的至少一个:超文本标记语言HTML页面、Java脚本、JS函数调用图、所使用的外部JS库项目;
小部件或小部件使用的级联样式表;
所述HTML页面包括所述HTML页面的文档对象模型树;
所述分析模块还用于解析执行程序的统一资源定位符URL、以及处理协议;解析小部件的HTML;并执行小部件的JS;
所述分析模块还构造为:在进行网页切换或者搜索的过程中,从网络服务器接收并执行包括元数据的窗口小部件,记录所述小部件的HTML或者URL;
所述分析模块还用于分析窗口小部件;以及,
基于分析的结果,确定在执行程序执行时所保持的至少一个特征;
生成包括所述至少一个特征的数据的元数据;
将元数据与窗口小部件关联,并在其中将相关联的元数据文件包括在窗口小部件中的状态下提供窗口小部件;在元数据进行数据的传输的过程中,通过元数据进行加密,使得所述元数据能够与所述执行程序进行绑定,所述执行程序与加密的所述元数据中为一一对应的关系,指定的元数据需要通过指定的所述执行程序号才能识别;
在小部件中包括相关的元数据文件;并将小部件提供给设备;
所述网络服务器包括:控制器和传输单元;所述控制器能够通过所述网络服务器来分析所述窗口小部件,确定在所述窗口小部件运行时不断维护并保存的至少一个不变式,创建包括所述至少一个不变式的数据的元数据文件,并将所述元数据文件与小部件存储在存储器中;传输单元被配置为在执行程序中包括相关联的元数据文件,并将元数据文件提供给设备;
系统包括用于检测基于网络上操作系统上运行的执行程序的命令流的恶意代码的检测装置;所述检测装置包括微处理器,所述微处理器被配为从网络服务器接收并执行包括元数据的执行程序,基于分析的结果,确定在执行程序运行时不断维护和保存的第一不变量,并比较该第一不变量的数据;元数据中包含第二个不变量的数据;当检测到第一不变量的数据和第二不变量的数据之间的变化等于或大于预定值时,发送单元发出警报;检测方法包括更新所述执行程序;以及基于更新结果,更新元数据中包括的至少一个特征的数据;将更新后的元数据提供给设备,并使用加密和签名中的至少一种将所述元数据绑定到所述执行程序;
执行所述HTML解析包括:将包括在所述执行程序的运行时间期间使用的外部依赖关系的列表与包括在所述元数据中的包括外部依赖关系的列表进行比较;以及将所述包含在所述执行程序的运行时间中的外部依赖关系进行比较,或将在窗口小部件运行时生成的DOM树与元数据中包含的DOM树进行比较,使用加密和签名中的至少一种将所述元数据绑定到所述执行程序;
系统还包括分析窗口小部件;基于分析的结果,确定在执行程序执行时所保持的至少一个特征;生成包括所述至少一个特征的数据的元数据;将元数据与窗口小部件关联;在小部件中包括相关的元数据文件;并将小部件提供给设备;当在网络运行时在设备处执行窗口小部件时,实际上是窗口小部件的一部分的元数据文件也被加载,并且网络运行时开始同时执行监视模块;
对所述JS的解析包括三个阶段:(a)解析步骤,验证语法并构建相应的二进制表示形式;(b)功能解析步骤,其中注册了所有功能;(c)执行重验证代码的步骤,其中重验证代码;被插入到第三阶段进行执行;检查堆栈是否与在交叉搜索中创建的调用图匹配;此外,还确定是否调用了特殊的预定义敏感功能或者是否存在对安全敏感资源的意外访问;
当发现任何偏差时,监视单元将发出警报;在这过程中,需要对所述窗口小部件或者插件的联网URL进行屏蔽,使得用于所述插件或者窗口小部件不会与外边设备进行数据的传输;设有列表遍历装置,用于对检测单元创建的列表进行检测或者验证,如果所述检测单元创建列表存在预设的差别后,通过控制器或者控制单元对整个生成所述监视单元创建列表的小部件进行锁定或者对其进行冻结,使得所述操作系统在失去在浏览的过程中进行活动的功能;如果所述窗口小部件设置为不需要时候,监控装置用于对所述窗口小部件进行放置进黑盒里;
系统由安全系统在Web服务上执行静态分析;具体的,在静态分析期间,在Web服务的程序代码中定位种子指令,其中,请求者的身份由Web服务确定;在静态分析期间,确定种子指令中的值是否在程序代码中分支的多个路径之间进行选择时是确定的;并由安全系统并响应于确定基于Web服务根据请求者的身份选择多个路径之一来指示Web服务具有潜在的漏洞,确定与之比较的可信身份,并且将有效载荷提交给其中模拟了所述可信身份的Web服务;所述Web服务的程序代码被配置有第一诊断程序代码,所述第一诊断程序代码被配置为响应于所述Web服务的执行来确定所述可信身份将对来自所述Web服务的所述有效载荷的响应与预期响应进行比较;指示是基于比较使用第二诊断程序代码来检测所述Web服务的程序代码,所述第二诊断程序代码被配置为响应于所述Web服务的执行而使所述Web服务内的身份解密无效。
2.如权利要求1所述的一种互联网分析系统,其特征在于,所述至少一个特征的数据包括超文本标记语言HTML页面、Java脚本、JS功能调用图,小部件使用的外部JS库项或级联之一。
3.如权利要求2所述的一种互联网分析系统,其特征在于,所述HTML页面包括所述HTML页面的文档对象模型DOM树。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010331464.6A CN111538990B (zh) | 2020-04-24 | 2020-04-24 | 一种互联网分析系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010331464.6A CN111538990B (zh) | 2020-04-24 | 2020-04-24 | 一种互联网分析系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111538990A CN111538990A (zh) | 2020-08-14 |
CN111538990B true CN111538990B (zh) | 2023-12-22 |
Family
ID=71978823
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010331464.6A Active CN111538990B (zh) | 2020-04-24 | 2020-04-24 | 一种互联网分析系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111538990B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102150177A (zh) * | 2008-09-11 | 2011-08-10 | 微软公司 | 通过窗口小部件的聚合广告和商业 |
WO2016080735A1 (en) * | 2014-11-17 | 2016-05-26 | Samsung Electronics Co., Ltd. | Method and apparatus for preventing injection-type attack in web-based operating system |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7743336B2 (en) * | 2005-10-27 | 2010-06-22 | Apple Inc. | Widget security |
US8522132B2 (en) * | 2010-09-13 | 2013-08-27 | International Business Machines Corporation | Widget behavior customization via cascaded style sheets |
US10397243B2 (en) * | 2014-07-25 | 2019-08-27 | Sap Se | Condition checking for page integration of third party services |
US20160142437A1 (en) * | 2014-11-17 | 2016-05-19 | Samsung Electronics Co., Ltd. | Method and system for preventing injection-type attacks in a web based operating system |
-
2020
- 2020-04-24 CN CN202010331464.6A patent/CN111538990B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102150177A (zh) * | 2008-09-11 | 2011-08-10 | 微软公司 | 通过窗口小部件的聚合广告和商业 |
WO2016080735A1 (en) * | 2014-11-17 | 2016-05-26 | Samsung Electronics Co., Ltd. | Method and apparatus for preventing injection-type attack in web-based operating system |
Also Published As
Publication number | Publication date |
---|---|
CN111538990A (zh) | 2020-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Canfora et al. | Leila: formal tool for identifying mobile malicious behaviour | |
CN107077410B (zh) | 分析客户端应用行为以检测异常并且阻止访问 | |
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
Schuster et al. | Towards reducing the attack surface of software backdoors | |
JP2014038596A (ja) | 悪意ある実行ファイルの識別方法 | |
Vaidya et al. | Security issues in language-based software ecosystems | |
Yang et al. | APKLancet: tumor payload diagnosis and purification for android applications | |
CN112749088B (zh) | 应用程序检测方法、装置、电子设备和存储介质 | |
Shalini et al. | Prevention of cross-site scripting attacks (xss) on web applications in the client side | |
Ibrahim et al. | SafetyNOT: on the usage of the SafetyNet attestation API in Android | |
Song et al. | Understanding javascript vulnerabilities in large real-world android applications | |
CN112016096A (zh) | 一种xss漏洞的审计方法、装置 | |
Li et al. | Lchecker: Detecting loose comparison bugs in php | |
Gupta et al. | Evaluation and monitoring of XSS defensive solutions: a survey, open research issues and future directions | |
Soewito et al. | Android sensitive data leakage prevention with rooting detection using Java function hooking | |
US7620983B1 (en) | Behavior profiling | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
Xu et al. | DR@ FT: efficient remote attestation framework for dynamic systems | |
CN111538990B (zh) | 一种互联网分析系统 | |
Agarwal et al. | First, Do No Harm: Studying the manipulation of security headers in browser extensions | |
Shahriar et al. | A model-based detection of vulnerable and malicious browser extensions | |
Jeong et al. | SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform | |
Al-Kahla et al. | A taxonomy of web security vulnerabilities | |
CN111460442A (zh) | 一种基于互联网交叉搜索缺陷的攻击检测方法 | |
Obimbo et al. | Analysis of vulnerabilities of web browser extensions |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20231122 Address after: 418000 Huai Dong Road, Hecheng District, Huaihua, Hunan Province, No. 180 Applicant after: HUAIHUA University Address before: No. 612 Huaidong Road, Hecheng District, Huaihua City, Hunan Province, 418000 Applicant before: Li Wei |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |