CN117077138A - 一种基于浏览器的异常检测方法、系统、介质及设备 - Google Patents
一种基于浏览器的异常检测方法、系统、介质及设备 Download PDFInfo
- Publication number
- CN117077138A CN117077138A CN202311056058.3A CN202311056058A CN117077138A CN 117077138 A CN117077138 A CN 117077138A CN 202311056058 A CN202311056058 A CN 202311056058A CN 117077138 A CN117077138 A CN 117077138A
- Authority
- CN
- China
- Prior art keywords
- character string
- browser
- target
- abnormal
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 41
- 238000000034 method Methods 0.000 claims abstract description 64
- 230000002159 abnormal effect Effects 0.000 claims abstract description 63
- 230000005856 abnormality Effects 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims abstract description 13
- 239000013598 vector Substances 0.000 claims description 33
- 230000006399 behavior Effects 0.000 claims description 25
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 claims description 19
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 17
- 229910052804 chromium Inorganic materials 0.000 claims description 14
- 239000011651 chromium Substances 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 7
- 244000035744 Hura crepitans Species 0.000 claims description 6
- 230000003068 static effect Effects 0.000 claims description 4
- 108091026890 Coding region Proteins 0.000 claims description 3
- 206010048669 Terminal state Diseases 0.000 claims 1
- 241000700605 Viruses Species 0.000 description 15
- 238000013507 mapping Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000009434 installation Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
- G06F16/90344—Query processing by using string matching techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
- G06F16/9558—Details of hyperlinks; Management of linked annotations
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Computational Linguistics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及网络安全检测领域,特别是涉及一种基于浏览器的异常检测方法、系统、介质及设备。包括如下步骤:获取待测浏览器快捷方式文件所链接的目标地址;获取目标字符串;若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串;根据异常判定字符串对多个扩展程序进行异常定位处理,确定出异常扩展程序。本发明中通过对目标地址中包括的字符串进行匹配,可以快速确定出待测浏览器中是否存在异常扩展程序,是否已经被感染被攻击。并进行异常扩展程序的准确定位,以便于对其进行及时清除。
Description
技术领域
本发明涉及网络安全检测领域,特别是涉及一种基于浏览器的异常检测方法、系统、介质及设备。
背景技术
在计算机安全领域,恶意软件检测技术是指对计算机系统中的恶意软件进行检测的各种技术。其中,针对浏览器恶意扩展程序的检测方法也是该领域的一个重要研究方向。浏览器恶意扩展程序是指一类通过浏览器插件或扩展程序的形式感染用户计算机,从而进行各种恶意行为的软件。
目前,针对浏览器恶意扩展程序的检测也面临着一系列的技术挑战。比如,恶意扩展程序通常可以隐藏在Chromium浏览器的插件或扩展程序列表中,在Chromium浏览器启动对应的插件时,恶意扩展程序被激活,进而开展对应的攻击行为。通常为了增加恶意扩展程序的隐蔽性,该恶意程序对应的代码也会更加的短小,通常会是一些对Chromium浏览器启动命令修改的指令,如将恶意资源下载链接添加至Chromium浏览器启动目录中的指令。然后,可以使用下载下来的恶意资源利用浏览器的漏洞或安全漏洞,对用户计算机进行攻击和感染。
由于,恶意扩展程序隐藏位置较为隐蔽,同时恶意扩展程序执行的操作更加隐蔽细微,所以该种形式的恶意扩展程序难以被用户发现,同时也难以及时清除。
发明内容
针对上述恶意扩展程序隐藏位置较为隐蔽,同时恶意扩展程序执行的操作更加隐蔽细微,所以该种形式的恶意扩展程序难以被用户发现,同时也难以及时清除的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种基于浏览器的异常检测方法,方法包括如下步骤:
获取待测浏览器快捷方式文件所链接的目标地址;待测浏览器为基于Chromium浏览器开发的浏览器,待测浏览器中安装有多个扩展程序;
获取目标字符串,所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串;
根据异常判定字符串对多个扩展程序进行异常定位处理,确定出异常扩展程序。
异常判定字符串为资源下载指令对应的字符串;
异常定位处理,包括:
获取每一扩展程序的资源文件;资源文件包括扩展程序对应的主函数文件及子函数文件;
将异常判定字符串分别与每一扩展程序的资源文件中的字符串进行匹配;
若匹配成功,则确定匹配成功的资源文件对应的扩展程序为异常扩展程序;
在确定出异常扩展程序之后,方法还包括:
将异常扩展程序放入沙箱中再次运行,并获取运行过程中下载资源时对应的资源信息;
根据资源信息,对目标终端进行异常检测;目标终端为安装有待测浏览器的终端。
进一步的,在获取待测浏览器快捷方式文件所链接的目标地址之后,方法还包括:
若目标字符串中仅存在预设字符串,则将每一扩展程序依次进行安全漏洞的静态检测及动态检测,生成每一扩展程序的安全检测结果;
根据每一扩展程序的安全检测结果,确定出异常扩展程序。
进一步的,获取待测浏览器快捷方式文件所链接的目标地址,包括:
对待测浏览器快捷方式文件进行解码,生成待测浏览器快捷方式文件对应的十六进制文件编码;
从十六进制文件编码中的预设编码区域,获取目标地址。
进一步的,在若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串之前,方法还包括:
获取目标地址中最后一个预设分割符之后的字符串,作为目标字符串;
获取目标字符串中的字符总数K1;
获取每一预设字符串中包含的字符总数A1、A2、…、Ai、…、Az;其中,Ai为第i个预设字符串包含的字符总数,z为预设字符串的总数,i=1、2、…、Z;
若Max(A1、A2、…、Ai、…、Az)≤K1,则将每一预设字符串与目标字符串进行对比。
进一步的,在确定出异常扩展程序之后,方法还包括:
获取多个采集终端;每一采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个采集浏览器中仅包含一种异常扩展程序;
获取每一采集终端采集到的端口状态向量及端口行为集;其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y),Bj n为第j个采集终端中第n个端口的状态值,y为每一采集终端中端口的数量,n=1、2、…、y;其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量,Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx);其中,Cj nm为第j个采集终端中第n个端口采集到的一次异常行为中出现第m个预设指令类型的指令数量;x为预设指令类型的总数量,m=1、2、…、x;
对所有的端口状态向量进行聚类,生成多个聚类族群;
获取每一聚类族群对应的中心向量;
将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集;
根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定样本集。
进一步的,获取每一采集终端采集到的端口状态向量,包括:
获取采集终端在一个采集周期中,每一端口的状态值;采集周期为异常扩展程序完成一次异常行为对应的周期;
若在一个采集周期中端口存在处于开启的状态,则为端口配置第一状态值;
若在一个采集周期中端口一直处于关闭的状态,则为端口配置第二状态值。
根据本发明的第二个方面,提供了一种基于浏览器的异常检测装置,装置包括:
地址获取模块,用于获取待测浏览器快捷方式文件所链接的目标地址;待测浏览器为基于Chromium浏览器开发的浏览器,待测浏览器中安装有多个扩展程序;
字符获取模块:用于获取目标字符串,所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
异常判定模块,用于若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串;
异常定位模块,用于根据异常判定字符串对多个扩展程序进行异常定位处理,确定出异常扩展程序;
所述异常判定字符串为资源下载指令对应的字符串;
所述异常定位处理,包括:
获取每一所述扩展程序的资源文件;所述资源文件包括扩展程序对应的主函数文件及子函数文件;
将所述异常判定字符串分别与每一所述扩展程序的资源文件中的字符串进行匹配;
若匹配成功,则确定匹配成功的资源文件对应的扩展程序为异常扩展程序;
在确定出异常扩展程序之后,所述方法还包括:
将所述异常扩展程序放入沙箱中再次运行,并获取运行过程中下载资源时对应的资源信息;
根据所述资源信息,对目标终端进行异常检测;所述目标终端为安装有所述待测浏览器的终端。
根据本发明的第三个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种基于浏览器的异常检测方法。
根据本发明的第四个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种基于浏览器的异常检测方法。
本发明至少具有以下有益效果:
异常扩展程序通常是对待测浏览器的启动指令进行修改,以添加对应的恶意指令,由此会使得待测浏览器快捷方式文件(lnk文件)所链接的目标地址发生变化,具体为在原有的目标地址中加入恶意指令,进而使得每一次打开快捷方式文件时,不仅可以开启待测浏览器,同时也会执行对应的恶意指令。本发明中,通过对目标地址中包括的字符串进行匹配,可以快速确定出待测浏览器中是否存在异常扩展程序,是否已经被感染被攻击。
另外,由于异常扩展程序是在原有的正常的扩展程序中,插入了对应的用于修改lnk文件所链接的目标地址的指令,所以在异常扩展程序的资源文件中一定存在异常判定字符串对应的内容,根据该特征通过本发明中的异常定位处理,可以快速确定出哪一个扩展程序(插件)为异常扩展程序。本发明的技术方案可以快速确定出待测浏览器中是否存在异常扩展程序,并进行异常扩展程序的准确定位,以便于对其进行及时清除。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例提供的一种基于浏览器的异常检测方法的流程图;
图2为本发明另一实施例提供的一种基于浏览器的异常检测装置的结构框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的第一个方面,如图1所示,提供了一种基于浏览器的异常检测方法,该方法用于确定出异常扩展程序,该方法包括如下步骤:
步骤100:获取待测浏览器快捷方式文件所链接的目标地址。
待测浏览器为基于Chromium浏览器开发的浏览器,待测浏览器中安装有多个扩展程序。
目前已发现的病毒中,均是部署在Chromium浏览器对应的插件(扩展程序)中,并对Chromium浏览器对应的lnk(快捷方式)文件进行修改。由此,可知本实施例对应的技术方案可以适用于现有的基于Chromium浏览器内核开发出来的任意浏览器。也即,待测浏览器可以为现有的Opera浏览器、edge浏览器或谷歌浏览器。
进一步的,步骤100包括:
步骤101:使用十六进制编辑器对待测浏览器快捷方式文件进行解码,生成待测浏览器快捷方式文件对应的十六进制文件编码。
具体的,本实施例中十六进制编辑器可以为010Editor。
步骤102:从十六进制文件编码中的预设编码区域,获取目标地址。
使用010Editor打开对应的lnk文件后,会生成对应的十六进制文件编码,且该十六进制文件编码被划分为多个区间,lnk文件中的不同内容对应不同区间中的十六进制编码。具体的,lnk文件中的目标地址对应第二区间中的十六进制编码。由此,可以通过第二区间中的十六进制编码读取出目标地址对应的字符串。第二区间为由010Editor生成lnk文件对应的十六进制文件编码中的第二个已划分好的编码区间。当然若使用其他的十六进制编辑器,需要对应找到lnk文件中的目标地址对应的十六进制编码区间。
步骤200:获取目标字符串,目标字符串为目标地址中最后一个预设分隔符之后的字符串。
如:“C:\Program Files(x86)\Microsoft\Edge\Application\msedge.exe”中的msedge.exe即为目标字符串。
一方面,在步骤200之后,该方法还包括:
步骤300:若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串。
通常正常的目标地址对应的字符串由启动文件的存放目录及启动文件名组成,如“C:\Program Files(x86)\Microsoft\Edge\Application\msedge.exe”。当目标地址被恶意修改后,会变成在原始目标地址后在加上对应的指令的形式,如“C:\Program File步骤(x86)\Microsoft\Edge\Application\msedge.exe xxxxxxxxxx”。
由上述特征可知,目标地址被恶意篡改前后的不同之处,仅在于最后一个预设分隔符“\”之后的字符串存在不同,也即目标字符串存在不同。另外,现有的基于Chromium浏览器内核开发的浏览器对应的启动文件名均是可以提前确定的,由此,可以根据现有的目标浏览器的启动文件名来收集预设字符串。如Opera浏览器对应的启动文件名为launcher.exe;edge浏览器对应的启动文件名为msedge.exe;谷歌浏览器对应的启动文件名为chrome.exe。收集到全部的预设字符串后,可以用于进行步骤300中的异常判定。
进一步的,在步骤300之前,该方法还包括:
步骤301:获取目标地址中最后一个预设分割符之后的字符串,作为目标字符串。
步骤303:获取目标字符串中的字符总数K1。
步骤303:获取每一预设字符串中包含的字符总数A1、A2、…、Ai、…、Az,其中,Ai为第i个预设字符串包含的字符总数,z为预设字符串的总数,i=1、2、…、Z。
步骤304:若Max(A1、A2、…、Ai、…、Az)≤K1,则将每一预设字符串与目标字符串进行对比。
具体的,按照如下步骤进行对比:
步骤314:确定目标字符串中的目标匹配区间。该目标匹配区间的长度与对应的预设字符串的长度相同,且目标匹配区间的起始位置为目标字符串中的第一个字符。
步骤324:将预设字符串与对应的目标匹配区间中的字符串进行一一比对。
通常当目标地址被恶意修改后,会变成在原始目标地址后在加上对应的指令的形式,如“C:\Windows\system32\msedge.exe/V/Csetx4OAGWfxlEs02z6NnUkK=2whttpr0&&setL1U03Hm UO6B9IcurCNNlo4=.com&&/br/flashplayer/”。由于,添加的指令包括的字符数通常是远大于启动文件名中的字符数的,所以在进行步骤300之前,可以根据步骤301-步骤304先根据字符数的对比情况进行初步异常判定,以快速确定出被修改的目标地址。
另一方面,在步骤200之后,该方法还包括:
步骤310:若目标字符串中仅存在预设字符串,则将每一扩展程序依次进行安全漏洞的静态检测及动态检测,生成每一扩展程序的安全检测结果。
步骤320:根据每一扩展程序的安全检测结果,确定出异常扩展程序。
本方案中若目标地址没有被恶意篡改,则可以再通过现有的安全漏洞的静态检测及动态检测,依次对扩展程序进行安全检测,可以更加精确的确定扩展程序是否被病毒感染。
步骤400:根据异常判定字符串对多个扩展程序进行异常定位处理,确定出异常扩展程序。
异常定位处理,包括:
步骤401:获取每一扩展程序的资源文件。资源文件包括扩展程序对应的主函数文件及子函数文件。
具体的,打开待测浏览器的开发者模式后,可以获取到该待测浏览器中已经安装的每一插件(扩展程序)的安装文件的文件ID。由此,通过文件ID可以在对应的终端中查找到每一插件的安装文件,在安装文件中包括对应的资源文件,其中主函数文件为后缀为.json的文件;子函数文件为后缀为.js的文件。
步骤402:将异常判定字符串分别与每一扩展程序的资源文件中的字符串进行匹配。
步骤403:若匹配成功,则确定匹配成功的资源文件对应的扩展程序为异常扩展程序。
由于异常扩展程序是在原有的正常的扩展程序中,插入了对应的用于修改lnk文件所链接的目标地址的指令,而该修改指令中必然会包括添加的内容,如下载指令对应的字符串。所以在异常扩展程序的资源文件中一定存在异常判定字符串对应的内容,根据该特征通过本发明中的异常定位处理,可以快速确定出哪一个扩展程序(插件)为异常扩展程序。本发明的技术方案可以快速确定出待测浏览器中是否存在异常扩展程序,并进行异常扩展程序的准确定位,以便于对其进行及时清除。
作为本发明的另一个可能的实施例,异常判定字符串为资源下载指令对应的字符串。
在确定出异常扩展程序之后,该方法还包括:
步骤500:将异常扩展程序放入沙箱中再次运行,并获取运行过程中下载资源时对应的资源信息。
步骤600:根据资源信息,对目标终端进行异常检测。目标终端为安装有待测浏览器的终端。
若异常判定字符串为资源下载指令对应的字符串,则在待测浏览器启动时,还会同时执行该资源下载指令,从对应的IP地址处下载对应的病毒。由此,通过将异常扩展程序放入沙箱中再次运行,在其运行的过程中,可以获取到下载对应病毒时的数据包,进而可以获得更多的资源信息,如目的IP、通信端口号、通信协议以及病毒代码等内容。根据该信息可以更新现有的病毒特征库,同时也可以以这些特征对其他的目标终端进行异常检测。
由于,导致本发明中异常行为的病毒文件是Chromium浏览器中的异常扩展程序下载来的,该种攻击方式较为隐蔽,且不常见,现有技术中缺少对该类攻击行为的判定特征,不便于更加及时准确的判断出该类攻击行为。作为本发明的另一个可能的实施例,在确定出异常扩展程序之后,该方法还包括:
步骤410:获取多个采集终端。每一采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个采集浏览器中仅包含一种异常扩展程序。每一采集终端均配置有端口信息获取指令,用于获取端口的状态信息及端口接收的指令信息。
具体的,为了保证最后获取到的异常行为特征的全面性,所以在设置采集终端时,可以获取多个采集浏览器,多个采集浏览器中覆盖了多种已知的异常扩展程序,且将具有同一种异常扩展程序的多个采集浏览器分别部署在不同的采集终端上,由此可以采集到不同异常扩展程序的行为特征,且每一种异常扩展程序的在不同采集浏览器中的行为特征也全部可以获取到。
步骤420:获取每一采集终端采集到的端口状态向量及端口行为集。其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y),Bj n为第j个采集终端中第n个端口的状态值,y为每一采集终端中端口的数量,n=1、2、…、y。其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量。Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx),其中,Cj nm为第j个采集终端中第n个端口采集到的一次异常行为中出现第m个预设指令类型的指令数量,x为预设指令类型的总数量,m=1、2、…、x。
具体的,获取每一采集终端采集到的端口状态向量,包括:
步骤421:使用端口信息获取指令获取采集终端在一个采集周期中,每一端口的状态值。采集周期为异常扩展程序完成一次异常行为对应的周期。
具体的,可以使用现有的安全分析软件根据获取到的端口信息,确定出每一个对应的采集周期。也可以人工根据获取到的端口信息,确定出每一个对应的采集周期。
步骤422:若在一个采集周期中端口存在处于开启的状态,则为端口配置第一状态值。
步骤423:若在一个采集周期中端口一直处于关闭的状态,则为端口配置第二状态值。
具体的,第一状态值可以设置为0,第二状态值可以设置为1。若采集终端中共有50个端口作为本实施例中要进行监控的端口,则最终得到的端口状态向量为一个具有50个维度的一维向量,且向量中的元素只有1或0。
具体的,获取每一采集终端采集到的端口行为集,包括:
步骤424:使用端口信息获取指令获取采集终端在一个采集周期中,每一端口接收到的目标IP地址发来的指令信息。
由于被感染后的终端在被攻击时(如被窃取相关资料时),会与目标IP地址对应的恶意终端进行多次通信,以实现资料的传输指令或者其他指令的下发。由此,在每次异常行为执行的过程中,采集终端上的对应端口会接收到响应的指令信息。
步骤425:根据指令信息,确定每一指令对应的预设指令类型。
进一步的,步骤425包括:
步骤4251:获取指令映射表,指令映射表包括每一预设指令类型与指令关键词之间的对应关系。
具体的,可以根据实际场景中已收集到的每一种异常扩展程序的数据,提取出每一种指令对应的关键词,由此可以得到对应的指令映射表。
步骤4252:根据指令信息及指令映射表,获取每一指令对应的预设指令类型。
步骤426:根据已采集到的所有指令信息,确定每一预设指令类型的出现次数。
根据该指令映射表,可以对每一个端口在一个采样周期中,获取到每一预设指令类型的次数进行统计。进而形成该端口对应的行为特征向量。若预设指令类型为10个,则每一个端口对应的行为特征向量均为一个具有10个维度的一维向量。其中的每一个元素均为表示对应类型的指令出现次数的自然数。
步骤430:对所有的端口状态向量进行聚类,生成多个聚类族群。
具体的,可以使用K-Mean步骤聚类算法进行聚类,配置聚类族群的数量与采集终端中包括的异常扩展程序的种类数相同。
步骤440:获取每一聚类族群对应的中心向量。
步骤450:将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集。
步骤460:根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定特征集。
本实施例中,由于每一种异常扩展程序在进行异常行为时,其需要进行通信的端口大致是相同的。由此,可以通过对端口状态向量进行聚类,来实现对每一种异常扩展程序进行聚类的功能。同时,由于同一种异常扩展程序部署在不同的采集浏览器中后,其在进行异常行为时,执行的操作行为可能存在一定的差异。所以,同一种异常扩展程序对应的端口行为集也会存在一定的差异。由此,将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,可以保证最终生成的每一种异常扩展程序对应的异常行为特征集能够更加全面的覆盖每一种形式的操作行为,进而提高判定特征集的准确度。
进一步的,步骤460包括:
步骤461:获取异常扩展程序的异常标签。
具体的,可以将异常扩展程序对应的病毒名,作为其对应的异常标签。
步骤462:将异常扩展程序对应的聚类族群的中心向量,分别与异常扩展程序对应的聚类族群中的每一端口行为集,组合成异常扩展程序对应的多个初级判定特征。
步骤463:将异常标签作为每一初级判定特征的判定标签。
在经过步骤461至步骤463处理之后,会生成同一种病毒攻击对应的多个病毒判定特征。由此,经过该处理可以生成每一种异常扩展程序对应的病毒的大量的病毒判定特征。使用该病毒判定特征可以训练现有的神经网络模型,生成具有病毒判断能力的模型,以便于后期更加快速高效的进行病毒的判定工作。
根据本发明的第二个方面,如图2所示,还提供了一种基于浏览器的异常检测装置,该装置包括:
地址获取模块,用于获取待测浏览器快捷方式文件所链接的目标地址;待测浏览器为基于Chromium浏览器开发的浏览器,待测浏览器中安装有多个扩展程序;
字符获取模块:用于获取目标字符串,所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
异常判定模块,用于若目标字符串中除预设字符串之外还存在其他字符串,则将其他字符串作为异常判定字符串;
异常定位模块,用于根据异常判定字符串对多个扩展程序进行异常定位处理,确定出异常扩展程序。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,储存器存储有程序代码,程序代码可以被处理器执行,使得处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于浏览器的异常检测方法,其特征在于,所述方法包括如下步骤:
获取待测浏览器快捷方式文件所链接的目标地址;所述待测浏览器为基于Chromium浏览器开发的浏览器,所述待测浏览器中安装有多个扩展程序;
获取目标字符串,所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
若目标字符串中除预设字符串之外还存在其他字符串,则将所述其他字符串作为异常判定字符串;
根据异常判定字符串对多个所述扩展程序进行异常定位处理,确定出异常扩展程序;
所述异常判定字符串为资源下载指令对应的字符串;
所述异常定位处理,包括:
获取每一所述扩展程序的资源文件;所述资源文件包括扩展程序对应的主函数文件及子函数文件;
将所述异常判定字符串分别与每一所述扩展程序的资源文件中的字符串进行匹配;
若匹配成功,则确定匹配成功的资源文件对应的扩展程序为异常扩展程序;
在确定出异常扩展程序之后,所述方法还包括:
将所述异常扩展程序放入沙箱中再次运行,并获取运行过程中下载资源时对应的资源信息;
根据所述资源信息,对目标终端进行异常检测;所述目标终端为安装有所述待测浏览器的终端。
2.根据权利要求1所述的方法,其特征在于,在获取待测浏览器快捷方式文件所链接的目标地址之后,所述方法还包括:
若目标字符串中仅存在预设字符串,则将每一所述扩展程序依次进行安全漏洞的静态检测及动态检测,生成每一所述扩展程序的安全检测结果;
根据每一所述扩展程序的安全检测结果,确定出异常扩展程序。
3.根据权利要求1所述的方法,其特征在于,获取待测浏览器快捷方式文件所链接的目标地址,包括:
对待测浏览器快捷方式文件进行解码,生成所述待测浏览器快捷方式文件对应的十六进制文件编码;
从所述十六进制文件编码中的预设编码区域,获取所述目标地址。
4.根据权利要求1所述的方法,其特征在于,在若目标字符串中除预设字符串之外还存在其他字符串,则将所述其他字符串作为异常判定字符串之前,所述方法还包括:
获取目标字符串中的字符总数K1;
获取每一预设字符串中包含的字符总数A1、A2、…、Ai、…、Az;其中,Ai为第i个预设字符串包含的字符总数,z为预设字符串的总数,i=1、2、…、Z;
若Max(A1、A2、…、Ai、…、Az)≤K1,则将每一预设字符串与目标字符串进行对比。
5.根据权利要求4所述的方法,其特征在于,将每一预设字符串与目标字符串进行对比,包括:
确定目标字符串中的目标匹配区间。该目标匹配区间的长度与对应的预设字符串的长度相同,且目标匹配区间的起始位置为目标字符串中的第一个字符;
将预设字符串与对应的目标匹配区间中的字符串进行一一比对。
6.根据权利要求1所述的方法,其特征在于,在确定出异常扩展程序之后,所述方法还包括:
获取多个采集终端;每一所述采集终端分别安装有一个基于Chromium浏览器开发的采集浏览器,一个所述采集浏览器中仅包含一种异常扩展程序;
获取每一采集终端采集到的端口状态向量及端口行为集;其中,Bj为第j个采集终端采集到的端口状态向量,Bj=(Bj 1、Bj 2、…、Bj n、…、Bj y);Bj n为第j个采集终端中第n个端口的状态值y为每一采集终端中端口的数量,n=1、2、…、y;其中,Cj为第j个采集终端采集到的端口行为集,Cj=(Cj 1、Cj 2、…、Cj n、…、Cj y),Cj n为第j个采集终端中第n个端口对应的行为特征向量,Cj n=(Cj n1、Cj n2、…、Cj nm、…、Cj nx);其中,Cj nm为第j个采集终端中第n个端口采集到的一次异常行为中出现第m个预设指令类型的指令数量;x为预设指令类型的总数量,m=1、2、…、x;
对所有的端口状态向量进行聚类,生成多个聚类族群;
获取每一聚类族群对应的中心向量;
将每一聚类族群中包括的所有端口状态向量对应的端口行为集,分别加入对应的特征集中,生成每一聚类族群对应的异常行为特征集;
根据每一聚类族群对应的中心向量及异常行为特征集,生成每一异常扩展程序对应的判定样本集。
7.根据权利要求6所述的方法,其特征在于,获取每一采集终端采集到的端口状态向量,包括:
获取采集终端在一个采集周期中,每一端口的状态值;所述采集周期为异常扩展程序完成一次异常行为对应的周期;
若在一个采集周期中端口存在处于开启的状态,则为所述端口配置第一状态值;
若在一个采集周期中端口一直处于关闭的状态,则为所述端口配置第二状态值。
8.一种基于浏览器的异常检测装置,其特征在于,所述装置包括:
地址获取模块,用于获取待测浏览器快捷方式文件所链接的目标地址;所述待测浏览器为基于Chromium浏览器开发的浏览器,所述待测浏览器中安装有多个扩展程序;
字符获取模块:用于获取目标字符串,所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
异常判定模块,用于若目标字符串中除预设字符串之外还存在其他字符串,则将所述其他字符串作为异常判定字符串;所述目标字符串为目标地址中最后一个预设分隔符之后的字符串;
异常定位模块,用于根据异常判定字符串对多个所述扩展程序进行异常定位处理,确定出异常扩展程序;
所述异常判定字符串为资源下载指令对应的字符串;
所述异常定位处理,包括:
获取每一所述扩展程序的资源文件;所述资源文件包括扩展程序对应的主函数文件及子函数文件;
将所述异常判定字符串分别与每一所述扩展程序的资源文件中的字符串进行匹配;
若匹配成功,则确定匹配成功的资源文件对应的扩展程序为异常扩展程序;
在确定出异常扩展程序之后,所述方法还包括:
将所述异常扩展程序放入沙箱中再次运行,并获取运行过程中下载资源时对应的资源信息;
根据所述资源信息,对目标终端进行异常检测;所述目标终端为安装有所述待测浏览器的终端。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种基于浏览器的异常检测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种基于浏览器的异常检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311056058.3A CN117077138B (zh) | 2023-08-21 | 2023-08-21 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311056058.3A CN117077138B (zh) | 2023-08-21 | 2023-08-21 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117077138A true CN117077138A (zh) | 2023-11-17 |
CN117077138B CN117077138B (zh) | 2024-03-08 |
Family
ID=88703841
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311056058.3A Active CN117077138B (zh) | 2023-08-21 | 2023-08-21 | 一种基于浏览器的异常检测方法、系统、介质及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117077138B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070174286A1 (en) * | 2005-05-17 | 2007-07-26 | Yahoo!, Inc. | Systems and methods for providing features and user interface in network browsing applications |
CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
US20180343174A1 (en) * | 2012-10-09 | 2018-11-29 | Google Inc. | Rule based page processing and network request processing in browsers |
CN114329459A (zh) * | 2021-11-18 | 2022-04-12 | 奇安信科技集团股份有限公司 | 浏览器防护方法及装置 |
CN115562992A (zh) * | 2022-10-09 | 2023-01-03 | 北京安天网络安全技术有限公司 | 一种文件检测方法、装置、电子设备及存储介质 |
-
2023
- 2023-08-21 CN CN202311056058.3A patent/CN117077138B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070174286A1 (en) * | 2005-05-17 | 2007-07-26 | Yahoo!, Inc. | Systems and methods for providing features and user interface in network browsing applications |
CN102375951A (zh) * | 2011-10-18 | 2012-03-14 | 北龙中网(北京)科技有限责任公司 | 网页安全检测方法和系统 |
US20180343174A1 (en) * | 2012-10-09 | 2018-11-29 | Google Inc. | Rule based page processing and network request processing in browsers |
CN114329459A (zh) * | 2021-11-18 | 2022-04-12 | 奇安信科技集团股份有限公司 | 浏览器防护方法及装置 |
CN115562992A (zh) * | 2022-10-09 | 2023-01-03 | 北京安天网络安全技术有限公司 | 一种文件检测方法、装置、电子设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN117077138B (zh) | 2024-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10956477B1 (en) | System and method for detecting malicious scripts through natural language processing modeling | |
US10581879B1 (en) | Enhanced malware detection for generated objects | |
JP4676499B2 (ja) | ネットワークフロー内のエクスプロイトコードの検出 | |
EA037617B1 (ru) | Способ и система для обнаружения несанкционированного вторжения в трафик данных в сети передачи данных | |
EP3637292B1 (en) | Determination device, determination method, and determination program | |
CN108664791B (zh) | 一种超文本预处理器代码中的网页后门检测方法及装置 | |
KR102362516B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
US20230252136A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
CN115766184A (zh) | 一种网页数据处理方法、装置、电子设备及存储介质 | |
Jacob et al. | Malware behavioral detection by attribute-automata using abstraction from platform and language | |
CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
CN111428239A (zh) | 一种恶意挖矿软件的检测方法 | |
CN114070642A (zh) | 网络安全检测方法、系统、设备及存储介质 | |
US20240054210A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
CN116305131B (zh) | 脚本静态去混淆方法及系统 | |
US20230252144A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
US20230252146A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
CN117077138B (zh) | 一种基于浏览器的异常检测方法、系统、介质及设备 | |
US20230048076A1 (en) | Cyber threat information processing apparatus, cyber threat information processing method, and storage medium storing cyber threat information processing program | |
KR102411383B1 (ko) | 사이버 위협 정보 처리 장치, 사이버 위협 정보 처리 방법 및 사이버 위협 정보 처리하는 프로그램을 저장하는 저장매체 | |
US20230254340A1 (en) | Apparatus for processing cyber threat information, method for processing cyber threat information, and medium for storing a program processing cyber threat information | |
Usui et al. | Ropminer: Learning-based static detection of rop chain considering linkability of rop gadgets | |
Lescisin et al. | A Machine learning based monitoring framework for side-channel information leaks | |
CN116760644B (zh) | 一种终端异常判定方法、系统、存储介质及电子设备 | |
CN116910756B (zh) | 一种恶意pe文件的检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |