国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      Web應(yīng)用程序行為提取方法和惡意行為檢測(cè)方法

      文檔序號(hào):9727667閱讀:1199來源:國(guó)知局
      Web應(yīng)用程序行為提取方法和惡意行為檢測(cè)方法
      【技術(shù)領(lǐng)域】
      [0001] 本發(fā)明設(shè)及網(wǎng)絡(luò)及信息安全技術(shù)領(lǐng)域,特別設(shè)及一種Web應(yīng)用程序行為提取方法 和惡意行為檢測(cè)方法。
      【背景技術(shù)】
      [0002] Web(網(wǎng)絡(luò))應(yīng)用程序是使用瀏覽器所支持的語(yǔ)言(如化vaScript(-種直譯式腳本 語(yǔ)言)、HTML(Hyper Text Markup Language,超級(jí)文本標(biāo)記語(yǔ)言)、CSSKascading Style Sheets,層疊樣式表)等)編寫的、在瀏覽器環(huán)境中運(yùn)行的并用于支撐Web服務(wù)的應(yīng)用軟件。 WWeb瀏覽器作為客戶端的Web應(yīng)用程序,可W方便地部署到各種平臺(tái),如Windows(視窗操 作系統(tǒng))等桌面平臺(tái),W及Amlroid(-種主要用于移動(dòng)設(shè)備的操作系統(tǒng))等移動(dòng)平臺(tái)。由于 Web應(yīng)用程序使用簡(jiǎn)便且功能豐富,現(xiàn)在的電子郵件、電子商務(wù)、在線詞典等應(yīng)用基本都基 于Web應(yīng)用程序來完成,使得它成為了人們?nèi)粘I钪蟹浅V匾牟糠帧?br>[0003] 隨著Web應(yīng)用程序的普及,它也逐漸成為越來越多攻擊者的攻擊目標(biāo)。攻擊者通過 使Web應(yīng)用程序執(zhí)行惡意行為而達(dá)到攻擊的目的。因此,如果能夠高效地提取Web應(yīng)用程序 行為,便可有效地檢測(cè)出其中的惡意行為。
      [0004] 目前,對(duì)于Web應(yīng)用程序行為的提取大多是通過對(duì)Web瀏覽器源代碼的修改來實(shí)現(xiàn) 的,該實(shí)現(xiàn)過程較為復(fù)雜,無法被普通用戶使用,并且較難推廣到其他版本和品牌的瀏覽器 中。并且,該方法所提取的Web應(yīng)用程序行為僅限于單個(gè)的化vaScript函數(shù)調(diào)用的信息,并 沒有實(shí)現(xiàn)對(duì)Web應(yīng)用程序行為的全面監(jiān)控,無法實(shí)現(xiàn)對(duì)復(fù)雜的Web應(yīng)用程序行為的分析。

      【發(fā)明內(nèi)容】

      [0005] 本發(fā)明旨在至少在一定程度上解決相關(guān)技術(shù)中的技術(shù)問題之一。為此,本發(fā)明的 目的在于提出一種Web應(yīng)用程序行為提取方法,實(shí)現(xiàn)簡(jiǎn)單、適用性好,并能夠?qū)崿F(xiàn)對(duì)Web應(yīng)用 程序行為的全面監(jiān)控,有助于實(shí)現(xiàn)對(duì)惡意行為的檢測(cè)。
      [0006] 本發(fā)明的第二個(gè)目的在于提出一種通過Web應(yīng)用程序行為進(jìn)行惡意行為檢測(cè)方 法。
      [0007] 根據(jù)本發(fā)明第一方面實(shí)施例的Web應(yīng)用程序行為提取方法,包括W下步驟:Web應(yīng) 用程序行為記錄模塊攔截化vaScript函數(shù),并提取所述待測(cè)Web應(yīng)用程序的行為記錄,其 中,所述行為記錄包括所述待測(cè)Web應(yīng)用程序調(diào)用的化vaScript函數(shù)的名稱、接收參數(shù)和函 數(shù)調(diào)用找信息;將所述待測(cè)Web應(yīng)用程序的行為記錄發(fā)送到惡意行為檢測(cè)模塊,并將所述待 ^UWeb應(yīng)用程序的行為記錄寫入行為日志文件。
      [000引根據(jù)本發(fā)明實(shí)施例的Web應(yīng)用程序行為提取方法,通過獲取待測(cè)Web應(yīng)用程序調(diào)用 的化vaScript函數(shù)的名稱、接收參數(shù)W及函數(shù)調(diào)用找信息等行為記錄,并將上述行為記錄 發(fā)送到惡意行為檢測(cè)模塊,同時(shí)將上述行為記錄寫入行為日志文件,由此,可避免對(duì)Web瀏 覽器源代碼的修改,實(shí)現(xiàn)簡(jiǎn)單且適用性較好,同時(shí)通過提取函數(shù)調(diào)用找信息,能夠獲取多個(gè) 被調(diào)用的函數(shù)之間的關(guān)系,從而實(shí)現(xiàn)了對(duì)Web應(yīng)用程序行為的全面監(jiān)控,有助于實(shí)現(xiàn)后續(xù)對(duì) 惡意行為的檢測(cè)。
      [0009] 另外,根據(jù)本發(fā)明上述實(shí)施例的Web應(yīng)用程序行為提取方法還可W具有如下附加 的技術(shù)特征:
      [0010] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述方法還包括:行為繪制模塊根據(jù)所述待測(cè)Web應(yīng)用 程序的行為記錄統(tǒng)計(jì)所述函數(shù)的調(diào)用次數(shù)和HTML元素訪問次數(shù),并根據(jù)所述函數(shù)的調(diào)用次 數(shù)和HTML元素訪問次數(shù)繪制待測(cè)Web應(yīng)用程序?qū)崟r(shí)行為圖表,W實(shí)時(shí)顯示所述待測(cè)Web應(yīng)用 程序的行為記錄。
      [OOW 進(jìn)一步地,在所述Web瀏覽器的popup (彈出)頁(yè)面中繪制所述待測(cè)Web應(yīng)用程序?qū)?時(shí)行為圖表。
      [0012] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述提取所述待測(cè)Web應(yīng)用程序的行為記錄包括:將待 攔截的所述JavaScript函數(shù)重命名;定義新函數(shù),所述新函數(shù)與重命名前的所述 化vaScript函數(shù)同名;在所述新函數(shù)中加入代碼W獲取所述化vaScript函數(shù)的名稱和所述 函數(shù)的接收參數(shù);利用所述化vaScript函數(shù)的錯(cuò)誤處理機(jī)制獲取所述函數(shù)調(diào)用找信息。
      [0013] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述化vaScript函數(shù)位于所述Web瀏覽器中。
      [0014] 根據(jù)本發(fā)明第二方面實(shí)施例的通過Web應(yīng)用程序行為進(jìn)行惡意行為檢測(cè)方法,其 特征在于,包括W下步驟:獲取所述待測(cè)Web應(yīng)用程序的行為記錄;獲取預(yù)先確定的惡意行 為模式庫(kù),惡意行為檢測(cè)模塊將所述待測(cè)Web應(yīng)用程序的行為記錄與所述惡意行為模式庫(kù) 中的每個(gè)惡意行為模式進(jìn)行匹配,并將匹配成功的所述待測(cè)Web應(yīng)用程序的行為記錄確定 為異常行為;獲取預(yù)先確定的正常行為模式列表,惡意行為確認(rèn)模塊將所述異常行為與所 述正常行為模式列表中的每個(gè)正常行為模式進(jìn)行匹配,并將匹配失敗的所述異常行為確定 為疑似惡意行為;如果所述疑似惡意行為的數(shù)量超過預(yù)設(shè)闊值,則發(fā)出惡意行為告警。
      [0015] 根據(jù)本發(fā)明實(shí)施例的通過Web應(yīng)用程序行為進(jìn)行惡意行為檢測(cè)方法,通過獲取待 ^UWeb應(yīng)用程序的行為記錄,并將其與惡意行為模式進(jìn)行匹配,W初步確定出異常行為,然 后將異常行為與正常行為模式進(jìn)行匹配,W進(jìn)一步確定出疑似惡意行為,當(dāng)疑似惡意行為 過多時(shí),可發(fā)出告警,由此,通過本發(fā)明實(shí)施例的Web應(yīng)用程序行為提取方法所提取的Web應(yīng) 用程序行為進(jìn)行惡意行為檢測(cè),能夠結(jié)合多個(gè)被調(diào)用的函數(shù)之間的關(guān)系,有效檢測(cè)出諸如 探測(cè)攻擊等攻擊效果較為隱蔽的惡意行為,從而大大提高了惡意行為檢測(cè)的準(zhǔn)確性。
      [0016] 另外,根據(jù)本發(fā)明上述實(shí)施例的通過Web應(yīng)用程序行為進(jìn)行惡意行為檢測(cè)方法還 可W具有如下附加的技術(shù)特征:
      [0017] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述方法還包括:判斷所述待測(cè)Web應(yīng)用程序的疑似惡 意行為是否為惡意行為,如果所述待測(cè)Web應(yīng)用程序的疑似惡意行為不是惡意行為,則將所 述疑似惡意行為加入所述正常行為模式列表。
      [0018] 根據(jù)本發(fā)明的一個(gè)實(shí)施例,所述惡意行為模式為在惡意行為發(fā)生時(shí),被調(diào)用的當(dāng) 前化vaScript函數(shù)的名稱和所述當(dāng)前化vaScript函數(shù)的父函數(shù)的名稱組成的字符串對(duì),其 中,所述父函數(shù)為直接或間接調(diào)用所述當(dāng)前化vaScript函數(shù)的函數(shù);所述正常行為模式為 在正常行為發(fā)生時(shí),被調(diào)用的當(dāng)前化vaScript函數(shù)的名稱和所述當(dāng)前化vaScript函數(shù)的各 級(jí)父函數(shù)的名稱組成的字符串組,其中,在所述字符串組中,后一個(gè)字符串代表的函數(shù)為前 一個(gè)字符串代表的函數(shù)的父函數(shù)。
      [0019] 進(jìn)一步地,如果所述待測(cè)Web應(yīng)用程序的行為記錄中的化vaScript函數(shù)的名稱和 所述惡意行為模式中的所述當(dāng)前化vaScript函數(shù)的名稱相同,并且根據(jù)所述行為記錄中的 函數(shù)調(diào)用找信息確定的所述化vaScript函數(shù)的父函數(shù)與所述惡意行為模式中所述當(dāng)前 化vaScript函數(shù)的父函數(shù)的名稱相同時(shí),則所述待測(cè)Web應(yīng)用程序的行為記錄匹配成功,否 則所述待測(cè)Web應(yīng)用程序的行為記錄匹配失敗;如果所述異常行為在所述待測(cè)Web應(yīng)用程序 的行為記錄中的化vaScript函數(shù)的名稱和所述正常行為模式中的所述當(dāng)前化vaScript函 數(shù)的名稱相同,并且根據(jù)所述行為記錄中的函數(shù)調(diào)用找信息確定的所述化vaScript函數(shù)的 各級(jí)父函數(shù)與所述正常行為模式中所述當(dāng)前化vaScript函數(shù)的各級(jí)父函數(shù)的名稱相同時(shí), 則所述異常行為匹配成功,否則,所述異常行為匹配失敗。
      【附圖說明】
      [0020] 圖1為根據(jù)本發(fā)明一個(gè)實(shí)施例的Web應(yīng)用程序行為提取方法的流程圖;
      [0021] 圖2為根據(jù)本發(fā)明一個(gè)實(shí)施例的Web應(yīng)
      當(dāng)前第1頁(yè)1 2 3 4 
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1