專利名稱:一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法及其裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域��,特別是涉及一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法及其裝置。
背景技術(shù):
隨著網(wǎng)絡(luò)的不斷進(jìn)步�,上網(wǎng)瀏覽網(wǎng)頁、下載文件資料等已經(jīng)成為很多人的日常習(xí) 慣����。然而人們?yōu)g覽網(wǎng)頁過程中,不少網(wǎng)頁木馬會在人們不經(jīng)意之間嵌入計(jì)算機(jī)進(jìn)行盜號等 非法活動��,例如利用IE瀏覽器緩沖區(qū)溢出漏洞的網(wǎng)頁木馬���,致使人們在瀏覽網(wǎng)頁時(shí)要承受 很大的風(fēng)險(xiǎn)?,F(xiàn)有技術(shù)中�,針對網(wǎng)頁木馬的檢測方式主要有特征碼檢測、行為檢測和虛擬機(jī)檢 測�。特征碼檢測依然是目前最為常用的技術(shù),其實(shí)現(xiàn)較為簡單�����,查殺能力主要取決于 特征庫的完備性���;目前較為流行的啟發(fā)式掃描方式是特征碼檢測方法的改進(jìn)�,不同點(diǎn)是結(jié) 合了人工智能的方法�����,基于給定的判斷規(guī)則和定義進(jìn)行判斷?�;谔卣鞔a的掃描方式雖然 應(yīng)用廣泛�,識別較為迅速,但是對于一些利用未知漏洞的網(wǎng)馬或者經(jīng)過代碼加密�、混淆的網(wǎng) 馬往往有漏報(bào)的情況,無法從根本上實(shí)時(shí)保護(hù)計(jì)算機(jī)安全�。虛擬機(jī)檢測一般是采用軟件模擬CPU指令的取址、編譯�����、執(zhí)行從而在執(zhí)行完的機(jī) 構(gòu)中查找病毒的特征碼����,該方法耗費(fèi)系統(tǒng)資源大、實(shí)時(shí)性差��、很少用于網(wǎng)頁木馬的查殺�。行為檢測是通過監(jiān)測應(yīng)用程序的一些行為特征(例如盜用截流系統(tǒng)中斷、修改內(nèi) 存總量和內(nèi)存控制塊��、對可執(zhí)行文件做寫入操作、引導(dǎo)扇區(qū)或執(zhí)行格式化磁盤等可疑動作���、 病毒程序與宿主程序切換和搜索API函數(shù)地址等)對行為特征庫進(jìn)行匹配,這種方式較好 的阻止了一些網(wǎng)頁木馬的攻擊��,但是往往由于系統(tǒng)資源耗費(fèi)巨大而只開啟部分功能���。上述檢測方式中不管采用哪種�,對利用未知漏洞進(jìn)行掛馬的檢測依然存在著盲 區(qū)�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)之不足�,提供一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法及其裝 置,是通過監(jiān)測瀏覽器進(jìn)程的內(nèi)存增量情況以及新增內(nèi)存中是否有可疑特征來確定網(wǎng)頁木 馬����,是一種輕量級系統(tǒng)安全防護(hù)方法,它可以保障日常瀏覽網(wǎng)頁的安全性����,同時(shí)又不影響上 網(wǎng)瀏覽的速度。本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法���,包括 如下監(jiān)測過程注入需要監(jiān)測的瀏覽器進(jìn)程���;查看進(jìn)程空間的內(nèi)存占用情況��,并記錄當(dāng)前內(nèi)存占用情況�����;監(jiān)測瀏覽器打開新頁面的行為���;當(dāng)打開新的頁面時(shí)首先檢查內(nèi)存增量,如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程��,并搜索新增內(nèi)存是否有可疑特征���,如果有則告警并記錄當(dāng)前頁面信息��。所述的監(jiān)測過程中�,在內(nèi)存增量超過規(guī)定的門限而掛起進(jìn)程后��,經(jīng)搜索新增內(nèi)存 中未存在可疑特征時(shí)��,提示用戶是否繼續(xù)�,是則停止監(jiān)測,否則記錄當(dāng)前頁面信息。所述的監(jiān)測過程由運(yùn)行程序來實(shí)現(xiàn)���,該程序包括主程序模塊和監(jiān)測模塊�;主程序 模塊啟動后首先打開需要監(jiān)測的瀏覽器進(jìn)程��;然后將監(jiān)測模塊注入到瀏覽器進(jìn)程中由該監(jiān) 測模塊對該瀏覽器進(jìn)程進(jìn)行監(jiān)測����;監(jiān)測模塊對瀏覽器進(jìn)程的內(nèi)存占用情況進(jìn)行記錄�,并對 瀏覽器進(jìn)程中是否打開新頁面的行為進(jìn)行監(jiān)測;當(dāng)監(jiān)測模塊檢測到瀏覽器打開新頁面的行 為時(shí)�,對瀏覽器進(jìn)程中的內(nèi)存增量進(jìn)行監(jiān)測;如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程�,并 搜索新增內(nèi)存中是否有可疑特征;如果有則告警并記錄當(dāng)前頁面信息�����,否則提示用戶是否 繼續(xù)�。一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法,包括如下步驟a.主程序模塊打開需要監(jiān)測的瀏覽器進(jìn)程���;b.由主程序模塊將監(jiān)測模塊注入到瀏覽器進(jìn)程中����;c.由監(jiān)測模塊記錄瀏覽器進(jìn)程的內(nèi)存使用情況;d.監(jiān)測模塊監(jiān)測瀏覽器進(jìn)程中打開新頁面的行為��;e.監(jiān)測模塊對瀏覽器進(jìn)程中是否打開新的頁面進(jìn)行判斷�����;當(dāng)判斷為有打開時(shí)���,繼 續(xù)下一步驟����,否則�,返回步驟d ;f.監(jiān)測模塊檢測一定時(shí)間段的內(nèi)存增量�;g.監(jiān)測模塊對該時(shí)間段的內(nèi)存增量是否在規(guī)定的門限之內(nèi)進(jìn)行判斷;當(dāng)判斷為 是時(shí)�����,返回步驟f���,否則�����,繼續(xù)下一步驟��;h.由主程序模塊掛起進(jìn)程���;i.監(jiān)測模塊檢測新增內(nèi)存中是否包含有已知特征���,當(dāng)判斷為有時(shí),繼續(xù)下一步驟�����, 否則����,提示用戶是否繼續(xù)�;j.由監(jiān)測模塊進(jìn)行內(nèi)存分配非法的報(bào)警;k.由主程序模塊保存頁面信息����;1.監(jiān)測模塊停止監(jiān)測;m.主程序模塊結(jié)束瀏覽器進(jìn)程�����。所述的步驟i中的提示用戶是否繼續(xù),包括il.由監(jiān)測模塊進(jìn)行內(nèi)存分配異常的報(bào)警��; 2.由監(jiān)測模塊提示用戶是否繼續(xù)�,當(dāng)判斷為是時(shí),停止監(jiān)測����;否則,轉(zhuǎn)至步驟k���。一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測裝置����,包括一瀏覽器進(jìn)程控制裝置����,用來打開或掛起需要監(jiān)測的瀏覽器進(jìn)程;一瀏覽器進(jìn)程信息采集裝置����,用來采集瀏覽器進(jìn)程信息;一第一判斷裝置����,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷�����,判斷一定時(shí)間段內(nèi)的內(nèi) 存增量信息是否在門限之內(nèi)�;—第二判斷裝置��,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷���,判斷新增內(nèi)存中是否包 含有已知特征�����;一第一處理裝置��,用來產(chǎn)生內(nèi)存分配非法的報(bào)警信號,并保存頁面信息���,停止監(jiān) 測���,結(jié)束瀏覽器進(jìn)程;
一第二處理裝置�����,用來產(chǎn)生內(nèi)存分配異常的報(bào)警信號,并提示用戶是否繼續(xù)���,在用 戶選擇繼續(xù)時(shí)停止監(jiān)測���,否則,保存頁面信息���,停止監(jiān)測��,結(jié)束瀏覽器進(jìn)程��;瀏覽器進(jìn)程控制裝置的輸出接至瀏覽器進(jìn)程信息采集裝置的輸入��,瀏覽器進(jìn)程控 制裝置打開瀏覽器進(jìn)程啟動瀏覽器進(jìn)程信息采集裝置采集瀏覽器進(jìn)程信息��;瀏覽器進(jìn)程信 息采集裝置的輸出接至第一判斷裝置的輸入�����,瀏覽器進(jìn)程信息采集裝置向第一判斷裝置輸 出瀏覽器進(jìn)程信息���,由第一判斷裝置對瀏覽器進(jìn)程信息中的內(nèi)存增量信息進(jìn)行判斷�;第一 判斷裝置的輸出接至瀏覽器進(jìn)程控制裝置的輸入��,第一判斷裝置在判斷出一定時(shí)間段內(nèi)的 內(nèi)存增量信息超過門限之后���,向?yàn)g覽器進(jìn)程控制裝置輸出掛起瀏覽器進(jìn)程的信號�����;第一判 斷裝置的輸出接至第二判斷裝置的輸入�,第一判斷裝置將來自瀏覽器進(jìn)程信息采集裝置的 瀏覽器進(jìn)程信息輸出給二判斷裝置�,由第二判斷裝置對瀏覽器進(jìn)程信息中的新增內(nèi)存中是 否包含有已知特征進(jìn)行判斷;第二判斷裝置的輸出接至第一處理裝置的輸入�����,第二判斷裝 置在判斷出新增內(nèi)存中包含有已知特征之后����,向第一處理裝置輸出信號,由第一處理裝置 進(jìn)行處理���,第一處理裝置產(chǎn)生內(nèi)存分配非法的報(bào)警信號,并保存頁面信息�����,停止監(jiān)測,結(jié)束 瀏覽器進(jìn)程�����;第二判斷裝置的輸出接至第二處理裝置的輸入��,第二判斷裝置在判斷出新增 內(nèi)存中不包含有已知特征之后���,向第二處理裝置輸出信號���,由第二處理裝置進(jìn)行處理,第二 處理裝置產(chǎn)生內(nèi)存分配異常的報(bào)警信號�,并提示用戶是否繼續(xù),在用戶選擇繼續(xù)時(shí)停止監(jiān) 測�����,否則�,保存頁面信息,停止監(jiān)測���,結(jié)束瀏覽器進(jìn)程�����。本發(fā)明的有益效果是�����,由于采用了注入需要監(jiān)測的瀏覽器進(jìn)程�����;查看進(jìn)程空間的 內(nèi)存占用情況��,并記錄當(dāng)前內(nèi)存占用情況���;監(jiān)測瀏覽器打開新頁面的行為���;當(dāng)打開新的頁 面時(shí)首先檢查內(nèi)存增量,如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程�����,并搜索新增內(nèi)存是否 有可疑特征�����,如果有則告警并記錄當(dāng)前頁面信息等方式來實(shí)現(xiàn)網(wǎng)頁木馬實(shí)時(shí)監(jiān)測����,這種通 過監(jiān)測瀏覽器進(jìn)程的內(nèi)存增量情況以及新增內(nèi)存中是否有可疑特征來確定網(wǎng)頁木馬,是一 種輕量級系統(tǒng)安全防護(hù)方法����,它可以保障日常瀏覽網(wǎng)頁的安全性,同時(shí)又不影響上網(wǎng)瀏覽 的速度�����。與現(xiàn)有技術(shù)相比��,這種采用注入的方式通過監(jiān)測瀏覽器內(nèi)存來檢測網(wǎng)頁木馬的方 法��,具有如下優(yōu)點(diǎn)1.可以保障日常瀏覽網(wǎng)頁的安全性����;2.不影響上網(wǎng)速度;3.對一些未知漏洞的檢測起到了補(bǔ)充作用��;4.可以避免非法內(nèi)存分配造成的瀏覽器占用內(nèi)存過多的情況����。以下結(jié)合附圖及實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)說明�����;但本發(fā)明的一種網(wǎng)頁木馬實(shí) 時(shí)監(jiān)測方法及其裝置不局限于實(shí)施例��。
圖1是MS09_002(IE ODay)漏洞的網(wǎng)馬javascirpt腳本示意圖����;圖2是heap spray的內(nèi)存特征示意圖�;圖3是本發(fā)明功能模塊示意圖;圖4是本發(fā)明的方法的流程圖����;圖5是本發(fā)明的裝置的示意圖。
具體實(shí)施例方式參見附圖所示���,由于目前絕大多數(shù)網(wǎng)頁掛馬的原理是采用瀏覽器或者第三方控 件漏洞���,結(jié)合heap spray(堆噴射)技術(shù),開辟大量內(nèi)存并寫入shellcode���,從而達(dá)到執(zhí)行 shellcode下載木馬并執(zhí)行的目的�。采用heap spray技術(shù)的原理是在內(nèi)存中寫入大量的無用代碼,當(dāng)程序的EIP指針 被劫持并執(zhí)行到這些無用代碼時(shí)不會對后續(xù)的Shellcode的執(zhí)行帶來任何影響����,這些代碼 往往也起到充當(dāng)函數(shù)返回地址的作用�,因此具有某些特征,例如ΟχΟΑΟΑΟΑΟΑ,ΟχΟΒΟΒΟΒΟΒ����, OxOCOCOCOC,0x90909090�����,通過對內(nèi)存中大片存在的具有類似特征區(qū)域進(jìn)行檢測可以有效 避免惡意代碼的執(zhí)行�����,從而可以幫助檢測一部分網(wǎng)頁木馬的攻擊行為���。一些危害極大的IE Oday漏洞往往需要采用heapspray技術(shù)開辟大量的內(nèi)存空間���,從而能順利將IE進(jìn)程劫持到 惡意代碼所在內(nèi)存空間進(jìn)行執(zhí)行。例如利用MS09_002(IE ODay)漏洞的網(wǎng)馬javascirpt 腳本如圖1所示���。圖1中省略了 Shellcode部分���,用Shellcode字樣代替�����,該腳本就是采用了 heapspray技術(shù)利用Array數(shù)組分配大量內(nèi)存��,heap spray造成的結(jié)果是由低地址開始在 虛擬內(nèi)存中分配OxCO個(gè)堆塊�,每個(gè)堆塊是由Is個(gè)OxOCOCOCOC加Shellcode代碼構(gòu)成�����,如 圖2所示�����。類似的漏洞利用腳本通常會造成瀏覽器進(jìn)程在短時(shí)間內(nèi)的內(nèi)存增量巨大��,并且新 分配的內(nèi)存具有某些特征���。本發(fā)明就是針對這種類型的漏洞利用特征對瀏覽器進(jìn)行監(jiān)測�,避免非正常的內(nèi)存 分配對進(jìn)程的影響��,同時(shí)協(xié)助檢測掛馬網(wǎng)頁。本發(fā)明的一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法��,包括如下監(jiān)測過程注入需要監(jiān)測的瀏覽器進(jìn)程�����;查看進(jìn)程空間的內(nèi)存占用情況���,并記錄當(dāng)前內(nèi)存占用情況;監(jiān)測瀏覽器打開新頁面的行為����;當(dāng)打開新的頁面時(shí)首先檢查內(nèi)存增量,如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn) 程�,并搜索新增內(nèi)存是否有可疑特征,如果有則告警并記錄當(dāng)前頁面信息�����。其中�����,所述的監(jiān)測過程中���,在內(nèi)存增量超過規(guī)定的門限而掛起進(jìn)程后�,經(jīng)搜索新增內(nèi)存 中未存在可疑特征時(shí),提示用戶是否繼續(xù)���,是則停止監(jiān)測�����,否則記錄當(dāng)前頁面信息����。所述的監(jiān)測過程由運(yùn)行程序來實(shí)現(xiàn)���,該程序包括主程序模塊和監(jiān)測模塊(如圖3 所示)��;主程序模塊啟動后首先打開需要監(jiān)測的瀏覽器進(jìn)程�����;然后將監(jiān)測模塊以dll的方式 注入到瀏覽器進(jìn)程的空間中由該監(jiān)測模塊對該瀏覽器進(jìn)程進(jìn)行監(jiān)測�����;監(jiān)測模塊對瀏覽器進(jìn) 程的內(nèi)存占用情況進(jìn)行記錄�����,并對瀏覽器進(jìn)程中是否打開新頁面的行為進(jìn)行監(jiān)測�;當(dāng)監(jiān)測 模塊檢測到瀏覽器打開新頁面的行為時(shí),對瀏覽器進(jìn)程中的內(nèi)存增量進(jìn)行監(jiān)測�����,監(jiān)測模塊 每隔一段時(shí)間對進(jìn)程的內(nèi)存增量進(jìn)行監(jiān)測�����;如果內(nèi)存增量在一定的時(shí)間段內(nèi)超過規(guī)定的門 限則掛起進(jìn)程��,其中時(shí)間段的長度和內(nèi)存增量大小的門限取決于機(jī)器的硬件參數(shù)而得到的 經(jīng)驗(yàn)值��;并搜索新增內(nèi)存中是否有可疑特征����,也就是預(yù)先確定的已知特征���,該特征包括在指 定內(nèi)存地址是否有連續(xù)的特征值��,例如OxOCOCOCOC或0X0A0A0A0A等等����;如果有則告警并記錄當(dāng)前頁面信息,否則提示用戶是否繼續(xù)���。如圖4所示�,本發(fā)明的一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法���,包括如下步驟a.主程序模塊打開需要監(jiān)測的瀏覽器進(jìn)程���;如圖4中的框101所示;b.由主程序模塊將監(jiān)測模塊注入到瀏覽器進(jìn)程中�;如圖4中的框102所示;c.由監(jiān)測模塊記錄瀏覽器進(jìn)程的內(nèi)存使用情況�;如圖4中的框103所示;d.監(jiān)測模塊監(jiān)測瀏覽器進(jìn)程中打開新頁面的行為��;如圖4中的框104所示�;e.監(jiān)測模塊對瀏覽器進(jìn)程中是否打開新的頁面進(jìn)行判斷;如圖4中的框105所 示����;當(dāng)判斷為有打開時(shí),繼續(xù)下一步驟,否則��,返回步驟d ���;f.監(jiān)測模塊檢測一定時(shí)間段的內(nèi)存增量����,監(jiān)測模塊每隔一段時(shí)間對進(jìn)程的內(nèi)存增 量進(jìn)行監(jiān)測�;如圖4中的框106所示;其中���,該時(shí)間段的長度取決于機(jī)器的硬件參數(shù)而得到 的經(jīng)驗(yàn)值����;g.監(jiān)測模塊對該時(shí)間段的內(nèi)存增量是否在規(guī)定的門限之內(nèi)進(jìn)行判斷���;如圖4中的 框107所示;當(dāng)判斷為是時(shí)��,返回步驟f��,否則���,繼續(xù)下一步驟��;其中���,內(nèi)存增量大小的門限取 決于機(jī)器的硬件參數(shù)而得到的經(jīng)驗(yàn)值��;h.由主程序模塊掛起進(jìn)程�����;如圖4中的框108所示����;i.監(jiān)測模塊檢測新增內(nèi)存中是否包含有已知特征���,如圖4中的框109所示��;當(dāng)判 斷為有時(shí)���,繼續(xù)下一步驟,否則�,提示用戶是否繼續(xù);其中�����,該特征包括在指定內(nèi)存地址是否 有連續(xù)的特征值,例如OxOCOCOCOC或OxOAOAOAOA等等��;j.由監(jiān)測模塊進(jìn)行內(nèi)存分配非法的報(bào)警��;如圖4中的框110所示����;k.由主程序模塊保存頁面信息;如圖4中的框111所示���;1.監(jiān)測模塊停止監(jiān)測���;如圖4中的框112所示;m.主程序模塊結(jié)束瀏覽器進(jìn)程�����,如圖4中的框113所示����。其中�����,所述的步驟i中的提示用戶是否繼續(xù),包括il.由監(jiān)測模塊進(jìn)行內(nèi)存分配異常的報(bào)警�;如圖4中的框114所示; 2.由監(jiān)測模塊提示用戶是否繼續(xù)����,如圖4中的框115所示;當(dāng)判斷為是時(shí)��,停止 監(jiān)測�����,如圖4中的框116所示���;否則��,轉(zhuǎn)至步驟k�����。如圖5所示����,本發(fā)明的一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測裝置,包括一瀏覽器進(jìn)程控制裝置11���,用來打開或掛起需要監(jiān)測的瀏覽器進(jìn)程����;一瀏覽器進(jìn)程信息采集裝置12����,用來采集瀏覽器進(jìn)程信息;一第一判斷裝置13��,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷�����,判斷一定時(shí)間段內(nèi)的 內(nèi)存增量信息是否在門限之內(nèi)��;一第二判斷裝置14����,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷,判斷新增內(nèi)存中是否 包含有已知特征���;一第一處理裝置15���,用來產(chǎn)生內(nèi)存分配非法的報(bào)警信號,并保存頁面信息����,停止監(jiān) 測,結(jié)束瀏覽器進(jìn)程���;一第二處理裝置16�����,用來產(chǎn)生內(nèi)存分配異常的報(bào)警信號�,并提示用戶是否繼續(xù)����,在 用戶選擇繼續(xù)時(shí)停止監(jiān)測,否則�����,保存頁面信息��,停止監(jiān)測�����,結(jié)束瀏覽器進(jìn)程;瀏覽器進(jìn)程控制裝置11的輸出接至瀏覽器進(jìn)程信息采集裝置12的輸入�,瀏覽器進(jìn)程控制裝置11打開瀏覽器進(jìn)程啟動瀏覽器進(jìn)程信息采集裝置12采集瀏覽器進(jìn)程信息; 瀏覽器進(jìn)程信息采集裝置12的輸出接至第一判斷裝置13的輸入����,瀏覽器進(jìn)程信息采集裝 置12向第一判斷裝置13輸出瀏覽器進(jìn)程信息,由第一判斷裝置13對瀏覽器進(jìn)程信息中的 內(nèi)存增量信息進(jìn)行判斷�;第一判斷裝置13的輸出接至瀏覽器進(jìn)程控制裝置11的輸入,第一 判斷裝置13在判斷出一定時(shí)間段內(nèi)的內(nèi)存增量信息超過門限之后����,向?yàn)g覽器進(jìn)程控制裝 置11輸出掛起瀏覽器進(jìn)程的信號;第一判斷裝置13的輸出接至第二判斷裝置14的輸入�, 第一判斷裝置13將來自瀏覽器進(jìn)程信息采集裝置的瀏覽器進(jìn)程信息輸出給二判斷裝置 14,由第二判斷裝置14對瀏覽器進(jìn)程信息中的新增內(nèi)存中是否包含有已知特征進(jìn)行判斷���; 第二判斷裝置14的輸出接至第一處理裝置15的輸入��,第二判斷裝置14在判斷出新增內(nèi)存 中包含有已知特征之后��,向第一處理裝置15輸出信號��,由第一處理裝置15進(jìn)行處理���,第一 處理裝置15產(chǎn)生內(nèi)存分配非法的報(bào)警信號����,并保存頁面信息����,停止監(jiān)測�����,結(jié)束瀏覽器進(jìn)程�; 第二判斷裝置14的輸出接至第二處理裝置16的輸入,第二判斷裝置14在判斷出新增內(nèi)存 中不包含有已知特征之后�����,向第二處理裝置16輸出信號�����,由第二處理裝置16進(jìn)行處理��,第 二處理裝置16產(chǎn)生內(nèi)存分配異常的報(bào)警信號,并提示用戶是否繼續(xù)���,在用戶選擇繼續(xù)時(shí)停 止監(jiān)測�����,否則����,保存頁面信息��,停止監(jiān)測�,結(jié)束瀏覽器進(jìn)程。 上述實(shí)施例僅用來進(jìn)一步說明本發(fā)明的一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法及其裝置�,但 本發(fā)明并不局限于實(shí)施例,凡是依據(jù)本發(fā)明的技術(shù)實(shí)質(zhì)對以上實(shí)施例所作的任何簡單修 改����、等同變化與修飾,均落入本發(fā)明技術(shù)方案的保護(hù)范圍內(nèi)�����。
權(quán)利要求
一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法���,其特征在于包括如下監(jiān)測過程注入需要監(jiān)測的瀏覽器進(jìn)程�;查看進(jìn)程空間的內(nèi)存占用情況,并記錄當(dāng)前內(nèi)存占用情況�;監(jiān)測瀏覽器打開新頁面的行為;當(dāng)打開新的頁面時(shí)首先檢查內(nèi)存增量����,如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程,并搜索新增內(nèi)存是否有可疑特征���,如果有則告警并記錄當(dāng)前頁面信息。
2.根據(jù)權(quán)利要求1所述的網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法����,其特征在于所述的監(jiān)測過程中,在 內(nèi)存增量超過規(guī)定的門限而掛起進(jìn)程后����,經(jīng)搜索新增內(nèi)存中未存在可疑特征時(shí),提示用戶 是否繼續(xù)�����,是則停止監(jiān)測����,否則記錄當(dāng)前頁面信息����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法�,其特征在于所述的監(jiān)測過程由運(yùn) 行程序來實(shí)現(xiàn),該程序包括主程序模塊和監(jiān)測模塊�����;主程序模塊啟動后首先打開需要監(jiān)測 的瀏覽器進(jìn)程���;然后將監(jiān)測模塊注入到瀏覽器進(jìn)程中由該監(jiān)測模塊對該瀏覽器進(jìn)程進(jìn)行監(jiān) 測����;監(jiān)測模塊對瀏覽器進(jìn)程的內(nèi)存占用情況進(jìn)行記錄�����,并對瀏覽器進(jìn)程中是否打開新頁面 的行為進(jìn)行監(jiān)測����;當(dāng)監(jiān)測模塊檢測到瀏覽器打開新頁面的行為時(shí),對瀏覽器進(jìn)程中的內(nèi)存 增量進(jìn)行監(jiān)測����;如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程���,并搜索新增內(nèi)存中是否有可疑 特征;如果有則告警并記錄當(dāng)前頁面信息�,否則提示用戶是否繼續(xù)。
4.一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法���,其特征在于包括如下步驟a.主程序模塊打開需要監(jiān)測的瀏覽器進(jìn)程�;b.由主程序模塊將監(jiān)測模塊注入到瀏覽器進(jìn)程中�����;c.由監(jiān)測模塊記錄瀏覽器進(jìn)程的內(nèi)存使用情況�����;d.監(jiān)測模塊監(jiān)測瀏覽器進(jìn)程中打開新頁面的行為�����;e.監(jiān)測模塊對瀏覽器進(jìn)程中是否打開新的頁面進(jìn)行判斷����;當(dāng)判斷為有打開時(shí),繼續(xù)下 一步驟�����,否則���,返回步驟d;f.監(jiān)測模塊檢測一定時(shí)間段的內(nèi)存增量�����;g.監(jiān)測模塊對該時(shí)間段的內(nèi)存增量是否在規(guī)定的門限之內(nèi)進(jìn)行判斷�����;當(dāng)判斷為是時(shí)��, 返回步驟f����,否則��,繼續(xù)下一步驟����;h.由主程序模塊掛起進(jìn)程���;i.監(jiān)測模塊檢測新增內(nèi)存中是否包含有已知特征,當(dāng)判斷為有時(shí)��,繼續(xù)下一步驟�����,否 則���,提示用戶是否繼續(xù)����;j.由監(jiān)測模塊進(jìn)行內(nèi)存分配非法的報(bào)警���; k.由主程序模塊保存頁面信息�; 1.監(jiān)測模塊停止監(jiān)測����; m.主程序模塊結(jié)束瀏覽器進(jìn)程����。
5.根據(jù)權(quán)利要求4所述的網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法�,其特征在于所述的步驟i中的提 示用戶是否繼續(xù)�,包括il.由監(jiān)測模塊進(jìn)行內(nèi)存分配異常的報(bào)警; 2.由監(jiān)測模塊提示用戶是否繼續(xù)��,當(dāng)判斷為是時(shí)�,停止監(jiān)測;否則�,轉(zhuǎn)至步驟k。
6.一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測裝置�,其特征在于包括一瀏覽器進(jìn)程控制裝置,用來打開或掛起需要監(jiān)測的瀏覽器進(jìn)程���;一瀏覽器進(jìn)程信息采集裝置��,用來采集瀏覽器進(jìn)程信息����;一第一判斷裝置��,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷����,判斷一定時(shí)間段內(nèi)的內(nèi)存增 量信息是否在門限之內(nèi);一第二判斷裝置��,用來對瀏覽器進(jìn)程中的信息進(jìn)行判斷,判斷新增內(nèi)存中是否包含有 已知特征��;一第一處理裝置���,用來產(chǎn)生內(nèi)存分配非法的報(bào)警信號���,并保存頁面信息,停止監(jiān)測��,結(jié) 束瀏覽器進(jìn)程�;一第二處理裝置,用來產(chǎn)生內(nèi)存分配異常的報(bào)警信號����,并提示用戶是否繼續(xù),在用戶選 擇繼續(xù)時(shí)停止監(jiān)測�����,否則�,保存頁面信息,停止監(jiān)測���,結(jié)束瀏覽器進(jìn)程��;瀏覽器進(jìn)程控制裝置的輸出接至瀏覽器進(jìn)程信息采集裝置的輸入��,瀏覽器進(jìn)程控制裝 置打開瀏覽器進(jìn)程啟動瀏覽器進(jìn)程信息采集裝置采集瀏覽器進(jìn)程信息��;瀏覽器進(jìn)程信息采 集裝置的輸出接至第一判斷裝置的輸入���,瀏覽器進(jìn)程信息采集裝置向第一判斷裝置輸出瀏 覽器進(jìn)程信息,由第一判斷裝置對瀏覽器進(jìn)程信息中的內(nèi)存增量信息進(jìn)行判斷�;第一判斷 裝置的輸出接至瀏覽器進(jìn)程控制裝置的輸入,第一判斷裝置在判斷出一定時(shí)間段內(nèi)的內(nèi)存 增量信息超過門限之后�����,向?yàn)g覽器進(jìn)程控制裝置輸出掛起瀏覽器進(jìn)程的信號����;第一判斷裝 置的輸出接至第二判斷裝置的輸入,第一判斷裝置將來自瀏覽器進(jìn)程信息采集裝置的瀏覽 器進(jìn)程信息輸出給二判斷裝置�����,由第二判斷裝置對瀏覽器進(jìn)程信息中的新增內(nèi)存中是否包 含有已知特征進(jìn)行判斷���;第二判斷裝置的輸出接至第一處理裝置的輸入����,第二判斷裝置在 判斷出新增內(nèi)存中包含有已知特征之后,向第一處理裝置輸出信號����,由第一處理裝置進(jìn)行 處理,第一處理裝置產(chǎn)生內(nèi)存分配非法的報(bào)警信號�,并保存頁面信息,停止監(jiān)測�����,結(jié)束瀏覽 器進(jìn)程��;第二判斷裝置的輸出接至第二處理裝置的輸入��,第二判斷裝置在判斷出新增內(nèi)存 中不包含有已知特征之后�,向第二處理裝置輸出信號,由第二處理裝置進(jìn)行處理�,第二處理 裝置產(chǎn)生內(nèi)存分配異常的報(bào)警信號,并提示用戶是否繼續(xù)�,在用戶選擇繼續(xù)時(shí)停止監(jiān)測,否 則�����,保存頁面信息,停止監(jiān)測����,結(jié)束瀏覽器進(jìn)程����。
全文摘要
本發(fā)明公開了一種網(wǎng)頁木馬實(shí)時(shí)監(jiān)測方法及其裝置,包括如下監(jiān)測過程注入需要監(jiān)測的瀏覽器進(jìn)程�;查看進(jìn)程空間的內(nèi)存占用情況,并記錄當(dāng)前內(nèi)存占用情況�����;監(jiān)測瀏覽器打開新頁面的行為�;當(dāng)打開新的頁面時(shí)首先檢查內(nèi)存增量,如果內(nèi)存增量超過規(guī)定的門限則掛起進(jìn)程�����,并搜索新增內(nèi)存是否有可疑特征��,如果有則告警并記錄當(dāng)前頁面信息���。這種通過監(jiān)測瀏覽器進(jìn)程的內(nèi)存增量情況以及新增內(nèi)存中是否有可疑特征來確定網(wǎng)頁木馬�����,是一種輕量級系統(tǒng)安全防護(hù)方法�����,它可以保障日常瀏覽網(wǎng)頁的安全性����,同時(shí)又不影響上網(wǎng)瀏覽的速度。
文檔編號H04L29/06GK101902481SQ201010249838
公開日2010年12月1日 申請日期2010年8月10日 優(yōu)先權(quán)日2010年8月10日
發(fā)明者張婷, 張永光, 張雪峰 申請人:廈門市美亞柏科信息股份有限公司