一種基于云安全攔截廣告程序的方法、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于云安全攔截廣告程序的方法、裝置和系統(tǒng)，其中，方法包括：監(jiān)控瀏覽器進程的創(chuàng)建行為；當監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程的信息；根據(jù)瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口；根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理。根據(jù)本發(fā)明提供的方案，可以有效攔截隱藏窗口的后臺進程未經(jīng)用戶同意而彈出廣告、釣魚網(wǎng)站等瀏覽器頁面，使用戶在操作中避免受到廣告等無效信息的干擾和各種惡意網(wǎng)站上虛假信息的欺騙，提高了用戶網(wǎng)絡(luò)操作的安全性。
【專利說明】一種基于云安全攔截廣告程序的方法、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機安全領(lǐng)域，具體涉及一種基于云安全攔截廣告程序的方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展，基于WEB的應(yīng)用日益普及，人們通過瀏覽器可以查詢銀行賬戶、網(wǎng)上購物、電子商務(wù)、查詢信息、獲取知識、進行娛樂等，WEB為人們提供了方便和快捷的交互方式。然而，人們在上網(wǎng)沖浪瀏覽網(wǎng)頁的同時，經(jīng)常會遇到未經(jīng)點擊而自動彈出的瀏覽器頁面，例如廣告、游戲、購物網(wǎng)頁，這些網(wǎng)頁的內(nèi)容通常對用戶來說毫無意義，只會對用戶的瀏覽行為造成干擾，更嚴重的問題是，部分彈出頁面還可能來自惡意網(wǎng)站，如釣魚網(wǎng)站，或者欺詐、假冒網(wǎng)站等，這些頁面上通常顯示有虛假信息并且頁面代碼內(nèi)嵌入有惡意的腳本程序，用于非法獲取用戶輸入的賬號、密碼等個人信息，對用戶利益造成損害。
[0003]其中，部分未經(jīng)許可而打開的瀏覽器頁面是由在后臺運行的惡意程序的進程開啟的，這些惡意進程通常不具有窗口，或隱藏自身窗口以達到不被用戶發(fā)現(xiàn)的目的。對于這類惡意程序，現(xiàn)有技術(shù)中仍然采用通用的方法，例如基于特征庫來分析、匹配程序的特征碼，這種方式通常具有滯后性，無法應(yīng)對新的情況，運營成本也較大。因此，對于這類惡意程序，現(xiàn)有技術(shù)中缺乏一種具有針對性的檢測方法。

【發(fā)明內(nèi)容】

[0004]鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的基于云安全攔截廣告程序的方法、裝置和系統(tǒng)。
[0005]根據(jù)本發(fā)明的一個方面，提供了一種基于云安全攔截廣告程序的方法，包括:監(jiān)控瀏覽器進程的創(chuàng)建行為；當監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程的信息；根據(jù)瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口 ；根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理。
[0006]根據(jù)本發(fā)明的另一方面，提供了一種基于云安全攔截廣告程序的裝置，包括:監(jiān)控模塊，適于監(jiān)控瀏覽器進程的創(chuàng)建行為；獲取模塊，適于當監(jiān)控模塊監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程的信息；檢測模塊，適于根據(jù)瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口 ；處理模塊，適于根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理。
[0007]根據(jù)本發(fā)明的另一方面，提供了一種基于云安全攔截廣告程序的系統(tǒng)，包括上述基于云安全攔截廣告程序的裝置，還包括向該裝置提供云查詢服務(wù)的服務(wù)器。
[0008]根據(jù)本發(fā)明的基于云安全攔截廣告程序的方法、裝置和系統(tǒng)，監(jiān)控到瀏覽器進程的創(chuàng)建請求時，獲取要創(chuàng)建該瀏覽器進程的父進程的信息，檢測該父進程是否與當前界面中的至少一個可視化窗口對應(yīng)，從而判斷出父進程的安全性，根據(jù)檢測結(jié)果對其創(chuàng)建瀏覽器進程的行為進行相應(yīng)的處理。根據(jù)該方案，可以有效攔截隱藏窗口的后臺進程未經(jīng)用戶同意而彈出廣告、釣魚網(wǎng)站等瀏覽器頁面，使用戶在操作中避免受到廣告等無效信息的干擾和各種惡意網(wǎng)站上虛假信息的欺騙，提高了用戶網(wǎng)絡(luò)操作的安全性。
[0009]上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的【具體實施方式】。
【專利附圖】

【附圖說明】
[0010]通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0011]圖1示出了根據(jù)本發(fā)明一個實施例的基于云安全攔截廣告程序的方法的流程圖；
[0012]圖2示出了根據(jù)本發(fā)明另一實施例的基于云安全攔截廣告程序的方法的流程圖；
[0013]圖3示出了根據(jù)本發(fā)明另一實施例的基于云安全攔截廣告程序的方法的流程圖；
[0014]圖4示出了根據(jù)本發(fā)明另一實施例的基于云安全攔截廣告程序的方法的流程圖；
[0015]圖5示出了本發(fā)明另一個實施例的基于云安全攔截廣告程序的裝置的框圖；
[0016]圖6示出了根據(jù)本發(fā)明另一實施例的基于云安全攔截廣告程序的系統(tǒng)的結(jié)構(gòu)框圖。
【具體實施方式】
[0017]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。
[0018]圖1示出了根據(jù)本發(fā)明一個實施例的基于云安全攔截廣告程序的方法的流程圖，如圖1所示，該方法包括如下步驟:
[0019]步驟SI 10，監(jiān)控瀏覽器進程的創(chuàng)建行為。
[0020]在常見的計算機系統(tǒng)，如Windows系統(tǒng)，對瀏覽器進程的監(jiān)控通常是基于操作系統(tǒng)提供的API接口函數(shù)或系統(tǒng)調(diào)用來實現(xiàn)的。
[0021]該步驟中所說的瀏覽器包括但不限于運行在各類計算機系統(tǒng)中的IE、Firefox,Chrome,Safari等獨立內(nèi)核瀏覽器，以及常見的基于IE內(nèi)核的，或基于多內(nèi)核的瀏覽器，如360瀏覽器，搜狗瀏覽器等，還包括運行于各種移動終端操作系統(tǒng)中常見的瀏覽器。一種常見的情況是，系統(tǒng)中安裝有一種以上的瀏覽器，例如，Windows系統(tǒng)中除了自帶的IE瀏覽器，用戶出于豐富功能、更高的安全性和個人喜好，可能安裝并默認使用上述其他瀏覽器。這時，對瀏覽器進程的監(jiān)控就應(yīng)該包括對IE進程，及其他全部瀏覽器進程的監(jiān)控。
[0022]步驟S120，當監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程的信息。
[0023]瀏覽器進程的父進程就是請求創(chuàng)建該瀏覽器進程的進程。以Windows操作系統(tǒng)為例，各種應(yīng)用層應(yīng)用程序都是通過調(diào)用各種API函數(shù)來實現(xiàn)的，父進程創(chuàng)建瀏覽器進程需要調(diào)用相應(yīng)的API函數(shù)，檢測瀏覽器進程的創(chuàng)建請求也就是監(jiān)控創(chuàng)建進程的API函數(shù)的調(diào)用請求，通過捕獲該API函數(shù)，可以從該API函數(shù)攜帶的參數(shù)中解析出指向的應(yīng)用程序，判斷出創(chuàng)建的是否為瀏覽器進程。請求調(diào)用該函數(shù)的進程就是瀏覽器進程的父進程，父進程的進程信息可以包括但不限于進程名稱，進程標識，進程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等。
[0024]步驟S130，根據(jù)瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口。
[0025]對大多數(shù)的應(yīng)用程序，用戶一般通過該程序提供的可視化窗口與系統(tǒng)進行交互。本發(fā)明通過檢測父進程是否對應(yīng)于可視化窗口來判斷瀏覽器進程的創(chuàng)建行為是否為用戶觸發(fā)。遍歷全部的可視化窗口，如果存在至少一個可視化窗口與瀏覽器進程的父進程相對應(yīng)，認為瀏覽器進程的創(chuàng)建行為是該可視化窗口對應(yīng)的應(yīng)用程序響應(yīng)于用戶在該窗口中的點擊、輸入等觸發(fā)行為而發(fā)起的，例如，用戶點擊QQ界面上的空間圖片，彈出了空間頁面，這屬于用戶允許的安全行為，而如果瀏覽器進程的父進程不對應(yīng)于可視化窗口，認為該次創(chuàng)建行為是后臺進程未經(jīng)用戶允許而請求的，是可疑的惡意行為。
[0026]步驟S140，根據(jù)檢測結(jié)果對所述瀏覽器進程的創(chuàng)建行為進行處理。
[0027]對對應(yīng)于可視化窗口的父進程，允許其創(chuàng)建瀏覽器進程；對不對應(yīng)可視化窗口的父進程，進行攔截，給出提示信息或進一步確認其安全性。
[0028]根據(jù)本發(fā)明上述實施例提供的方法，對瀏覽器進程的創(chuàng)建行為進行實時的監(jiān)控，并找到發(fā)起該創(chuàng)建請求的進程，作為瀏覽器進程的父進程，獲取該父進程的信息，遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口，以此來判斷瀏覽器進程的創(chuàng)建行為是否為用戶的主動選擇，根據(jù)檢測的結(jié)果對創(chuàng)建行為做相應(yīng)的處理。根據(jù)該方案可以有效攔截隱藏窗口的后臺進程未經(jīng)用戶同意而彈出廣告、游戲、購物、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅，提高了用戶網(wǎng)絡(luò)操作的安全性。
[0029]圖2示出了本發(fā)明另一個實施例的基于云安全攔截廣告程序的方法的流程圖，如圖2所示，該方法包括如下步驟:
[0030]步驟S210，監(jiān)控瀏覽器進程的創(chuàng)建行為。
[0031]如同在步驟S120中所述的，Windows系統(tǒng)中，監(jiān)控瀏覽器進程的創(chuàng)建行為實際上是監(jiān)控對相應(yīng)的API函數(shù)的調(diào)用請求。具體地，應(yīng)用程序要創(chuàng)建一個Win32進程，可能需要調(diào)用的API函數(shù)有CreateProcess、CreateProcessAsUser等，創(chuàng)建的新進程運行指定的可執(zhí)行文件，可執(zhí)行文件的路徑、文件名由API函數(shù)的參數(shù)指定，例如，參數(shù)IpApplicationName指定了可執(zhí)行模塊的路徑，捕獲該函數(shù)，從其參數(shù)中獲得可執(zhí)行文件的路徑，文件名等信息，即可判斷出本次API調(diào)用創(chuàng)建的進程是否為瀏覽器進程。
[0032]步驟S220，獲取瀏覽器進程的父進程信息。
[0033]獲取請求調(diào)用CreateProcess等API函數(shù)的應(yīng)用程序,從而獲取父進程信息。父進程的進程信息可以包括但不限于進程名稱，進程標識，進程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等。
[0034]在獲取父進程信息時，一種可能的情況是，一些惡意程序為了更好地隱藏自己，可能會通過其進程A調(diào)用進程B，然后進程B請求調(diào)用API函數(shù)創(chuàng)建瀏覽器進程，甚至經(jīng)過更多級的調(diào)用。這時，在后續(xù)步驟中，僅根據(jù)進程B的信息并不能做出準確的判斷。因此，還要獲取進程B所在的進程鏈的多個進程的信息。這可以通過NtQuerylnformationProcess函數(shù)實現(xiàn)，利用該函數(shù)逐級查找，獲取全部相關(guān)進程。[0035]具體地，獲取進程名稱、進程標識等信息也可以通過調(diào)用API函數(shù)實現(xiàn)，例如，通過Process Status (進程狀態(tài))API函數(shù)下的多個函數(shù)獲取進程名稱；通過GetCurrentProcessId獲取進程ID等。當然，也可以選擇其他的API函數(shù)或者通過高級語
言實現(xiàn)。
[0036]步驟S230，遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識。
[0037]進程被創(chuàng)建時會被分配給一個進程標識。直到進程中止這個標識都是有效的，并且不會改變，在進程有效的時間內(nèi)，每個進程的進程標識都是唯一的，因此，它可以被用來唯一標識這個進程。具體地，該步驟中可以用EnumWindows函數(shù)遍歷窗口，獲取窗口的句柄，然后用GetWindowThreadProcessId函數(shù)獲得每個窗口句柄對應(yīng)的進程標識。
[0038]步驟S240，在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，如果能查詢到父進程標識，則表明父進程對應(yīng)于可視化窗口，執(zhí)行步驟S250，否則，執(zhí)行步驟S260。
[0039]在同一時刻，進程標識唯一，因此，如果存在至少一個可視化窗口，其進程標識與瀏覽器進程的父進程的進程標識一致，則認為該父進程對應(yīng)于該可視化窗口，即可以認為瀏覽器進程的創(chuàng)建行為是該可視化窗口對應(yīng)的應(yīng)用程序響應(yīng)于用戶在該窗口中的點擊、輸入等觸發(fā)行為而發(fā)起的。
[0040]步驟S250，允許執(zhí)行父進程創(chuàng)建瀏覽器進程的行為。
[0041]由下文中步驟S260描述可知，一種攔截進程的方法是，在創(chuàng)建進程的任意一個步驟通過鉤子函數(shù)的方法攔截其所必須調(diào)用的API函數(shù)實現(xiàn)的。因此，對于允許所監(jiān)控到的創(chuàng)建行為請求的情形，在本發(fā)明實施例的鉤子函數(shù)執(zhí)行完畢后，跳轉(zhuǎn)到該文件行為請求對應(yīng)API的原始入口地址去執(zhí)行相應(yīng)的指令即可。
[0042]步驟S260，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0043]如果在全部的可視化窗口的進程標識中未查詢到父進程標識，認為該父進程創(chuàng)建瀏覽器進程的行為是后臺進程未經(jīng)用戶允許而發(fā)起的，是可疑的惡意行為，如廣告程序行為，可能需要對該行為進行攔截。
[0044]這時，向用戶提供風(fēng)險提示信息，具體地，可以在桌面指定區(qū)域彈出消息窗口，將步驟S220中獲取的父進程信息，如進程名稱，進程路徑，相應(yīng)的可執(zhí)行文件名稱等展示給用戶，供用戶分析以做出決定，還可以根據(jù)現(xiàn)有的統(tǒng)計結(jié)果，給出進程及相應(yīng)的應(yīng)用程序的危險等級、安全評分等信息并向用戶提供相應(yīng)的建議。
[0045]在一些情況下，雖然父進程不對應(yīng)可視化窗口，但該父進程創(chuàng)建瀏覽器進程的行為并不屬于惡意行為，例如，安裝、卸載軟件時，在安裝、卸載程序結(jié)束后，經(jīng)常彈出一些用于信息反饋的瀏覽器頁面，并不具有危害性，如果用戶需要，可以選擇不對該瀏覽器進程的創(chuàng)建行為進行攔截。還可以在本地設(shè)置一個安全名單，將用戶選擇不攔截的進程加入該名單中，下次不再提示。
[0046]對進程創(chuàng)建行為的攔截可以按如下方式實現(xiàn)。通常，一個進程的創(chuàng)建過程如下:打開要被執(zhí)行的文件映像，創(chuàng)建執(zhí)行進程對象，創(chuàng)建初始線程及堆棧及上下文，通知Windows子系統(tǒng)有關(guān)進程的信息，開始初始線程的執(zhí)行，執(zhí)行新進程上下文中的進程初始化?？梢栽谄渲腥我庖粋€步驟通過鉤子函數(shù)的方法攔截其所必須調(diào)用的API函數(shù)，達到攔截進程創(chuàng)建的目的。例如，通過在開始初始線程的步驟執(zhí)行之前，通過對系統(tǒng)服務(wù)調(diào)度表中的NativeAPI函數(shù)ZwCreateProcess的攔截來實現(xiàn)，即在系統(tǒng)調(diào)用ZwCreateProcess時，轉(zhuǎn)到鉤子程序中進行處理。或者通過攔截其他步驟中調(diào)用的API函數(shù)實現(xiàn),如NtCreateSection函數(shù)，該函數(shù)用于打開要被執(zhí)行的文件映像。
[0047]圖3示出了本發(fā)明另一個實施例的基于云安全攔截廣告程序的方法的流程圖，如圖3所示，該方法包括如下步驟:
[0048]步驟S310，監(jiān)控瀏覽器進程的創(chuàng)建行為；
[0049]步驟S320，獲取瀏覽器進程的父進程信息；
[0050]步驟S330，遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識；
[0051]其中，步驟S310-S330與上一實施例中的步驟S210-S230相同，此處不再贅述。
[0052]步驟S340，在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，如果能查詢到父進程標識，則表明父進程對應(yīng)于可視化窗口，執(zhí)行步驟S350，否則，執(zhí)行步驟S360。
[0053]步驟S350，允許執(zhí)行父進程創(chuàng)建瀏覽器進程的行為。
[0054]步驟S360，在預(yù)置的本地進程白名單中查詢不對應(yīng)于可視化窗口的父進程的進程信息，如果查詢成功，執(zhí)行步驟S350，否則，執(zhí)行步驟S370。
[0055]如同在上一實施例中步驟S260里所述的，不對應(yīng)于可視化窗口的父進程的創(chuàng)建行為可能是安全的。然而，用戶的判斷未必準確。在本實施例中，通過用戶判斷與黑白名單的方式結(jié)合進行更準確的判斷。
[0056]首先在本地預(yù)置的進程白名單中查詢父進程信息，本地白名單保存有常見的安全進程，例如，常用軟件的安裝、卸載相關(guān)的進程。與步驟S260類似地，在桌面指定區(qū)域彈出消息窗口。提示信息窗口還可以接收用戶反饋，用于本地進程白名單的維護和更新。例如，用戶對某一不在白名單中的進程有特殊需求，可以選擇允許其創(chuàng)建瀏覽器進程，記錄用戶對該進程的選擇，將進程加入到本地進程白名單中，下次不再提示。
[0057]步驟S370，將父進程的進程信息上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知父進程是否屬于服務(wù)器保存的進程黑名單，如果該進程屬于服務(wù)器保存的進程黑名單，執(zhí)行步驟 S380。
[0058]與本地名單相比，服務(wù)器端的黑名單數(shù)據(jù)庫保存有更完整的信息，能夠進行更嚴格準確的判斷。具體地，客戶端將檢測到的可疑進程的進程信息上傳至服務(wù)器，服務(wù)器根據(jù)進程信息對相應(yīng)的可執(zhí)行文件或應(yīng)用程序進行殺毒分析，可以采用傳統(tǒng)的特征碼匹配方式，或者采用主動防御的方法分析應(yīng)用程序包含的行為特點。找出特征碼與病毒庫，或惡意程序相匹配的應(yīng)用程序，或行為動作觸發(fā)預(yù)設(shè)安全規(guī)則的應(yīng)用程序，將相應(yīng)的進程信息加入到進程黑名單中。
[0059]服務(wù)器上的黑名單也可以通過人工運營的方式產(chǎn)生，服務(wù)器端定期對來自客戶端的病毒或惡意程序數(shù)據(jù)進行統(tǒng)計，對使用數(shù)量排名靠前或者增長速度靠前或者危險性排名靠前的進程，通過分析其彈出網(wǎng)頁的內(nèi)容等方式判斷其安全性，放入黑名單中。
[0060]步驟S380，給出風(fēng)險提示信息，根據(jù)用戶選擇對瀏覽器進程的創(chuàng)建行為進行攔截。
[0061]實際中，也可以選擇直接攔截創(chuàng)建行為。但考慮用戶可能對某些進程存在特殊需求，通常先給出風(fēng)險提示信息，接收用戶反饋。該步驟與S260相似，在步驟S260的基礎(chǔ)上，還可以進一步給出服務(wù)器的分析結(jié)果。
[0062]對于屬于白名單的進程，可以允許其創(chuàng)建瀏覽器的行為。
[0063]圖4示出了本發(fā)明另一個實施例的基于云安全攔截廣告程序的方法的流程圖。如圖4所示，該方法包括如下步驟:
[0064]步驟S410，監(jiān)控瀏覽器進程的創(chuàng)建行為；
[0065]步驟S420，獲取瀏覽器進程的父進程信息；
[0066]步驟S430，遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識；
[0067]其中，步驟S410-S430與前述實施例中的步驟S210-S230相同，此處不再贅述
[0068]步驟S440，在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，如果能查詢到父進程標識，則表明父進程對應(yīng)于可視化窗口，執(zhí)行步驟S450，否則，執(zhí)行步驟S460。
[0069]步驟S450，允許執(zhí)行父進程創(chuàng)建瀏覽器進程的行為。
[0070]步驟S460，獲取父進程創(chuàng)建的瀏覽器進程所要訪問的頁面URL。
[0071]一種可能方式是通過瀏覽器中提供的插件機制，例如，在IE瀏覽器中，通過響應(yīng)“BeforeNavigate2”事件可以獲取IE當前加載的URL。在火狐(Firefox)瀏覽器中使用火狐擴展機制提供的指定響應(yīng)事件接口，獲取火狐瀏覽器當前加載的URL。在谷歌(chrome)瀏覽器中使用網(wǎng)景插件應(yīng)用程序編程接口(Netscape Plugin Application ProgrammingInterface，簡稱:NPAPI)插件機制，獲取谷歌瀏覽器當前加載的URL。
[0072]步驟S470，將該頁面URL打包成密文上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單。如果該頁面URL屬于URL黑名單，執(zhí)行步驟S480 ;如果該頁面URL屬于URL白名單，執(zhí)行步驟S450。
[0073]服務(wù)器收集常見的廣告、游戲等頁面的URL，加入黑名單中；對用戶允許放行的瀏覽器創(chuàng)建行為，收集該行為創(chuàng)建的瀏覽器頁面所打開的URL，分析該URL頁面的內(nèi)容，或者統(tǒng)計大量用戶對該URL頁面的攔截情況，判斷該頁面是否為正常頁面，將判斷出的正常頁面加入白名單中。
[0074]上傳至服務(wù)器時，先將URL加密成密文，然后發(fā)送給服務(wù)器。這里，可以采用可逆加密方法對URL進行加密，也可以采用不可逆加密方法對URL進行加密。舉例來說，計算URL的特征值作為密文?？蛇x地，特征值可以為根據(jù)MD5 (Message Digest Algorithm,消息摘要算法第五版)計算得到的哈希值,或SHAl (Secure Hash Algorithm,安全哈希算法)碼,或CRC(Cyclic Redundancy Check,循環(huán)冗余校驗)碼等可唯一標識原信息的特征碼。需要說明的是，在上傳URL的密文到服務(wù)器的時候，需要首先屏蔽可能帶有用戶密碼的網(wǎng)址字符串，不上傳此類URL，以便保證用戶信息的安全。
[0075]步驟S480，給出風(fēng)險提示信息，根據(jù)用戶選擇對瀏覽器進程的創(chuàng)建行為進行攔截。
[0076]出于與步驟S370相同的理由，優(yōu)選地，先給出風(fēng)險提示信息。
[0077]對于屬于白名單的URL對應(yīng)的父進程，可以允許其創(chuàng)建瀏覽器的行為。
[0078]根據(jù)本發(fā)明上述實施例提供的方法，通過捕獲創(chuàng)建進程所必須的API函數(shù)實現(xiàn)對瀏覽器進程創(chuàng)建行為的監(jiān)控，找到發(fā)起該創(chuàng)建請求的父進程，獲取該父進程的進程標識，遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識，在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，以此來判斷瀏覽器進程的創(chuàng)建行為是否為用戶的主動選擇，對于非用戶主動選擇的可疑進程，給出風(fēng)險提示信息，或者進一步通過云端的進程黑白名單或URL黑白名單確認。根據(jù)該方案可以有效攔截隱藏窗口的后臺進程未經(jīng)用戶同意而彈出廣告、游戲、購物、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅，并且，通過云查詢的方式，降低了對惡意程序行為和安全行為誤判的概率，進一步提高系統(tǒng)的安全性和用戶的操作體驗。
[0079]圖5示出了本發(fā)明另一個實施例的基于云安全攔截廣告程序的裝置的框圖。如圖5所示,該裝置包括:
[0080]監(jiān)控模塊510，適于監(jiān)控瀏覽器進程的創(chuàng)建行為。
[0081]具體地，監(jiān)控模塊510通過監(jiān)控創(chuàng)建進程的API函數(shù)的調(diào)用請求實現(xiàn)對創(chuàng)建行為的監(jiān)控。具體地，應(yīng)用程序要創(chuàng)建一個Win32進程，可能需要調(diào)用的API函數(shù)有CreateProcess、CreateProcessAsUser等,倉Il建的新進程運行指定的可執(zhí)行文件,可執(zhí)行文件的路徑、文件名由API函數(shù)的參數(shù)指定,例如,參數(shù)IpApplicationName指定了可執(zhí)行模塊的路徑，監(jiān)控模塊540捕獲該函數(shù)，從其參數(shù)中獲得可執(zhí)行文件的路徑及文件名，即可判斷出本次API調(diào)用創(chuàng)建的進程是否為瀏覽器進程。
[0082]獲取模塊520，適于當監(jiān)控模塊510監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程的信息。
[0083]獲取模塊520獲取請求調(diào)用CreateProcess等API函數(shù)的應(yīng)用程序,從而獲取父進程信息。獲取模塊520獲取父進程的進程信息可以包括但不限于獲取進程名稱，進程標識，進程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等。
[0084]獲取模塊520具體適于:當監(jiān)控模塊510監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程標識。獲取模塊520獲取進程名稱、進程標識等信息也可以通過調(diào)用API函數(shù)實現(xiàn)，例如，通過Process Status (進程狀態(tài))API函數(shù)下的多個函數(shù)獲取進程名稱；通過 GetCurrentProcessId 獲取進程 ID 等。
[0085]檢測模塊530，適于根據(jù)瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口。
[0086]進程被創(chuàng)建時會被分配給一個進程標識。直到進程中止這個標識都是有效的，并且不會改變，在進程有效的時間內(nèi)，每個進程的進程標識都是唯一的，因此，檢測模塊530通過進程標識檢測父進程是否對應(yīng)于可視化窗口。
[0087]具體地，檢測模塊530包括:
[0088]遍歷模塊550，適于遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識；遍歷模塊550可以用EnumWindows函數(shù)遍歷窗口，獲取窗口的句柄，然后用GetWindowThreadProcessId函數(shù)獲得每個窗口句柄對應(yīng)的進程標識。
[0089]查詢模塊560，適于在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，如果查詢到瀏覽器進程的父進程標識，則表明父進程對應(yīng)于可視化窗口 ；如果沒有查詢到瀏覽器進程的父進程標識，則表明父進程不對應(yīng)于可視化窗口。
[0090]裝置還包括:處理模塊540，適于根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理。
[0091]處理模塊540進一步適于:對不對應(yīng)于可視化窗口的父進程創(chuàng)建瀏覽器進程的行為，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。[0092]處理模塊540對進程創(chuàng)建行為的攔截可以按如下方式實現(xiàn)。通常，一個進程的創(chuàng)建過程如下:打開要被執(zhí)行的文件映像，創(chuàng)建執(zhí)行進程對象，創(chuàng)建初始線程及堆棧及上下文，通知Windows子系統(tǒng)有關(guān)進程的信息，開始初始線程的執(zhí)行，執(zhí)行新進程上下文中的進程初始化。因此，處理模塊540可以在其中任意一個步驟攔截其所必須調(diào)用的API函數(shù)，達到攔截進程創(chuàng)建的目的。例如，處理模塊540在開始初始線程的步驟執(zhí)行之前，對系統(tǒng)服務(wù)調(diào)度表中的Native API函數(shù)ZwCreateProcess的攔截。
[0093]處理模塊540向用戶提供風(fēng)險提示信息具體為:在桌面指定區(qū)域彈出消息窗口，將獲取模塊520獲取的父進程信息，如進程名稱，進程路徑，相應(yīng)的可執(zhí)行文件名稱等展示給用戶，供用戶分析以做出決定，處理模塊540還可以根據(jù)現(xiàn)有的統(tǒng)計結(jié)果，給出進程及相應(yīng)的應(yīng)用程序的危險等級、安全評分等信息并向用戶提供相應(yīng)的建議。
[0094]可選地，裝置還包括:云查詢接口 580，適于在預(yù)置的本地進程白名單中查詢不對應(yīng)于可視化窗口的父進程的進程信息，將未查詢到的的父進程的進程信息上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知父進程是否屬于服務(wù)器保存的進程黑名單，并從服務(wù)器接收查詢結(jié)果。
[0095]具體地，云查詢接口 580將檢測模塊530檢測到的可疑進程的進程信息上傳至服務(wù)器，服務(wù)器根據(jù)進程信息對相應(yīng)的可執(zhí)行文件或應(yīng)用程序進行殺毒分析，例如傳統(tǒng)的特征碼匹配方式，或者采用主動防御的方法，分析應(yīng)用程序包含的行為特點。找出特征碼與病毒庫，或惡意程序相匹配的應(yīng)用程序，或行為動作觸發(fā)預(yù)設(shè)安全規(guī)則的應(yīng)用程序，將相應(yīng)的進程信息加入到進程黑名單中。
[0096]服務(wù)器上的黑名單也可以通過人工運營的方式產(chǎn)生，服務(wù)器端定期對來自客戶端的病毒或惡意程序數(shù)據(jù)進行統(tǒng)計，對使用數(shù)量排名靠前或者增長速度靠前或者危險性排名靠前的進程，通過分析其彈出網(wǎng)頁的內(nèi)容等方式判斷其安全性，放入黑名單中。
[0097]則處理模塊540進一步適于:如果云查詢接口 570從服務(wù)器接收的查詢結(jié)果表明所述父進程屬于所述進程黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0098]可選地，裝置還包括:頁面URL提取模塊570，適于對不對應(yīng)于可視化窗口的父進程，獲取父進程創(chuàng)建的瀏覽器進程所要訪問的頁面URL。
[0099]頁面URL提取模塊570獲取URL的一種可能方式是通過瀏覽器中提供的插件機制，例如，在IE瀏覽器中，頁面URL提取模塊570通過響應(yīng)“BeforeNavigate”事件獲取IE當前加載的URL，在火狐(Firefox)瀏覽器中頁面URL提取模塊570使用火狐擴展機制提供的指定響應(yīng)事件接口，獲取火狐瀏覽器當前加載的URL。在谷歌(clrome)瀏覽器中使用網(wǎng)景插件應(yīng)用程序編程接口(Netscape Plugin Application Programming Interface,簡稱:NPAPI)插件機制，獲取谷歌瀏覽器當前加載的URL。
[0100]云查詢接口 580還可以適于將頁面URL提取模塊570所獲取的頁面URL打包成密文后上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單并從服務(wù)器接收查詢結(jié)果。
[0101]處理模塊540進一步適于:如果云查詢接口 570從服務(wù)器接收的查詢結(jié)果表明所述頁面URL屬于所述URL黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。[0102]圖6示出了本發(fā)明另一實施例提供的基于云安全攔截廣告程序的系統(tǒng)，如圖6所示，該系統(tǒng)包括上一實施例中的基于云安全攔截廣告程序的裝置，還包括:向該裝置提供云查詢服務(wù)的服務(wù)器。
[0103]根據(jù)本發(fā)明上述實施例提供的裝置和系統(tǒng)，監(jiān)控模塊通過捕獲創(chuàng)建進程所必須的API函數(shù)實現(xiàn)對瀏覽器進程創(chuàng)建行為的監(jiān)控，找到發(fā)起該創(chuàng)建請求的父進程，獲取模塊獲取該父進程的進程信息，其中包括進程標識，遍歷模塊遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識，查詢模塊在全部的可視化窗口的進程標識中查詢?yōu)g覽器進程的父進程標識，以此來判斷瀏覽器進程的創(chuàng)建行為是否為用戶的主動選擇，對于非用戶主動選擇的可疑進程，處理模塊給出風(fēng)險提示信息，或者進一步地，云查詢接口將進程信息和待訪問頁面的URL發(fā)送至服務(wù)器，通過云端的進程黑白名單或URL黑白名單確認。根據(jù)該方案，可以有效攔截隱藏窗口的后臺進程未經(jīng)用戶同意而彈出廣告、游戲、購物、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅，并且，通過云查詢的方式，降低了對惡意程序行為和安全行為誤判的概率，進一步提高系統(tǒng)的安全性和用戶的操作體驗。
[0104]在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當明白，可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。
[0105]在此處所提供的說明書中，說明了大量具體細節(jié)。然而，能夠理解，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。
[0106]類似地，應(yīng)當理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。
[0107]本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中?？梢园褜嵤├械哪K或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。
[0108]此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
[0109]本發(fā)明的各個部件實施例可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的程序模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的基于云安全攔截廣告程序的裝置和系統(tǒng)中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。
[0110]應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。
[0111]本發(fā)明公開了:
[0112]Al、一種基于云安全攔截廣告程序的方法,包括:
[0113]監(jiān)控瀏覽器進程的創(chuàng)建行為；
[0114]當監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取所述瀏覽器進程的父進程的信息；
[0115]根據(jù)所述瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測所述父進程是否對應(yīng)于可視化窗口；
[0116]根據(jù)檢測結(jié)果對所述瀏覽器進程的創(chuàng)建行為進行處理。
[0117]2A、根據(jù)Al所述的方法，所述獲取瀏覽器進程的父進程的信息具體為:獲取瀏覽器進程的父進程標識；
[0118]所述通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口具體包括:
[0119]遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識；
[0120]在全部的可視化窗口的進程標識中查詢所述瀏覽器進程的父進程標識，如果查詢到所述瀏覽器進程的父進程標識，則表明父進程對應(yīng)于可視化窗口 ；如果沒有查詢到所述瀏覽器進程的父進程標識，則表明父進程不對應(yīng)于可視化窗口。
[0121]A3、根據(jù)Al或A2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括:對不對應(yīng)于可視化窗口的父進程創(chuàng)建瀏覽器進程的行為，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0122]A4、根據(jù)Al或A2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括:
[0123]在預(yù)置的本地進程白名單中查詢所述不對應(yīng)于可視化窗口的父進程的進程信息，如果查詢成功，允許所述父進程創(chuàng)建瀏覽器進程的行為；
[0124]否則將所述父進程的進程信息上傳至服務(wù)器，以供所述服務(wù)器通過云查詢獲知所述父進程是否屬于服務(wù)器保存的進程黑名單；
[0125]如果所述父進程屬于所述進程黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0126]A5、根據(jù)Al或A2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括:
[0127]對不對應(yīng)于可視化窗口的父進程，獲取所述父進程創(chuàng)建的瀏覽器進程所要訪問的頁面URL，將該頁面URL打包成密文，上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單；
[0128]如果所述頁面URL屬于所述URL黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0129]B6、一種基于云安全攔截廣告程序的裝置,包括:
[0130]監(jiān)控模塊，適于監(jiān)控瀏覽器進程的創(chuàng)建行為；
[0131]獲取模塊，適于當所述監(jiān)控模塊監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取所述瀏覽器進程的父進程的信息；
[0132]檢測模塊，適于根據(jù)所述瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測所述父進程是否對應(yīng)于可視化窗口 ；
[0133]處理模塊，適于根據(jù)檢測結(jié)果對所述瀏覽器進程的創(chuàng)建行為進行處理。
[0134]B7、根據(jù)B6所述的裝置，所述獲取模塊具體適于:當所述監(jiān)控模塊監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程標識；
[0135]所述檢測模塊包括:
[0136]遍歷模塊，適于遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識；
[0137]查詢模塊，適于在全部的可視化窗口的進程標識中查詢所述瀏覽器進程的父進程標識，如果查詢到所述瀏覽器進程的父進程標識，則表明父進程對應(yīng)于可視化窗口 ；如果沒有查詢到所述瀏覽器進程的父進程標識，則表明父進程不對應(yīng)于可視化窗口。
[0138]B8、根據(jù)B6或B7所述的裝置，所述處理模塊進一步適于:對不對應(yīng)于可視化窗口的父進程創(chuàng)建瀏覽器進程的行為，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0139]B9、根據(jù)B6或B7所述的裝置，還包括:云查詢接口，適于在預(yù)置的本地進程白名單中查詢不對應(yīng)于可視化窗口的父進程的進程信息，將未查詢到的父進程的進程信息上傳至服務(wù)器，以供所述服務(wù)器通過云查詢獲知所述父進程是否屬于服務(wù)器保存的進程黑名單，并從服務(wù)器接收查詢結(jié)果；
[0140]所述處理模塊進一步適于:如果查詢結(jié)果表明所述父進程屬于所述進程黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0141]B10、根據(jù)B6或B7所述的裝置，還包括:
[0142]頁面URL提取模塊，適于對不對應(yīng)于可視化窗口的父進程，獲取所述父進程創(chuàng)建的瀏覽器進程所要訪問的頁面URL ；
[0143]云查詢接口，適于將所述頁面URL提取模塊所獲取的頁面URL打包成密文后上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單并從服務(wù)器接收查詢結(jié)果；
[0144]所述處理模塊進一步適于:如果查詢結(jié)果表明所述頁面URL屬于所述URL黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
[0145]ClU一種基于云安全攔截廣告程序的系統(tǒng),包括B6-B10任一項所述的基于云安全攔截廣告程序的裝置，還包括:向所述裝置提供云查詢服務(wù)的服務(wù)器。
【權(quán)利要求】
1.一種基于云安全攔截廣告程序的方法，包括: 監(jiān)控瀏覽器進程的創(chuàng)建行為； 當監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取所述瀏覽器進程的父進程的信息； 根據(jù)所述瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測所述父進程是否對應(yīng)于可視化窗口； 根據(jù)檢測結(jié)果對所述瀏覽器進程的創(chuàng)建行為進行處理。
2.根據(jù)權(quán)利要求1所述的方法，所述獲取瀏覽器進程的父進程的信息具體為:獲取瀏覽器進程的父進程標識； 所述通過遍歷全部的可視化窗口，檢測父進程是否對應(yīng)于可視化窗口具體包括: 遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識； 在全部的可視化窗口的進程標識中查詢所述瀏覽器進程的父進程標識，如果查詢到所述瀏覽器進程的父進程標識，則表明父進程對應(yīng)于可視化窗口 ；如果沒有查詢到所述瀏覽器進程的父進程標識，則表明父進程不對應(yīng)于可視化窗口。
3.根據(jù)權(quán)利要求1或2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括:對不對應(yīng)于可視化窗口的父進程創(chuàng)建瀏覽器進程的行為，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
4.根據(jù)權(quán)利要求1或2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括: 在預(yù)置的本地進程白名單中查詢所述不對應(yīng)于可視化窗口的父進程的進程信息，如果查詢成功，允許所述父進程創(chuàng)建瀏覽器進程的行為； 否則將所述父進程的進程信息上傳至服務(wù)器，以供所述服務(wù)器通過云查詢獲知所述父進程是否屬于服務(wù)器保存的進程黑名單； 如果所述父進程屬于所述進程黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
5.根據(jù)權(quán)利要求1或2所述的方法，所述根據(jù)檢測結(jié)果對瀏覽器進程的創(chuàng)建行為進行處理具體包括: 對不對應(yīng)于可視化窗口的父進程，獲取所述父進程創(chuàng)建的瀏覽器進程所要訪問的頁面URL,將該頁面URL打包成密文，上傳至服務(wù)器，以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單； 如果所述頁面URL屬于所述URL黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
6.一種基于云安全攔截廣告程序的裝置，包括: 監(jiān)控模塊，適于監(jiān)控瀏覽器進程的創(chuàng)建行為； 獲取模塊，適于當所述監(jiān)控模塊監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取所述瀏覽器進程的父進程的信息； 檢測模塊，適于根據(jù)所述瀏覽器進程的父進程的信息，通過遍歷全部的可視化窗口，檢測所述父進程是否對應(yīng)于可視化窗口； 處理模塊，適于根據(jù)檢測結(jié)果對所述瀏覽器進程的創(chuàng)建行為進行處理。
7.根據(jù)權(quán)利要求6所述的裝置，所述獲取模塊具體適于:當所述監(jiān)控模塊監(jiān)測到瀏覽器進程的創(chuàng)建請求時，獲取瀏覽器進程的父進程標識； 所述檢測模塊包括: 遍歷模塊，適于遍歷全部的可視化窗口并獲取每個可視化窗口對應(yīng)進程的進程標識； 查詢模塊，適于在全部的可視化窗口的進程標識中查詢所述瀏覽器進程的父進程標識，如果查詢到所述瀏覽器進程的父進程標識，則表明父進程對應(yīng)于可視化窗口 ；如果沒有查詢到所述瀏覽器進程的父進程標識，則表明父進程不對應(yīng)于可視化窗口。
8.根據(jù)權(quán)利要求6或7所述的裝置，所述處理模塊進一步適于:對不對應(yīng)于可視化窗口的父進程創(chuàng)建瀏覽器進程的行為，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
9.根據(jù)權(quán)利要求6或7所述的裝置，還包括:云查詢接口，適于在預(yù)置的本地進程白名單中查詢不對應(yīng)于可視化窗口的父進程的進程信息，將未查詢到的父進程的進程信息上傳至服務(wù)器，以供所述服務(wù)器通過云查詢獲知所述父進程是否屬于服務(wù)器保存的進程黑名單，并從服務(wù)器接收查詢結(jié)果； 所述處理模塊進一步適于:如果查詢結(jié)果表明所述父進程屬于所述進程黑名單，給出風(fēng)險提示信息，根據(jù)用戶選擇對所述瀏覽器進程的創(chuàng)建行為進行攔截。
10.一種基于云安全攔截廣告程序的系統(tǒng)，包括權(quán)利要求6-9任一項所述的基于云安全攔截廣告程序的裝置，還包括 :向所述裝置提供云查詢服務(wù)的服務(wù)器。
【文檔編號】H04L29/08GK103617395SQ201310656591
【公開日】2014年3月5日 申請日期:2013年12月6日 優(yōu)先權(quán)日:2013年12月6日
【發(fā)明者】趙龍, 鄒貴強 申請人:北京奇虎科技有限公司, 奇智軟件（北京）有限公司