Web应用程序行为提取方法和恶意行为检测方法
【技术领域】
[0001] 本发明设及网络及信息安全技术领域,特别设及一种Web应用程序行为提取方法 和恶意行为检测方法。
【背景技术】
[0002] Web(网络)应用程序是使用浏览器所支持的语言(如化vaScript(-种直译式脚本 语言)、HTML(Hyper Text Markup Language,超级文本标记语言)、CSSKascading Style Sheets,层叠样式表)等)编写的、在浏览器环境中运行的并用于支撑Web服务的应用软件。 WWeb浏览器作为客户端的Web应用程序,可W方便地部署到各种平台,如Windows(视窗操 作系统)等桌面平台,W及Amlroid(-种主要用于移动设备的操作系统)等移动平台。由于 Web应用程序使用简便且功能丰富,现在的电子邮件、电子商务、在线词典等应用基本都基 于Web应用程序来完成,使得它成为了人们日常生活中非常重要的部分。
[0003] 随着Web应用程序的普及,它也逐渐成为越来越多攻击者的攻击目标。攻击者通过 使Web应用程序执行恶意行为而达到攻击的目的。因此,如果能够高效地提取Web应用程序 行为,便可有效地检测出其中的恶意行为。
[0004] 目前,对于Web应用程序行为的提取大多是通过对Web浏览器源代码的修改来实现 的,该实现过程较为复杂,无法被普通用户使用,并且较难推广到其他版本和品牌的浏览器 中。并且,该方法所提取的Web应用程序行为仅限于单个的化vaScript函数调用的信息,并 没有实现对Web应用程序行为的全面监控,无法实现对复杂的Web应用程序行为的分析。
【发明内容】
[0005] 本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本发明的 目的在于提出一种Web应用程序行为提取方法,实现简单、适用性好,并能够实现对Web应用 程序行为的全面监控,有助于实现对恶意行为的检测。
[0006] 本发明的第二个目的在于提出一种通过Web应用程序行为进行恶意行为检测方 法。
[0007] 根据本发明第一方面实施例的Web应用程序行为提取方法,包括W下步骤:Web应 用程序行为记录模块拦截化vaScript函数,并提取所述待测Web应用程序的行为记录,其 中,所述行为记录包括所述待测Web应用程序调用的化vaScript函数的名称、接收参数和函 数调用找信息;将所述待测Web应用程序的行为记录发送到恶意行为检测模块,并将所述待 ^UWeb应用程序的行为记录写入行为日志文件。
[000引根据本发明实施例的Web应用程序行为提取方法,通过获取待测Web应用程序调用 的化vaScript函数的名称、接收参数W及函数调用找信息等行为记录,并将上述行为记录 发送到恶意行为检测模块,同时将上述行为记录写入行为日志文件,由此,可避免对Web浏 览器源代码的修改,实现简单且适用性较好,同时通过提取函数调用找信息,能够获取多个 被调用的函数之间的关系,从而实现了对Web应用程序行为的全面监控,有助于实现后续对 恶意行为的检测。
[0009] 另外,根据本发明上述实施例的Web应用程序行为提取方法还可W具有如下附加 的技术特征:
[0010] 根据本发明的一个实施例,所述方法还包括:行为绘制模块根据所述待测Web应用 程序的行为记录统计所述函数的调用次数和HTML元素访问次数,并根据所述函数的调用次 数和HTML元素访问次数绘制待测Web应用程序实时行为图表,W实时显示所述待测Web应用 程序的行为记录。
[OOW 进一步地,在所述Web浏览器的popup (弹出)页面中绘制所述待测Web应用程序实 时行为图表。
[0012] 根据本发明的一个实施例,所述提取所述待测Web应用程序的行为记录包括:将待 拦截的所述JavaScript函数重命名;定义新函数,所述新函数与重命名前的所述 化vaScript函数同名;在所述新函数中加入代码W获取所述化vaScript函数的名称和所述 函数的接收参数;利用所述化vaScript函数的错误处理机制获取所述函数调用找信息。
[0013] 根据本发明的一个实施例,所述化vaScript函数位于所述Web浏览器中。
[0014] 根据本发明第二方面实施例的通过Web应用程序行为进行恶意行为检测方法,其 特征在于,包括W下步骤:获取所述待测Web应用程序的行为记录;获取预先确定的恶意行 为模式库,恶意行为检测模块将所述待测Web应用程序的行为记录与所述恶意行为模式库 中的每个恶意行为模式进行匹配,并将匹配成功的所述待测Web应用程序的行为记录确定 为异常行为;获取预先确定的正常行为模式列表,恶意行为确认模块将所述异常行为与所 述正常行为模式列表中的每个正常行为模式进行匹配,并将匹配失败的所述异常行为确定 为疑似恶意行为;如果所述疑似恶意行为的数量超过预设阔值,则发出恶意行为告警。
[0015] 根据本发明实施例的通过Web应用程序行为进行恶意行为检测方法,通过获取待 ^UWeb应用程序的行为记录,并将其与恶意行为模式进行匹配,W初步确定出异常行为,然 后将异常行为与正常行为模式进行匹配,W进一步确定出疑似恶意行为,当疑似恶意行为 过多时,可发出告警,由此,通过本发明实施例的Web应用程序行为提取方法所提取的Web应 用程序行为进行恶意行为检测,能够结合多个被调用的函数之间的关系,有效检测出诸如 探测攻击等攻击效果较为隐蔽的恶意行为,从而大大提高了恶意行为检测的准确性。
[0016] 另外,根据本发明上述实施例的通过Web应用程序行为进行恶意行为检测方法还 可W具有如下附加的技术特征:
[0017] 根据本发明的一个实施例,所述方法还包括:判断所述待测Web应用程序的疑似恶 意行为是否为恶意行为,如果所述待测Web应用程序的疑似恶意行为不是恶意行为,则将所 述疑似恶意行为加入所述正常行为模式列表。
[0018] 根据本发明的一个实施例,所述恶意行为模式为在恶意行为发生时,被调用的当 前化vaScript函数的名称和所述当前化vaScript函数的父函数的名称组成的字符串对,其 中,所述父函数为直接或间接调用所述当前化vaScript函数的函数;所述正常行为模式为 在正常行为发生时,被调用的当前化vaScript函数的名称和所述当前化vaScript函数的各 级父函数的名称组成的字符串组,其中,在所述字符串组中,后一个字符串代表的函数为前 一个字符串代表的函数的父函数。
[0019] 进一步地,如果所述待测Web应用程序的行为记录中的化vaScript函数的名称和 所述恶意行为模式中的所述当前化vaScript函数的名称相同,并且根据所述行为记录中的 函数调用找信息确定的所述化vaScript函数的父函数与所述恶意行为模式中所述当前 化vaScript函数的父函数的名称相同时,则所述待测Web应用程序的行为记录匹配成功,否 则所述待测Web应用程序的行为记录匹配失败;如果所述异常行为在所述待测Web应用程序 的行为记录中的化vaScript函数的名称和所述正常行为模式中的所述当前化vaScript函 数的名称相同,并且根据所述行为记录中的函数调用找信息确定的所述化vaScript函数的 各级父函数与所述正常行为模式中所述当前化vaScript函数的各级父函数的名称相同时, 则所述异常行为匹配成功,否则,所述异常行为匹配失败。
【附图说明】
[0020] 图1为根据本发明一个实施例的Web应用程序行为提取方法的流程图;
[0021] 图2为根据本发明一个实施例的Web应