本發(fā)明涉及屬于互聯(lián)網(wǎng)領(lǐng)域���,具體涉及一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)����。
背景技術(shù):
現(xiàn)今出現(xiàn)的所有惡意網(wǎng)頁檢測系統(tǒng)中基本山都是利用客戶端蜜罐系統(tǒng)或者是真實模擬用戶的虛擬機來檢測的���,但是在對惡意網(wǎng)頁檢測的過程中這些系統(tǒng)一次只能檢測一個 url(否則當有惡意行為出現(xiàn)時��,很難區(qū)分到底哪一個網(wǎng)頁是惡意的)����,一般的客戶端蜜罐或者沙箱系統(tǒng)并不能真實的模擬用戶環(huán)境����,一般的惡意網(wǎng)頁利用的都是第三方控件的漏洞或者是 IE 的真實漏洞���,一般這些系統(tǒng)很難提供這些環(huán)境,所以在檢測過程中就會有很大的漏報���。對于已經(jīng)有的這些檢測系統(tǒng)當檢測完一個 url后要么在下次檢測的時候重新啟動一個新的客戶端蜜罐或者沙箱���,效率很低。而在模擬用戶的虛擬機檢測過程中�����,加入檢測的是一個惡意網(wǎng)頁�,該網(wǎng)頁對虛擬機多多少少會有些影響,在利用這個虛擬機檢測下一個網(wǎng)頁的時候���,有可能會發(fā)生檢測漏報情況(有些惡意網(wǎng)頁是利用 cookie 來判斷客戶端是否訪問過該惡意網(wǎng)頁)����。另外大多數(shù)系統(tǒng)在利用 IE 訪問網(wǎng)頁的時候�,很難把握何時瀏覽器算是對網(wǎng)頁訪問完畢�����,一般系統(tǒng)會根據(jù)瀏覽量來判斷,或者自己設定一個超時時間�����,這樣也會對于檢測效率和結(jié)果有些影響��。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的在于提供一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)��。
為實現(xiàn)上述目的���,本發(fā)明提供以下的技術(shù)方案:一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)�����,所述BHO技術(shù)動態(tài)檢測系統(tǒng)包括任務讀取分發(fā)模塊��、任務控制模塊�、BHO 模塊���、日志模塊和日志分析模塊����,所述由任務分發(fā)模塊從一個已經(jīng)準備好的待檢測的 url 集合文件中將待檢測的 url 一次性讀進內(nèi)存,然后將這些任務通過 socket 通信分發(fā)給任務控制模塊接收到待檢測的 url 后���,會單獨創(chuàng)建一個任務線程去處理這個 url����,該線程主要任務是創(chuàng)建新的 IE 進程模擬用戶瀏覽該 url���,此時 BHO 模塊會在整個瀏覽過程中將 IE 的各個行為記錄到日志文件�����,當該 url 瀏覽完畢����,IE 進程自動結(jié)束����,任務線程接下來調(diào)用日志分析模塊分析記錄的日志文件,然后按照一定判定規(guī)則得出結(jié)論���,最后任務線程將得到的結(jié)果通過 socket 通信傳給任務分發(fā)模塊����,當任務分發(fā)模塊收到結(jié)果后會將最終的檢測結(jié)果存入數(shù)據(jù)庫模塊�。
優(yōu)選的,上述的流程中待檢測的 url 集合組織形式為一個文本文件��,該文件中每行都存有一個待 url�����,組織形式為“url1 url2”�,其中 url1 為可用瀏覽器直接瀏覽的網(wǎng)頁url,url2一般為被懷疑 url1 代表的網(wǎng)頁中包含的惡意 js 腳本���,一般情況下 url2為空��。
優(yōu)選的��,任務控制模塊主線程首先初始化 socket��,監(jiān)聽約定端口���,然后通過套接字 SELECT 模型來接收任務處理模塊發(fā)起的鏈接和任務數(shù)據(jù)包。
優(yōu)選的�����,在任務控制模塊中定義有一個任務線程計數(shù) count,整個模塊中所有對于該計數(shù)的任何加減操作都是原子操作�。每次在創(chuàng)建新任務線程時,首先判斷當前已有任務線程數(shù) count 是否大于預定義的 MAXCLIENT 的值�,如果是,那么不做任何處理�����,否則就檢查任務 map 中是否還有待檢測的 url�,如果有就從任務 map 中取出一個任務,同時創(chuàng)建一個新的任務線程對該任務進行處理�,同時將任務線程計數(shù)count 加 1。
優(yōu)選的��,BHO 模塊為一個dll���,其在注冊表中的位置為HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObj ects\����。��。
優(yōu)選的���,在該模塊創(chuàng)建文件時�,首先通過GetCurrentProcessId() 獲得當前IE進程的Pid,然后通過該Pid在C\I ELog文件夾下創(chuàng)建日志文件Pid. log��,如果該文件夾下有相同的日志文件名的日志文件�����,那么新創(chuàng)建的日志文件將覆蓋原來的日志文件�。
采用以上技術(shù)方案的有益效果是:本發(fā)明提供了一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)�,所述BHO技術(shù)動態(tài)檢測系統(tǒng)包括任務讀取分發(fā)模塊、虛擬機任務控制模塊�、BHO 模塊、日志模塊和日志分析模塊�,該方法能夠很精確的得知何時 IE 對于網(wǎng)頁訪問完畢,另外該方法可以在一個模擬用戶真實環(huán)境的情況下對多個網(wǎng)頁同時進行檢測�����,而且在每個網(wǎng)頁檢測完畢之后��,該網(wǎng)頁對于虛擬機的任何改變都會被修復回來�,以保證整個系統(tǒng)不被惡意網(wǎng)頁做任何修改。另外該方法利用機器學習方法對于惡意網(wǎng)頁行為判定的提取確定��,從而提高惡意網(wǎng)頁檢測的準確率,通過這個方法��,可以大幅提高系統(tǒng)對于惡意網(wǎng)頁檢測的效率以及準確率�。
附圖說明
圖1為本發(fā)明的實施例的示意圖。
具體實施方式
為使本發(fā)明 實現(xiàn)的技術(shù)手段�����、創(chuàng)作特征�、達成目的與功效易于明白了解,下面結(jié)合具體實施方式���,進一步闡述本發(fā)明����。
實施例:
一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)��,其特征在于���,所述BHO技術(shù)動態(tài)檢測系統(tǒng)包括任務讀取分發(fā)模塊����、任務控制模塊�����、BHO 模塊、日志模塊和日志分析模塊���,所述由任務分發(fā)模塊從一個已經(jīng)準備好的待檢測的 url 集合文件中將待檢測的 url 一次性讀進內(nèi)存���,然后將這些任務通過 socket 通信分發(fā)給任務控制模塊接收到待檢測的 url 后,會單獨創(chuàng)建一個任務線程去處理這個 url�,該線程主要任務是創(chuàng)建新的 IE 進程模擬用戶瀏覽該 url��,此時 BHO 模塊會在整個瀏覽過程中將 IE 的各個行為記錄到日志文件�����,當該 url 瀏覽完畢�����,IE 進程自動結(jié)束�����,任務線程接下來調(diào)用日志分析模塊分析記錄的日志文件��,然后按照一定判定規(guī)則得出結(jié)論,最后任務線程將得到的結(jié)果通過 socket 通信傳給任務分發(fā)模塊���,當任務分發(fā)模塊收到結(jié)果后會將最終的檢測結(jié)果存入數(shù)據(jù)庫模塊����。
所述上述的流程中待檢測的 url 集合組織形式為一個文本文件����,該文件中每行都存有一個待 url,組織形式為“url1 url2”����,其中 url1 為可用瀏覽器直接瀏覽的網(wǎng)頁url,url2一般為被懷疑 url1 代表的網(wǎng)頁中包含的惡意 js 腳本����,一般情況下 url2為空。所述任務控制模塊主線程首先初始化 socket�,監(jiān)聽約定端口,然后通過套接字 SELECT 模型來接收任務處理模塊發(fā)起的鏈接和任務數(shù)據(jù)包�����,所述在任務控制模塊中定義有一個任務線程計數(shù) count�,整個模塊中所有對于該計數(shù)的任何加減操作都是原子操作�����。每次在創(chuàng)建新任務線程時����,首先判斷當前已有任務線程數(shù) count 是否大于預定義的 MAXCLIENT 的值���,如果是�,那么不做任何處理����,否則就檢查任務 map 中是否還有待檢測的 url,如果有就從任務 map 中取出一個任務�����,同時創(chuàng)建一個新的任務線程對該任務進行處理��,同時將任務線程計數(shù)count 加 1��,所述BHO 模塊為一個dll���,其在注冊表中的位置為HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser HelperObj ects\��,所述在該模塊創(chuàng)建文件時��,首先通過GetCurrentProcessId() 獲得當前IE進程的Pid����,然后通過該Pid在C\I ELog文件夾下創(chuàng)建日志文件Pid. log���,如果該文件夾下有相同的日志文件名的日志文件����,那么新創(chuàng)建的日志文件將覆蓋原來的日志文件�����。
本發(fā)明提供了一種基于BHO技術(shù)動態(tài)檢測系統(tǒng)�����,所述BHO技術(shù)動態(tài)檢測系統(tǒng)包括任務讀取分發(fā)模塊�����、虛擬機任務控制模塊、BHO 模塊�、日志模塊和日志分析模塊,該方法能夠很精確的得知何時 IE 對于網(wǎng)頁訪問完畢����,另外該方法可以在一個模擬用戶真實環(huán)境的情況下對多個網(wǎng)頁同時進行檢測,而且在每個網(wǎng)頁檢測完畢之后�����,該網(wǎng)頁對于虛擬機的任何改變都會被修復回來�,以保證整個系統(tǒng)不被惡意網(wǎng)頁做任何修改。另外該方法利用機器學習方法對于惡意網(wǎng)頁行為判定的提取確定���,從而提高惡意網(wǎng)頁檢測的準確率�����,通過這個方法�,可以大幅提高系統(tǒng)對于惡意網(wǎng)頁檢測的效率以及準確率�。
由技術(shù)常識可知���,本發(fā)明可以通過其它的不脫離其精神實質(zhì)或必要特征的實施方案來實現(xiàn)���。因此���,上述公開的實施方案,就各方面而言���,都只是舉例說明���,并不是僅有的。所有在本發(fā)明范圍內(nèi)或在等同于本發(fā)明的范圍內(nèi)的改變均被本發(fā)明��。