一種基于云安全攔截廣告程序的方法�����、裝置和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種基于云安全攔截廣告程序的方法�����、裝置和系統(tǒng),其中�����,方法包括:監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為����;當(dāng)監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí),獲取瀏覽器進(jìn)程的父進(jìn)程的信息�����;根據(jù)瀏覽器進(jìn)程的父進(jìn)程的信息�,通過遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口�����;根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理���。根據(jù)本發(fā)明提供的方案����,可以有效攔截隱藏窗口的后臺進(jìn)程未經(jīng)用戶同意而彈出廣告��、釣魚網(wǎng)站等瀏覽器頁面,使用戶在操作中避免受到廣告等無效信息的干擾和各種惡意網(wǎng)站上虛假信息的欺騙��,提高了用戶網(wǎng)絡(luò)操作的安全性�����。
【專利說明】一種基于云安全攔截廣告程序的方法���、裝置和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域�,具體涉及一種基于云安全攔截廣告程序的方法����、裝置和系統(tǒng)����。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)的發(fā)展,基于WEB的應(yīng)用日益普及����,人們通過瀏覽器可以查詢銀行賬戶、網(wǎng)上購物�����、電子商務(wù)、查詢信息��、獲取知識�����、進(jìn)行娛樂等�����,WEB為人們提供了方便和快捷的交互方式�。然而,人們在上網(wǎng)沖浪瀏覽網(wǎng)頁的同時(shí)��,經(jīng)常會遇到未經(jīng)點(diǎn)擊而自動彈出的瀏覽器頁面��,例如廣告�����、游戲�����、購物網(wǎng)頁�����,這些網(wǎng)頁的內(nèi)容通常對用戶來說毫無意義,只會對用戶的瀏覽行為造成干擾�����,更嚴(yán)重的問題是����,部分彈出頁面還可能來自惡意網(wǎng)站,如釣魚網(wǎng)站�����,或者欺詐�、假冒網(wǎng)站等,這些頁面上通常顯示有虛假信息并且頁面代碼內(nèi)嵌入有惡意的腳本程序�����,用于非法獲取用戶輸入的賬號�����、密碼等個(gè)人信息��,對用戶利益造成損害����。
[0003]其中,部分未經(jīng)許可而打開的瀏覽器頁面是由在后臺運(yùn)行的惡意程序的進(jìn)程開啟的���,這些惡意進(jìn)程通常不具有窗口����,或隱藏自身窗口以達(dá)到不被用戶發(fā)現(xiàn)的目的����。對于這類惡意程序,現(xiàn)有技術(shù)中仍然采用通用的方法��,例如基于特征庫來分析�����、匹配程序的特征碼��,這種方式通常具有滯后性�,無法應(yīng)對新的情況,運(yùn)營成本也較大。因此�,對于這類惡意程序,現(xiàn)有技術(shù)中缺乏一種具有針對性的檢測方法����。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的基于云安全攔截廣告程序的方法�����、裝置和系統(tǒng)�����。
[0005]根據(jù)本發(fā)明的一個(gè)方面�,提供了一種基于云安全攔截廣告程序的方法,包括:監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為��;當(dāng)監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�,獲取瀏覽器進(jìn)程的父進(jìn)程的信息;根據(jù)瀏覽器進(jìn)程的父進(jìn)程的信息�,通過遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口 ��;根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理����。
[0006]根據(jù)本發(fā)明的另一方面,提供了一種基于云安全攔截廣告程序的裝置��,包括:監(jiān)控模塊�,適于監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為;獲取模塊��,適于當(dāng)監(jiān)控模塊監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�����,獲取瀏覽器進(jìn)程的父進(jìn)程的信息�;檢測模塊,適于根據(jù)瀏覽器進(jìn)程的父進(jìn)程的信息����,通過遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口 ����;處理模塊,適于根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理����。
[0007]根據(jù)本發(fā)明的另一方面,提供了一種基于云安全攔截廣告程序的系統(tǒng),包括上述基于云安全攔截廣告程序的裝置�����,還包括向該裝置提供云查詢服務(wù)的服務(wù)器����。
[0008]根據(jù)本發(fā)明的基于云安全攔截廣告程序的方法、裝置和系統(tǒng)�����,監(jiān)控到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)���,獲取要創(chuàng)建該瀏覽器進(jìn)程的父進(jìn)程的信息�,檢測該父進(jìn)程是否與當(dāng)前界面中的至少一個(gè)可視化窗口對應(yīng)���,從而判斷出父進(jìn)程的安全性����,根據(jù)檢測結(jié)果對其創(chuàng)建瀏覽器進(jìn)程的行為進(jìn)行相應(yīng)的處理�����。根據(jù)該方案,可以有效攔截隱藏窗口的后臺進(jìn)程未經(jīng)用戶同意而彈出廣告���、釣魚網(wǎng)站等瀏覽器頁面,使用戶在操作中避免受到廣告等無效信息的干擾和各種惡意網(wǎng)站上虛假信息的欺騙���,提高了用戶網(wǎng)絡(luò)操作的安全性�����。
[0009]上述說明僅是本發(fā)明技術(shù)方案的概述���,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實(shí)施�����,并且為了讓本發(fā)明的上述和其它目的���、特征和優(yōu)點(diǎn)能夠更明顯易懂��,以下特舉本發(fā)明的【具體實(shí)施方式】��。
【專利附圖】
【附圖說明】
[0010]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述��,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了�����。附圖僅用于示出優(yōu)選實(shí)施方式的目的��,而并不認(rèn)為是對本發(fā)明的限制�����。而且在整個(gè)附圖中�,用相同的參考符號表示相同的部件。在附圖中:
[0011]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的基于云安全攔截廣告程序的方法的流程圖��;
[0012]圖2示出了根據(jù)本發(fā)明另一實(shí)施例的基于云安全攔截廣告程序的方法的流程圖�;
[0013]圖3示出了根據(jù)本發(fā)明另一實(shí)施例的基于云安全攔截廣告程序的方法的流程圖;
[0014]圖4示出了根據(jù)本發(fā)明另一實(shí)施例的基于云安全攔截廣告程序的方法的流程圖���;
[0015]圖5示出了本發(fā)明另一個(gè)實(shí)施例的基于云安全攔截廣告程序的裝置的框圖��;
[0016]圖6示出了根據(jù)本發(fā)明另一實(shí)施例的基于云安全攔截廣告程序的系統(tǒng)的結(jié)構(gòu)框圖�����。
【具體實(shí)施方式】
[0017]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例�����。雖然附圖中顯示了本公開的示例性實(shí)施例���,然而應(yīng)當(dāng)理解���,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制�。相反,提供這些實(shí)施例是為了能夠更透徹地理解本公開�,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0018]圖1示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的基于云安全攔截廣告程序的方法的流程圖��,如圖1所示���,該方法包括如下步驟:
[0019]步驟SI 10�����,監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為��。
[0020]在常見的計(jì)算機(jī)系統(tǒng)�����,如Windows系統(tǒng)�,對瀏覽器進(jìn)程的監(jiān)控通常是基于操作系統(tǒng)提供的API接口函數(shù)或系統(tǒng)調(diào)用來實(shí)現(xiàn)的。
[0021]該步驟中所說的瀏覽器包括但不限于運(yùn)行在各類計(jì)算機(jī)系統(tǒng)中的IE���、Firefox,Chrome,Safari等獨(dú)立內(nèi)核瀏覽器���,以及常見的基于IE內(nèi)核的,或基于多內(nèi)核的瀏覽器��,如360瀏覽器�,搜狗瀏覽器等,還包括運(yùn)行于各種移動終端操作系統(tǒng)中常見的瀏覽器����。一種常見的情況是,系統(tǒng)中安裝有一種以上的瀏覽器���,例如��,Windows系統(tǒng)中除了自帶的IE瀏覽器����,用戶出于豐富功能��、更高的安全性和個(gè)人喜好,可能安裝并默認(rèn)使用上述其他瀏覽器�����。這時(shí)���,對瀏覽器進(jìn)程的監(jiān)控就應(yīng)該包括對IE進(jìn)程���,及其他全部瀏覽器進(jìn)程的監(jiān)控�。
[0022]步驟S120,當(dāng)監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�,獲取瀏覽器進(jìn)程的父進(jìn)程的信息。
[0023]瀏覽器進(jìn)程的父進(jìn)程就是請求創(chuàng)建該瀏覽器進(jìn)程的進(jìn)程���。以Windows操作系統(tǒng)為例��,各種應(yīng)用層應(yīng)用程序都是通過調(diào)用各種API函數(shù)來實(shí)現(xiàn)的�����,父進(jìn)程創(chuàng)建瀏覽器進(jìn)程需要調(diào)用相應(yīng)的API函數(shù)����,檢測瀏覽器進(jìn)程的創(chuàng)建請求也就是監(jiān)控創(chuàng)建進(jìn)程的API函數(shù)的調(diào)用請求,通過捕獲該API函數(shù)�����,可以從該API函數(shù)攜帶的參數(shù)中解析出指向的應(yīng)用程序���,判斷出創(chuàng)建的是否為瀏覽器進(jìn)程���。請求調(diào)用該函數(shù)的進(jìn)程就是瀏覽器進(jìn)程的父進(jìn)程,父進(jìn)程的進(jìn)程信息可以包括但不限于進(jìn)程名稱��,進(jìn)程標(biāo)識��,進(jìn)程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等����。
[0024]步驟S130,根據(jù)瀏覽器進(jìn)程的父進(jìn)程的信息�,通過遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口���。
[0025]對大多數(shù)的應(yīng)用程序���,用戶一般通過該程序提供的可視化窗口與系統(tǒng)進(jìn)行交互����。本發(fā)明通過檢測父進(jìn)程是否對應(yīng)于可視化窗口來判斷瀏覽器進(jìn)程的創(chuàng)建行為是否為用戶觸發(fā)�����。遍歷全部的可視化窗口��,如果存在至少一個(gè)可視化窗口與瀏覽器進(jìn)程的父進(jìn)程相對應(yīng)�����,認(rèn)為瀏覽器進(jìn)程的創(chuàng)建行為是該可視化窗口對應(yīng)的應(yīng)用程序響應(yīng)于用戶在該窗口中的點(diǎn)擊���、輸入等觸發(fā)行為而發(fā)起的,例如�,用戶點(diǎn)擊QQ界面上的空間圖片,彈出了空間頁面���,這屬于用戶允許的安全行為��,而如果瀏覽器進(jìn)程的父進(jìn)程不對應(yīng)于可視化窗口��,認(rèn)為該次創(chuàng)建行為是后臺進(jìn)程未經(jīng)用戶允許而請求的�,是可疑的惡意行為��。
[0026]步驟S140��,根據(jù)檢測結(jié)果對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理。
[0027]對對應(yīng)于可視化窗口的父進(jìn)程��,允許其創(chuàng)建瀏覽器進(jìn)程��;對不對應(yīng)可視化窗口的父進(jìn)程����,進(jìn)行攔截,給出提示信息或進(jìn)一步確認(rèn)其安全性����。
[0028]根據(jù)本發(fā)明上述實(shí)施例提供的方法,對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行實(shí)時(shí)的監(jiān)控�����,并找到發(fā)起該創(chuàng)建請求的進(jìn)程��,作為瀏覽器進(jìn)程的父進(jìn)程���,獲取該父進(jìn)程的信息�,遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口���,以此來判斷瀏覽器進(jìn)程的創(chuàng)建行為是否為用戶的主動選擇����,根據(jù)檢測的結(jié)果對創(chuàng)建行為做相應(yīng)的處理���。根據(jù)該方案可以有效攔截隱藏窗口的后臺進(jìn)程未經(jīng)用戶同意而彈出廣告��、游戲��、購物���、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅,提高了用戶網(wǎng)絡(luò)操作的安全性��。
[0029]圖2示出了本發(fā)明另一個(gè)實(shí)施例的基于云安全攔截廣告程序的方法的流程圖�����,如圖2所示���,該方法包括如下步驟:
[0030]步驟S210�,監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為�。
[0031]如同在步驟S120中所述的,Windows系統(tǒng)中���,監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為實(shí)際上是監(jiān)控對相應(yīng)的API函數(shù)的調(diào)用請求����。具體地�����,應(yīng)用程序要創(chuàng)建一個(gè)Win32進(jìn)程�,可能需要調(diào)用的API函數(shù)有CreateProcess、CreateProcessAsUser等��,創(chuàng)建的新進(jìn)程運(yùn)行指定的可執(zhí)行文件�,可執(zhí)行文件的路徑、文件名由API函數(shù)的參數(shù)指定��,例如���,參數(shù)IpApplicationName指定了可執(zhí)行模塊的路徑��,捕獲該函數(shù)��,從其參數(shù)中獲得可執(zhí)行文件的路徑�,文件名等信息,即可判斷出本次API調(diào)用創(chuàng)建的進(jìn)程是否為瀏覽器進(jìn)程����。
[0032]步驟S220,獲取瀏覽器進(jìn)程的父進(jìn)程信息����。
[0033]獲取請求調(diào)用CreateProcess等API函數(shù)的應(yīng)用程序,從而獲取父進(jìn)程信息。父進(jìn)程的進(jìn)程信息可以包括但不限于進(jìn)程名稱��,進(jìn)程標(biāo)識���,進(jìn)程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等���。
[0034]在獲取父進(jìn)程信息時(shí),一種可能的情況是��,一些惡意程序?yàn)榱烁玫仉[藏自己��,可能會通過其進(jìn)程A調(diào)用進(jìn)程B��,然后進(jìn)程B請求調(diào)用API函數(shù)創(chuàng)建瀏覽器進(jìn)程����,甚至經(jīng)過更多級的調(diào)用。這時(shí)�����,在后續(xù)步驟中�,僅根據(jù)進(jìn)程B的信息并不能做出準(zhǔn)確的判斷。因此����,還要獲取進(jìn)程B所在的進(jìn)程鏈的多個(gè)進(jìn)程的信息。這可以通過NtQuerylnformationProcess函數(shù)實(shí)現(xiàn)��,利用該函數(shù)逐級查找�����,獲取全部相關(guān)進(jìn)程�����。[0035]具體地��,獲取進(jìn)程名稱、進(jìn)程標(biāo)識等信息也可以通過調(diào)用API函數(shù)實(shí)現(xiàn)��,例如���,通過Process Status (進(jìn)程狀態(tài))API函數(shù)下的多個(gè)函數(shù)獲取進(jìn)程名稱�;通過GetCurrentProcessId獲取進(jìn)程ID等�����。當(dāng)然�,也可以選擇其他的API函數(shù)或者通過高級語
言實(shí)現(xiàn)。
[0036]步驟S230�����,遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識�。
[0037]進(jìn)程被創(chuàng)建時(shí)會被分配給一個(gè)進(jìn)程標(biāo)識。直到進(jìn)程中止這個(gè)標(biāo)識都是有效的���,并且不會改變��,在進(jìn)程有效的時(shí)間內(nèi)��,每個(gè)進(jìn)程的進(jìn)程標(biāo)識都是唯一的��,因此�����,它可以被用來唯一標(biāo)識這個(gè)進(jìn)程�。具體地���,該步驟中可以用EnumWindows函數(shù)遍歷窗口���,獲取窗口的句柄,然后用GetWindowThreadProcessId函數(shù)獲得每個(gè)窗口句柄對應(yīng)的進(jìn)程標(biāo)識��。
[0038]步驟S240�����,在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識��,如果能查詢到父進(jìn)程標(biāo)識���,則表明父進(jìn)程對應(yīng)于可視化窗口��,執(zhí)行步驟S250����,否則,執(zhí)行步驟S260��。
[0039]在同一時(shí)刻��,進(jìn)程標(biāo)識唯一�,因此,如果存在至少一個(gè)可視化窗口����,其進(jìn)程標(biāo)識與瀏覽器進(jìn)程的父進(jìn)程的進(jìn)程標(biāo)識一致,則認(rèn)為該父進(jìn)程對應(yīng)于該可視化窗口�,即可以認(rèn)為瀏覽器進(jìn)程的創(chuàng)建行為是該可視化窗口對應(yīng)的應(yīng)用程序響應(yīng)于用戶在該窗口中的點(diǎn)擊、輸入等觸發(fā)行為而發(fā)起的���。
[0040]步驟S250���,允許執(zhí)行父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為。
[0041]由下文中步驟S260描述可知����,一種攔截進(jìn)程的方法是,在創(chuàng)建進(jìn)程的任意一個(gè)步驟通過鉤子函數(shù)的方法攔截其所必須調(diào)用的API函數(shù)實(shí)現(xiàn)的。因此�����,對于允許所監(jiān)控到的創(chuàng)建行為請求的情形�,在本發(fā)明實(shí)施例的鉤子函數(shù)執(zhí)行完畢后,跳轉(zhuǎn)到該文件行為請求對應(yīng)API的原始入口地址去執(zhí)行相應(yīng)的指令即可�����。
[0042]步驟S260���,給出風(fēng)險(xiǎn)提示信息,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截��。
[0043]如果在全部的可視化窗口的進(jìn)程標(biāo)識中未查詢到父進(jìn)程標(biāo)識�,認(rèn)為該父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為是后臺進(jìn)程未經(jīng)用戶允許而發(fā)起的,是可疑的惡意行為�����,如廣告程序行為��,可能需要對該行為進(jìn)行攔截�����。
[0044]這時(shí),向用戶提供風(fēng)險(xiǎn)提示信息�,具體地,可以在桌面指定區(qū)域彈出消息窗口����,將步驟S220中獲取的父進(jìn)程信息,如進(jìn)程名稱����,進(jìn)程路徑,相應(yīng)的可執(zhí)行文件名稱等展示給用戶����,供用戶分析以做出決定,還可以根據(jù)現(xiàn)有的統(tǒng)計(jì)結(jié)果�,給出進(jìn)程及相應(yīng)的應(yīng)用程序的危險(xiǎn)等級、安全評分等信息并向用戶提供相應(yīng)的建議�。
[0045]在一些情況下,雖然父進(jìn)程不對應(yīng)可視化窗口�����,但該父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為并不屬于惡意行為����,例如���,安裝、卸載軟件時(shí)�,在安裝、卸載程序結(jié)束后�,經(jīng)常彈出一些用于信息反饋的瀏覽器頁面,并不具有危害性���,如果用戶需要���,可以選擇不對該瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截��。還可以在本地設(shè)置一個(gè)安全名單�����,將用戶選擇不攔截的進(jìn)程加入該名單中���,下次不再提示��。
[0046]對進(jìn)程創(chuàng)建行為的攔截可以按如下方式實(shí)現(xiàn)�����。通常��,一個(gè)進(jìn)程的創(chuàng)建過程如下:打開要被執(zhí)行的文件映像�,創(chuàng)建執(zhí)行進(jìn)程對象,創(chuàng)建初始線程及堆棧及上下文����,通知Windows子系統(tǒng)有關(guān)進(jìn)程的信息,開始初始線程的執(zhí)行��,執(zhí)行新進(jìn)程上下文中的進(jìn)程初始化�。可以在其中任意一個(gè)步驟通過鉤子函數(shù)的方法攔截其所必須調(diào)用的API函數(shù)�����,達(dá)到攔截進(jìn)程創(chuàng)建的目的�。例如,通過在開始初始線程的步驟執(zhí)行之前�����,通過對系統(tǒng)服務(wù)調(diào)度表中的NativeAPI函數(shù)ZwCreateProcess的攔截來實(shí)現(xiàn)����,即在系統(tǒng)調(diào)用ZwCreateProcess時(shí)����,轉(zhuǎn)到鉤子程序中進(jìn)行處理�����?�;蛘咄ㄟ^攔截其他步驟中調(diào)用的API函數(shù)實(shí)現(xiàn),如NtCreateSection函數(shù)��,該函數(shù)用于打開要被執(zhí)行的文件映像���。
[0047]圖3示出了本發(fā)明另一個(gè)實(shí)施例的基于云安全攔截廣告程序的方法的流程圖�,如圖3所示���,該方法包括如下步驟:
[0048]步驟S310,監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為�����;
[0049]步驟S320��,獲取瀏覽器進(jìn)程的父進(jìn)程信息;
[0050]步驟S330���,遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識���;
[0051]其中,步驟S310-S330與上一實(shí)施例中的步驟S210-S230相同�����,此處不再贅述�����。
[0052]步驟S340����,在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識,如果能查詢到父進(jìn)程標(biāo)識�����,則表明父進(jìn)程對應(yīng)于可視化窗口����,執(zhí)行步驟S350����,否則�����,執(zhí)行步驟S360���。
[0053]步驟S350�����,允許執(zhí)行父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為����。
[0054]步驟S360�,在預(yù)置的本地進(jìn)程白名單中查詢不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息,如果查詢成功���,執(zhí)行步驟S350,否則�����,執(zhí)行步驟S370。
[0055]如同在上一實(shí)施例中步驟S260里所述的�����,不對應(yīng)于可視化窗口的父進(jìn)程的創(chuàng)建行為可能是安全的�。然而,用戶的判斷未必準(zhǔn)確��。在本實(shí)施例中�,通過用戶判斷與黑白名單的方式結(jié)合進(jìn)行更準(zhǔn)確的判斷。
[0056]首先在本地預(yù)置的進(jìn)程白名單中查詢父進(jìn)程信息����,本地白名單保存有常見的安全進(jìn)程,例如�����,常用軟件的安裝�����、卸載相關(guān)的進(jìn)程���。與步驟S260類似地���,在桌面指定區(qū)域彈出消息窗口��。提示信息窗口還可以接收用戶反饋�,用于本地進(jìn)程白名單的維護(hù)和更新�����。例如���,用戶對某一不在白名單中的進(jìn)程有特殊需求�,可以選擇允許其創(chuàng)建瀏覽器進(jìn)程����,記錄用戶對該進(jìn)程的選擇,將進(jìn)程加入到本地進(jìn)程白名單中�,下次不再提示。
[0057]步驟S370���,將父進(jìn)程的進(jìn)程信息上傳至服務(wù)器�����,以供服務(wù)器通過云查詢獲知父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單�����,如果該進(jìn)程屬于服務(wù)器保存的進(jìn)程黑名單���,執(zhí)行步驟 S380。
[0058]與本地名單相比��,服務(wù)器端的黑名單數(shù)據(jù)庫保存有更完整的信息����,能夠進(jìn)行更嚴(yán)格準(zhǔn)確的判斷。具體地�����,客戶端將檢測到的可疑進(jìn)程的進(jìn)程信息上傳至服務(wù)器��,服務(wù)器根據(jù)進(jìn)程信息對相應(yīng)的可執(zhí)行文件或應(yīng)用程序進(jìn)行殺毒分析�,可以采用傳統(tǒng)的特征碼匹配方式,或者采用主動防御的方法分析應(yīng)用程序包含的行為特點(diǎn)�����。找出特征碼與病毒庫,或惡意程序相匹配的應(yīng)用程序�����,或行為動作觸發(fā)預(yù)設(shè)安全規(guī)則的應(yīng)用程序�,將相應(yīng)的進(jìn)程信息加入到進(jìn)程黑名單中。
[0059]服務(wù)器上的黑名單也可以通過人工運(yùn)營的方式產(chǎn)生���,服務(wù)器端定期對來自客戶端的病毒或惡意程序數(shù)據(jù)進(jìn)行統(tǒng)計(jì)���,對使用數(shù)量排名靠前或者增長速度靠前或者危險(xiǎn)性排名靠前的進(jìn)程,通過分析其彈出網(wǎng)頁的內(nèi)容等方式判斷其安全性�����,放入黑名單中�。
[0060]步驟S380,給出風(fēng)險(xiǎn)提示信息�,根據(jù)用戶選擇對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。
[0061]實(shí)際中��,也可以選擇直接攔截創(chuàng)建行為���。但考慮用戶可能對某些進(jìn)程存在特殊需求�����,通常先給出風(fēng)險(xiǎn)提示信息���,接收用戶反饋。該步驟與S260相似�,在步驟S260的基礎(chǔ)上,還可以進(jìn)一步給出服務(wù)器的分析結(jié)果�。
[0062]對于屬于白名單的進(jìn)程,可以允許其創(chuàng)建瀏覽器的行為��。
[0063]圖4示出了本發(fā)明另一個(gè)實(shí)施例的基于云安全攔截廣告程序的方法的流程圖�。如圖4所示,該方法包括如下步驟:
[0064]步驟S410��,監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為�;
[0065]步驟S420,獲取瀏覽器進(jìn)程的父進(jìn)程信息�;
[0066]步驟S430,遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識�����;
[0067]其中�����,步驟S410-S430與前述實(shí)施例中的步驟S210-S230相同,此處不再贅述
[0068]步驟S440���,在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識�����,如果能查詢到父進(jìn)程標(biāo)識�����,則表明父進(jìn)程對應(yīng)于可視化窗口�����,執(zhí)行步驟S450�����,否則��,執(zhí)行步驟S460�。
[0069]步驟S450�����,允許執(zhí)行父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為。
[0070]步驟S460��,獲取父進(jìn)程創(chuàng)建的瀏覽器進(jìn)程所要訪問的頁面URL��。
[0071]一種可能方式是通過瀏覽器中提供的插件機(jī)制�����,例如�����,在IE瀏覽器中���,通過響應(yīng)“BeforeNavigate2”事件可以獲取IE當(dāng)前加載的URL。在火狐(Firefox)瀏覽器中使用火狐擴(kuò)展機(jī)制提供的指定響應(yīng)事件接口����,獲取火狐瀏覽器當(dāng)前加載的URL。在谷歌(chrome)瀏覽器中使用網(wǎng)景插件應(yīng)用程序編程接口(Netscape Plugin Application ProgrammingInterface����,簡稱:NPAPI)插件機(jī)制�����,獲取谷歌瀏覽器當(dāng)前加載的URL����。
[0072]步驟S470��,將該頁面URL打包成密文上傳至服務(wù)器�,以供服務(wù)器通過云查詢獲知頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單。如果該頁面URL屬于URL黑名單�,執(zhí)行步驟S480 ;如果該頁面URL屬于URL白名單,執(zhí)行步驟S450��。
[0073]服務(wù)器收集常見的廣告���、游戲等頁面的URL�,加入黑名單中���;對用戶允許放行的瀏覽器創(chuàng)建行為�,收集該行為創(chuàng)建的瀏覽器頁面所打開的URL�,分析該URL頁面的內(nèi)容,或者統(tǒng)計(jì)大量用戶對該URL頁面的攔截情況�����,判斷該頁面是否為正常頁面,將判斷出的正常頁面加入白名單中�����。
[0074]上傳至服務(wù)器時(shí)�����,先將URL加密成密文����,然后發(fā)送給服務(wù)器���。這里��,可以采用可逆加密方法對URL進(jìn)行加密��,也可以采用不可逆加密方法對URL進(jìn)行加密����。舉例來說��,計(jì)算URL的特征值作為密文?�?蛇x地���,特征值可以為根據(jù)MD5 (Message Digest Algorithm,消息摘要算法第五版)計(jì)算得到的哈希值,或SHAl (Secure Hash Algorithm,安全哈希算法)碼,或CRC(Cyclic Redundancy Check,循環(huán)冗余校驗(yàn))碼等可唯一標(biāo)識原信息的特征碼�。需要說明的是�,在上傳URL的密文到服務(wù)器的時(shí)候,需要首先屏蔽可能帶有用戶密碼的網(wǎng)址字符串�����,不上傳此類URL��,以便保證用戶信息的安全�。
[0075]步驟S480,給出風(fēng)險(xiǎn)提示信息��,根據(jù)用戶選擇對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截���。
[0076]出于與步驟S370相同的理由�,優(yōu)選地��,先給出風(fēng)險(xiǎn)提示信息。
[0077]對于屬于白名單的URL對應(yīng)的父進(jìn)程�����,可以允許其創(chuàng)建瀏覽器的行為����。
[0078]根據(jù)本發(fā)明上述實(shí)施例提供的方法,通過捕獲創(chuàng)建進(jìn)程所必須的API函數(shù)實(shí)現(xiàn)對瀏覽器進(jìn)程創(chuàng)建行為的監(jiān)控�,找到發(fā)起該創(chuàng)建請求的父進(jìn)程,獲取該父進(jìn)程的進(jìn)程標(biāo)識�,遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識,在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識��,以此來判斷瀏覽器進(jìn)程的創(chuàng)建行為是否為用戶的主動選擇�,對于非用戶主動選擇的可疑進(jìn)程,給出風(fēng)險(xiǎn)提示信息�����,或者進(jìn)一步通過云端的進(jìn)程黑白名單或URL黑白名單確認(rèn)��。根據(jù)該方案可以有效攔截隱藏窗口的后臺進(jìn)程未經(jīng)用戶同意而彈出廣告����、游戲、購物����、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅,并且�����,通過云查詢的方式���,降低了對惡意程序行為和安全行為誤判的概率�����,進(jìn)一步提高系統(tǒng)的安全性和用戶的操作體驗(yàn)�����。
[0079]圖5示出了本發(fā)明另一個(gè)實(shí)施例的基于云安全攔截廣告程序的裝置的框圖����。如圖5所示,該裝置包括:
[0080]監(jiān)控模塊510�,適于監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為。
[0081]具體地�����,監(jiān)控模塊510通過監(jiān)控創(chuàng)建進(jìn)程的API函數(shù)的調(diào)用請求實(shí)現(xiàn)對創(chuàng)建行為的監(jiān)控。具體地�,應(yīng)用程序要創(chuàng)建一個(gè)Win32進(jìn)程,可能需要調(diào)用的API函數(shù)有CreateProcess�、CreateProcessAsUser等,倉Il建的新進(jìn)程運(yùn)行指定的可執(zhí)行文件,可執(zhí)行文件的路徑、文件名由API函數(shù)的參數(shù)指定,例如,參數(shù)IpApplicationName指定了可執(zhí)行模塊的路徑���,監(jiān)控模塊540捕獲該函數(shù)����,從其參數(shù)中獲得可執(zhí)行文件的路徑及文件名����,即可判斷出本次API調(diào)用創(chuàng)建的進(jìn)程是否為瀏覽器進(jìn)程。
[0082]獲取模塊520�����,適于當(dāng)監(jiān)控模塊510監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�,獲取瀏覽器進(jìn)程的父進(jìn)程的信息。
[0083]獲取模塊520獲取請求調(diào)用CreateProcess等API函數(shù)的應(yīng)用程序,從而獲取父進(jìn)程信息�����。獲取模塊520獲取父進(jìn)程的進(jìn)程信息可以包括但不限于獲取進(jìn)程名稱����,進(jìn)程標(biāo)識,進(jìn)程文件的路徑信息以及相關(guān)的動態(tài)鏈接庫文件等��。
[0084]獲取模塊520具體適于:當(dāng)監(jiān)控模塊510監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)��,獲取瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�。獲取模塊520獲取進(jìn)程名稱、進(jìn)程標(biāo)識等信息也可以通過調(diào)用API函數(shù)實(shí)現(xiàn)��,例如�,通過Process Status (進(jìn)程狀態(tài))API函數(shù)下的多個(gè)函數(shù)獲取進(jìn)程名稱;通過 GetCurrentProcessId 獲取進(jìn)程 ID 等��。
[0085]檢測模塊530��,適于根據(jù)瀏覽器進(jìn)程的父進(jìn)程的信息�,通過遍歷全部的可視化窗口,檢測父進(jìn)程是否對應(yīng)于可視化窗口��。
[0086]進(jìn)程被創(chuàng)建時(shí)會被分配給一個(gè)進(jìn)程標(biāo)識����。直到進(jìn)程中止這個(gè)標(biāo)識都是有效的����,并且不會改變���,在進(jìn)程有效的時(shí)間內(nèi)�,每個(gè)進(jìn)程的進(jìn)程標(biāo)識都是唯一的�,因此,檢測模塊530通過進(jìn)程標(biāo)識檢測父進(jìn)程是否對應(yīng)于可視化窗口�。
[0087]具體地,檢測模塊530包括:
[0088]遍歷模塊550����,適于遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識;遍歷模塊550可以用EnumWindows函數(shù)遍歷窗口����,獲取窗口的句柄,然后用GetWindowThreadProcessId函數(shù)獲得每個(gè)窗口句柄對應(yīng)的進(jìn)程標(biāo)識����。
[0089]查詢模塊560,適于在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識��,如果查詢到瀏覽器進(jìn)程的父進(jìn)程標(biāo)識���,則表明父進(jìn)程對應(yīng)于可視化窗口 �����;如果沒有查詢到瀏覽器進(jìn)程的父進(jìn)程標(biāo)識���,則表明父進(jìn)程不對應(yīng)于可視化窗口。
[0090]裝置還包括:處理模塊540�,適于根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理。
[0091]處理模塊540進(jìn)一步適于:對不對應(yīng)于可視化窗口的父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為��,給出風(fēng)險(xiǎn)提示信息����,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。[0092]處理模塊540對進(jìn)程創(chuàng)建行為的攔截可以按如下方式實(shí)現(xiàn)�。通常,一個(gè)進(jìn)程的創(chuàng)建過程如下:打開要被執(zhí)行的文件映像�,創(chuàng)建執(zhí)行進(jìn)程對象,創(chuàng)建初始線程及堆棧及上下文�����,通知Windows子系統(tǒng)有關(guān)進(jìn)程的信息���,開始初始線程的執(zhí)行���,執(zhí)行新進(jìn)程上下文中的進(jìn)程初始化�����。因此�,處理模塊540可以在其中任意一個(gè)步驟攔截其所必須調(diào)用的API函數(shù)���,達(dá)到攔截進(jìn)程創(chuàng)建的目的�����。例如����,處理模塊540在開始初始線程的步驟執(zhí)行之前����,對系統(tǒng)服務(wù)調(diào)度表中的Native API函數(shù)ZwCreateProcess的攔截。
[0093]處理模塊540向用戶提供風(fēng)險(xiǎn)提示信息具體為:在桌面指定區(qū)域彈出消息窗口���,將獲取模塊520獲取的父進(jìn)程信息�,如進(jìn)程名稱,進(jìn)程路徑���,相應(yīng)的可執(zhí)行文件名稱等展示給用戶�����,供用戶分析以做出決定,處理模塊540還可以根據(jù)現(xiàn)有的統(tǒng)計(jì)結(jié)果����,給出進(jìn)程及相應(yīng)的應(yīng)用程序的危險(xiǎn)等級、安全評分等信息并向用戶提供相應(yīng)的建議���。
[0094]可選地�����,裝置還包括:云查詢接口 580���,適于在預(yù)置的本地進(jìn)程白名單中查詢不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息,將未查詢到的的父進(jìn)程的進(jìn)程信息上傳至服務(wù)器��,以供服務(wù)器通過云查詢獲知父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單��,并從服務(wù)器接收查詢結(jié)果。
[0095]具體地�,云查詢接口 580將檢測模塊530檢測到的可疑進(jìn)程的進(jìn)程信息上傳至服務(wù)器,服務(wù)器根據(jù)進(jìn)程信息對相應(yīng)的可執(zhí)行文件或應(yīng)用程序進(jìn)行殺毒分析���,例如傳統(tǒng)的特征碼匹配方式�����,或者采用主動防御的方法���,分析應(yīng)用程序包含的行為特點(diǎn)。找出特征碼與病毒庫��,或惡意程序相匹配的應(yīng)用程序����,或行為動作觸發(fā)預(yù)設(shè)安全規(guī)則的應(yīng)用程序,將相應(yīng)的進(jìn)程信息加入到進(jìn)程黑名單中�。
[0096]服務(wù)器上的黑名單也可以通過人工運(yùn)營的方式產(chǎn)生,服務(wù)器端定期對來自客戶端的病毒或惡意程序數(shù)據(jù)進(jìn)行統(tǒng)計(jì)���,對使用數(shù)量排名靠前或者增長速度靠前或者危險(xiǎn)性排名靠前的進(jìn)程�����,通過分析其彈出網(wǎng)頁的內(nèi)容等方式判斷其安全性�����,放入黑名單中�����。
[0097]則處理模塊540進(jìn)一步適于:如果云查詢接口 570從服務(wù)器接收的查詢結(jié)果表明所述父進(jìn)程屬于所述進(jìn)程黑名單���,給出風(fēng)險(xiǎn)提示信息,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截�。
[0098]可選地,裝置還包括:頁面URL提取模塊570��,適于對不對應(yīng)于可視化窗口的父進(jìn)程�����,獲取父進(jìn)程創(chuàng)建的瀏覽器進(jìn)程所要訪問的頁面URL�����。
[0099]頁面URL提取模塊570獲取URL的一種可能方式是通過瀏覽器中提供的插件機(jī)制,例如�,在IE瀏覽器中,頁面URL提取模塊570通過響應(yīng)“BeforeNavigate”事件獲取IE當(dāng)前加載的URL��,在火狐(Firefox)瀏覽器中頁面URL提取模塊570使用火狐擴(kuò)展機(jī)制提供的指定響應(yīng)事件接口��,獲取火狐瀏覽器當(dāng)前加載的URL��。在谷歌(clrome)瀏覽器中使用網(wǎng)景插件應(yīng)用程序編程接口(Netscape Plugin Application Programming Interface,簡稱:NPAPI)插件機(jī)制��,獲取谷歌瀏覽器當(dāng)前加載的URL�。
[0100]云查詢接口 580還可以適于將頁面URL提取模塊570所獲取的頁面URL打包成密文后上傳至服務(wù)器,以供服務(wù)器通過云查詢獲知頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單并從服務(wù)器接收查詢結(jié)果���。
[0101]處理模塊540進(jìn)一步適于:如果云查詢接口 570從服務(wù)器接收的查詢結(jié)果表明所述頁面URL屬于所述URL黑名單�����,給出風(fēng)險(xiǎn)提示信息���,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。[0102]圖6示出了本發(fā)明另一實(shí)施例提供的基于云安全攔截廣告程序的系統(tǒng)����,如圖6所示���,該系統(tǒng)包括上一實(shí)施例中的基于云安全攔截廣告程序的裝置,還包括:向該裝置提供云查詢服務(wù)的服務(wù)器���。
[0103]根據(jù)本發(fā)明上述實(shí)施例提供的裝置和系統(tǒng)�,監(jiān)控模塊通過捕獲創(chuàng)建進(jìn)程所必須的API函數(shù)實(shí)現(xiàn)對瀏覽器進(jìn)程創(chuàng)建行為的監(jiān)控���,找到發(fā)起該創(chuàng)建請求的父進(jìn)程���,獲取模塊獲取該父進(jìn)程的進(jìn)程信息,其中包括進(jìn)程標(biāo)識����,遍歷模塊遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識�����,查詢模塊在全部的可視化窗口的進(jìn)程標(biāo)識中查詢?yōu)g覽器進(jìn)程的父進(jìn)程標(biāo)識�,以此來判斷瀏覽器進(jìn)程的創(chuàng)建行為是否為用戶的主動選擇,對于非用戶主動選擇的可疑進(jìn)程���,處理模塊給出風(fēng)險(xiǎn)提示信息��,或者進(jìn)一步地�����,云查詢接口將進(jìn)程信息和待訪問頁面的URL發(fā)送至服務(wù)器���,通過云端的進(jìn)程黑白名單或URL黑白名單確認(rèn)�����。根據(jù)該方案�,可以有效攔截隱藏窗口的后臺進(jìn)程未經(jīng)用戶同意而彈出廣告��、游戲、購物��、釣魚網(wǎng)站等瀏覽器頁面的干擾或威脅,并且�,通過云查詢的方式���,降低了對惡意程序行為和安全行為誤判的概率�,進(jìn)一步提高系統(tǒng)的安全性和用戶的操作體驗(yàn)���。
[0104]在此提供的算法和顯示不與任何特定計(jì)算機(jī)、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)���。各種通用系統(tǒng)也可以與基于在此的示教一起使用���。根據(jù)上面的描述,構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的����。此外����,本發(fā)明也不針對任何特定編程語言���。應(yīng)當(dāng)明白,可以利用各種編程語言實(shí)現(xiàn)在此描述的本發(fā)明的內(nèi)容�����,并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實(shí)施方式�����。
[0105]在此處所提供的說明書中�����,說明了大量具體細(xì)節(jié)���。然而��,能夠理解����,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐���。在一些實(shí)例中,并未詳細(xì)示出公知的方法���、結(jié)構(gòu)和技術(shù)��,以便不模糊對本說明書的理解�。
[0106]類似地,應(yīng)當(dāng)理解��,為了精簡本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)�����,在上面對本發(fā)明的示例性實(shí)施例的描述中����,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例�、圖、或者對其的描述中�����。然而���,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征。更確切地說���,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征��。因此����,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例����。
[0107]本領(lǐng)域那些技術(shù)人員可以理解����,可以對實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中�����。可以把實(shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件�����,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件����。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合��。除非另外明確陳述�����,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同、等同或相似目的的替代特征來代替��。
[0108]此外�����,本領(lǐng)域的技術(shù)人員能夠理解���,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征��,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例。例如�����,在下面的權(quán)利要求書中�,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來使用。
[0109]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)�,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的程序模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)����。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實(shí)踐中使用微處理器或者數(shù)字信號處理器(DSP)來實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的基于云安全攔截廣告程序的裝置和系統(tǒng)中的一些或者全部部件的一些或者全部功能���。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)���。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲在計(jì)算機(jī)可讀介質(zhì)上����,或者可以具有一個(gè)或者多個(gè)信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供�����,或者以任何其他形式提供����。
[0110]應(yīng)該注意的是上述實(shí)施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制�,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例。在權(quán)利要求中����,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟��。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來實(shí)現(xiàn)���。在列舉了若干裝置的單元權(quán)利要求中��,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來具體體現(xiàn)��。單詞第一�、第二�����、以及第三等的使用不表示任何順序��?��?蓪⑦@些單詞解釋為名稱�����。
[0111]本發(fā)明公開了:
[0112]Al��、一種基于云安全攔截廣告程序的方法,包括:
[0113]監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為���;
[0114]當(dāng)監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�,獲取所述瀏覽器進(jìn)程的父進(jìn)程的信息����;
[0115]根據(jù)所述瀏覽器進(jìn)程的父進(jìn)程的信息,通過遍歷全部的可視化窗口�,檢測所述父進(jìn)程是否對應(yīng)于可視化窗口;
[0116]根據(jù)檢測結(jié)果對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理�。
[0117]2A�����、根據(jù)Al所述的方法�����,所述獲取瀏覽器進(jìn)程的父進(jìn)程的信息具體為:獲取瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����;
[0118]所述通過遍歷全部的可視化窗口����,檢測父進(jìn)程是否對應(yīng)于可視化窗口具體包括:
[0119]遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識����;
[0120]在全部的可視化窗口的進(jìn)程標(biāo)識中查詢所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識,如果查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�,則表明父進(jìn)程對應(yīng)于可視化窗口 ����;如果沒有查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識,則表明父進(jìn)程不對應(yīng)于可視化窗口���。
[0121]A3、根據(jù)Al或A2所述的方法�����,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括:對不對應(yīng)于可視化窗口的父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為�,給出風(fēng)險(xiǎn)提示信息,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截���。
[0122]A4����、根據(jù)Al或A2所述的方法�����,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括:
[0123]在預(yù)置的本地進(jìn)程白名單中查詢所述不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息��,如果查詢成功�,允許所述父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為��;
[0124]否則將所述父進(jìn)程的進(jìn)程信息上傳至服務(wù)器���,以供所述服務(wù)器通過云查詢獲知所述父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單���;
[0125]如果所述父進(jìn)程屬于所述進(jìn)程黑名單,給出風(fēng)險(xiǎn)提示信息����,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。
[0126]A5����、根據(jù)Al或A2所述的方法,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括:
[0127]對不對應(yīng)于可視化窗口的父進(jìn)程�����,獲取所述父進(jìn)程創(chuàng)建的瀏覽器進(jìn)程所要訪問的頁面URL�,將該頁面URL打包成密文,上傳至服務(wù)器,以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單����;
[0128]如果所述頁面URL屬于所述URL黑名單,給出風(fēng)險(xiǎn)提示信息��,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截��。
[0129]B6�、一種基于云安全攔截廣告程序的裝置,包括:
[0130]監(jiān)控模塊,適于監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為�����;
[0131]獲取模塊��,適于當(dāng)所述監(jiān)控模塊監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)�,獲取所述瀏覽器進(jìn)程的父進(jìn)程的信息;
[0132]檢測模塊��,適于根據(jù)所述瀏覽器進(jìn)程的父進(jìn)程的信息����,通過遍歷全部的可視化窗口,檢測所述父進(jìn)程是否對應(yīng)于可視化窗口 �����;
[0133]處理模塊��,適于根據(jù)檢測結(jié)果對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理�。
[0134]B7、根據(jù)B6所述的裝置����,所述獲取模塊具體適于:當(dāng)所述監(jiān)控模塊監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí),獲取瀏覽器進(jìn)程的父進(jìn)程標(biāo)識��;
[0135]所述檢測模塊包括:
[0136]遍歷模塊����,適于遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識;
[0137]查詢模塊�����,適于在全部的可視化窗口的進(jìn)程標(biāo)識中查詢所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識���,如果查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識���,則表明父進(jìn)程對應(yīng)于可視化窗口 �����;如果沒有查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�,則表明父進(jìn)程不對應(yīng)于可視化窗口�����。
[0138]B8��、根據(jù)B6或B7所述的裝置���,所述處理模塊進(jìn)一步適于:對不對應(yīng)于可視化窗口的父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為���,給出風(fēng)險(xiǎn)提示信息,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截�。
[0139]B9、根據(jù)B6或B7所述的裝置��,還包括:云查詢接口�����,適于在預(yù)置的本地進(jìn)程白名單中查詢不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息,將未查詢到的父進(jìn)程的進(jìn)程信息上傳至服務(wù)器����,以供所述服務(wù)器通過云查詢獲知所述父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單��,并從服務(wù)器接收查詢結(jié)果�����;
[0140]所述處理模塊進(jìn)一步適于:如果查詢結(jié)果表明所述父進(jìn)程屬于所述進(jìn)程黑名單��,給出風(fēng)險(xiǎn)提示信息���,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截���。
[0141]B10、根據(jù)B6或B7所述的裝置����,還包括:
[0142]頁面URL提取模塊,適于對不對應(yīng)于可視化窗口的父進(jìn)程�,獲取所述父進(jìn)程創(chuàng)建的瀏覽器進(jìn)程所要訪問的頁面URL ��;
[0143]云查詢接口����,適于將所述頁面URL提取模塊所獲取的頁面URL打包成密文后上傳至服務(wù)器���,以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單并從服務(wù)器接收查詢結(jié)果���;
[0144]所述處理模塊進(jìn)一步適于:如果查詢結(jié)果表明所述頁面URL屬于所述URL黑名單,給出風(fēng)險(xiǎn)提示信息���,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截�。
[0145]ClU一種基于云安全攔截廣告程序的系統(tǒng),包括B6-B10任一項(xiàng)所述的基于云安全攔截廣告程序的裝置��,還包括:向所述裝置提供云查詢服務(wù)的服務(wù)器�����。
【權(quán)利要求】
1.一種基于云安全攔截廣告程序的方法����,包括: 監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為; 當(dāng)監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)����,獲取所述瀏覽器進(jìn)程的父進(jìn)程的信息�; 根據(jù)所述瀏覽器進(jìn)程的父進(jìn)程的信息����,通過遍歷全部的可視化窗口,檢測所述父進(jìn)程是否對應(yīng)于可視化窗口��; 根據(jù)檢測結(jié)果對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理����。
2.根據(jù)權(quán)利要求1所述的方法����,所述獲取瀏覽器進(jìn)程的父進(jìn)程的信息具體為:獲取瀏覽器進(jìn)程的父進(jìn)程標(biāo)識; 所述通過遍歷全部的可視化窗口����,檢測父進(jìn)程是否對應(yīng)于可視化窗口具體包括: 遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識; 在全部的可視化窗口的進(jìn)程標(biāo)識中查詢所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����,如果查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����,則表明父進(jìn)程對應(yīng)于可視化窗口 ;如果沒有查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����,則表明父進(jìn)程不對應(yīng)于可視化窗口�。
3.根據(jù)權(quán)利要求1或2所述的方法,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括:對不對應(yīng)于可視化窗口的父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為�����,給出風(fēng)險(xiǎn)提示信息�,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。
4.根據(jù)權(quán)利要求1或2所述的方法���,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括: 在預(yù)置的本地進(jìn)程白名單中查詢所述不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息���,如果查詢成功,允許所述父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為��; 否則將所述父進(jìn)程的進(jìn)程信息上傳至服務(wù)器�,以供所述服務(wù)器通過云查詢獲知所述父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單; 如果所述父進(jìn)程屬于所述進(jìn)程黑名單,給出風(fēng)險(xiǎn)提示信息�����,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截����。
5.根據(jù)權(quán)利要求1或2所述的方法,所述根據(jù)檢測結(jié)果對瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理具體包括: 對不對應(yīng)于可視化窗口的父進(jìn)程����,獲取所述父進(jìn)程創(chuàng)建的瀏覽器進(jìn)程所要訪問的頁面URL,將該頁面URL打包成密文,上傳至服務(wù)器����,以供服務(wù)器通過云查詢獲知所述頁面URL是否屬于服務(wù)器保存的URL黑名單和/或白名單����; 如果所述頁面URL屬于所述URL黑名單,給出風(fēng)險(xiǎn)提示信息�,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截。
6.一種基于云安全攔截廣告程序的裝置�,包括: 監(jiān)控模塊,適于監(jiān)控瀏覽器進(jìn)程的創(chuàng)建行為����; 獲取模塊��,適于當(dāng)所述監(jiān)控模塊監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí)��,獲取所述瀏覽器進(jìn)程的父進(jìn)程的信息�; 檢測模塊�,適于根據(jù)所述瀏覽器進(jìn)程的父進(jìn)程的信息,通過遍歷全部的可視化窗口����,檢測所述父進(jìn)程是否對應(yīng)于可視化窗口; 處理模塊�,適于根據(jù)檢測結(jié)果對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行處理。
7.根據(jù)權(quán)利要求6所述的裝置�,所述獲取模塊具體適于:當(dāng)所述監(jiān)控模塊監(jiān)測到瀏覽器進(jìn)程的創(chuàng)建請求時(shí),獲取瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����; 所述檢測模塊包括: 遍歷模塊��,適于遍歷全部的可視化窗口并獲取每個(gè)可視化窗口對應(yīng)進(jìn)程的進(jìn)程標(biāo)識���; 查詢模塊����,適于在全部的可視化窗口的進(jìn)程標(biāo)識中查詢所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識,如果查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����,則表明父進(jìn)程對應(yīng)于可視化窗口 ��;如果沒有查詢到所述瀏覽器進(jìn)程的父進(jìn)程標(biāo)識�����,則表明父進(jìn)程不對應(yīng)于可視化窗口��。
8.根據(jù)權(quán)利要求6或7所述的裝置�,所述處理模塊進(jìn)一步適于:對不對應(yīng)于可視化窗口的父進(jìn)程創(chuàng)建瀏覽器進(jìn)程的行為,給出風(fēng)險(xiǎn)提示信息����,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截����。
9.根據(jù)權(quán)利要求6或7所述的裝置,還包括:云查詢接口����,適于在預(yù)置的本地進(jìn)程白名單中查詢不對應(yīng)于可視化窗口的父進(jìn)程的進(jìn)程信息�����,將未查詢到的父進(jìn)程的進(jìn)程信息上傳至服務(wù)器�,以供所述服務(wù)器通過云查詢獲知所述父進(jìn)程是否屬于服務(wù)器保存的進(jìn)程黑名單���,并從服務(wù)器接收查詢結(jié)果�����; 所述處理模塊進(jìn)一步適于:如果查詢結(jié)果表明所述父進(jìn)程屬于所述進(jìn)程黑名單��,給出風(fēng)險(xiǎn)提示信息�����,根據(jù)用戶選擇對所述瀏覽器進(jìn)程的創(chuàng)建行為進(jìn)行攔截����。
10.一種基于云安全攔截廣告程序的系統(tǒng)��,包括權(quán)利要求6-9任一項(xiàng)所述的基于云安全攔截廣告程序的裝置�,還包括 :向所述裝置提供云查詢服務(wù)的服務(wù)器�。
【文檔編號】H04L29/08GK103617395SQ201310656591
【公開日】2014年3月5日 申請日期:2013年12月6日 優(yōu)先權(quán)日:2013年12月6日
【發(fā)明者】趙龍, 鄒貴強(qiáng) 申請人:北京奇虎科技有限公司, 奇智軟件(北京)有限公司