本发明专利技术公开了一种基于BHO技术动态检测系统,所述BHO技术动态检测系统包括任务读取分发模块、虚拟机任务控制模块、BHO模块、日志模块和日志分析模块,该方法能够很精确的得知何时IE对于网页访问完毕,另外该方法可以在一个模拟用户真实环境的情况下对多个网页同时进行检测,而且在每个网页检测完毕之后,该网页对于虚拟机的任何改变都会被修复回来,以保证整个系统不被恶意网页做任何修改。另外该方法利用机器学习方法对于恶意网页行为判定的提取确定,从而提高恶意网页检测的准确率,通过这个方法,可以大幅提高系统对于恶意网页检测的效率以及准确率。
【技术实现步骤摘要】
本专利技术涉及属于互联网领域,具体涉及一种基于BHO技术动态检测系统。
技术介绍
现今出现的所有恶意网页检测系统中基本山都是利用客户端蜜罐系统或者是真实模拟用户的虚拟机来检测的,但是在对恶意网页检测的过程中这些系统一次只能检测一个 url(否则当有恶意行为出现时,很难区分到底哪一个网页是恶意的),一般的客户端蜜罐或者沙箱系统并不能真实的模拟用户环境,一般的恶意网页利用的都是第三方控件的漏洞或者是 IE 的真实漏洞,一般这些系统很难提供这些环境,所以在检测过程中就会有很大的漏报。对于已经有的这些检测系统当检测完一个 url后要么在下次检测的时候重新启动一个新的客户端蜜罐或者沙箱,效率很低。而在模拟用户的虚拟机检测过程中,加入检测的是一个恶意网页,该网页对虚拟机多多少少会有些影响,在利用这个虚拟机检测下一个网页的时候,有可能会发生检测漏报情况(有些恶意网页是利用 cookie 来判断客户端是否访问过该恶意网页)。另外大多数系统在利用 IE 访问网页的时候,很难把握何时浏览器算是对网页访问完毕,一般系统会根据浏览量来判断,或者自己设定一个超时时间,这样也会对于检测效率和结果有些影响。
技术实现思路
本专利技术的目的在于提供一种基于BHO技术动态检测系统。为实现上述目的,本专利技术提供以下的技术方案:一种基于BHO技术动态检测系统,所述BHO技术动态检测系统包括任务读取分发模块、任务控制模块、BHO 模块、日志模块和日志分析模块,所述由任务分发模块从一个已经准备好的待检测的 url 集合文件中将待检测的 url 一次性读进内存,然后将这些任务通过 socket 通信分发给任务控制模块接收到待检测的 url 后,会单独创建一个任务线程去处理这个 url,该线程主要任务是创建新的 IE 进程模拟用户浏览该 url,此时 BHO 模块会在整个浏览过程中将 IE 的各个行为记录到日志文件,当该 url 浏览完毕,IE 进程自动结束,任务线程接下来调用日志分析模块分析记录的日志文件,然后按照一定判定规则得出结论,最后任务线程将得到的结果通过 socket 通信传给任务分发模块,当任务分发模块收到结果后会将最终的检测结果存入数据库模块。优选的,上述的流程中待检测的 url 集合组织形式为一个文本文件,该文件中每行都存有一个待 url,组织形式为“url1 url2”,其中 url1 为可用浏览器直接浏览的网页url,url2一般为被怀疑 url1 代表的网页中包含的恶意 js 脚本,一般情况下 url2为空。优选的,任务控制模块主线程首先初始化 socket,监听约定端口,然后通过套接字 SELECT 模型来接收任务处理模块发起的链接和任务数据包。优选的,在任务控制模块中定义有一个任务线程计数 count,整个模块中所有对于该计数的任何加减操作都是原子操作。每次在创建新任务线程时,首先判断当前已有任务线程数 count 是否大于预定义的 MAXCLIENT 的值,如果是,那么不做任何处理,否则就检查任务 map 中是否还有待检测的 url,如果有就从任务 map 中取出一个任务,同时创建一个新的任务线程对该任务进行处理,同时将任务线程计数count 加 1。优选的,BHO 模块为一个dll,其在注册表中的位置为HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser HelperObj ects\\。。优选的,在该模块创建文件时,首先通过GetCurrentProcessId() 获得当前IE进程的Pid,然后通过该Pid在C\\I ELog文件夹下创建日志文件Pid. log,如果该文件夹下有相同的日志文件名的日志文件,那么新创建的日志文件将覆盖原来的日志文件。采用以上技术方案的有益效果是:本专利技术提供了一种基于BHO技术动态检测系统,所述BHO技术动态检测系统包括任务读取分发模块、虚拟机任务控制模块、BHO 模块、日志模块和日志分析模块,该方法能够很精确的得知何时 IE 对于网页访问完毕,另外该方法可以在一个模拟用户真实环境的情况下对多个网页同时进行检测,而且在每个网页检测完毕之后,该网页对于虚拟机的任何改变都会被修复回来,以保证整个系统不被恶意网页做任何修改。另外该方法利用机器学习方法对于恶意网页行为判定的提取确定,从而提高恶意网页检测的准确率,通过这个方法,可以大幅提高系统对于恶意网页检测的效率以及准确率。附图说明图1为本专利技术的实施例的示意图。具体实施方式为使本专利技术 实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本专利技术。实施例:一种基于BHO技术动态检测系统,其特征在于,所述BHO技术动态检测系统包括任务读取分发模块、任务控制模块、BHO 模块、日志模块和日志分析模块,所述由任务分发模块从一个已经准备好的待检测的 url 集合文件中将待检测的 url 一次性读进内存,然后将这些任务通过 socket 通信分发给任务控制模块接收到待检测的 url 后,会单独创建一个任务线程去处理这个 url,该线程主要任务是创建新的 IE 进程模拟用户浏览该 url,此时 BHO 模块会在整个浏览过程中将 IE 的各个行为记录到日志文件,当该 url 浏览完毕,IE 进程自动结束,任务线程接下来调用日志分析模块分析记录的日志文件,然后按照一定判定规则得出结论,最后任务线程将得到的结果通过 socket 通信传给任务分发模块,当任务分发模块收到结果后会将最终的检测结果存入数据库模块。所述上述的流程中待检测的 url 集合组织形式为一个文本文件,该文件中每行都存有一个待 url,组织形式为“url1 url2”,其中 url1 为可用浏览器直接浏览的网页url,url2一般为被怀疑 url1 代表的网页中包含的恶意 js 脚本,一般情况下 url2为空。所述任务控制模块主线程首先初始化 socket,监听约定端口,然后通过套接字 SELECT 模型来接收任务处理模块发起的链接和任务数据包,所述在任务控制模块中定义有一个任务线程计数 count,整个模块中所有对于该计数的任何加减操作都是原子操作。每次在创建新任务线程时,首先判断当前已有任务线程数 count 是否大于预定义的 MAXCLIENT 的值,如果是,那么不做任何处理,否则就检查任务 map 中是否还有待检测的 url,如果有就从任务 map 中取出一个任务,同时创建一个新的任务线程对该任务进行处理,同时将任务线程计数count 加 1,所述BHO 模块为一个dll,其在注册表中的位置为HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser HelperObj ects\\,所述在该模块创建文件时,首先通过GetCurrentProcessId() 获得当前IE进程的Pid,然后通过该Pid在C\\I ELog文件夹下创建日志文件Pid. log,如果该文件夹下有相同的日志文件名的日志文件,那么新创建的日志文件将覆盖原来的日志文件。本专利技术提供了一种基于BHO技术动态检测系统,所本文档来自技高网...
【技术保护点】
一种基于BHO技术动态检测系统,其特征在于,所述BHO技术动态检测系统包括任务读取分发模块、任务控制模块、BHO 模块、日志模块和日志分析模块,所述由任务分发模块从一个已经准备好的待检测的 url 集合文件中将待检测的 url 一次性读进内存,然后将这些任务通过 socket 通信分发给任务控制模块接收到待检测的 url 后,会单独创建一个任务线程去处理这个 url,该线程主要任务是创建新的 IE 进程模拟用户浏览该 url,此时 BHO 模块会在整个浏览过程中将 IE 的各个行为记录到日志文件,当该 url 浏览完毕,IE 进程自动结束,任务线程接下来调用日志分析模块分析记录的日志文件,然后按照一定判定规则得出结论,最后任务线程将得到的结果通过 socket 通信传给任务分发模块,当任务分发模块收到结果后会将最终的检测结果存入数据库模块。
【技术特征摘要】
1.一种基于BHO技术动态检测系统,其特征在于,所述BHO技术动态检测系统包括任务读取分发模块、任务控制模块、BHO 模块、日志模块和日志分析模块,所述由任务分发模块从一个已经准备好的待检测的 url 集合文件中将待检测的 url 一次性读进内存,然后将这些任务通过 socket 通信分发给任务控制模块接收到待检测的 url 后,会单独创建一个任务线程去处理这个 url,该线程主要任务是创建新的 IE 进程模拟用户浏览该 url,此时 BHO 模块会在整个浏览过程中将 IE 的各个行为记录到日志文件,当该 url 浏览完毕,IE 进程自动结束,任务线程接下来调用日志分析模块分析记录的日志文件,然后按照一定判定规则得出结论,最后任务线程将得到的结果通过 socket 通信传给任务分发模块,当任务分发模块收到结果后会将最终的检测结果存入数据库模块。2.根据权利要求1所述的一种基于BHO技术动态检测系统,其特征在于:上述的流程中待检测的 url 集合组织形式为一个文本文件,该文件中每行都存有一个待 url,组织形式为“url1 url2”,其中 url1 为可用浏览器直接浏览的网页url,url2一般为被怀疑 url1 代表的网页中包含的恶意 js 脚本,一般情况下 url2为空。3.根据权利要求所述2的一种基于BHO技术动态检测系统,其特征在于:任务控制模块主线程首先初始化 s...
【专利技术属性】
技术研发人员:董雄飞,
申请(专利权)人:合肥酷睿网络科技有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。