本申请提供一种检测网页恶意行为的方法和装置。该方法包括:浏览器根据用户的网页访问请求,打开网页;所述浏览器确定所述网页存在可疑行为,所述可疑行为包括弹窗、跳转、摄像头调用、文件访问、拉起第三方应用、打电话、发送SMS中的一种或多种;所述浏览器将所述网页在沙箱中重新打开;如果在沙箱中打开的所述网页仍存在可疑行为,所述浏览器向服务器上报所述网页存在恶意行为。本申请实施例的技术方案根据网页行为在沙箱中的重演来识别恶意行为,能够精准和高效地识别网页的恶意行为。
Methods and devices for detecting malicious behavior of web pages
【技术实现步骤摘要】
检测网页恶意行为的方法和装置
本申请涉及浏览器安全
,并且更具体地,涉及一种检测网页恶意行为的方法和装置。
技术介绍
浏览器是一种用于检索并展示互联网信息资源的应用程序,给用户带来了很多丰富的体验。但有部分网页、网站的作者会在页面中嵌入恶意的代码,这些恶意的代码使得浏览器产生非用户预期的行为。例如,用户在访问某些网页时,会自动弹出下载软件的弹窗或者自动跳出网页打开其他应用软件的行为。对于这些恶意行为,无论是从安全还是用户体验角度,浏览器都需要进行拦截。但也有一些弹窗、跳转等网页行为是用户的主动行为。对于用户的主动行为,不能对其进行拦截。因此,在对恶意行为进行拦截之前,浏览器首先要检测这些网页的行为是用户的主动行为,还是网页自动产生的恶意行为。现有技术通常采用代码分析检测方法来识别网页恶意行为,通过分析网页代码中的各种特征,来识别网页代码是否存在恶意行为。但这种方式需要对代码进行分析,浏览器的处理能力有限,处理起来难度比较高。而且,一般代码都有一定的防范措施,识别模型也需要动态学习,这使得识别的成本变高。也有通过用户反馈的方式进行识别,但用户的反馈信息可能存在错误、不准确的信息,需要大量的人力来识别,成本偏高。而且很多网页既有用户手动操作的入口,同时也有自动弹窗或者跳转的行为,无法精准识别网页恶意行为特征,容易误拦截。
技术实现思路
本申请提供一种检测网页恶意行为的方法和装置,能够精准和高效地识别网页的恶意行为。第一方面,提供了一种检测网页恶意行为的方法,该方法包括:浏览器根据用户的网页访问请求,打开网页;该浏览器确定网页存在可疑行为,该可疑行为包括弹窗、跳转、摄像头调用、文件访问、拉起第三方应用、打电话、发送SMS中的一种或多种;该浏览器将该网页在沙箱中重新打开;如果在沙箱中打开的该网页仍存在可疑行为,该浏览器向服务器上报该网页存在恶意行为。应理解,该可疑行为可以是网页自动产生的恶意行为,也可以是用户主动点击所产生的网页行为。在沙箱中重新打开具有可疑行为的网页,通过检测该可疑行为是否在沙箱中重演,来识别该可疑行为是否为恶意行为,使浏览器能够自动识别网页的恶意行为,提高恶意行为识别的效率及精确性。又通过浏览器向服务器上报该网页存在恶意行为,提高上报信息的准确性及可信度。同时通过在用户端真实用户的访问,避免在云侧识别容易被恶意网站识别出来的问题。结合第一方面,在第一方面的某些实现方式中,该方法还包括,该浏览器对该恶意行为进行拦截。通过浏览器对该恶意行为的拦截,避免用户使用过程中恶意行为的出现,使得在提高浏览器安全性的同时提高用户的体验。结合第一方面,在第一方面的某些实现方式中,该浏览器向服务器上报该网页存在恶意行为还包括上报该网页的网址和该恶意行为的行为特征。结合第一方面,在第一方面的某些实现方式中,该行为特征包括:该网页的行为、行为触发时机和触发结果。结合第一方面,在第一方面的某些实现方式中,在该浏览器将该网页在沙箱中重新打开之前,该方法还包括:如果该网页的网址属于预先存储的恶意网址黑名单,且该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,该浏览器拦截该网页的可疑行为;该浏览器将该网页在沙箱中重新打开,包括:如果该网页的网址不属于预先存储的恶意网址黑名单,或该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征不匹配,该浏览器将该网页在沙箱中重新打开。在该浏览器将该网页在沙箱中重新打开之前,首先对该网页的网址及可疑行为进行预先检测,如果该网页的网址及可疑行为的行为特征与黑名单中的匹配,则直接进行拦截,而不需要启动沙箱检测,可以提高恶意行为的检测效率。同时通过行为特征进行识别,可以规避代码分析等技术方案的复杂度,降低端侧功耗。结合第一方面,在第一方面的某些实现方式中,如果该网页的网址属于预先存储的恶意网址黑名单,且该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,还包括:该浏览器向服务器上报该网页仍存在恶意行为。结合第一方面,在第一方面的某些实现方式中,该浏览器向服务器上报该网页仍存在恶意行为还包括上报该网页的网址和该恶意行为的行为特征。结合第一方面,在第一方面的某些实现方式中,该方法还包括:该浏览器从该服务器下载更新后的该恶意网址黑名单。浏览器可以从服务器下载实时更新的恶意网址黑名单,从而避免在网页行为做出调整之后浏览器对其的误管,从而适应变化频繁的网页环境。第二方面,提供了一种检测网页恶意行为的装置,该装置包括:第一处理模块,用于浏览器根据用户的网页访问请求,打开网页;确定模块,用于该浏览器确定该网页存在可疑行为,该可疑行为包括弹窗、跳转、摄像头调用、文件访问、拉起第三方应用、打电话、发送SMS中的一种或多种;第二处理模块,用于该浏览器将该网页在沙箱中重新打开;上报模块,用于如果在沙箱中打开的该网页仍存在可疑行为,该浏览器向服务器上报该网页存在恶意行为。在沙箱中重新打开具有可疑行为的网页,通过检测该可疑行为是否在沙箱中重演,来识别该可疑行为是否为恶意行为,使浏览器能够自动识别网页的恶意行为,提高恶意行为识别的效率及精确性。又通过浏览器向服务器上报该网页存在恶意行为,提高上报信息的准确性及可信度。同时通过在用户端真实用户的访问,避免在云侧识别容易被恶意网站识别出来的问题。结合第二方面,在第二方面的某些实现方式中,该装置还包括:第三处理模块,用于该浏览器对该恶意行为进行拦截。通过浏览器对该恶意行为的拦截,避免用户使用过程中恶意行为的出现,使得在提高浏览器安全性的同时提高用户的体验。结合第二方面,在第二方面的某些实现方式中,该第一上报模块还包括上报该网页的网址和该恶意行为的行为特征。结合第二方面,在第二方面的某些实现方式中,该行为特征包括:该网页的行为、行为触发时机和触发结果。结合第二方面,在第二方面的某些实现方式中,该装置还包括:第四处理模块,用于在该浏览器将该网页在沙箱中重新打开之前,如果该网页的网址属于预先存储的恶意网址黑名单,且该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,该浏览器拦截该网页的可疑行为;第五处理模块,用于该浏览器将该网页在沙箱中重新打开,如果该网页的网址不属于预先存储的恶意网址黑名单,或该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征不匹配,该浏览器将该网页在沙箱中重新打开。在该浏览器将该网页在沙箱中重新打开之前,首先对该网页的网址及可疑行为进行预先检测,如果该网页的网址及可疑行为的行为特征与黑名单中的匹配,则直接进行拦截,而不需要启动沙箱检测,可以提高恶意行为的检测效率。同时通过行为特征进行识别,可以规避代码分析等技术方案的复杂度,降低端侧功耗。结合第二方面,在第二方面的某些实现方式中,该装置还包括第二上报模块,用于如果该网页的网址属于预先存储的恶意网址黑名单,且该网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,该浏览器向服务器上报该网页仍存在恶意行为。结合第二方面,本文档来自技高网...
【技术保护点】
1.一种检测网页恶意行为的方法,其特征在于,包括:/n浏览器根据用户的网页访问请求,打开网页;/n所述浏览器确定所述网页存在可疑行为,所述可疑行为包括弹窗、跳转、摄像头调用、文件访问、拉起第三方应用、打电话、发送SMS中的一种或多种;/n所述浏览器将所述网页在沙箱中重新打开;/n如果在沙箱中打开的所述网页仍存在可疑行为,所述浏览器向服务器上报所述网页存在恶意行为。/n
【技术特征摘要】
1.一种检测网页恶意行为的方法,其特征在于,包括:
浏览器根据用户的网页访问请求,打开网页;
所述浏览器确定所述网页存在可疑行为,所述可疑行为包括弹窗、跳转、摄像头调用、文件访问、拉起第三方应用、打电话、发送SMS中的一种或多种;
所述浏览器将所述网页在沙箱中重新打开;
如果在沙箱中打开的所述网页仍存在可疑行为,所述浏览器向服务器上报所述网页存在恶意行为。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
所述浏览器对所述恶意行为进行拦截。
3.根据权利要求1或2所述的方法,其特征在于,所述浏览器向服务器上报所述网页存在恶意行为还包括上报所述网页的网址和所述恶意行为的行为特征。
4.根据权利要求3所述的方法,其特征在于,所述行为特征包括:所述网页的行为、行为触发时机和触发结果。
5.根据权利要求1-4中任一项所述的方法,其特征在于,
在所述浏览器将所述网页在沙箱中重新打开之前,所述方法还包括:
如果所述网页的网址属于预先存储的恶意网址黑名单,且所述网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,所述浏览器拦截所述网页的可疑行为;
所述浏览器将所述网页在沙箱中重新打开,包括:
如果所述网页的网址不属于预先存储的恶意网址黑名单,或所述网页的可疑行为的行为特征与预先记录的恶意行为的行为特征不匹配,所述浏览器将所述网页在沙箱中重新打开。
6.根据权利要求5所述的方法,其特征在于,如果所述网页的网址属于预先存储的恶意网址黑名单,且所述网页的可疑行为的行为特征与预先记录的恶意行为的行为特征匹配,还包括:所述浏览器向服务器上报所述网页仍存在恶意行为。
7.根据权利要求6所述的方法,其特征在于,所述浏览器向服务器上报所述网页仍存在恶意行为还包括上报所述网页的网址和所述恶意行为的行为特征。
8.根据权利要求7所述的方法,其特征在于,还包括:
所述浏览器从所述服务器下载更新后的所述恶意网址黑名单。
9.一种检测网页恶意行为的装置,其特征在于,所述装...
【专利技术属性】
技术研发人员:刘辉,尹欣,
申请(专利权)人:华为终端有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。