[发明专利]一种网页木马实时监测方法及其装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别是涉及一种网页木马实时监测方法及其装置。

背景技术

随着网络的不断进步，上网浏览网页、下载文件资料等已经成为很多人的日常习惯。然而人们浏览网页过程中，不少网页木马会在人们不经意之间嵌入计算机进行盗号等非法活动，例如利用IE浏览器缓冲区溢出漏洞的网页木马，致使人们在浏览网页时要承受很大的风险。

现有技术中，针对网页木马的检测方式主要有特征码检测、行为检测和虚拟机检测。

特征码检测依然是目前最为常用的技术，其实现较为简单，查杀能力主要取决于特征库的完备性；目前较为流行的启发式扫描方式是特征码检测方法的改进，不同点是结合了人工智能的方法，基于给定的判断规则和定义进行判断。基于特征码的扫描方式虽然应用广泛，识别较为迅速，但是对于一些利用未知漏洞的网马或者经过代码加密、混淆的网马往往有漏报的情况，无法从根本上实时保护计算机安全。

虚拟机检测一般是采用软件模拟CPU指令的取址、编译、执行从而在执行完的机构中查找病毒的特征码，该方法耗费系统资源大、实时性差、很少用于网页木马的查杀。

行为检测是通过监测应用程序的一些行为特征(例如盗用截流系统中断、修改内存总量和内存控制块、对可执行文件做写入操作、引导扇区或执行格式化磁盘等可疑动作、病毒程序与宿主程序切换和搜索API函数地址等)对行为特征库进行匹配，这种方式较好的阻止了一些网页木马的攻击，但是往往由于系统资源耗费巨大而只开启部分功能。

上述检测方式中不管采用哪种，对利用未知漏洞进行挂马的检测依然存在着盲区。

发明内容

本发明的目的在于克服现有技术之不足，提供一种网页木马实时监测方法及其装置，是通过监测浏览器进程的内存增量情况以及新增内存中是否有可疑特征来确定网页木马，是一种轻量级系统安全防护方法，它可以保障日常浏览网页的安全性，同时又不影响上网浏览的速度。

本发明解决其技术问题所采用的技术方案是：一种网页木马实时监测方法，包括如下监测过程：

注入需要监测的浏览器进程；

查看进程空间的内存占用情况，并记录当前内存占用情况；

监测浏览器打开新页面的行为；

当打开新的页面时首先检查内存增量，如果内存增量超过规定的门限则挂起进程，并搜索新增内存是否有可疑特征，如果有则告警并记录当前页面信息。

所述的监测过程中，在内存增量超过规定的门限而挂起进程后，经搜索新增内存中未存在可疑特征时，提示用户是否继续，是则停止监测，否则记录当前页面信息。

所述的监测过程由运行程序来实现，该程序包括主程序模块和监测模块；主程序模块启动后首先打开需要监测的浏览器进程；然后将监测模块注入到浏览器进程中由该监测模块对该浏览器进程进行监测；监测模块对浏览器进程的内存占用情况进行记录，并对浏览器进程中是否打开新页面的行为进行监测；当监测模块检测到浏览器打开新页面的行为时，对浏览器进程中的内存增量进行监测；如果内存增量超过规定的门限则挂起进程，并搜索新增内存中是否有可疑特征；如果有则告警并记录当前页面信息，否则提示用户是否继续。

一种网页木马实时监测方法，包括如下步骤：

a.主程序模块打开需要监测的浏览器进程；

b.由主程序模块将监测模块注入到浏览器进程中；

c.由监测模块记录浏览器进程的内存使用情况；

d.监测模块监测浏览器进程中打开新页面的行为；

e.监测模块对浏览器进程中是否打开新的页面进行判断；当判断为有打开时，继续下一步骤，否则，返回步骤d；

f.监测模块检测一定时间段的内存增量；

g.监测模块对该时间段的内存增量是否在规定的门限之内进行判断；当判断为是时，返回步骤f，否则，继续下一步骤；

h.由主程序模块挂起进程；

i.监测模块检测新增内存中是否包含有已知特征，当判断为有时，继续下一步骤，否则，提示用户是否继续；

j.由监测模块进行内存分配非法的报警；

k.由主程序模块保存页面信息；

l.监测模块停止监测；

m.主程序模块结束浏览器进程。

所述的步骤i中的提示用户是否继续，包括：

i1.由监测模块进行内存分配异常的报警；

i2.由监测模块提示用户是否继续，当判断为是时，停止监测；否则，转至步骤k。

一种网页木马实时监测装置，包括：

一浏览器进程控制装置，用来打开或挂起需要监测的浏览器进程；