[发明专利]检测浏览器扩展的隐藏行为的系统和方法

说明书

本发明涉及检测浏览器扩展的隐藏行为的系统和方法。在一个方面中，提供了一种方法，该方法包括在受保护环境中启动浏览器；在所述浏览器中执行一个或多个动作；跟踪在执行所述一个或多个动作期间发生的事件；从由浏览器扩展发起的所述事件中识别出扩展事件；分析所述扩展事件以发现所述浏览器扩展先前未声明的行为相对应的变化的指示；以及当发现变化的指示时，确定所述浏览器扩展正在执行隐藏行为。

技术领域

本发明总体涉及旨在防止计算机威胁的计算机技术，更具体地，涉及分析浏览器扩展以检测其中的隐藏行为的系统和方法。

背景技术

计算设备上安装和使用的软件应用的数量正在不断增加，所述计算设备包括个人电子计算设备(诸如台式电脑和笔记本电脑)。一种这样的应用为网络浏览器，该网络浏览器允许用户与各种通信网络(诸如因特网)进行交互，以便查看网站、访问各种格式的计算机文件、管理网络应用等。

为了扩展网络浏览器的功能能力，许多网络浏览器允许扩展，扩展是通过添加函数来扩展浏览器功能的软件模块。取决于浏览器，术语“浏览器扩展”可以包含插件、附加组件或扩展。图1a中示出了一些常见的浏览器扩展；以及扩展“耳朵低音增强(Ears BassBoost)”，该扩展为用于谷歌浏览器和红裤衩浏览器(Browser)中每个选项卡的均衡器；扩展“广告屏蔽”，该扩展允许用户选择性地屏蔽广告内容；扩展“VK音频播放器(VK Audio Player)”，该扩展是音乐播放器；扩展“Mercury阅读器( Reader)”，该扩展旨在将页面格式化为便于阅读的形式；以及许多其它扩展。通常，如图1b所示，各个浏览器扩展在浏览器的控制面板上都有图标，以用于快速启动扩展。

浏览器扩展由组织和私人两者进行创建和修改。通常可以从官方在线商店下载和安装特定的浏览器扩展。例如，可以从https://www.google.com/chrome/webstore/extensions.html以及其它网站下载扩展来扩展谷歌浏览器(Google Chrome)。可替选地，用户可以从因特网上的其它信息源来下载用于安装的浏览器扩展。

浏览器扩展的广泛使用也导致了传播不需要内容的扩展或者由黑客为自己的利益而开发的扩展的发展。这种扩展可能或引起不需要的行为或恶意的行为。例如，他们可以以广告插入的形式替换内容、收集用户数据或与用户的搜索查询相关的数据、窃取密码和用户账户记录、以及形成僵尸网络。

在某些情况下，甚至可以从官方的因特网商店(诸如从Chrome网络商店(ChromeWeb Store))下载包含恶意行为的扩展。其中一个示例是“浏览安全(Browse-Secure)”扩展。“浏览安全”扩展的声明目的是保证安全、加密以及匿名搜索。然而，在安装该扩展之后，“浏览安全”扩展会启动搜索机器人(爬虫)并获取包括全名、出生日期、性别、地址、电话以及电子邮件的用户个人数据。此外，该扩展将为用户分配具体的标识符，使得该标识符可以跟踪用户的动作并提取关于该特定用户的信息，并且将经由网络搜索资源的用户的所有查询重新路由到专门创建的国外网站。因此，被窃取的数据可以随后被黑客使用。该扩展的创建者未在Chrome商店的页面上声明以上描述的行为，而是隐藏了该行为。扩展的隐藏行为是指扩展的创建者未声明的扩展的那些活动和动作。

检测浏览器扩展中的隐藏行为的困难在于，浏览器扩展构成不同文件的集合，并且为了确定浏览器扩展的整体功能必须分析包含可执行代码的文件的整个集合的事实。此外，浏览器扩展的全部功能的分析和检测需要浏览器提供的各种功能(诸如函数、接口以及环境变量)，并且在某些情况下还需要用户的特定活动，因为扩展的隐藏行为通常仅在某些情况下或某些环境下才显现出来。

因此，防病毒技术(诸如对扩展的各个组件进行的仿真、静态分析和动态分析)在许多情况下不能确定扩展的全部功能，且因此将无法识别浏览器扩展的隐藏行为。此外，浏览器扩展的某些可执行文件的程序代码可能被混淆，这也使分析显著复杂化。因此，需要对浏览器扩展的文件的整个集合进行一次性分析，以便确定扩展操作的全部范围。