[发明专利]缓解与图形用户界面元素相关联的恶意动作

说明书

本发明公开了可以由计算设备执行缓解与图形用户界面元素相关联的恶意动作。在该计算设备上执行的图形用户界面环境中监视用户界面元素。确定用户界面元素和恶意动作之间的关联。阻止对用户界面元素的访问以阻止恶意动作。

技术领域

本公开整体涉及计算机安全，更具体地涉及缓解图形用户界面(GUI)环境中的恶意软件。

背景技术

恶意软件诸如计算机病毒、蠕虫、木马、勒索软件、间谍软件、广告软件等，对计算机系统造成严重危害并给用户带来不便。随着计算机系统和互联网的使用不断增加，恶意软件的扩散呈爆发趋势，一些计算机分析员估计恶意代码和其他不期望的程序的发布率可能超过合法软件应用程序的发布率。

传统的恶意软件缓解通常检测和防止安装恶意软件，并且/或者检测和删除已经危害系统的恶意软件。例如，一些反恶意软件系统扫描计算机系统的存储器，以寻找已知恶意软件的存在。

在图形用户环境(GUI)中，恶意软件可以通过修改GUI元素的事件处理程序将自身附加到有用的应用程序中。一些恶意软件诸如间谍软件可能故意嵌入合法的、有用应用程序中。反恶意软件系统的感知有效性有时部分地取决于系统是否“破坏”现有应用程序。已附加到或故意嵌入合法应用程序的GUI的恶意软件威胁的通知和/或删除可导致用户相信反恶意软件系统已标记了假正。这种对假正的认知可能导致用户不明智地忽略或中断反恶意软件系统的部分或全部保护功能。即使在用户理解标记了真正的情况下，用户也可能认为反恶意软件系统在用户仍希望使用部分应用程序方面存在欠缺。例如，用户可能希望使用具有故意嵌入的间谍软件的应用程序，而不会遇到间谍软件在未经知情同意的情况下泄露信息的负面影响。

如果没有新的可靠的方法来缓解恶意软件，关键计算基础结构可能会更经常地受到损害。这些损害可能导致现实世界的系统停机，给组织和用户带来不便、经济损失，甚至可能威胁人类安全。

这些问题需要得到解决。

发明内容

用计算设备实现用于缓解与图形用户界面(GUI)元素相关联的恶意动作的方法。在计算机系统上执行的图形用户界面环境中监视用户界面元素。识别用户界面元素与恶意动作之间的关联。阻止对用户界面元素的访问以防止恶意行为，同时允许图形用户界面环境和与用户界面元素相关联的应用程序在计算机系统上继续执行。

阻止对用户界面元素的访问可以通过各种机制实现。例如，可以将挂钩插入用户界面元素中。弹出消息可以抓住GUI环境的焦点，从而防止对用户界面元素的访问。在一些具体实施中，可禁用人机接口(例如，鼠标指针)。作为另一个示例，窗口可以覆盖在阻止的用户界面元素的顶部。

恶意动作可通过多种机制来确定。例如，可以对可疑的过程行为进行指纹识别并与恶意软件数据库中的指纹进行比较。在一些情况下，恶意软件数据库可以通过用户界面元素的众包信誉来生成和维护。因此，在某些情况下，用户界面元素可具有指纹识别的各种属性以插入恶意软件数据库。恶意软件数据库还可以具有特定恶意软件易于附加到其上的一组关联的用户界面元素。在一些情况下，恶意软件可以包括作者故意将恶意软件(例如，间谍软件)嵌入应用程序的应用程序。在一些具体实施中，可能存在安全用户界面元素的白名单。还可以对用户界面元素进行签名，并且在一些情况下，如果恶意软件已附加到已签名的用户界面元素上，签名的认证可能无效。

用于识别用户界面元素的属性的一些示例包括自动标识符、过程标识符、空间标识符等。在一些情况下，这些或其他属性可以具有一个或多个子属性，这些子属性可以用于识别或指纹识别用户界面元素。例如，过程标识符可以具有图像文件大小、可执行文件名、内存占用、计算机资源消耗指纹等。

该技术可以被实现为识别与用户界面元素的用户交互，识别在计算机系统上执行的动作，并且通过重复确定识别的与用户界面元素的用户交互以及在计算机系统上执行的识别动作之间的时间接近度，将用户界面与在计算机系统上执行的动作相关联，从而建立高于阈值的置信水平。