[发明专利]一种浏览器行为获取方法、装置、存储介质及电子设备

说明书

本发明的实施例公开一种浏览器行为获取方法、装置、存储介质及电子设备，涉及信息安全技术，能够提升样本行为检测精度。所述浏览器行为获取方法包括：监测浏览器辅助对象插件在浏览器中的注册行为；若监测到所述浏览器辅助对象插件的注册行为，触发预先设置的访问所述浏览器的行为集；采集所述行为集对应的浏览器行为。

技术领域

本发明涉及信息安全技术，尤其涉及一种浏览器行为获取方法、装置、存储介质及电子设备。

背景技术

随着互联网技术的快速发展，网络上的数据流量越来越多，使得一些恶意软件通过网络攻击，能够非法获取用户的数据流量，从而给用户的网络信息安全带来极大的危害，并严重危害了网络安全环境。

为了维护互联网络安全，需要对恶意软件的网络攻击行为进行有效防范。目前，通常采用动态沙箱的方法对疑似恶意软件(样本)行为进行检测及分析，通过模拟恶意软件的运行环境，使恶意软件能在动态沙箱中正常运行，从而获取其恶意行为。

浏览器辅助对象(BHO，Browser Helper Object)插件是使用BHO编写IE浏览器的扩展程序，是微软推出的作为浏览器对第三方程序员开放交互接口的业界标准，文件格式为DLL文件，可对IE浏览器的界面和访问内容进行修改操作，实现在浏览器中定制个性化的功能。BHO插件技术本身虽然是合法的，但是如果被攻击者利用达成恶意的目的，例如，一些恶意软件(样本)在运行过程中会通过BHO插件向IE浏览器进行注册，通过BHO插件注册，可以控制BHO插件或浏览器实现对指定浏览器某些功能的修改，例如，篡改浏览器主页、进行浏览器劫持、窃取密码等恶意行为，从而给信息安全带来极大危害。但由于BHO插件技术的合法性，在动态沙箱技术中没有考虑该情形，因而并没有对注册浏览器的BHO插件的行为设置有具体的监控策略，因此也未能获取样本利用BHO插件在浏览器中的操作行为，从而遗漏一些危险的恶意样本行为，降低了动态沙箱的检测精度以及信息安全性强度，影响动态沙箱的检出率和安全鉴定结果。

发明内容

有鉴于此，本发明实施例提供一种浏览器行为获取方法、装置、存储介质及电子设备，能够提升样本行为检测精度，以解决现有由于BHO插件技术的合法性导致的不能获取样本在浏览器中的恶意操作行为，使得样本行为检测精度低的技术问题。

第一方面，本发明实施例提供一种浏览器行为获取方法，包括：

监测浏览器辅助对象插件在浏览器中的注册行为；

若监测到所述浏览器辅助对象插件的注册行为，触发预先设置的访问所述浏览器的行为集；

采集所述行为集对应的浏览器行为。

结合第一方面，在第一方面的第一种实施方式中，所述监测到所述浏览器辅助对象插件的注册行为包括：

监测到程序集注册工具被调用，且所述浏览器的注册表项发生改变，确定所述浏览器辅助对象插件具有注册行为。

结合第一方面，在第一方面的第二种实施方式中，所述监测到所述浏览器辅助对象插件的注册行为包括：

获取注册脚本文件中的宏声明；

若所述宏声明为声明安装的值，提取设备信息脚本文件的运行状态；

若所述设备信息脚本文件的运行状态为已运行，查找所述浏览器的注册表项；

若所述浏览器的注册表项发生改变，确定所述浏览器辅助对象插件具有注册行为。

结合第一方面的第二种实施方式，在第一方面的第三种实施方式中，所述注册脚本文件为后缀名为.rgs的文件。

结合第一方面、第一方面的第一种至第三种中的任一实施方式，在第一方面的第四种实施方式中，所述触发预先设置的访问所述浏览器的行为集包括：

运行所述浏览器；