基于神經(jīng)網(wǎng)絡(luò)的惡意彈窗識(shí)別技術(shù)研究

董羽凡，劉力軍，劉軍

（南京審計(jì)大學(xué)金審學(xué)院，江蘇南京，210033）

0 引言

隨著互聯(lián)網(wǎng)的普及，“彈窗廣告”肆意而為，“彈出窗口”是指當(dāng)人們?yōu)g覽某網(wǎng)頁(yè)時(shí)，會(huì)自動(dòng)彈出一個(gè)窗口，當(dāng)用戶試圖關(guān)閉該窗口時(shí)，往往會(huì)有另一個(gè)窗口彈出。彈窗幾乎遍布各大網(wǎng)站和諸多應(yīng)用軟件，海量的彈窗，極大程度上影響了人們的上網(wǎng)和使用體驗(yàn)。不法分子借助彈窗，傳播低俗、反動(dòng)、虛假詐騙信息，發(fā)布違規(guī)的新聞信息的同時(shí)，木馬病毒惡意插件也通過(guò)彈窗的形式不斷出現(xiàn)。

1 緒論

■1.1 背景與意義

網(wǎng)絡(luò)詐騙層出不窮，越來(lái)越多的不法分子通過(guò)發(fā)布惡意彈窗，誘使人們點(diǎn)擊彈窗，以繳納手續(xù)費(fèi)為由實(shí)施詐騙。也有的不良彈窗通過(guò)發(fā)布低俗、反動(dòng)、虛假詐騙信息來(lái)迫使用戶觀看，影響社會(huì)安定與和諧。同時(shí)用戶電腦因?yàn)檫@些不良彈窗占用更多內(nèi)存，影響CPU運(yùn)行效率。 彈窗“強(qiáng)制式”的呈現(xiàn)及其造成的“視覺(jué)污染”，給人們的互聯(lián)網(wǎng)生活帶來(lái)了極大的不良影響。

本作品在有效攔截各類惡意彈窗的基礎(chǔ)上，讓系統(tǒng)通過(guò)神經(jīng)網(wǎng)絡(luò)機(jī)器培訓(xùn)自主識(shí)別惡意彈窗。一方面減輕系統(tǒng)負(fù)擔(dān)，提升用戶的使用體驗(yàn)，并且通過(guò)引入神經(jīng)網(wǎng)絡(luò)實(shí)現(xiàn)真正的自主攔截惡意彈窗；另一方面，抵御包含惡意代碼，有效守護(hù)用戶個(gè)人隱私，提高主機(jī)和信息系統(tǒng)的安全防御能力。以上兩方面不僅具有很好的社會(huì)效益，同時(shí)通過(guò)降低網(wǎng)絡(luò)詐騙成功率、守護(hù)個(gè)人隱私，減少用戶損失，也具有一定的經(jīng)濟(jì)效益。

■1.2 研究現(xiàn)狀

當(dāng)前對(duì)于移動(dòng)廣告欺詐的研究一般都集中于移動(dòng)廣告的行為以及其靜態(tài)屬性，針對(duì)傳統(tǒng)移動(dòng)端廣告欺詐類型，F(xiàn)eng Dong 等設(shè)計(jì)實(shí)現(xiàn)了FraudDroid，針對(duì)傳統(tǒng)移動(dòng)端廣告欺詐的行為以及其靜態(tài)信息，將其總結(jié)為九種類別，針對(duì)每一種類別制定單獨(dú)的檢測(cè)方案檢測(cè)傳統(tǒng)類型的移動(dòng)端廣告欺詐。

對(duì)于新型的基于內(nèi)容的廣告欺詐的研究比較少，TonTon Hsien-De Huan等對(duì)嵌入廣告的文本進(jìn)行了研究，他們收集提取了十五萬(wàn)則廣告的文本其進(jìn)行深度學(xué)習(xí)訓(xùn)練得出一個(gè)能夠根據(jù)文本分類區(qū)分廣告是否是良性的模型;Arunesh Mathur等針對(duì)購(gòu)物網(wǎng)站在用戶界面設(shè)計(jì)上引導(dǎo)或欺騙用戶消費(fèi)的“潛規(guī)則(Dark Pattern)”，通過(guò)分析與評(píng)估了11,000個(gè)購(gòu)物網(wǎng)站的約53,000個(gè)產(chǎn)品頁(yè)面，發(fā)現(xiàn)了1,818個(gè)欺騙性“潛規(guī)則(Dark Pattern)”實(shí)例。前者沒(méi)有對(duì)廣告圖像進(jìn)行分析，不夠完善;而后者主要是通過(guò)社會(huì)工程學(xué)的人工分析,不具備大批量自動(dòng)化檢測(cè)的條件。現(xiàn)有的對(duì)廣告欺詐的檢測(cè)技術(shù)很難對(duì)這種欺詐進(jìn)行檢測(cè)，導(dǎo)致了當(dāng)前新型廣告欺詐的肆虐猖獗的現(xiàn)狀。

2 關(guān)鍵技術(shù)

■2.1 句柄

Windows操作系統(tǒng)中所謂句柄是唯一標(biāo)識(shí)某個(gè)Windows對(duì)象（例如程序?qū)嵗?、窗口、光?biāo)、圖標(biāo)、畫刷和菜單等）的一個(gè)32位無(wú)符號(hào)整數(shù)，句柄是Windows對(duì)象的唯一標(biāo)識(shí)符，只有有了句柄，程序才能使用與其對(duì)應(yīng)的Widows對(duì)象。Windows程序通常通過(guò)調(diào)用win32API函數(shù)來(lái)獲取某個(gè)Windows對(duì)象的句柄。

■2.2 進(jìn)程號(hào)

進(jìn)程號(hào)(PID)是操作系統(tǒng)中的內(nèi)核用于唯一標(biāo)識(shí)進(jìn)程的一個(gè)數(shù)值，簡(jiǎn)而言之就是進(jìn)程的名字，當(dāng)檢測(cè)到惡意彈窗或者惡意廣告出現(xiàn)的時(shí)候，通過(guò)獲取惡意彈窗或惡意廣告的進(jìn)程號(hào)將惡意彈窗和惡意廣告關(guān)閉。

■2.3 守護(hù)程序

在整個(gè)系統(tǒng)運(yùn)行的過(guò)程中，可能因?yàn)槿藶榛蛳到y(tǒng)的原因?qū)е孪到y(tǒng)被關(guān)閉，這就需要一個(gè)守護(hù)程序能夠?qū)崟r(shí)保護(hù)系統(tǒng)。守護(hù)程序具有自啟功能且實(shí)時(shí)監(jiān)控系統(tǒng)進(jìn)程，當(dāng)發(fā)現(xiàn)軟件進(jìn)程被關(guān)閉后，重新啟動(dòng)攔截程序。

■2.4 機(jī)器學(xué)習(xí)算法

機(jī)器學(xué)習(xí)有三種傳統(tǒng)的機(jī)器學(xué)習(xí)算法構(gòu)建分類器模型，分別為邏輯回歸(Logistic Regression)、支持向量機(jī)(SVM)、隨機(jī)森林(Random Forest)。

邏輯回歸模型(LogisticRegression,LR)對(duì)具有兩個(gè)可能結(jié)果的分類問(wèn)題的概率進(jìn)行建模，它是針對(duì)線性回歸模型的擴(kuò)展，主要思想是通過(guò)使用邏輯回歸函數(shù)來(lái)計(jì)算給定自變量的后驗(yàn)概率，根據(jù)后驗(yàn)概率給樣本進(jìn)行分類。支持向量機(jī)(Support Vector Machine, SVM)是一種 監(jiān)督學(xué)習(xí)算法，可用于回歸和分類任務(wù)。SVM算法的目的是在N(N是特征數(shù))維空間中找到一個(gè)能夠清晰的將數(shù)據(jù)點(diǎn)分開(kāi)的超平面。為了分離兩類數(shù)據(jù)點(diǎn)，可以選擇許多可能的超平面，而目標(biāo)是找到一個(gè)具有最大余量(邊距)的超平面，使得這個(gè)超平面與兩個(gè)類別的數(shù)據(jù)點(diǎn)之間的距離最大,這樣的超平面稱作最優(yōu)分界。隨機(jī)森林(Random Forest)以決策樹(shù)為基礎(chǔ)，通過(guò)構(gòu)造多棵決策樹(shù)形成“森林”。將輸入數(shù)據(jù)放入森林中的每棵樹(shù)上，決策樹(shù)是在一個(gè)數(shù)據(jù)集的不同部分上進(jìn)行訓(xùn)練的，每顆樹(shù)都會(huì)給出一個(gè)分類結(jié)果，我們將該結(jié)果稱為這棵樹(shù)的“投票”。隨機(jī)森林算法通過(guò)平衡多個(gè)深決策樹(shù)的分類誤差使得模型的最終性能得到提高。

■2.5 集成學(xué)習(xí)

在機(jī)器學(xué)習(xí)中我們期待學(xué)習(xí)出一個(gè)表現(xiàn)全面且穩(wěn)定的模型，但現(xiàn)實(shí)中往往只能得到多個(gè)弱分類模型，即僅在某些方面表現(xiàn)良好的模型。集成學(xué)習(xí)34方法通過(guò)組合多種算法來(lái)獲得比單獨(dú)使用其中任何一種算法更好的性能。那么使用集成學(xué)習(xí)思想的模型，其子模型采用不同的特征用于訓(xùn)練，可以在數(shù)據(jù)上獲得不同角度的表達(dá)能力，進(jìn)而結(jié)合不同子模型的優(yōu)點(diǎn)。集成學(xué)習(xí)不屬于一種獨(dú)立的機(jī)器學(xué)習(xí)算法，更多的是強(qiáng)調(diào)一種思想，通過(guò)融合弱的學(xué)習(xí)器來(lái)提高整體的學(xué)習(xí)能力以更好的完成任務(wù)。

3 系統(tǒng)設(shè)計(jì)

■3.1 開(kāi)發(fā)平臺(tái)設(shè)計(jì)

Visual Studio是由微軟推出的代碼編程工具，而本作品使用的Visual Studio 2017有著更多的趣味性，支持C#、C++、Python、等絕大多數(shù)的主流代碼語(yǔ)言。由于攔截窗口涉及到windows底層，因此這個(gè)部分可以通過(guò)C++來(lái)實(shí)現(xiàn)，界面美化方面則通過(guò)C#實(shí)現(xiàn)，而神經(jīng)網(wǎng)絡(luò)方面是通過(guò)Python實(shí)現(xiàn)，最后通過(guò)各個(gè)部分產(chǎn)生的文檔來(lái)同步各個(gè)功能模塊來(lái)實(shí)現(xiàn)有機(jī)結(jié)合。

■3.2 具體實(shí)現(xiàn)

3.2.1 系統(tǒng)框架結(jié)構(gòu)

系統(tǒng)框架圖如圖1所示。

圖1 系統(tǒng)框架結(jié)構(gòu)圖

本作品將Windows下的所有窗口都定義為彈窗，然后對(duì)應(yīng)用程序窗口進(jìn)行實(shí)時(shí)監(jiān)測(cè)，在實(shí)現(xiàn)保護(hù)用戶信息安全的同時(shí)對(duì)含有影響社會(huì)安定內(nèi)容的窗口進(jìn)行審計(jì)。本作品預(yù)期設(shè)置兩個(gè)列表—正常應(yīng)用程序列表、應(yīng)用彈窗攔截列表，用于存放彈窗的標(biāo)題與句柄等信息，實(shí)現(xiàn)對(duì)彈窗的分類，那么彈窗下一次出現(xiàn)時(shí)，系統(tǒng)就可以根據(jù)它所在的列表來(lái)進(jìn)行操作，從而達(dá)到過(guò)濾不良彈窗的效果。為防止攔截進(jìn)程被惡意關(guān)閉，增加守護(hù)進(jìn)程應(yīng)用程序，并寫入注冊(cè)表，實(shí)現(xiàn)自啟功能，來(lái)實(shí)現(xiàn)實(shí)時(shí)監(jiān)控的功能。實(shí)現(xiàn)神經(jīng)網(wǎng)絡(luò)機(jī)器培訓(xùn)對(duì)廣告的自主識(shí)別，最后將靜態(tài)屬性與動(dòng)作融入到機(jī)器學(xué)習(xí)當(dāng)中來(lái)提高效率。

3.2.2 軟件功能結(jié)構(gòu)

以下為本系統(tǒng)的功能結(jié)構(gòu)圖（圖2），以及對(duì)各功能的解釋定義。

圖2 功能結(jié)構(gòu)圖

主要功能：

（1）抗“誘餌”式反攔截功能：可對(duì)“誘餌”彈窗進(jìn)行攔截，再次出現(xiàn)相同標(biāo)題的彈窗時(shí)直接關(guān)閉；若再次出現(xiàn)的彈窗標(biāo)題不同，則作為一個(gè)新彈窗進(jìn)行攔截。而神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)就可惡意通過(guò)自主識(shí)別廣告，來(lái)對(duì)新的彈窗進(jìn)行自主攔截，避免了頻繁攔截新彈窗使得軟件本身影響了用戶的體驗(yàn)。

（2）用戶自定義攔截策略：當(dāng)軟件通過(guò)自主識(shí)別攔截廣告時(shí)，不能完全自主定義，增加緩沖詢問(wèn)條,用戶可以默認(rèn)或者拒接加入攔截列表。若用戶把需要的彈窗加入了攔截列表中或要使用曾經(jīng)攔截過(guò)的彈窗，則可通過(guò)主程序?qū)棿跋嚓P(guān)參數(shù)進(jìn)行移除。該策略中，移除后的彈窗可以彈出，不再被攔截。

（3）無(wú)感化攔截：對(duì)于重復(fù)出現(xiàn)的彈窗，運(yùn)用“移動(dòng)+關(guān)閉”的攔截技術(shù)，在彈窗還未顯示時(shí)，就獲取到彈窗坐標(biāo)，通過(guò)改變窗口位置，再將其關(guān)閉。

（4）守護(hù)的保護(hù)機(jī)制：當(dāng)攔截模塊自身崩潰或惡意的關(guān)閉時(shí)，守護(hù)機(jī)制能夠?qū)r截模塊重新打開(kāi)，確保攔截模塊可靠運(yùn)行。

（5）審計(jì)功能：對(duì)含有黃、賭、毒以及詐騙等一系列影響社會(huì)安定內(nèi)容的彈窗進(jìn)行截圖審計(jì)，為后期與有關(guān)部門聯(lián)動(dòng)做準(zhǔn)備。

3.2.3 主要功能模塊及實(shí)現(xiàn)

3.2.3.1 主函數(shù)程序

圖3 主函數(shù)流程圖

讀取配置文件（彈窗攔截列表，也就是軟件自主識(shí)別認(rèn)定為惡意彈窗的彈窗標(biāo)題列表）的內(nèi)容。

根據(jù)內(nèi)容布置控件，就是陳列出彈窗攔截列表中的標(biāo)題并在后面一一追加移除按鈕。

當(dāng)需要移除相應(yīng)的控件時(shí)，將需要移除的顯示框和對(duì)應(yīng)的按鈕移除界面，然后再將惡意彈窗列表中需要?jiǎng)h除的彈窗內(nèi)容全部刪除。

該部分獲取到攔截模塊產(chǎn)生的文檔之后，根據(jù)文檔內(nèi)容利用C#進(jìn)行布控。

3.2.3.2 廣告攔截程序

圖4 廣告攔截流程圖

獲取當(dāng)前所有窗口句柄、標(biāo)題，查看實(shí)時(shí)的窗口標(biāo)題是否在彈窗攔截列表中（如果在該列表中，說(shuō)明彈窗是惡意的），是則關(guān)閉，否就接著獲取實(shí)時(shí)窗口信息然后判斷。

關(guān)閉：根據(jù)彈窗的標(biāo)題，獲取該標(biāo)題實(shí)時(shí)的句柄，然后進(jìn)行關(guān)閉。

判斷：我們通過(guò)邏輯回歸模型能得到分類結(jié)果，接著我們將彈窗的每一個(gè)部分放入模型進(jìn)行分類，彈窗的每一個(gè)部分是一棵樹(shù)，然后彈窗各個(gè)部分構(gòu)成隨機(jī)森林，每一棵“決策樹(shù)”進(jìn)行投票，根據(jù)投票結(jié)果定義該彈窗是否是惡意的，然后放入到對(duì)應(yīng)的列表中。

3.2.3.3 守護(hù)機(jī)制程序

遍歷當(dāng)前所有進(jìn)程號(hào)，如果有檢測(cè)進(jìn)程，跳出來(lái)，如果

遍歷結(jié)束了還沒(méi)有找到，則繼續(xù)遍歷。

圖5 守護(hù)程序流程圖

我們不能一開(kāi)始就自己打開(kāi)彈窗攔截程序，所以要先判斷用戶是否有開(kāi)啟過(guò)主程序，然后再進(jìn)行守護(hù)。

當(dāng)發(fā)現(xiàn)主程序以及被打開(kāi)過(guò)，就會(huì)開(kāi)始守護(hù)彈窗檢測(cè)程序，此時(shí)就會(huì)進(jìn)入檢測(cè)彈窗攔截程序這個(gè)循環(huán)，不再去檢測(cè)主程序了，那么用戶可以隨意開(kāi)啟關(guān)閉主程序。如果彈窗攔截未開(kāi)啟，則重啟彈窗攔截程序，如果正常運(yùn)行，則進(jìn)行一個(gè)守護(hù)間斷（停止一分鐘，作為一個(gè)守護(hù)間隔，避免過(guò)多占用資源）。

4 結(jié)語(yǔ)

隨著互聯(lián)網(wǎng)行業(yè)的蓬勃發(fā)展，彈窗爆發(fā)式增長(zhǎng)，其中存在的安全威脅成為了一大關(guān)注熱點(diǎn)。本課題基于彈窗帶來(lái)的信息安全問(wèn)題，研究了彈窗攔截技術(shù)。通過(guò)多種不同的攔截策略對(duì)不同的廣告彈窗進(jìn)行攔截，對(duì)于提升用戶計(jì)算機(jī)瀏覽體驗(yàn)；降低不法分子借助彈窗，侵犯用戶隱私，傳播非法信息的可能；防止木馬病毒通過(guò)廣告彈窗進(jìn)行傳播具有一定意義。為了給用戶更好的體驗(yàn)，著重研究如何將靜態(tài)屬性以及動(dòng)作融入到機(jī)器學(xué)習(xí)當(dāng)中，使得軟件自主識(shí)別具有更高的效率。