浏览器扩展程序可以丰富浏览器的功能,使用户对浏览器进行个性化的定制,同时也带来一些安全问题。浏览器扩展程序一般使用脚本语言通过调用浏览器提供的API来实现功能,由于它可以访问比较敏感的浏览器API,同时扩展程序可以访问网页内容,因此它可能存在一定的安全问题,包括存在安全漏洞的或者恶意的扩展程序。本文通过对Firefox浏览器进行分析,提出一种识别不安全扩展程序的方法。浏览器扩展程序的不安全行为的识别是基于对已知的恶意或者有漏洞的扩展程序的认识之上的。该方法以扩展程序对浏览器API接口调用的数据为基础创建行为图模型,通过比较扩展程序行为图之间的差异来找出不安全扩展程序特有的行为特征。首先,对Firefox的XPConnect模块进行插装,安装扩展程序后运行Firefox来获取扩展程序对API的调用数据;其次,基于获取的API调用数据,以浏览器对API方法的调用信息为顶点,调用信息包含了接口的名称,方法的名称,参数的类型,参数的取值等信息。以API方法的参数间依赖关系为边,依赖关系包括流依赖,反向依赖和输出依赖,创建扩展程序的行为图;然后,通过图挖掘算法来得到不安全扩展程序与多个正常扩展程序间行为图的极小差异子图,合并子图即为不安全扩展程序的行为。最后,本文将上述方法做了实现,以来自Mozilla官方库的不同扩展程序为实验样本,其中包含恶意的和正常的扩展程序,通过运行扩展程序不安全行为识别工具得到了恶意扩展程序的特殊行为子图。实验结果表明这个方法可以有效得到恶意扩展的特殊行为。