CN105740700A - 一种鉴别网银支付类木马的方法及*** - Google Patents
一种鉴别网银支付类木马的方法及*** Download PDFInfo
- Publication number
- CN105740700A CN105740700A CN201510495084.5A CN201510495084A CN105740700A CN 105740700 A CN105740700 A CN 105740700A CN 201510495084 A CN201510495084 A CN 201510495084A CN 105740700 A CN105740700 A CN 105740700A
- Authority
- CN
- China
- Prior art keywords
- trojan
- environment
- trojan horse
- program
- emulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种鉴别网银支付类木马的方法,包括:基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。本发明还公开了一种鉴别网银支付类木马的***。本发明所述技术方案将网银支付类木马从其他类型木马中区分出来,有利于针对窃取网银账号或者第三方支付账号的木马进行深度分析和检测。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种鉴别网银支付类木马的方法及***。
背景技术
互联网的普及和应用,促使信息安全问题转变成社会问题,许多被利益驱使的程序开发者编写大量的木马程序,进而窥视他人隐私或者窃取他人的机密信息如网上银行账号等,以此谋取经济利益。
随着互联网和移动互联网的高速发展,越来越多的人使用计算机或手机进行网上支付或交易。网上支付通过第三方提供的与银行之间的支付接口进行即时支付,这种方式的好处在于可以直接把资金从用户的银行卡中转账到网站账户中,汇款马上到账,不需要人工确认。与此同时,针对网上银行和第三方支付平台账号的木马也越来越多,这些木马通过窃取网上银行账号密码、拦截验证短信消息、自动回复支付确认短信消息等综合方法直接或间接威胁用户财产。常见的木马监控方法只能监控木马的基本行为,而无法监控网银支付类木马的窃密等针对性的行为。
发明内容
本发明所述的技术方案在虚拟环境中模拟用户登录网银支付类平台的操作,从而诱使网银支付类木马执行窃取用户账户信息的操作,进而将网银支付类木马从其他木马类型中区分出来,并记录该类木马程序行为数据,以便后续研究和检测。
本发明采用如下方法来实现:一种鉴别网银支付类木马的方法,包括:
基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;
运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
进一步地,所述分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据,具体为:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
进一步地,还包括:根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
本发明可以采用如下***来实现:一种鉴别网银支付类木马的***,包括:
第一搭建模块,用于基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
第二搭建模块,用于基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;
仿真登录模块,用于运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
判定记录模块,用于分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
进一步地,所述判定记录模块,具体用于:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
进一步地,还包括:窃取行为分类模块,用于根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
如上所述,本发明给出一种鉴别网银支付类木马的方法及***,首先在内网中搭建仿真支付平台;其次根据需要在终端中基于虚拟环境搭建木马运行环境,包括:Windows环境、Android环境或者IOS环境;并将访问网银支付类平台的地址重定向至搭建的仿真支付平台;运行木马程序后,利用预置的脚本自动化模拟用户的登录操作,并监控回传数据,若发现可疑数据,则判定所述木马程序为网银支付类木马,并提取和记录木马程序行为数据。
有益效果:本发明所述技术方案通过分析网银支付类木马的行为特点,从而虚拟搭建仿真支付平台和木马运行环境,并利用脚本自动化模拟用户登录操作行为。从而可以有效识别网银支付类木马,并避免过多的人工干预,当发现网银支付类木马后,记录木马程序行为数据,以便后续针对不同窃密类型的网银支付类木马进行针对性分析,并研究更加准确的检出方法。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种鉴别网银支付类木马的方法实施例流程图;
图2为本发明提供的一种鉴别网银支付类木马的***实施例结构图。
具体实施方式
本发明给出了一种鉴别网银支付类木马的方法及***实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种鉴别网银支付类木马的方法实施例,如图1所示,包括:
S101基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
其中,所述基于内网环境搭建仿真支付平台,可以规避风险,防止后期模拟用户登录网银支付类平台的操作,将直接或者间接地影响真实的网银支付类平台的工作;
S102基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;
所述木马运行环境包括:Windows环境、android环境或者IOS环境;
S103运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
其中,所述监控回传数据的设备,可以为已知的恶意代码监控***;由于利用脚本自动化模拟用户登录仿真支付平台的操作,从而节省人力资源,避免人工操作;
S104分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
其中,若所述木马程序为网银支付类木马,当发现脚本模拟的用户登录仿真支付平台的操作,则会诱使木马记录并回传包含有敏感信息的数据;所以通过分析回传数据,可以判断所述木马程序是否为网银支付类木马。
优选地,所述分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据,具体为:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
其中,通过对已知木马进行分析后发现,网银支付类木马通过将窃取的账户或者密码信息,以文本或者图片的形式回传并保存在本地,因此,通过判断是否存在记录有账号和密码的文本和/或图片,可以准确地判断所述木马程序是否是网银支付类木马程序。
优选地,还包括:根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
其中,通过记录的木马程序行为数据,可以将使用相同窃取手段或者回传方法的网银支付类木马归为一类,从而有助于反病毒产品、银行或者第三方支付平台针对各类木马,进行有针对性的安全策略定制和改进。
更为优选地,还包括:根据记录的木马程序行为数据,提取木马程序回传数据的地址信息,进而定位攻击者所在位置。
本发明还提供了一种鉴别网银支付类木马的***实施例,如图2所示,包括:
第一搭建模块201,用于基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
第二搭建模块202,用于基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;
仿真登录模块203,用于运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
判定记录模块204,用于分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
优选地,所述判定记录模块,具体用于:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
优选地,还包括:窃取行为分类模块,用于根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
更为优选地,还包括:攻击定位模块,用于根据记录的木马程序行为数据,提取木马程序回传数据的地址信息,进而定位攻击者所在位置。
如上所述,传统的木马检测方法无法有效识别网银支付类木马,而目前该类木马数量增长较快且危害极大。本发明所述的技术方案在内网中搭建仿真支付平台;并根据需要搭建木马运行环境;利用脚本自动化模拟用户登录操作;从而实时监控***回传数据,通过分析回传数据判断是否是网银支付类木马,如果是,则进一步记录该木马程序行为数据。
综上,上述公开的实施例通过自动化模拟用户登录操作,从而诱使网银支付类木马窃取用户登录信息,并监控木马的窃密行为,进一步记录木马程序行为数据,从而可以精确鉴定出网银支付类木马;对收集到的木马程序行为数据进行统计和分析,进而可以制作或者改进针对网银支付类木马的防御产品。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (6)
1.一种鉴别网银支付类木马的方法,其特征在于,包括:
基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;
运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
2.如权利要求1所述的方法,其特征在于,所述分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据,具体为:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
3.如权利要求1所述的方法,其特征在于,还包括:根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
4.一种鉴别网银支付类木马的***,其特征在于,包括:
第一搭建模块,用于基于内网环境搭建仿真支付平台,包括:仿真网上银行或者仿真第三方支付平台;
第二搭建模块,用于基于虚拟环境搭建木马运行环境,并将访问网银支付类平台的地址重定向至相对应的仿真支付平台;所述木马运行环境包括:Windows环境、android环境或者IOS环境;
仿真登录模块,用于运行木马程序,利用脚本自动化模拟用户登录仿真支付平台的操作,并监控回传数据;
判定记录模块,用于分析回传数据,当判定所述木马程序为网银支付类木马时,记录木马程序行为数据。
5.如权利要求4所述的***,其特征在于,所述判定记录模块,具体用于:分析回传数据,并判断是否存在记录有账号和密码的文本和/或图片,若存在,则判定所述木马程序为网银支付类木马并记录木马程序行为数据,否则继续监控。
6.如权利要求4所述的***,其特征在于,还包括:窃取行为分类模块,用于根据记录的木马程序行为数据,对所述木马程序的窃取行为进行分类,包括:键盘记录、屏幕截图、明文回传或者加密回传。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510495084.5A CN105740700A (zh) | 2015-08-13 | 2015-08-13 | 一种鉴别网银支付类木马的方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510495084.5A CN105740700A (zh) | 2015-08-13 | 2015-08-13 | 一种鉴别网银支付类木马的方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105740700A true CN105740700A (zh) | 2016-07-06 |
Family
ID=56296063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510495084.5A Pending CN105740700A (zh) | 2015-08-13 | 2015-08-13 | 一种鉴别网银支付类木马的方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105740700A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117557272A (zh) * | 2023-11-22 | 2024-02-13 | 深圳市中磁计算机技术有限公司 | 一种针对pos机的支付环境安全检测方法、***及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101409719A (zh) * | 2007-10-08 | 2009-04-15 | 联想(北京)有限公司 | 实现网络安全支付的方法及客户端 |
| CN101431521A (zh) * | 2008-11-26 | 2009-05-13 | 北京网康科技有限公司 | 一种防木马的网络安全***及方法 |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
| CN101753545A (zh) * | 2008-12-11 | 2010-06-23 | 北京奇虎科技有限公司 | 净盒技术 |
-
2015
- 2015-08-13 CN CN201510495084.5A patent/CN105740700A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101409719A (zh) * | 2007-10-08 | 2009-04-15 | 联想(北京)有限公司 | 实现网络安全支付的方法及客户端 |
| CN101431521A (zh) * | 2008-11-26 | 2009-05-13 | 北京网康科技有限公司 | 一种防木马的网络安全***及方法 |
| CN101753545A (zh) * | 2008-12-11 | 2010-06-23 | 北京奇虎科技有限公司 | 净盒技术 |
| CN101605074A (zh) * | 2009-07-06 | 2009-12-16 | 中国人民解放军信息技术安全研究中心 | 基于网络通讯行为特征监测木马的方法与*** |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117557272A (zh) * | 2023-11-22 | 2024-02-13 | 深圳市中磁计算机技术有限公司 | 一种针对pos机的支付环境安全检测方法、***及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Das et al. | The web's sixth sense: A study of scripts accessing smartphone sensors | |
| EP3065367B1 (en) | System and method for automated phishing detection rule evolution | |
| EP3561708B1 (en) | Method and device for classifying uniform resource locators based on content in corresponding websites | |
| US8856937B1 (en) | Methods and systems for identifying fraudulent websites | |
| US10063579B1 (en) | Embedding the capability to track user interactions with an application and analyzing user behavior to detect and prevent fraud | |
| EP2199940A2 (en) | Methods and systems for detecting man-in-the-browser attacks | |
| US10958657B2 (en) | Utilizing transport layer security (TLS) fingerprints to determine agents and operating systems | |
| EP2790121A1 (en) | Client Based Local Malware Detection Method | |
| CN110442712B (zh) | 风险的确定方法、装置、服务器和文本审理*** | |
| CN106341282A (zh) | 一种恶意代码行为分析装置 | |
| CN103500307A (zh) | 一种基于行为模型的移动互联网恶意应用软件检测方法 | |
| WO2017071148A1 (zh) | 基于云计算平台的智能防御*** | |
| CN104182695B (zh) | 确保验证和授权操作期间所用信息的保密性的***和方法 | |
| Aggarwal et al. | I spy with my little eye: Analysis and detection of spying browser extensions | |
| CN103617393A (zh) | 一种基于支持向量机的移动互联网恶意应用软件检测方法 | |
| CN107302586A (zh) | 一种Webshell检测方法以及装置、计算机装置、可读存储介质 | |
| CN106161453A (zh) | 一种基于历史信息的SSLstrip防御方法 | |
| CN107918911A (zh) | 用于执行安全网上银行交易的***和方法 | |
| CN107018152A (zh) | 消息拦截方法、装置和电子设备 | |
| Burgess et al. | Manic: Multi-step assessment for crypto-miners | |
| CN105740700A (zh) | 一种鉴别网银支付类木马的方法及*** | |
| Aberathne et al. | Smart mobile bot detection through behavioral analysis | |
| CN113765924A (zh) | 基于用户跨服务器访问的安全监测方法、终端及设备 | |
| CN110287393A (zh) | 一种网页获取方法、装置、设备及计算机可读存储介质 | |
| Zou et al. | A survey of android mobile platform security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin High-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant after: Harbin antiy Technology Group Limited by Share Ltd Address before: 506 room 162, Hongqi Avenue, Nangang District, Harbin Development Zone, Heilongjiang, 150090 Applicant before: Harbin Antiy Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160706 |