[发明专利]一种鉴别网银支付类木马的方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种鉴别网银支付类木马的方法及系统。

背景技术

互联网的普及和应用，促使信息安全问题转变成社会问题，许多被利益驱使的程序开发者编写大量的木马程序，进而窥视他人隐私或者窃取他人的机密信息如网上银行账号等，以此谋取经济利益。

随着互联网和移动互联网的高速发展，越来越多的人使用计算机或手机进行网上支付或交易。网上支付通过第三方提供的与银行之间的支付接口进行即时支付，这种方式的好处在于可以直接把资金从用户的银行卡中转账到网站账户中，汇款马上到账，不需要人工确认。与此同时，针对网上银行和第三方支付平台账号的木马也越来越多，这些木马通过窃取网上银行账号密码、拦截验证短信消息、自动回复支付确认短信消息等综合方法直接或间接威胁用户财产。常见的木马监控方法只能监控木马的基本行为，而无法监控网银支付类木马的窃密等针对性的行为。

发明内容

本发明所述的技术方案在虚拟环境中模拟用户登录网银支付类平台的操作，从而诱使网银支付类木马执行窃取用户账户信息的操作，进而将网银支付类木马从其他木马类型中区分出来，并记录该类木马程序行为数据，以便后续研究和检测。

本发明采用如下方法来实现：一种鉴别网银支付类木马的方法，包括：

基于内网环境搭建仿真支付平台，包括：仿真网上银行或者仿真第三方支付平台；

基于虚拟环境搭建木马运行环境，并将访问网银支付类平台的地址重定向至相对应的仿真支付平台；所述木马运行环境包括：Windows环境、android环境或者IOS环境；

运行木马程序，利用脚本自动化模拟用户登录仿真支付平台的操作，并监控回传数据；

分析回传数据，当判定所述木马程序为网银支付类木马时，记录木马程序行为数据。

进一步地，所述分析回传数据，当判定所述木马程序为网银支付类木马时，记录木马程序行为数据，具体为：分析回传数据，并判断是否存在记录有账号和密码的文本和/或图片，若存在，则判定所述木马程序为网银支付类木马并记录木马程序行为数据，否则继续监控。

进一步地，还包括：根据记录的木马程序行为数据，对所述木马程序的窃取行为进行分类，包括：键盘记录、屏幕截图、明文回传或者加密回传。

本发明可以采用如下系统来实现：一种鉴别网银支付类木马的系统，包括：

第一搭建模块，用于基于内网环境搭建仿真支付平台，包括：仿真网上银行或者仿真第三方支付平台；

第二搭建模块，用于基于虚拟环境搭建木马运行环境，并将访问网银支付类平台的地址重定向至相对应的仿真支付平台；所述木马运行环境包括：Windows环境、android环境或者IOS环境；

仿真登录模块，用于运行木马程序，利用脚本自动化模拟用户登录仿真支付平台的操作，并监控回传数据；

判定记录模块，用于分析回传数据，当判定所述木马程序为网银支付类木马时，记录木马程序行为数据。

进一步地，所述判定记录模块，具体用于：分析回传数据，并判断是否存在记录有账号和密码的文本和/或图片，若存在，则判定所述木马程序为网银支付类木马并记录木马程序行为数据，否则继续监控。

进一步地，还包括：窃取行为分类模块，用于根据记录的木马程序行为数据，对所述木马程序的窃取行为进行分类，包括：键盘记录、屏幕截图、明文回传或者加密回传。

如上所述，本发明给出一种鉴别网银支付类木马的方法及系统，首先在内网中搭建仿真支付平台；其次根据需要在终端中基于虚拟环境搭建木马运行环境，包括：Windows环境、Android环境或者IOS环境；并将访问网银支付类平台的地址重定向至搭建的仿真支付平台；运行木马程序后，利用预置的脚本自动化模拟用户的登录操作，并监控回传数据，若发现可疑数据，则判定所述木马程序为网银支付类木马，并提取和记录木马程序行为数据。

有益效果：本发明所述技术方案通过分析网银支付类木马的行为特点，从而虚拟搭建仿真支付平台和木马运行环境，并利用脚本自动化模拟用户登录操作行为。从而可以有效识别网银支付类木马，并避免过多的人工干预，当发现网银支付类木马后，记录木马程序行为数据，以便后续针对不同窃密类型的网银支付类木马进行针对性分析，并研究更加准确的检出方法。

附图说明