一种手机银行支付安全监测分析方法与系统与流程

本发明属于网络安全应用技术领域，具体涉及一种手机银行支付安全监测分析方法与系统。

背景技术：

目前，手机支付安全问题已经成为国内乃至全世界的网络安全领域最为关注的危害之一。

近年来，随着电子商务的快速发展，网上支付已经成为支付的主要方式之一，用户足不出户便可通过网络完成相关操作：（1）银行的查询；（2）银行转账；（3）银行支付等业务。

网络支付的新型安全威胁逐步出现，不法分子通过诈骗短信、网络钓鱼、木马病毒等多种方式，窃取用户的银行卡账号和密码，劫持银行发送的身份验证短信，在用户不知情的情况下进行非法操作，严重威胁广大用户的财产安全，加大了金融安全防范的难度。

银行方面为防控网银安全风险，采取了一些安全监测措施，通过用户行为分析可以识别和阻断部分非常规操作，但由于其系统所处的位置，监测记录的信息非常有限，在恶意转账支付等非法行为发生之后，仅依靠自身安全防控平台和用户网银操作日志，往往较难追溯最终恶意操作源。此为现有技术的不足之处。

针对现有技术中的上述缺陷，提供设计一种手机银行支付安全监测分析方法与系统，以解决上述技术问题，是非常有必要的。

技术实现要素：

本发明的目的在于，针对上述现有技术存在的缺陷，提供设计一种手机银行支付安全监测分析方法与系统，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种手机银行支付安全监测分析方法，包括如下步骤：

步骤1)，下载银行客户端APP；所述银行客户端APP包括：移动终端的银行APP安装包；

步骤2)，对APP包进行数据完整性检查，去掉不完整的APP安装包，保留完整的APP安装包；

步骤3)，在手机上安装银行APP、手机上网连接电脑网络热点，启动APP执行手机银行各种支付，通过网络数据监测分析程序（Wireshark）进行银行支付数据包抓取、对应用层、传输层协议进行反编译、解密分析，记录及提取用户支付行为特征，从而建立支付行为特征库：包括登陆URL、查询URL、转账URL；

步骤4) ，支付行为特征下发至电信运营企业侧移动互联网Gn、S11/S1-U口恶意程序监测设备（已有网络安全监测手段）与网络管道内的数据流进行支付行为特征匹配，提取用户支付行为数据，该行为数据包括：用户支付时间、支付手机号、登陆、转账、查询、支付银行网站、所用的银行客户端APP。

优选的，所述步骤1）中，基于爬虫系统，按照下载URL实现对手机支付APP下载，下载的APP包括：手机支付APP安装包；

优选的，所述步骤2）中，采采用MD5值校验方式实现对APP签名检测、classes.dex校验、整个apk校验，最终判检验出完整的APP包。

优选的，所述步骤3）中，通过网络数据监测分析程序（Wireshark）实现对手机APP软件支付业务包抓取、应用层及传输层协议反编译、解密分析，记录及提取用户支付行为特征，从而建立支付行为特征库：主要包括登陆URL、转账URL、查询URL。

优选的，所述步骤4）中，支付行为特征下发至电信运营企业侧移动互联网Gn、S11/S1-U口恶意程序监测设备（现有网络安全监测手段），恶意程序监测设备通过DPI（深度包检测）技术对Gn、S11/S1-U口的数据流获取、协议解析、内容深度分析、支付行为日志输出、支付行为日志与支付特征匹配一系列的数据处理过程，最终得到网络侧用户支付行为数据，具体包括：支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、手机号码、UA、IMSI、IMEI、银行客户端APP。

一种手机银行支付安全监测分析系统，包括：

数据采集单元，用于下载APP；所述APP为：银行客户端APP文件包；

APP文件结构检查单元，用于对APP文件进行完整性检查，将不完整的APP去掉，保留完整的APP；

数据分析单元：用于对用户支付行为数据包抓取、应用层及传输层协议反编译、解密等分析，输出用户支付行为数据；

支付行为特征库：建立支付行为特征库，包括：登陆URL、转账URL、查询URL；

监测规则执行单元：接收管理平台下发的登陆URL、转账URL、查询URL支付行为特征， 获取Gn、S11/S1-U口数据流中匹配支付行为特征的支付行为数据：手机号、imsi、支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、所用的手机号码、UA、IMSI、IMEI、银行客户端APP等支付行为数据，然后上传至平台。

优选的，所述的采集单元，通过架设爬虫服务以及交换机设备，实现APP的下载。

优选的，所述数据分析单元，基于网络数据监测分析程序（Wireshark）分析原理，对应用层、传输层协议进行反编译、解密分析，输出用户支付行为数据。

优选的，所述监测规则执行单元，根据接收的支付行为特征与Gn、S11/S1-U口数据流中所提取的用户支付行为日志（登陆URL、查询URL、转账URL）进行匹配，输出支付行为数据；具体包括：支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、所用的手机号码、UA、IMSI、IMEI、银行客户端APP。

本发明的有益效果在于，本发明采取了上述方案以后，通过建立主流各大银行及支付平台支付行为特征库，借助Gn、S11/S1-U口恶意程序监测设备（已有的网络安全监测手段），对手机用户的支付行为进行深度识别和分析，从而获取手机银行用户在支付过程中所有和用户相关的信息及操作行为（用户信息、业务信息、使用终端、手机银行APP、URL等），通过网络侧获取的用户支付行为日志（手机号、操作日志、时间等）与银行侧日志数据（用户账号、操作行为、时间等）建立关联关系，可以为事后追溯和案件侦破提供关联数据线索，如手机号、用户账号等。此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著地进步，其实施的有益效果也是显而易见的。

附图说明

图1是本发明提供的一种手机银行支付安全监测分析方法的业务流程图；

图2是本发明提供的一种手机银行支付安全监测分析方法的数据流程图；

图3是本发明提供的一种手机银行支付安全监测分析系统的结构示意图。

具体实施方式

下面结合附图并通过具体实施例对本发明进行详细阐述，以下实施例是对本发明的解释，而本发明并不局限于以下实施方式。

如图1和2所示，本发明提供的一种手机银行支付安全监测分析方法，包括如下步骤：

步骤1)，下载银行客户端APP；所述银行客户端APP包括：移动终端的银行APP安装包；

步骤2)，对APP包进行数据完整性检查，去掉不完整的APP安装包，保留完整的APP安装包；

步骤3)，在手机上安装银行APP、手机上网连接电脑网络热点，启动APP执行手机银行各种支付，通过网络数据监测分析程序（Wireshark）进行银行支付数据包抓取、对应用层、传输层协议进行反编译、解密分析，记录及提取用户支付行为特征，从而建立支付行为特征库：包括登陆URL、查询URL、转账URL；

步骤4) ，支付行为特征下发至电信运营企业侧移动互联网Gn、S11/S1-U口恶意程序监测设备（已有网络安全监测手段）与网络管道内的数据流进行支付行为特征匹配，提取用户支付行为数据，该行为数据包括：用户支付时间、支付手机号、登陆、转账、查询、支付银行网站、所用的银行客户端APP。

本实施例中，所述步骤1）中，基于爬虫系统，按照下载URL实现对手机支付APP下载，下载的APP包括：手机支付APP安装包；

所述步骤2）中，采采用MD5值校验方式实现对APP签名检测、classes.dex校验、整个apk校验，最终判检验出完整的APP包。

所述步骤3）中，通过网络数据监测分析程序（Wireshark）实现对手机APP软件支付业务包抓取、应用层及传输层协议反编译、解密分析，记录及提取用户支付行为特征，从而建立支付行为特征库：主要包括登陆URL、转账URL、查询URL。

所述步骤4）中，支付行为特征下发至电信运营企业侧移动互联网Gn、S11/S1-U口恶意程序监测设备（现有网络安全监测手段），恶意程序监测设备通过DPI（深度包检测）技术对Gn、S11/S1-U口的数据流获取、协议解析、内容深度分析、支付行为日志输出、支付行为日志与支付特征匹配一系列的数据处理过程，最终得到网络侧用户支付行为数据，具体包括：支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、手机号码、UA、IMSI、IMEI、银行客户端APP。

如图3所示，本发明提供的一种手机银行支付安全监测分析系统，包括：

数据采集单元，用于下载APP；所述APP为：银行客户端APP文件包；

APP文件结构检查单元，用于对APP文件进行完整性检查，将不完整的APP去掉，保留完整的APP；

数据分析单元：用于对用户支付行为数据包抓取、应用层及传输层协议反编译、解密等分析，输出用户支付行为数据；

支付行为特征库：建立支付行为特征库，包括：登陆URL、转账URL、查询URL；

监测规则执行单元：接收管理平台下发的登陆URL、转账URL、查询URL支付行为特征， 获取Gn、S11/S1-U口数据流中匹配支付行为特征的支付行为数据：手机号、imsi、支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、所用的手机号码、UA、IMSI、IMEI、银行客户端APP等支付行为数据，然后上传至平台。

本实施例中，所述的采集单元，通过架设爬虫服务以及交换机设备，实现APP的下载。

所述数据分析单元，基于网络数据监测分析程序（Wireshark）分析原理，对应用层、传输层协议进行反编译、解密分析，输出用户支付行为数据。

所述监测规则执行单元，根据接收的支付行为特征与Gn、S11/S1-U口数据流中所提取的用户支付行为日志（登陆URL、查询URL、转账URL）进行匹配，输出支付行为数据；具体包括：支付开始时间、支付结束时间、支付行为（登陆、转账、查询余额）、所用的手机号码、UA、IMSI、IMEI、银行客户端APP。

以上公开的仅为本发明的优选实施方式，但本发明并非局限于此，任何本领域的技术人员能思之的没有创造性的变化，以及在不脱离本发明原理前提下所作的若干改进和润饰，都应落在本发明的保护范围内。