用于检测中间人攻击的方法、装置、系统、设备及介质与流程

本公开涉及网络安全领域，尤其涉及一种用于检测中间人攻击的方法、装置、系统、设备及介质。

背景技术：

app中间人劫持攻击属于中间人劫持攻击(以下简称中间人攻击)的一种，这种技术是指通过抓包的形式，得到手机app向后台服务器发出的数据请求和连接请求，从而窃取或修改其中的关键信息。例如在查询客户信息时，当app向服务器发送查询请求时，通过对请求进行拦截，可修改查询的客户编号、卡号，从而实现查询其他客户的卡信息的情况。特别在一些涉及动帐交易时，可能导致使用他人的账户进行付费，如果此时服务器缺少必要的校验，或校验放在app前端代码进行实现，很可能导致通过中间人攻击绕过，实现非法数据越权查询或篡改。所以，针对app的中间人攻击防护是必不可少的。

在现有的技术体系中，对app中间人劫持的防护主要通过证书链校验、根证书锁定等手段，但是当前的中间人攻击防护，多为通过系统标准函数实现，缺少保护，容易被恶意攻击手法绕过。

技术实现要素：

本公开的一个方面提供了一种用于检测中间人攻击的方法，应用于终端设备，所述方法包括获得所述终端设备的静态配置信息和动态配置信息，基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险，如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据，以及基于所述返回数据，确定是否存在中间人攻击。

可选地，所述静态配置信息包括超级管理员权限状态和本地证书信息，所述动态配置信息包括代理配置信息，所述基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险包括以下至少一种：若用户获得超级管理员权限，则确定存在中间人攻击风险；若存在配置代理的情况，则确定存在中间人攻击风险；若发现本地证书中存在不安全证书，则确定存在中间人攻击风险。

可选地，所述基于所述返回数据，确定是否存在中间人攻击包括基于所述返回数据验证根证书、证书链以及证书信息，若其中任意一个不可信，确定存在中间人攻击。

可选地，所述方法还包括在确定存在中间人攻击的情况下，结束应用程序进程。

可选地，所述方法还包括获得所述终端设备的识别信息，所述识别信息包括设备指纹信息，以及在确定存在中间人攻击的情况下，基于所述识别信息向后台服务器上报中间人攻击情况。

可选地，获得所述终端设备的动态配置信息包括周期性采集所述终端设备的动态信息，所述方法还包括，响应于接收到来自后台服务器的控制指令，改变采集所述动态信息的频率。

本公开的另一个方面提供了一种用于检测中间人攻击的系统，包括静态配置信息采集模块、风险监测模块、中间人攻击识别模块以及监测结果处理模块。静态配置信息采集模块，用于获得终端设备的静态配置信息以及终端设备的指纹信息。风险监测模块，用于获得终端设备的动态配置信息，并基于所述静态配置信息和动态配置信息确定是否存在中间人攻击风险。中间人攻击识别模块，用于在存在中间人攻击风险的情况下，基于预定标识建立通信连接，获得返回数据，并基于所述返回数据，确定是否存在中间人攻击。监测结果处理模块，用于在存在中间人攻击的情况下，基于所述指纹信息向后台服务器发送中间人攻击情况。

本公开的另一个方面提供了一种用于检测中间人攻击的装置，包括第一获得模块、第一确定模块、第二获得模块以及第二确定模块。第一获得模块，用于获得所述终端设备的静态配置信息和动态配置信息。第一确定模块，用于基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险。第二获得模块，用于如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据。第二确定模块，用于基于所述返回数据，确定是否存在中间人攻击。

本公开的另一个方面提供了一种电子设备，包括处理器以及存储器，存储器上存储有计算机可读指令，所述指令被处理器执行时使得处理器执行上述的方法。

本公开的另一个方面提供了一种计算机可读存储介质，其上存储有计算机可读指令，所述指令被处理器执行时使得处理器执行如上所述的方法。

本公开实施例的方法通过校验手机的运行状态，采集相关数据，实现对中间人劫持行为的识别与发现，保护app应用系统的信息安全，通过静态动态数据采集，解决了现有健壮性不足的问题，避免黑客通过简单修改参数绕过检查。

附图说明

图1示意性示出了根据本公开实施例的用于检测中间人攻击的方法的应用场景的示意图；

图2示意性示出了根据本公开实施例的用于检测中间人攻击的方法的流程图；

图3示意性示出了根据本公开实施例的用于检测中间人攻击的系统的框图；

图4示意性示出了根据本公开另一实施例的用于检测中间人攻击的方法的流程图；

图5示意性示出了根据本公开实施例的用于检测中间人攻击的装置的框图；以及

图6示意性示出了根据本公开实施例的电子设备的框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。

本公开的实施例提供了一种用于检测中间人攻击的方法，应用于终端设备，所述方法包括获得所述终端设备的静态配置信息和动态配置信息，基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险，如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据，以及基于所述返回数据，确定是否存在中间人攻击。

图1示意性示出了根据本公开实施例的用于检测中间人攻击的方法的应用场景的示意图。

如图1所示，该场景中包括用户终端设备例如用户的手机101、应用服务器104和后台服务器105，其中，在手机app102中，除了正常业务代码外，还设置有中间人攻击监测系统103。本公开实施例的方法可以由终端设备执行，例如可以通过设置在app中的中间人攻击监测系统103实现。

图2示意性示出了根据本公开实施例的用于检测中间人攻击的方法的流程图。

如图2所示，该方法包括操作s210～s240。

在操作s210，获得所述终端设备的静态配置信息和动态配置信息。

根据本公开实施例，所述静态配置信息包括超级管理员权限状态和本地证书信息，所述动态配置信息包括代理配置信息。

在操作s220，基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险。例如，若用户获得超级管理员权限，或者存在配置代理的情况，又或者发现本地证书中存在不安全证书，如果出现以上至少一种情况，则可以确定存在中间人攻击风险。

在操作s230，如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据。

在操作s240，基于所述返回数据，确定是否存在中间人攻击。

根据本公开实施例，所述基于所述返回数据，确定是否存在中间人攻击包括基于所述返回数据验证根证书、证书链以及证书信息，若其中任意一个不可信，确定存在中间人攻击。

根据本公开实施例，所述方法还包括在确定存在中间人攻击的情况下，结束该应用程序进程，及时地控制风险。

根据本公开实施例，所述方法还包括获得所述终端设备的识别信息，所述识别信息包括设备指纹信息，以及在确定存在中间人攻击的情况下，基于所述识别信息向后台服务器上报中间人攻击情况。

根据本公开实施例，获得所述终端设备的动态配置信息包括周期性采集所述终端设备的动态信息，所述方法还包括，响应于接收到来自后台服务器的控制指令，改变采集所述动态信息的频率。

下面结合图3和图4所示意的实施例，对本公开的方法进行说明。

图3示意性示出了根据本公开实施例的用于检测中间人攻击的系统300的框图。

如图3所示，该用于检测中间人攻击的系统300包括静态配置信息采集模块310、风险监测模块320、中间人攻击识别模块330以及监测结果处理模块340。

静态配置信息采集模块310，用于获得终端设备的静态配置信息以及终端设备的指纹信息，用于后续协助判断是否存在中间人劫持风险。

风险监测模块320，用于获得终端设备的动态配置信息，并基于所述静态配置信息和动态配置信息确定是否存在中间人攻击风险。

根据本公开实施例，风险监测模块320接收静态配置信息采集模块310模块提供的结果后，在应用程序启动的情况下，定时循环执行，动态采集手机中的动态信息，结合获得的静态配置信息，根据预设的规则判断当前手机、当前被保护的应用程序是否存在中间人攻击的风险，如果判断系统整体环境安全，则不执行后续操作，如果判断手机系统、应用程序存在被中间人攻击的可能性，则调用中间人攻击识别模块330。

根据本公开实施例，为优化准确度，监测规则可通过后台服务器的管理系统进行升级更新。为减少监测模块对系统性能的影响，后台服务器的管理系统可配置循环检查的频度，针对曾出现过中间人攻击的手机终端，模块可以提高检查频度。

中间人攻击识别模块330，用于在存在中间人攻击风险的情况下，基于预定标识建立通信连接，获得返回数据，并基于所述返回数据，确定是否存在中间人攻击。

中间人攻击识别模块启动后，模拟应用程序发起https链接，并对模拟https链接的安全性进行分析，对链接的站点信息、证书信息、加密算法等内容进行采集，综合上述信息及静态配置信息进行分析，实时判别当前状态操作系统及应用程序中是否存在中间人攻击。如果存在中间人攻击，则将相关信息发送至监测结果处理模块340，同时将结果反馈至风险监测模块320，用于后续调整检测频度。如果未发现中间人攻击，则流程结束。

监测结果处理模块340，用于在存在中间人攻击的情况下，基于所述指纹信息向后台服务器发送中间人攻击情况。

根据本公开实施例，后台服务器的管理系统例如可以包括数据接收模块、信息分析展示模块、告警模块和配置管理模块等。其中，数据接收模块用于接收由监测结果处理模块340上送的各类数据，并进行存储。信息分析展示模块读取数据接收模块存储的数据，进行统计分析，统计内容包括发现的中间人攻击总体数量，各ip、设备出现中间人攻击的数量，中间人攻击app分布等统计信息，并将分析结果通过ui界面进行展示。告警模块在告警攻击达到告警规则阈值后，通过邮件、短信、网站通知的模式，向用户发送告警。配置管理模块用于配置调整判别规则或告警阈值等。

图4示意性示出了根据本公开实施例的用于检测中间人攻击的方法的流程图。

如图4所示，该方法包括步骤1201～1215。

在步骤1201，用户正常打开应用程序，此时应用程序将会加载中间人攻击监测系统；

在步骤1202，静态配置采集模块310提取手机的设备指纹，用于对设备进行唯一定位，以便后续对中间人攻击的情况进行统计展示；

在步骤1203，静态配置采集模块310采集手机及应用程序的静态配置，用于后续风险分析；

在步骤1204，风险监测模块320周期性地采集手机上的动态信息；

在步骤1205，风险监测模块320根据采集的静态配置、动态配置进行分析，判断当前操作系统、应用程序是否存在被中间人攻击的可能性，判断规则包括；

(1)检查系统是否处在越狱、root场景下，如果存在root、越狱场景，则存在中间人攻击风险；

(2)在未检出越狱、root场景下，检测是否存在配置代理的情况，检出代理，则存在中间人攻击风险；

(3)未检出越狱、root场景同时未检出代理的情况下，检查客户端本地证书情况，如果发现不安全证书，则存在中间人攻击风险；

(4)以上场景均不存在时，认为当前状态不存在中间人攻击风险。

在步骤1206，中间人攻击识别模块330在风险监测模块认为存在风险的情况下，建立应用程序https链接。

在步骤1207，中间人攻击识别模块330对步骤1206中建立的链接回话进行检查，获取包括对方根证书，对方证书链，对方证书信息等一系列参数进行判断，判断顺序如下；

(1)存在根证书不可信，说明存在中间人攻击；

(2)存在证书链不可信，说明存在中间人攻击；

(3)存在证书信息不可信，说明存在中间人攻击；

(4)检查未发现问题，说明不存在中间人攻击。

在步骤1208，中间人攻击识别模块330如果发现存在中间人攻击，会向应用程序发出告警，也可以通过结束应用程序进程的模式对应用程序数据进行保护，同时将发现的信息发送至检测处理模块。

在步骤1209，监测结果处理模块340负责接收中间人攻击模块提交的异常信息。

在步骤1210，监测结果处理模块340将接收到的异常信息，上送到后台服务器的管理系统。

在步骤1211，后台服务器的管理系统的数据接收模块接收监测结果处理模块340上送的异常数据。

在步骤1212，数据接收模块接收到异常后，将消息进行持久化存储。

在步骤1213，信息分析展示模块对异常消息进行分析汇总，从ip、设备等维度生成统计图表。

步骤1214，对步骤1213中生成的统计图表进行ui化展示。

步骤1215，告警模块对异常信息情况进行监控，当异常信息指标达到阈值后，通过邮件、信息等模式对管理员进行告警。

本公开实施例的方法通过静态动态数据动态采集，解决了现有健壮性不足的问题，避免黑客通过简单修改参数绕过检查，提高了防护的覆盖面。在发现中间人劫持行为后，将结果记录并发送至后台监控服务器，降低应用程序受到中间人劫持的风险，对正常用户使用应用程序无干扰，保护系统信息安全。通过结合设备指纹技术，后台服务器对攻击情况进行统一汇总分析，便于安全人员进行针对性的防护和响应。

基于同一发明构思，本公开实施例还提供了一种用于检测中间人攻击的装置，下面结合图5对本公开实施例的用于检测中间人攻击的装置进行介绍。

图5示意性示出了根据本公开实施例的用于检测中间人攻击的装置500的框图。

如图5所示，该用于检测中间人攻击的装置500包括第一获得模块510、第一确定模块520、第二获得模块530以及第二确定模块540。该用于检测中间人攻击的装置500可以执行上文参考图1～4描述的各种方法。

第一获得模块510，例如执行参考上文图2描述的操作s210，用于获得所述终端设备的静态配置信息和动态配置信息。

第一确定模块520，例如执行参考上文图2描述的操作s220，用于基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险。

第二获得模块530，例如执行参考上文图2描述的操作s230，用于如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据。

第二确定模块540，例如执行参考上文图2描述的操作s240，用于基于所述返回数据，确定是否存在中间人攻击。

根据本公开实施例，所述静态配置信息包括超级管理员权限状态和本地证书信息，所述动态配置信息包括代理配置信息，所述第一确定模块520用于执行以下至少一种：若用户获得超级管理员权限，则确定存在中间人攻击风险；若存在配置代理的情况，则确定存在中间人攻击风险；若发现本地证书中存在不安全证书，则确定存在中间人攻击风险。

根据本公开实施例，所述第二确定模块540用于基于所述返回数据验证根证书、证书链以及证书信息，若其中任意一个不可信，确定存在中间人攻击。

根据本公开实施例，所述装置还包括结束模块，用于在确定存在中间人攻击的情况下，结束应用程序进程。

根据本公开实施例，所述装置还包括上报模块，用于获得所述终端设备的识别信息，并在确定存在中间人攻击的情况下，基于所述识别信息向后台服务器上报中间人攻击情况，其中，所述识别信息包括设备指纹信息。

根据本公开实施例，第一获得模块510用于周期性采集所述终端设备的动态信息，所述装置还包括控制模块，用于响应于接收到来自后台服务器的控制指令，改变采集所述动态信息的频率。

根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，第一获得模块510、第一确定模块520、第二获得模块530、第二确定模块540、结束模块、上报模块以及控制模块中的多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，第一获得模块510、第一确定模块520、第二获得模块530、第二确定模块540、结束模块、上报模块以及控制模块中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，第一获得模块510、第一确定模块520、第二获得模块530、第二确定模块540、结束模块、上报模块以及控制模块中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图6示意性示出了根据本公开实施例的适于实现上文描述的方法的计算机系统的方框图。图6示出的计算机系统仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，根据本公开实施例的计算机系统600包括处理器601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分1008加载到随机访问存储器(ram)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器601还可以包括用于缓存用途的板载存储器。处理器1001可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在ram603中，存储有系统600操作所需的各种程序和数据。处理器601、rom602以及ram603通过总线1004彼此相连。处理器601通过执行rom602和/或ram603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom602和ram603以外的一个或多个存储器中。处理器1001也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，系统600还可以包括输入/输出(i/o)接口605，输入/输出(i/o)接口605也连接至总线604。系统600还可以包括连接至i/o接口605的以下部件中的一项或多项：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom602和/或ram603和/或rom602和ram603以外的一个或多个存储器。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合，即使这样的组合或结合没有明确记载于本公开中。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。