一种木马拦截方法、装置和系统的利记博彩app

一种木马拦截方法、装置和系统的利记博彩app
【专利摘要】本发明实施例公开了一种木马拦截方法、装置和系统，其中方法的实现包括：拦截用户的输入信息，并确定所述输入信息是否与保存的需要进行保护的敏感信息相同；若相同，并且所述输入信息的输入目标对象不属于合法对象，则发出告警提示。以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。
【专利说明】—种木马拦截方法、装置和系统
【技术领域】
[0001]本发明涉及通信【技术领域】，特别涉及一种木马拦截方法、装置和系统。
【背景技术】
[0002]为了防止网银、网游，以及其他网络账户的用户名和密码被盗用，技术人员进行了广泛的研究，并采用了各种方案来实现防止被盗用，以下是其中一种方案的举例:
[0003]使用特殊的账号和/或密码输入控件来防止输入被拦截。
[0004]比较典型的有各种网银使用的控件。该方案中，“登录密码”的输入框并非普通的文本框，而是具有防止拦截键盘输入的特殊控件。可以防止用户在这个控件内输入的密码被木马所拦截。
[0005]该方案使用控件的缺陷是:用户只有打开了正确的网址，才能安全地输入密码，具体如下:如果用户输错URL(Uniform Resource Locator,网页地址),或者被病毒修改域名，就可能会进入钓鱼网站，那么展示给用户的将是一个假的网银登录界面。此时，只要用户输入账号和密码，就会被盗号。因此，该方案在打开网址错误时，网银控件的防范将失去作用。另外，该方案中的网银控件仅针对特地的网址，对其他网址无效，因此应用范围窄。
[0006]发明人在实现本发明实施例的过程中发现，以上方案需要用户输入正确的网址，对用户要求较高，并且应用范围窄，因此安全性较差。

【发明内容】

[0007]本发明实施例提供了一种木马拦截方法、装置和系统，用于提供应用广泛并且对用户要求较低的方案，提高安全性。
[0008]一种木马拦截方法,包括:
[0009]拦截用户的输入信息，并确定所述输入信息是否与保存的需要进行保护的敏感信息相同；
[0010]若相同，并且所述输入信息的输入目标对象不属于合法对象，则发出告警提示。
[0011]一种木马拦截装置，包括:
[0012]输入单元，用于接收用户输入信息；
[0013]拦截单元，用于拦截用户通过所述输入单元输入的输入信息；
[0014]比对单元，用于确定所述拦截单元拦截的输入信息是否与保存的需要进行保护的敏感信息相同；
[0015]合法性确定单元，用于若比对单元确定结果为相同，则确定所述输入信息的输入目标对象是否属于合法对象；
[0016]告警单元，用于在所述合法性确定单元确定所述输入信息的输入目标对象不属于合法对象时，发出告警提示。
[0017]一种木马拦截系统，包括:终端和云端服务器，
[0018]所述终端，用于拦截用户的输入信息，并确定所述输入信息是否与保存的需要进行保护的敏感信息相同；若相同，则向所述云端服务器查询所述输入信息的输入目标对象不属于合法对象，则发出告警提示。
[0019]从以上技术方案可以看出，本发明实施例具有以下优点:以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。
【专利附图】

【附图说明】
[0020]为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本发明实施例方法流程示意图；
[0022]图2为本发明实施例另一方法流程示意图；
[0023]图3为本发明实施例数据流向示意图；
[0024]图4为本发明实施例装置结构示意图；
[0025]图5为本发明实施例另一装置结构示意图；
[0026]图6为本发明实施例再一装置结构示意图；
[0027]图7为本发明实施例系统结构示意图。
【具体实施方式】
[0028]为了使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部份实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0029]本发明实施例提供了一种木马拦截方法，如图1所示，包括:
[0030]101:拦截用户的输入信息，并确定上述输入信息是否与保存的需要进行保护的敏感信息相同；
[0031]上述敏感信息可以是重要账户、密码，也可以是其他需要进行保护的信息，敏感信息的具体体现形式本发明实施例不予限定。
[0032]优选地，为了进一步提高安全性，在终端侧可以不直接保存敏感信息，而是保存由敏感信息得到的非可逆信息具体地:在确定上述输入信息是否与保存的需要进行保护的敏感信息相同之前还包括:接收需要进行保护的敏感信息并将上述需要进行保护的敏感信息转换为非可逆信息，并保存。上述非可逆信息是指不能由转换得到的非可逆信息还原出敏感信息的任意信息，例如比较常见的MD5(Message Digest Algorithm5,消息摘要算法第五版)值。
[0033]102:若相同，并且上述输入信息的输入目标对象不属于合法对象，则发出告警提
/Jn ο[0034]上述告警提示的方式可以是显示告警提示对话框，或者同时发出告警音频等，告警的具体表现形式本发明实施例不予限定。
[0035]以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。
[0036]对应保存非可逆信息，上述102中，确定上述输入信息是否与保存的需要进行保护的敏感信息相同包括:将上述输入信息转换为与上述输入信息对应的非可逆信息，确定与上述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
[0037]可选地，本发明实施例提供了非可逆信息的一个举例，上述非可逆信息为散列算法值。上述MD5值是散列算法得到的值中的一种。
[0038]更具体地，本发明实施例提供了采用云端服务器实现的方案如下:确定上述输入信息的输入目标对象不属于合法对象的方法包括:将上述输入信息的输入目标对象的特征信息与保存在云端服务器的与上述输入目标对象的合法特征信息进行比对，若存在非法信息或者未知信息，则确定上述输入信息的输入目标对象不属于合法对象。
[0039]进一步地，本发明实施例还提供了在云端统计非法对象增强木马识别能力的方案，具体地:确定上述输入信息的输入目标对象不属于合法对象之后还包括:收集上述输入信息的输入目标对象的特征信息，在依据上述特征信息确定上述上述输入信息的输入目标对象为恶意程序后，将上述输入信息的输入目标对象作为非法对象发送给云端服务器。
[0040]以上方案的基本思想是，首先对用户的重要账户、密码等需要进行保护的敏感信息在终端本机进行设定。请注意这些重要的账号并不意味着账号的密码需要保存在终端本机，只需要保存密码的某种特征(比如MD5值)即可。一旦设定，本发明实施例方案将可以实现保护这些账号和密码。具体保护方案如下:
[0041]终端启动以后，对用户的输入进行拦截获得用户输入信息。拦截的方式可以采用内核驱动程序来实现。通过该步骤，无论用户在任何窗口输入，只要用户输入了已经设定为保护的账号、密码，本技术方案中的内核驱动程序即可探测到用户的输入。
[0042]在探测到用户输入了需要保护的敏感信息以后，进行安全性的检验。安全性的检验可以是:验证用户输入的对象窗口或者是访问的web (网页)页面的URL是否是合法的。如果确认为合法，则允许用户继续操作。如果不能确认为合法的，则可以采取不同的措施，例如:提示用户注意安全上的风险，或者收集足够的信息发送到后台以便人工分析可能存在的盗号木马和非法的钓鱼网站的URL。进一步地，如果有新发现的木马和钓鱼网站URL的信息，可以将其保存到云端服务器，以促进云查询的准确性不断提高。
[0043]由于这种技术是对用户终端上所有的界面都有可能进行的(在进行之前先经过初步筛选)，因此理论上，无论已知还是未知的盗号界面(包括各种钓鱼网站、盗号木马等)，都能有很闻的发现率。
[0044]以下实施例将以即时通信软件的木马拦截为例，进行更为详细的说明，如下，请参阅图2所示,并请一并参阅图3:
[0045]201:用合适的方式保存用户欲保护的敏感信息。
[0046]上述敏感信息可能是即时通信软件账号、各种游戏账号、网银账号及其密码等。保存的方案可以是让用户主动输入这些账号并保存。由于在即时通信软件的实际应用中，账号与软件是结合使用的，因此用户也能够无需主动输入。比如，当用户在本机登录即时通信软件的时候，即时通信软件的账号以及密码就自动被设置在根据本发明实施例实现的保护程序之中。
[0047]另外敏感信息所需要保存的信息一般可以分为两类，一类是公开信息(比如用户名)，另一类是需要保密的信息(比如密码)。虽然保护程序具有自我保护的安全性，但是如果将保密信息(比如密码)保存在内存或者配置文件等介质上，无疑会提高泄密的风险。因此，对于公开信息，可以直接保存。对于保密信息，可以采用保存它的某种特征值(比如MD5值)的形式。根据数据的MD5值无法推算出数据本身，从而避免了提高泄密风险的可能。
[0048]202:对用户的输入(包括鼠标和键盘等的输入操作)进行拦截。
[0049]请参阅图3中用户通过输入设备输入的输入信息，被用户输入拦截，拦截的信息被转发给保护程序，另外输入信息还会依照原有的路径经过输入设备驱动一直提交到网页、软件、或登录界面等输入对象。
[0050]对用户输入进行拦截的可选实现方案很多，比如:
[0051]A:利用视窗系统(Windows)提供的钩子接口在应用层安装钩子,钩子能够记录下所有的按键和鼠标消息。
[0052]B:开发一个Windows内核驱动程序，对Windows中的键盘、鼠标设备进行绑定(Attach)。从硬件发出的消息将首先发送给该驱动程序。
[0053]203:对用户通过按键、鼠标等输入的输入信息进行了拦截之后，就能即时将这些输入信息和前述保存的敏感信息或者其特征值进行比对，从而发现用户是否是输入了要保护的敏感信息(账号和密码)。
[0054]该方案由于是监测用户的所有输入信息，因而用户无论是在任何场合，例如:无论是在访问网页、还是在登录游戏、或者是登录别的类型的软件、或者是被盗号木马的界面欺骗，用户输入的输入信息都能以很高的概率被捕获。
[0055]204:进行输入对象的安全性的检测。
[0056]一般而言，输入的对象可能是一个软件，比如:即时通信软件，或者游戏或者别的软件，也有可能是浏览器正在访问的一个Web并带有URL。合法性的检测往往可以结合后台云查进行。即将软件的进程信息，或者正在访问的网址(URL)，如图3所示，由保护程序收集下来，发送到后台的云端服务器进行查询。云端服务器返回合法与否的结果。如果不是合法的，那保护程序还可以收集非法进程的信息(如可执行文件的样本、URL链接等)发送到云端服务器。安全人员可以对这些非法样本进行分析和确认。
[0057]以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。将可能非法的各种特征信息发送给云端，有利于非法对象的发现，从而更有利于发现未知的木马。
[0058]本发明实施例还提供了一种木马拦截装置，如图4所示，包括:
[0059]输入单元401，用于接收用户输入信息；
[0060]拦截单元402，用于拦截用户通过上述输入单元401输入的输入信息；[0061]比对单元403，用于确定上述拦截单元402拦截的输入信息是否与保存的需要进行保护的敏感信息相同；
[0062]合法性确定单元404，用于若比对单元403确定结果为相同，则确定上述输入信息的输入目标对象是否属于合法对象；
[0063]告警单元405，用于在上述合法性确定单元404确定上述输入信息的输入目标对象不属于合法对象时，发出告警提示。
[0064]以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。
[0065]进一步地，为了进一步提高安全性，在终端侧可以不直接保存敏感信息，而是保存由敏感信息得到的非可逆信息，如图5所示，上述装置还包括:
[0066]保护信息接收单元501，用于在确定上述输入信息是否与保存的需要进行保护的敏感信息相同之前，接收需要进行保护的敏感信息；
[0067]转换单元502，用于将保护信息接收单元501接收的上述需要进行保护的敏感信息转换为非可逆信息，用于保存；将上述拦截单元402拦截的输入信息转换为与上述输入信息对应的非可逆信息；
[0068]上述比对单元403，具体用于确定与上述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
[0069]可选地,上述转换单元502,具体用于将上述保护信息接收单元501接收的上述需要进行保护的敏感信息转换为散列算法值；将上述拦截单元402拦截的输入信息转换为与上述输入信息对应的散列算法值。
[0070]可选地，上述比对单元403，具体用于将上述输入信息的输入目标对象的特征信息与保存在云端服务器的与上述输入目标对象的合法特征信息进行比对，若存在非法信息或者未知信息，则确定上述输入信息的输入目标对象不属于合法对象。
[0071]进一步地，本发明实施例提供了采用云端服务器实现的方案如下:如图6所示，上述装置还包括:
[0072]信息收集单元601，用于在合法性确定单元404确定上述输入信息的输入目标对象不属于合法对象之后，收集上述输入信息的输入目标对象的特征信息；
[0073]发送单元602，用于在依据上述信息收集单元601收集的特征信息确定上述上述输入信息的输入目标对象为恶意程序后，将上述输入信息的输入目标对象作为非法对象发送给云端服务器。
[0074]本发明实施例还提供了一种木马拦截系统，如图7所示，包括:终端701和云端服务器702，其中，上述终端701，用于拦截用户的输入信息，并确定上述输入信息是否与保存的需要进行保护的敏感信息相同；若相同，则向上述云端服务器702查询上述输入信息的输入目标对象不属于合法对象，则发出告警提示。
[0075]以上方案可以拦截到所有输入信息，在输入信息与保存的需要进行保护的敏感信息相同，并且输入信息的输入目标对象不合法时，发出告警；可以不限于对某一具体的输入目标对象的监控，因此具有更广泛的应用；并且，并不一定需要用户输入正确的网址或者运行正确的程序，对用户要求较低，因而具有更好的安全性。
[0076]进一步地，为了进一步提高安全性，在终端侧可以不直接保存敏感信息，而是保存由敏感信息得到的非可逆信息具体地:上述终端701，还用于在确定上述输入信息是否与保存的需要进行保护的敏感信息相同之前，接收需要进行保护的敏感信息并将上述需要进行保护的敏感信息转换为非可逆信息，并保存；
[0077]上述终端701用于确定上述输入信息是否与保存的需要进行保护的敏感信息相同包括:具体用于将上述输入信息转换为与上述输入信息对应的非可逆信息，确定与上述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
[0078]可选地，本发明实施例提供了非可逆信息的一个举例，上述终端701，具体用于将上述需要进行保护的敏感信息转换为散列算法值；将拦截的输入信息转换为与上述输入信息对应的散列算法值。
[0079]可选地，本发明实施例还提供了在云端统计非法对象增强木马识别能力的方案，上述终端701，还用于确定上述输入信息的输入目标对象不属于合法对象之后，收集上述输入信息的输入目标对象的特征信息，在依据上述特征信息确定上述上述输入信息的输入目标对象为恶意程序后，将上述输入信息的输入目标对象作为非法对象发送给云端服务器702。
[0080]值得注意的是，上述终端实施例中，所包括的各个单元只是按照功能逻辑进行划分的，但并不局限于上述的划分，只要能够实现相应的功能即可；另外，各功能单元的具体名称也只是为了便于相互区分，并不用于限制本发明的保护范围。
[0081]另外，本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成，相应的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
[0082]以上仅为本发明较佳的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明实施例揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种木马拦截方法，其特征在于，包括: 拦截用户的输入信息，并确定所述输入信息是否与保存的需要进行保护的敏感信息相同； 若相同，并且所述输入信息的输入目标对象不属于合法对象，则发出告警提示。
2.根据权利要求1所述方法，其特征在于，在确定所述输入信息是否与保存的需要进行保护的敏感信息相同之前还包括: 接收需要进行保护的敏感信息并将所述需要进行保护的敏感信息转换为非可逆信息，并保存； 所述确定所述输入信息是否与保存的需要进行保护的敏感信息相同包括: 将所述输入信息转换为与所述输入信息对应的非可逆信息，确定与所述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
3.根据权利要求2所述方法，其特征在于，所述非可逆信息为散列算法值。
4.根据权利要求1至3任意一项所述方法，其特征在于，确定所述输入信息的输入目标对象不属于合法对象的方法包括: 将所述输入信息的输入 目标对象的特征信息与保存在云端服务器的与所述输入目标对象的合法特征信息进行比对，若存在非法信息或者未知信息，则确定所述输入信息的输入目标对象不属于合法对象。
5.根据权利要求4所述方法，其特征在于，确定所述输入信息的输入目标对象不属于合法对象之后还包括: 收集所述输入信息的输入目标对象的特征信息，在依据所述特征信息确定所述所述输入信息的输入目标对象为恶意程序后，将所述输入信息的输入目标对象作为非法对象发送给云端服务器。
6.一种木马拦截装置，其特征在于，包括: 输入单元，用于接收用户输入信息； 拦截单元，用于拦截用户通过所述输入单元输入的输入信息； 比对单元，用于确定所述拦截单元拦截的输入信息是否与保存的需要进行保护的敏感信息相同； 合法性确定单元，用于若比对单元确定结果为相同，则确定所述输入信息的输入目标对象是否属于合法对象； 告警单元，用于在所述合法性确定单元确定所述输入信息的输入目标对象不属于合法对象时，发出告警提示。
7.根据权利要求6所述装置，其特征在于，还包括: 保护信息接收单元，用于在确定所述输入信息是否与保存的需要进行保护的敏感信息相同之前，接收需要进行保护的敏感信息； 转换单元，用于将保护信息接收单元接收的所述需要进行保护的敏感信息转换为非可逆信息，用于保存；将所述拦截单元拦截的输入信息转换为与所述输入信息对应的非可逆信息； 所述比对单元，具体用于确定与所述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
8.根据权利要求7所述装置，其特征在于， 所述转换单元，具体用于将所述保护信息接收单元接收的所述需要进行保护的敏感信息转换为散列算法值；将所述拦截单元拦截的输入信息转换为与所述输入信息对应的散列算法值。
9.根据权利要求6至8任意一项所述装置，其特征在于， 所述比对单元，具体用于将所述输入信息的输入目标对象的特征信息与保存在云端服务器的与所述输入目标对象的合法特征信息进行比对，若存在非法信息或者未知信息，则确定所述输入信息的输入目标对象不属于合法对象。
10.根据权利要求9所述装置，其特征在于，还包括: 信息收集单元，用于在合法性确定单元确定所述输入信息的输入目标对象不属于合法对象之后，收集所述输入信息的输入目标对象的特征信息； 发送单元，用于在依据所述信息收集单元收集的特征信息确定所述所述输入信息的输入目标对象为恶意程序后，将所述输入信息的输入目标对象作为非法对象发送给云端服务器。
11.一种木马拦截系统，包括:终端和云端服务器，其特征在于， 所述终端，用于拦截用户的输入信息，并确定所述输入信息是否与保存的需要进行保护的敏感信息相同；若相同，则向所述云端服务器查询所述输入信息的输入目标对象不属于合法对象，则发出告警提示。
12.根据权利要求11所述系统，其特征在于， 所述终端，还用于在确定所述输入信息是否与保存的需要进行保护的敏感信息相同之前，接收需要进行保护的敏感信息并将所述需要进行保护的敏感信息转换为非可逆信息，并保存； 所述终端用于确定所述输入信息是否与保存的需要进行保护的敏感信息相同包括:具体用于将所述输入信息转换为与所述输入信息对应的非可逆信息，确定与所述输入信息对应的非可逆信息是否与保存的非可逆信息相同。
13.根据权利要求12所述系统，其特征在于， 所述终端，具体用于将所述需要进行保护的敏感信息转换为散列算法值；将拦截的输入信息转换为与所述输入信息对应的散列算法值。
14.根据权利要求11至13任意一项所述系统，其特征在于， 所述终端，还用于确定所述输入信息的输入目标对象不属于合法对象之后，收集所述输入信息的输入目标对象的特征信息，在依据所述特征信息确定所述所述输入信息的输入目标对象为恶意程序后，将所述输入信息的输入目标对象作为非法对象发送给云端服务器。
【文档编号】H04L29/08GK103929407SQ201310013857
【公开日】2014年7月16日 申请日期:2013年1月15日 优先权日:2013年1月15日
【发明者】谭文, 李荣均 申请人:腾讯科技（深圳）有限公司