[发明专利]伪造攻击的应用界面检测方法及装置

说明书

本发明提供了一种伪造攻击的应用界面检测方法及装置，其中，该方法包括：在设备运行过程中，获取待检测类型应用界面截图；计算待检测类型应用界面截图的特征值；根据待检测类型应用界面截图的特征值，及预先存储的所有类型的目标应用界面与特征值的关系，确定待检测类型应用界面是否为伪造攻击的应用界面的初步检测结果；目标应用界面为待检测类型应用界面想要实施界面伪造攻击的应用界面；接收用户根据初步检测结果反馈的待检测类型应用界面的最终检测结果。上述技术方案提高了伪造攻击的应用界面检测的准确率，从而提高了网络安全性。

技术领域

本发明涉及网络安全检测技术领域，特别涉及一种伪造攻击的应用界面检测方法及装置。

背景技术

近年来移动互联网快速发展，智能终端设备已越来越多地进入到人们生活中，其中以智能手机的使用最为广泛，智能手机承载了人们生活方方面面的需求，几乎每一台手机上都安装了微信、手机QQ、支付宝、银行手机客户端等应用，这些应用中含有多种用户私密信息，极易成为攻击者的攻击目标。

界面伪造攻击是钓鱼攻击的一种，恶意应用通过展示与其他合法应用相似的信息输入界面来骗取用户信任，获取用户输入的账户名、密码等信息，并通过短信、网络、邮件等各种方式发送给攻击者。目前，在Android设备上已发现两种类型的界面伪造攻击：第一种是界面劫持攻击，恶意应用在后台开启一个服务，不断获取当前运行进程的列表，发现目标进程被启动时，用自己伪造的钓鱼界面代替目标进程界面展示在前台，倘若伪造界面可供用户输入，则在骗取用户输入后，伪造界面将退出，使得原程序界面可被用户所见。第二种是伪造应用攻击，即恶意应用完全模仿目标应用，让用户误以为安装的是目标应用，从而输入电话号码、银行卡号等私密信息，造成信息的泄露，本文将其称之为伪造应用攻击。2014年5月16日，百度安全实验室公布了一款名为“微信支付大盗”的手机支付木马及其技术细节，该木马酷似正常的微信应用。“微信支付大盗”会向受害用户索要电话号码、支付卡号、PIN码等私密信息，并将获取的信息通过电子邮件的方式发送给软件作者。

界面伪造攻击通过展示与目标应用界面相似的界面实施攻击，不论是攻击用的界面还是目标应用界面，在实现时均有多种选择，如Activity、悬浮窗、对话框等，但现有的检测技术主要检测的是使用Activity来覆盖目标Activity界面的攻击，主要基于Activity界面截图的相似性或Activity切换时的函数调用特征等进行检测，对于其他类型的伪造界面缺乏检测能力，因此会存在部分漏报。此外，部分方案采用线下检测的方式判断被测应用是否包含与目标应用相似的界面，将包含有相似界面的被测应用自动判断为恶意应用，然而实际中存在部分应用模仿主流应用的界面进行设计，但并不存在界面劫持的行为，因此在缺乏用户判断的情况下进行结果的判定容易造成误报。

综上，现有伪造攻击的应用界面检测的准确率低。

发明内容

本发明实施例提供了一种伪造攻击的应用界面的检测方法，用以提高伪造攻击的应用界面检测的准确率，该方法包括：

在设备运行过程中，获取待检测类型应用界面截图；

计算待检测类型应用界面截图的特征值；

根据待检测类型应用界面截图的特征值，及预先存储的所有类型的目标应用界面与特征值的关系，确定待检测类型应用界面是否为伪造攻击的应用界面的初步检测结果；所述目标应用界面为待检测类型应用界面想要实施界面伪造攻击的应用界面；

接收用户根据初步检测结果反馈的待检测类型应用界面的最终检测结果。

本发明实施例还提供了一种伪造攻击的应用界面的检测装置，用以提高伪造攻击的应用界面检测的准确率，该装置包括：

获取单元，用于在设备运行过程中，获取待检测类型应用界面截图；

计算单元，用于计算待检测类型应用界面截图的特征值；