[发明专利]用于检测中间人攻击的方法、装置、系统、设备及介质

说明书

本公开提供了一种用于检测中间人攻击的方法，应用于终端设备，所述方法包括获得所述终端设备的静态配置信息和动态配置信息，基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险，如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据，以及基于所述返回数据，确定是否存在中间人攻击。本公开还提供了一种用于检测中间人攻击的装置、系统、电子设备和介质。

技术领域

本公开涉及网络安全领域，尤其涉及一种用于检测中间人攻击的方法、装置、系统、设备及介质。

背景技术

APP中间人劫持攻击属于中间人劫持攻击(以下简称中间人攻击)的一种，这种技术是指通过抓包的形式，得到手机APP向后台服务器发出的数据请求和连接请求，从而窃取或修改其中的关键信息。例如在查询客户信息时，当APP向服务器发送查询请求时，通过对请求进行拦截，可修改查询的客户编号、卡号，从而实现查询其他客户的卡信息的情况。特别在一些涉及动帐交易时，可能导致使用他人的账户进行付费，如果此时服务器缺少必要的校验，或校验放在APP前端代码进行实现，很可能导致通过中间人攻击绕过，实现非法数据越权查询或篡改。所以，针对APP的中间人攻击防护是必不可少的。

在现有的技术体系中，对APP中间人劫持的防护主要通过证书链校验、根证书锁定等手段，但是当前的中间人攻击防护，多为通过系统标准函数实现，缺少保护，容易被恶意攻击手法绕过。

发明内容

本公开的一个方面提供了一种用于检测中间人攻击的方法，应用于终端设备，所述方法包括获得所述终端设备的静态配置信息和动态配置信息，基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险，如果存在中间人攻击风险，则基于预定标识建立通信连接，获得返回数据，以及基于所述返回数据，确定是否存在中间人攻击。

可选地，所述静态配置信息包括超级管理员权限状态和本地证书信息，所述动态配置信息包括代理配置信息，所述基于所述静态配置信息和动态配置信息，确定所述终端设备是否存在中间人攻击风险包括以下至少一种：若用户获得超级管理员权限，则确定存在中间人攻击风险；若存在配置代理的情况，则确定存在中间人攻击风险；若发现本地证书中存在不安全证书，则确定存在中间人攻击风险。

可选地，所述基于所述返回数据，确定是否存在中间人攻击包括基于所述返回数据验证根证书、证书链以及证书信息，若其中任意一个不可信，确定存在中间人攻击。

可选地，所述方法还包括在确定存在中间人攻击的情况下，结束应用程序进程。

可选地，所述方法还包括获得所述终端设备的识别信息，所述识别信息包括设备指纹信息，以及在确定存在中间人攻击的情况下，基于所述识别信息向后台服务器上报中间人攻击情况。

可选地，获得所述终端设备的动态配置信息包括周期性采集所述终端设备的动态信息，所述方法还包括，响应于接收到来自后台服务器的控制指令，改变采集所述动态信息的频率。

本公开的另一个方面提供了一种用于检测中间人攻击的系统，包括静态配置信息采集模块、风险监测模块、中间人攻击识别模块以及监测结果处理模块。静态配置信息采集模块，用于获得终端设备的静态配置信息以及终端设备的指纹信息。风险监测模块，用于获得终端设备的动态配置信息，并基于所述静态配置信息和动态配置信息确定是否存在中间人攻击风险。中间人攻击识别模块，用于在存在中间人攻击风险的情况下，基于预定标识建立通信连接，获得返回数据，并基于所述返回数据，确定是否存在中间人攻击。监测结果处理模块，用于在存在中间人攻击的情况下，基于所述指纹信息向后台服务器发送中间人攻击情况。