CN107239697A - 一种基于移动流量的服务器端扫描方法 - Google Patents
一种基于移动流量的服务器端扫描方法 Download PDFInfo
- Publication number
- CN107239697A CN107239697A CN201710501156.1A CN201710501156A CN107239697A CN 107239697 A CN107239697 A CN 107239697A CN 201710501156 A CN201710501156 A CN 201710501156A CN 107239697 A CN107239697 A CN 107239697A
- Authority
- CN
- China
- Prior art keywords
- app
- server
- flow
- domain name
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明是一种基于移动流量的服务器端扫描方法,包括通过Android沙箱系统对上传的APP进行安装运行和实时监控,将运行过程中的产生的流量和操作记录下来并进行分析,以获取服务器端IP地址和应用的后台url,再对服务器端进行web安全检测。本发明采用Browser/Server结构可以大大简化客户端工作载荷,减轻系统维护与升级的成本和工作量,降低用户的总成本,克服了物理距离、网络设备、安装性能等设备问题,完全自动化,系统会自动运行APP获取APP服务器端信息并进行检测,丰富了Android APP的检测内容,实现了对Android客户端和服务端全方位,多维度自动化检测。
Description
技术领域
本发明涉及网络与信息安全领域,尤其涉及一种基于移动流量的服务器端扫描方法。
背景技术
当前对于Android应用有诸多检查方法,主要分为静态检测和动态检测,静态检测速度快,效率高并且发现软件的潜在恶意行为能力强,但是检测结果的准确率不是很高,容易产生误报。而动态检测是指把应用软件安装到Android沙箱上运行,并对应用进行攻击查看应用相应反应的检测方式。动态检测准确率高,可以证明软件存在的漏洞,但是环境要求高,而且运行速度较慢。
然而不论是静态检测还是动态检测,都只是针对Android应用的客户端进行检测,对于应用的服务器端,市场上的绝大多数产品都不能自动化地对其进行扫描检测。
发明内容
本发明旨在解决现有技术的不足,而提供一种对Android服务端进行全面的安全评估的系统和方法。
本发明为实现上述目的,采用以下技术方案:一种基于移动流量的服务器端扫描方法,其特征在于,包括以下步骤:
(1)定制Android沙箱系统;
(2)对上传的APP进行安装运行和实时监控;
(3)将APP运行过程中的产生的流量和进行的操作记录下来并进行分析,以获取服务器端IP地址和应用的后台URL;
(4)利用IP地址对服务器端进行Web安全检测;
(5)将检测结果显示到Web界面上;
所述的Android沙箱系统是基于Browser/Server架构,用户与系统的交互是完全通过Web界面的,所述的Android沙箱系统整体上分为三层:
A表示层
内容包括:用户的注册登录以及管理,APP上传和扫描结果的显示,报表的生成;
B功能层
内容包括:APP的上传,自行的安装运行,与服务器端交互的流量的获取和分析,对服务器端进行端口扫描,服务探测,指纹识别以及针对不同系统上的多种服务和应用进行相应路径爆破和漏洞扫描;
C数据层
内容包括:Web应用漏洞知识库,Web应用漏洞特征库,多项服务用户密码爆破库。
特别的,本发明中的安全检测主要分为3个模块:静态检测,动态检测以及服务器端检测:
A静态检测:
①APP上传后首先对其进行反编译操作,获取APP源码并将其保存;
②对APP源码进行代码安全分析,对于URL获取的方式主要是通过正则表达式进行字符匹配;
③将获取到URL连接信息保存到数据库中的对应上传的APP信息表中,然后调用动态分析模块;
B动态检测:
①使用Android调试桥ADB连接已经定制好运行环境的Android虚拟机中;
②使用ADB命令安装APK文件,并打开监听模块;
在监听模块中,首先配置端口转发,将应用发出的流量发送到指定的IP地址,然后开启DNS服务对移动应用进行欺骗,把已经在监听的代理服务的IP地址发给移动应用,这样移动应用会将通信数据都发往代理模块,代理模块一边将移动应用的数据发往应用服务器端,一边又将服务端的响应数据发回给应用,在这过程中,代理模块会记下交互的数据流量,以供流量分析使用;
③运行APP,打开APP的各大组件分别进行不同的操作,在这过程中对APP运行过程中产生的行为以及与后台服务器交流的数据流量进行监听记录;
④结束运行APP,将运行过程中产生的行为和流量以文件的形式保存到系统文件夹下;
C服务器端检测:
①获取静态分析中得到的URL信息和动态检测记录的流量信息;
②对获取到的URL信息和流量信息进行格式化和域名匹配以及去重操作,得到可用的域名列表;
③将域名列表显示到Web界面中,供用户选择想要进行检测的网站地址;
④将用户选择的域名发送到系统后台服务器上后,系统会首先检测当前域名有没有被检测过,如果当前域名已经被检测过,会提示用户当前域名已经被检测过了,并将检测结果直接从数据库中取出来显示到界面上;
⑤如果当前域名没有被检测过,那么进行信息收集检测,首先利用指纹识别技术探测服务器打开的端口、对应的服务以及服务器系统等信息,并且根据路径爆破库对URL路径进行爆破处理,扫描服务器上可能存在文件的URL地址信息;
⑥根据上一步中探测到的服务进行不同的漏洞扫描,并将扫描结果保存到数据库中;
⑦获取服务器中保存的漏洞扫描结果信息,将其显示到Web界面上。
本发明的有益效果是:(1)本发明采用Browser/Server结构可以大大简化客户端工作载荷,减轻系统维护与升级的成本和工作量,降低用户的总成本,克服了物理距离、网络设备、安装性能等设备问题。
(2)本发明完全自动化,用户只需提交APP后等待结果输出就可以了,系统会自动运行APP获取APP服务器端信息并进行检测。
(3)本发明丰富了Android APP的检测内容,实现了对Android客户端和服务端全方位,多维度自动化检测。
附图说明
图1为本发明的流程图;
以下将结合本发明的实施例参照附图进行详细叙述。
具体实施方式
下面结合附图和实施例对本发明作进一步说明:
如图1所示,一种基于移动流量的服务器端扫描方法,其特征在于,包括以下步骤:
(1)定制Android沙箱系统;
(2)对上传的APP进行安装运行和实时监控;
(3)将APP运行过程中的产生的流量和进行的操作记录下来并进行分析,以获取服务器端IP地址和应用的后台URL;
(4)利用IP地址对服务器端进行Web安全检测;
(5)将检测结果显示到Web界面上;
所述的Android沙箱系统是基于Browser/Server架构,用户与系统的交互是完全通过Web界面的,所述的Android沙箱系统整体上分为三层:
A表示层
内容包括:用户的注册登录以及管理,APP上传和扫描结果的显示,报表的生成;
B功能层
内容包括:APP的上传,自行的安装运行,与服务器端交互的流量的获取和分析,对服务器端进行端口扫描,服务探测,指纹识别以及针对不同系统上的多种服务和应用进行相应路径爆破和漏洞扫描;
C数据层
内容包括:Web应用漏洞知识库,Web应用漏洞特征库,多项服务用户密码爆破库。
特别的,本发明中的安全检测主要分为3个模块:静态检测,动态检测以及服务器端检测:
A静态检测:
①APP上传后首先对其进行反编译操作,获取APP源码并将其保存;
②对APP源码进行代码安全分析,对于URL获取的方式主要是通过正则表达式进行字符匹配;
③将获取到URL连接信息保存到数据库中的对应上传的APP信息表中,然后调用动态分析模块;
B动态检测:
①使用Android调试桥ADB连接已经定制好运行环境的Android虚拟机中;
②使用ADB命令安装APK文件,并打开监听模块;
在监听模块中,首先配置端口转发,将应用发出的流量发送到指定的IP地址,然后开启DNS服务对移动应用进行欺骗,把已经在监听的代理服务的IP地址发给移动应用,这样移动应用会将通信数据都发往代理模块,代理模块一边将移动应用的数据发往应用服务器端,一边又将服务端的响应数据发回给应用,在这过程中,代理模块会记下交互的数据流量,以供流量分析使用;
③运行APP,打开APP的各大组件分别进行不同的操作,在这过程中对APP运行过程中产生的行为以及与后台服务器交流的数据流量进行监听记录;
④结束运行APP,将运行过程中产生的行为和流量以文件的形式保存到系统文件夹下;
C服务器端检测:
①获取静态分析中得到的URL信息和动态检测记录的流量信息;
②对获取到的URL信息和流量信息进行格式化和域名匹配以及去重操作,得到可用的域名列表;
③将域名列表显示到Web界面中,供用户选择想要进行检测的网站地址;
④将用户选择的域名发送到系统后台服务器上后,系统会首先检测当前域名有没有被检测过,如果当前域名已经被检测过,会提示用户当前域名已经被检测过了,并将检测结果直接从数据库中取出来显示到界面上;
⑤如果当前域名没有被检测过,那么进行信息收集检测,首先利用指纹识别技术探测服务器打开的端口、对应的服务以及服务器系统等信息,并且根据路径爆破库对URL路径进行爆破处理,扫描服务器上可能存在文件的URL地址信息;
⑥根据上一步中探测到的服务进行不同的漏洞扫描,并将扫描结果保存到数据库中;
⑦获取服务器中保存的漏洞扫描结果信息,将其显示到Web界面上。
上面结合附图对本发明进行了示例性描述,显然本发明具体实现并不受上述方式的限制,只要采用了本发明的方法构思和技术方案进行的各种改进,或未经改进直接应用于其它场合的,均在本发明的保护范围之内。
Claims (2)
1.一种基于移动流量的服务器端扫描方法,其特征在于,包括以下步骤:
(1)定制Android沙箱系统;
(2)对上传的APP进行安装运行和实时监控;
(3)将APP运行过程中的产生的流量和进行的操作记录下来并进行分析,以获取服务器端IP地址和应用的后台URL;
(4)利用IP地址对服务器端进行Web安全检测;
(5)将检测结果显示到Web界面上;
所述的Android沙箱系统是基于Browser/Server架构,用户与系统的交互是完全通过Web界面的,所述的Android沙箱系统整体上分为三层:
A表示层
内容包括:用户的注册登录以及管理,APP上传和扫描结果的显示,报表的生成;
B功能层
内容包括:APP的上传,自行的安装运行,与服务器端交互的流量的获取和分析,对服务器端进行端口扫描,服务探测,指纹识别以及针对不同系统上的多种服务和应用进行相应路径爆破和漏洞扫描;
C数据层
内容包括:Web应用漏洞知识库,Web应用漏洞特征库,多项服务用户密码爆破库。
2.根据权利要求1所述的一种基于移动流量的服务器端扫描方法,其特征在于,所述步骤(4)中的安全检测主要分为3个模块:静态检测,动态检测以及服务器端检测:
A静态检测:
①APP上传后首先对其进行反编译操作,获取APP源码并将其保存;
②对APP源码进行代码安全分析,对于URL获取的方式主要是通过正则表达式进行字符匹配;
③将获取到URL连接信息保存到数据库中的对应上传的APP信息表中,然后调用动态分析模块;
B动态检测:
①使用Android调试桥ADB连接已经定制好运行环境的Android虚拟机中;
②使用ADB命令安装APK文件,并打开监听模块;
在监听模块中,首先配置端口转发,将应用发出的流量发送到指定的IP地址,然后开启DNS服务对移动应用进行欺骗,把已经在监听的代理服务的IP地址发给移动应用,这样移动应用会将通信数据都发往代理模块,代理模块一边将移动应用的数据发往应用服务器端,一边又将服务端的响应数据发回给应用,在这过程中,代理模块会记下交互的数据流量,以供流量分析使用;
③运行APP,打开APP的各大组件分别进行不同的操作,在这过程中对APP运行过程中产生的行为以及与后台服务器交流的数据流量进行监听记录;
④结束运行APP,将运行过程中产生的行为和流量以文件的形式保存到系统文件夹下;
C服务器端检测:
①获取静态分析中得到的URL信息和动态检测记录的流量信息;
②对获取到的URL信息和流量信息进行格式化和域名匹配以及去重操作,得到可用的域名列表;
③将域名列表显示到Web界面中,供用户选择想要进行检测的网站地址;
④将用户选择的域名发送到系统后台服务器上后,系统会首先检测当前域名有没有被检测过,如果当前域名已经被检测过,会提示用户当前域名已经被检测过了,并将检测结果直接从数据库中取出来显示到界面上;
⑤如果当前域名没有被检测过,那么进行信息收集检测,首先利用指纹识别技术探测服务器打开的端口、对应的服务以及服务器系统等信息,并且根据路径爆破库对URL路径进行爆破处理,扫描服务器上可能存在文件的URL地址信息;
⑥根据上一步中探测到的服务进行不同的漏洞扫描,并将扫描结果保存到数据库中;
⑦获取服务器中保存的漏洞扫描结果信息,将其显示到Web界面上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710501156.1A CN107239697A (zh) | 2017-06-27 | 2017-06-27 | 一种基于移动流量的服务器端扫描方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710501156.1A CN107239697A (zh) | 2017-06-27 | 2017-06-27 | 一种基于移动流量的服务器端扫描方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107239697A true CN107239697A (zh) | 2017-10-10 |
Family
ID=59987333
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710501156.1A Pending CN107239697A (zh) | 2017-06-27 | 2017-06-27 | 一种基于移动流量的服务器端扫描方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107239697A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108650195A (zh) * | 2018-04-17 | 2018-10-12 | 南京烽火天地通信科技有限公司 | 一种app流量自动识别模型构建方法 |
| CN108667685A (zh) * | 2018-04-08 | 2018-10-16 | 南京邮电大学 | 移动应用网络流量聚类装置 |
| CN110134608A (zh) * | 2019-05-20 | 2019-08-16 | 人立方智能科技有限公司 | Android应用测评系统及其工作方法 |
| CN110888795A (zh) * | 2018-09-11 | 2020-03-17 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
| CN114168970A (zh) * | 2021-12-09 | 2022-03-11 | 中国联合网络通信集团有限公司 | 网络资产和漏洞信息收集方法、系统、设备及介质 |
| CN116032510A (zh) * | 2021-10-27 | 2023-04-28 | 北京字节跳动网络技术有限公司 | 数据安全保护系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN106022127A (zh) * | 2016-05-10 | 2016-10-12 | 江苏通付盾科技有限公司 | Apk文件安全检测方法及装置 |
| CN106357670A (zh) * | 2016-10-17 | 2017-01-25 | 成都知道创宇信息技术有限公司 | 基于模拟器的安卓应用服务端Web漏洞检测方法 |
-
2017
- 2017-06-27 CN CN201710501156.1A patent/CN107239697A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685251A (zh) * | 2013-12-04 | 2014-03-26 | 电子科技大学 | 一种面向移动互联网的Android恶意软件检测平台 |
| CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
| CN106022127A (zh) * | 2016-05-10 | 2016-10-12 | 江苏通付盾科技有限公司 | Apk文件安全检测方法及装置 |
| CN106357670A (zh) * | 2016-10-17 | 2017-01-25 | 成都知道创宇信息技术有限公司 | 基于模拟器的安卓应用服务端Web漏洞检测方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108667685A (zh) * | 2018-04-08 | 2018-10-16 | 南京邮电大学 | 移动应用网络流量聚类装置 |
| CN108650195A (zh) * | 2018-04-17 | 2018-10-12 | 南京烽火天地通信科技有限公司 | 一种app流量自动识别模型构建方法 |
| CN108650195B (zh) * | 2018-04-17 | 2021-08-24 | 南京烽火星空通信发展有限公司 | 一种app流量自动识别模型构建方法 |
| CN110888795A (zh) * | 2018-09-11 | 2020-03-17 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
| CN110888795B (zh) * | 2018-09-11 | 2023-10-20 | 中数通信息有限公司 | 一种app安全性评估数据的获取方法 |
| CN110134608A (zh) * | 2019-05-20 | 2019-08-16 | 人立方智能科技有限公司 | Android应用测评系统及其工作方法 |
| CN116032510A (zh) * | 2021-10-27 | 2023-04-28 | 北京字节跳动网络技术有限公司 | 数据安全保护系统 |
| CN114168970A (zh) * | 2021-12-09 | 2022-03-11 | 中国联合网络通信集团有限公司 | 网络资产和漏洞信息收集方法、系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107239697A (zh) | 一种基于移动流量的服务器端扫描方法 | |
| US11798028B2 (en) | Systems and methods for monitoring malicious software engaging in online advertising fraud or other form of deceit | |
| CN103685575B (zh) | 一种基于云架构的网站安全监控方法 | |
| CN101605074B (zh) | 基于网络通讯行为特征监测木马的方法与系统 | |
| US8875296B2 (en) | Methods and systems for providing a framework to test the security of computing system over a network | |
| CN104468477A (zh) | 一种WebShell的检测方法及系统 | |
| CN107273748A (zh) | 一种基于漏洞poc实现安卓系统漏洞检测的方法 | |
| CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
| CN103530565A (zh) | 基于web的网站程序漏洞扫描方法及扫描装置 | |
| CN102708309A (zh) | 恶意代码自动分析方法及系统 | |
| CN104036000A (zh) | 一种数据库审计方法、装置及系统 | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| US10701087B2 (en) | Analysis apparatus, analysis method, and analysis program | |
| CN106230857A (zh) | 一种面向工控系统的主动式漏洞检测系统和检测方法 | |
| CN105989149A (zh) | 一种用户设备指纹的提取和识别方法及系统 | |
| CN105677574A (zh) | 基于函数控制流的安卓应用漏洞检测方法和系统 | |
| CN106506545A (zh) | 一种网络安全威胁评估系统及方法 | |
| CN114244564B (zh) | 攻击防御方法、装置、设备及可读存储介质 | |
| CN114679292A (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN111353151A (zh) | 一种网络应用的漏洞检测方法和装置 | |
| CN111885007A (zh) | 信息溯源方法、装置、系统及存储介质 | |
| CN111049784A (zh) | 一种网络攻击的检测方法、装置、设备及存储介质 | |
| WO2017054307A1 (zh) | 用户信息的识别方法及装置 | |
| CN104639387B (zh) | 一种用户网络行为跟踪方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171010 |
|
| RJ01 | Rejection of invention patent application after publication |