一种登录安全检测方法和装置

1.一种登录安全检测方法，应用于通过登录窗口登录的登录系统，其特征在于，该方法包括：
所述登录系统的登录窗口被激活时，获取登录窗口的属性信息；
根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁，如果是，则输出登录安全警告信息；
所述登录系统的登录窗口的属性信息包括：密码框信息；所述密码框信息包括：密码框的父窗口；
所述获取登录窗口的属性信息包括：检测判断登录窗口中是否包含多个密码框并获取每个密码框的密码框信息；
所述根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁的方法是：如果所述登录系统的登录窗口中包含多个密码框，该多个密码框的父窗口均是所述登录系统的登录窗口，则确定所述登录系统存在登录安全威胁；
其中，所述密码框是由病毒作为独立进程在登录窗口创建；
或者，由病毒注入登录系统并在登录窗口创建。
2.根据权利要求1所述的登录安全检测方法，其特征在于，
所述登录系统的登录窗口被激活后，进一步包括：检测是否存在除所述登录系统的登录窗口包含的密码框之外的其它密码框，如果存在，则进一步对所述其它密码框所属进程文件进行签名检测和云查判断，根据文件签名检测和云查判断结果确定所述登录系统是否存在登录安全威胁。
3.一种登录安全检测装置，应用于通过登录窗口登录的登录系统，其特征在于，该装置包括：获取单元、判断单元、告警单元；
所述获取单元，用于所述登录系统的登录窗口被激活时，获取所述登录系统的登录窗口的属性信息；
所述判断单元，用于根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁；
所述告警单元，用于判断单元判定所述登录系统存在登录安全威胁时，输出登录安全警告信息；
所述登录系统的登录窗口的属性信息包括：密码框信息，所述密码框信息包括：密码框的父窗口；
获取单元获登录窗口的属性信息包括：检测判断登录窗口中是否包含多个密码框并获取每个密码框的密码框信息；
所述判断单元在根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁时，用于：如果所述登录系统的登录窗口中包含多个密码框，该多个密码框的父窗口均是所述登录系统的登录窗口，则确定所述登录系统存在登录安全威胁；
其中，所述密码框是由病毒作为独立进程在登录窗口创建；
或者，由病毒注入登录系统并在登录窗口创建。
4.根据权利要求3所述的登录安全检测装置，其特征在于，
所述获取单元在所述登录系统的登录窗口被激活后，进一步用于：检测是否存在除所述登录系统的登录窗口包含的密码框之外的其它密码框；
所述判断单元，用于获取单元检测确定存在除所述登录系统的登录窗口包含的密码框之外的其它密码框时，对所述其它密码框所属进程文件进行签名检测和云查判断，根据文件签名检测和云查判断结果确定所述登录系统是否存在登录安全威胁。

一种登录安全检测方法和装置\n技术领域\n[0001] 本申请涉及计算机通信技术，特别涉及一种登录安全检测方法和装置。\n背景技术\n[0002] 即时通讯是一种基于互联网的即时交流消息的业务，允许两人或多人通过互联网进行文字、语音、视频、文件的信息交流与互动。即时通讯是重要的沟通工具，利用其进行电子商务、工作、学习等交流，可以有效节省沟通双方的时间与经济成本，目前最为广泛使用的即时通讯系统包括QQ、MSN、UC、百度Hi等。\n[0003] 即时通讯可以说是继电子邮件、WWW之后，互联网上最具杀伤力的应用，相对于传统的电话、电子邮件等通信方式来说，即时通讯不仅节省费用，而且效率更高。然而，即时通讯也存在诸多的安全威胁，包括：ID被盗、隐私威胁、病毒威胁等，以QQ为例，存在可以套取用户的QQ号码的盗号木马，当用户浏览带有盗号木马病毒的网站或打开带有盗号木马病毒的文件时，盗号木马病毒会侵入用户的计算机，进而伺机盗取用户的QQ号码，给用户带来安全威胁。实际上，对于与即时通讯系统具有相同登录特征（相同登录特征是指：通过登录窗口实现系统登录）的登录系统来说，均存在与即时通讯系统相同或类似的安全威胁。\n[0004] 对于即时通讯系统面临的诸多安全威胁，人们采用的安全防护措施为：当用户打开即时通讯系统登录窗口时，对即时通讯进程的各模块进行签名验证，然后进行本地引擎杀毒或云查扫描，当检测到即时通讯进程中包含有木马病毒模块时，提示用户存在安全风险，从而由用户作出选择进行处理或进行默认处理。目前的即时通讯的安全防护措施都是属于事后检测，需要确认出现了新的木马病毒并上报样本，此后才能够识别并拦截新出现的木马病毒，这导致即时通讯的安全防护具有延迟性，只有当部分用户受到木马病毒危害，才能发现该木马病毒的存在，如果木马病毒传播速度太快，则将会有大量用户受到影响。\n发明内容\n[0005] 有鉴于此，本发明的目的在于提供一种登录安全检测方法，该方法能够及时检测出入侵登录系统的木马病毒，提高安全性。\n[0006] 为了达到上述目的，本发明提供了一种登录安全检测方法，应用于通过登录窗口登录的登录系统，该方法包括：\n[0007] 所述登录系统的登录窗口被激活时，获取登录窗口的属性信息；\n[0008] 根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁，如果是，则输出登录安全警告信息。\n[0009] 本发明还提供了一种登录安全检测装置，应用于通过登录窗口登录的登录系统，该装置包括：获取单元、判断单元、告警单元；\n[0010] 所述获取单元，用于所述登录系统的登录窗口被激活时，获取所述登录系统的登录窗口的属性信息；\n[0011] 所述判断单元，用于根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁；\n[0012] 所述告警单元，用于判断单元判定所述登录系统存在登录安全威胁时，输出登录安全警告信息。\n[0013] 综上所述，本发明通过对登录系统的登录窗口的属性信息进行登录安全威胁判断，当登录系统的登录窗口的属性信息异于正常情况下登录系统的登录窗口的属性信息时，确定登录系统存在登录安全威胁。应用本发明可以提高用户使用登录系统时的安全性。\n附图说明\n[0014] 图1是本发明实施例即时通讯系统登录安全的检测方法的流程示意图；\n[0015] 图2是本发明实施例即时通讯系统登录安全的检测装置的结构示意图。\n具体实施方式\n[0016] 为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图并举实施例，对本发明的技术方案进行详细说明。\n[0017] 在现有实现中，对于诸如即时通讯系统等通过登录窗口登录的登录系统来说，木马病毒盗取用户账号和密码的主要手段为：在用户激活等录系统登录窗口时，伪造假的登录窗口并隐藏登录系统的真实的登录窗口，或在登录系统的登录窗口的原有密码框之上伪造假的密码框，通过哄骗用户在伪造的登录窗口或密码框中输入密码来盗取用户密码。\n[0018] 要隐藏登录系统的真实的登录窗口或在登录系统的登录窗口的原有密码框之上伪造假的密码框，需要修改登录系统登录窗口的属性信息，因此，如果登录系统的登录窗口的属性信息与正常情况下登录系统的登录窗口的属性信息不一致，则可以在一定程度上认为登录系统异常，存在登录安全威胁，本发明正是针对这一特点，提出了基于登录系统的登录窗口的属性信息对登录系统进行登录安全检测的技术方案。\n[0019] 下面以即时通讯系统为例，对本发明提供的登录安全检测的技术方案进行详细说明：\n[0020] 参见图1，图1是本发明实施例即时通讯系统登录安全的检测方法的流程示意图，包括以下步骤：\n[0021] 步骤101、即时通讯系统登录窗口被激活时，获取即时通讯系统登录窗口的属性信息。\n[0022] 在实际应用中，用户要登录即时通讯系统，首先需要激活即时通讯系统登录窗口，并在登录窗口中输入用户名和密码信息，并在输入的用户名和密码校验无误后进入即时通讯系统。当即时通讯系统登录窗口被激活后，可以利用现有技术（例如操作系统的相应调用函数）来获取即时通讯系统登录窗口的属性信息，即时通讯系统登录窗口的属性信息包括即时通讯进程ID、即时通讯系统登录窗口的位置信息、即时通讯系统登录窗口的视觉属性、即时通讯系统登录窗口中的用户名框信息、密码框信息等。其中，即时通讯系统登录窗口的位置信息可以使用登录窗口边界上的坐标来表示（例如当登录窗口是长方形时，用登录窗口的四个顶点坐标来表示登录窗口的位置信息）；即时通讯系统登录窗口的视觉属性的取值可以有至少以下三种取值：标准、透明、或不可见对应的值，当视觉属性值为标准对应的值时，表示登录窗口正常，当视觉属性值为透明对应的值时，表示登录窗口为透明窗口，当视觉属性值为不可见对应的值时，表示登录窗口不能被用户所见；另外，即时通讯系统登录窗口中的密码框信息包括密码框的视觉属性值（取值可以为标准、透明、或不可见对应的值）、密码框的父窗口、密码框所属进程等信息。\n[0023] 步骤102、根据获取的即时通讯系统登录窗口的属性信息判断即时通讯系统是否存在登录安全威胁，如果是，则输出登录安全警告信息。\n[0024] 本步骤中，可以基于获取的即时通讯系统登录窗口的属性信息和正常情况下及时通讯系统的登录窗口的属性信息的比较结果来判断确定当前即时通讯系统是否存在登录安全威胁。\n[0025] 在实际应用中，即时通讯系统登录窗口中，一般只包含一个密码框，为了盗取用户密码，木马病毒通常会在即时通讯系统登录窗口中创建一个假的密码框，在即时通讯系统登录窗口中创建假的密码框的木马类型有两种：\n[0026] （1）木马作为独立进程在即时通讯系统登录窗口创建一个密码框，这种情况下，该透明密码框的父窗口为即时通讯系统登录窗口，该密码框所属进程是木马进程，而非即时通讯进程；\n[0027] （2）木马注入到即时通讯系统并在即时通讯系统登录窗口创建一个密码框，这种情况下，该密码框的父窗口为即时通讯系统登录窗口，该密码框所属进程是即时通讯进程。\n[0028] 对于上述两种木马，其共同特点是会在即时通讯系统登录窗口创建一个假的密码框，该密码框的父窗口均是即时通讯系统登录窗口，该密码框所属进程则根据木马病毒类型的不同而不同。因此，即使通讯系统的登录窗口被激活后，如果检测发现即时通讯系统登录窗口中包含多个密码框，该多个密码框的父窗口均是即时通讯系统登录窗口，则可以确定即时通讯系统存在登录安全威胁。\n[0029] 实际上，木马病毒也可以作为独立进程创建一个密码框，将密码框覆盖在即时通讯系统登录窗口中的密码框之上，使得用户在木马病毒创建的密码框中输入密码，以达到盗取用户密码的目的。针对这种情况，可以在即时通讯系统登录窗口被激活之后，检测是否存在除即时通讯系统登录窗口包含的密码框之外的其它密码框，如果存在，则可以在一定程度上认定即时通讯系统存在登录安全威胁，为了准确起见，还可以进一步对所述其它密码框所属进程文件进行签名检测和云查判断，根据对进程文件的签名检测和云查判断结果确定即时通讯系统是否存在登录安全威胁。\n[0030] 在实际应用中，即使通讯系统的登录窗口被激活后，会被显示在输出介质（如电脑、手机）的屏幕中，一些木马病毒会采用创建假的即时通讯系统登录窗口并隐藏真实的即时通讯系统登录窗口的方式来为了盗取用户密码，主要有以下三种隐藏真实的即时通讯系统登录窗口的方法：\n[0031] 第一种、将真实的即时通讯系统登录窗口放置到即时通讯系统登录窗口的允许显示区域（允许显示区域通常是指显示屏）之外，在即时通讯系统登录窗口的允许显示区域显示的是木马病毒创建的假的登录窗口，从而使得用户无法看到真实的即时通讯系统登录窗口。\n[0032] 针对这种情况，可以利用即时通讯系统登录窗口的属性信息中的位置信息来判断即时通讯系统是否存在登录安全威胁。可以预先存储即时通讯系统登录窗口的允许显示区域，在获得即时通讯系统登录窗口的属性信息之后，可以根据属性信息中的位置信息判断即时通讯系统登录窗口是否位于预先存储的登录窗口的允许显示区域之外，如果是，则可以确定即时通讯系统存在登录安全威胁。例如，当即时通讯系统登录窗口是长方形并用长方形的四个顶点坐标表示即时通讯系统登录窗口的位置信息时，如果即时通讯系统登录窗口的四个顶点均在允许显示区域之外，则可以判定登录窗口在允许显示区域之外，进而可以确定即时通讯系统存在登录安全威胁。\n[0033] 第二种、将真实的即时通讯系统登录窗口设置为透明或不可见的登录窗口，使用户看不到真实的即时通讯登录窗口，而只能够看到木马病毒创建的假的登录窗口。\n[0034] 针对这种情况，可以根据即时通讯系统登录窗口的属性信息中的视觉属性来判断即时通讯系统登录窗口是否存在登录安全威胁，当即时通讯系统登录窗口的视觉属性值是透明对应的值或不可见对应的值时，可以确定即时通讯系统存在登录安全威胁。\n[0035] 第三种、将真实的即时通讯系统登录窗口覆盖在木马病毒创建的假的登录窗口之上，假的登录窗口尺寸稍大于或等于真实的即时通讯系统登录窗口，且完全覆盖在真实的即时通讯系统登录窗口之上。\n[0036] 针对这种情况，可以利用假的登录窗口和真实的即时通讯系统登录窗口的位置信息判断即时通讯系统是否存在登录安全威胁。具体地，在即时通讯系统登录窗口被激活之后，还可以进一步检测是否存在其它登录窗口，如果存在其它登录窗口，则可以获取所述其它登录窗口的位置信息，从而可以根据即时通讯系统的位置信息和所述其它登录窗口的位置信息判断所述其它登录窗口是否覆盖即时通讯系统登录窗口，如果是，则确定即时通讯系统存在登录安全威胁。\n[0037] 以上对本发明实施例即时通讯系统登录安全的检测方法进行了详细说明，需要说明的是，上述方法也适用于其它通过登录窗口登录的登录系统，另外，本发明还提供了一种登录安全检测装置，以下结合图2进行说明。\n[0038] 图2是本发明实施例登录安全检测装置的结构示意图，该登录安全检测装置应用于通过登录窗口登录的登录系统，如图2所示，该登录安全检测装置包括：获取单元201、判断单元202、告警单元203；其中，\n[0039] 获取单元201，用于所述登录系统的登录窗口被激活时，获取所述登录系统的登录窗口的属性信息；\n[0040] 判断单元202，用于根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁；\n[0041] 告警单元203，用于判断单元202判定所述登录系统存在登录安全威胁时，输出登录安全警告信息。\n[0042] 上述登录安全检测装置中，所述登录系统的登录窗口的属性信息包括：密码框信息，所属密码框信息包括：密码框的视觉属性、密码框的父窗口；\n[0043] 所述判断单元202在根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁时，用于：如果所述登录系统的登录窗口中包含多个密码框，该多个密码框的父窗口均是所述登录系统的登录窗口，则确定所述登录系统存在登录安全威胁。\n[0044] 上述登录安全检测装置中，所述登录系统的登录窗口的属性信息包括：位置信息；\n[0045] 所述判断单元202在根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁时，用于：如果所述登录系统的登录窗口位于预先存储的登录窗口的允许显示区域之外，则确定所述登录系统存在登录安全威胁。\n[0046] 上述登录安全检测装置中，所述登录系统的登录窗口的属性信息包括：视觉属性；\n所述视觉属性的取值为标准、透明、或不可见对应的值；\n[0047] 所述判断单元202在根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁时，用于：如果所述登录系统的登录窗口的视觉属性值为透明或不可见对应的值，则确定所述登录系统存在登录安全威胁。\n[0048] 上述登录安全检测装置中，所述登录系统的登录窗口的属性信息包括：位置信息；\n[0049] 所述获取单元201在所述登录系统的登录窗口被激活后，进一步用于：检测是否存在其它登录窗口，如果存在，则获取所述其它登录窗口的位置信息；\n[0050] 所述判断单元202在根据获取的所述登录系统的登录窗口的属性信息判断所述登录系统是否存在登录安全威胁时，用于：当获取单元201检测确定存在除所述登录系统的登录窗口外的其它登录窗口时，根据所述登录系统的登录窗口的位置信息和所述其它登录窗口的位置信息判断所述其它登录窗口是否覆盖所述登录系统的登录窗口，如果是，则确定所述登录系统存在登录安全威胁。\n[0051] 上述登录安全检测装置中，所述获取单元201在所述登录系统的登录窗口被激活后，进一步用于：检测是否存在除所述登录系统的登录窗口包含的密码框之外的其它密码框；\n[0052] 所述判断单元202，用于获取单元201检测确定存在除所述登录系统的登录窗口包含的密码框之外的其它密码框时，对所述其它密码框所属进程文件进行签名检测和云查判断，根据对进程文件的签名检测和云查判断结果确定所述登录系统是否存在登录安全威胁。\n[0053] 以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。