发明名称 |
APT攻击的检测方法、终端设备、服务器及系统 |
摘要 |
本发明公开了一种APT攻击的检测方法、终端设备、服务器及系统,涉及信息安全技术领域,主要目的在于实现快速、精确的对APT攻击进行检测。本发明的主要技术方案包括:终端设备记录局域网中预置文件的属性信息;其中,预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据属性信息确定预置文件是否为灰文件;灰文件既不存在于预置文件的白名单内,也不存在预置文件的黑名单内;若确定预置文件为灰文件,则确定灰文件是否触发预置异常行为规则;若确定灰文件触发预置异常行为规则,则向服务器发送灰文件触发预置异常行为规则的异常警示信息;其中,异常警示信息包含终端设备的标识信息。本发明主要应用于APT攻击的检测过程中。 |
申请公布号 |
CN105430001A |
申请公布日期 |
2016.03.23 |
申请号 |
CN201510959102.0 |
申请日期 |
2015.12.18 |
申请人 |
北京奇虎科技有限公司;北京奇安信科技有限公司 |
发明人 |
江爱军;张聪 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京鼎佳达知识产权代理事务所(普通合伙) 11348 |
代理人 |
王伟锋;刘铁生 |
主权项 |
一种APT攻击的检测方法,其特征在于,包括:终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发所述预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。 |
地址 |
100088 北京市西城区新街口外大街28号D座112室(德胜园区) |