| 发明名称 | APT攻击的检测方法、终端设备、服务器及系统 | ||
| 摘要 | 本发明公开了一种APT攻击的检测方法、终端设备、服务器及系统,涉及信息安全技术领域,主要目的在于实现快速、精确的对APT攻击进行检测。本发明的主要技术方案包括:终端设备记录局域网中预置文件的属性信息;其中,预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据属性信息确定预置文件是否为灰文件;灰文件既不存在于预置文件的白名单内,也不存在预置文件的黑名单内;若确定预置文件为灰文件,则确定灰文件是否触发预置异常行为规则;若确定灰文件触发预置异常行为规则,则向服务器发送灰文件触发预置异常行为规则的异常警示信息;其中,异常警示信息包含终端设备的标识信息。本发明主要应用于APT攻击的检测过程中。 | ||
| 申请公布号 | CN105430001A | 申请公布日期 | 2016.03.23 |
| 申请号 | CN201510959102.0 | 申请日期 | 2015.12.18 |
| 申请人 | 北京奇虎科技有限公司;北京奇安信科技有限公司 | 发明人 | 江爱军;张聪 |
| 分类号 | H04L29/06(2006.01)I | 主分类号 | H04L29/06(2006.01)I |
| 代理机构 | 北京鼎佳达知识产权代理事务所(普通合伙) 11348 | 代理人 | 王伟锋;刘铁生 |
| 主权项 | 一种APT攻击的检测方法,其特征在于,包括:终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发所述预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。 | ||
| 地址 | 100088 北京市西城区新街口外大街28号D座112室(德胜园区) | ||