[发明专利]APT攻击行为的检测方法及检测系统

权利要求书

1.一种APT攻击行为的检测方法，其特征在于，采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为；

所述方式一包括：通过预设的特征知识库检测待检测对象是否存在攻击行为，所述特征知识库包括若干个预设的APT攻击规则，若所述特征知识库中存在与所述待检测对象相匹配的APT攻击规则，则判断所述待检测对象存在攻击行为；

所述方式二包括：通过预设的黑名单检测所述待检测对象是否存在攻击行为，所述预设的黑名单包括若干个预设的身份信息，若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配，则判断所述待检测对象存在攻击行为；

所述方式三包括：对所述待检测对象进行反编译，检测所述待检测对象是否具有shellcode特征，若具有shellcode特征，则判断所述待检测对象存在攻击行为，若不具有shellcode特征，则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行，检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为，若具有恶意行为，则判断所述待检测对象存在攻击行为。

2.根据权利要求1所述的APT攻击行为的检测方法，其特征在于，所述方式二还包括：通过预设的白名单判断所述待检测对象是否不具有攻击行为，所述白名单包括若干个预设的身份信息，若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配，则判断所述待检测对象不存在攻击行为。

3.根据权利要求2所述的APT攻击行为的检测方法，其特征在于，首先采用方式一判断所述待检测对象是否存在攻击行为，若未检测到所述待检测对象存在攻击行为，则采用方式二判断所述待检测对象是否存在攻击行为，若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息，再采用方式三判断所述待检测对象是否存在攻击行为。

4.根据权利要求3所述的APT攻击行为的检测方法，其特征在于，还包括：若所述待检测对象具有所述shellcode特征，则将所述待检测对象的身份信息加入所述黑名单。

5.根据权利要求3所述的APT攻击行为的检测方法，其特征在于，还包括：若所述待检测对象在进行所述虚拟执行的过程中具有恶意行为，则将所述待检测对象的身份信息加入所述黑名单，若所述待检测对象在进行所述虚拟执行的过程中不具有恶意行为，则将所述待检测对象的身份信息加入所述白名单。

6.一种APT攻击行为的检测系统，其特征在于，包括第一检测模块、第二检测模块、第三检测模块中的至少两种检测模块，所述检测系统通过所述至少两种检测模块检测待检测对象是否存在攻击行为；

所述第一检测模块用于通过预设的特征知识库检测待检测对象是否存在攻击行为，所述特征知识库包括若干个预设的APT攻击规则，若所述特征知识库中存在与所述待检测对象相匹配的APT攻击规则，则判断所述待检测对象存在攻击行为；

所述第二检测模块用于通过预设的黑名单检测所述待检测对象是否存在攻击行为，所述预设的黑名单包括若干个预设的身份信息，若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配，则判断所述待检测对象存在攻击行为；

所述第三检测模块用于对所述待检测对象进行反编译，检测所述待检测对象是否具有shellcode特征，若具有shellcode特征，则判断所述待检测对象存在攻击行为，若不具有shellcode特征，则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行，检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为，若具有恶意行为，则判断所述待检测对象存在攻击行为。

7.根据权利要求6所述的APT攻击行为的检测系统，其特征在于，所述第二检测模块还用于通过预设的白名单判断所述待检测对象是否不具有攻击行为，所述白名单包括若干个预设的身份信息，若所述待检测对象的身份信息与所述白名单中任意身份信息相匹配，则判断所述待检测对象不存在攻击行为。

8.根据权利要求7所述的APT攻击行为的检测系统，其特征在于，首先通过第一检测模块判断所述待检测对象是否存在攻击行为，若未检测到所述待检测对象存在攻击行为，则通过第二检测模块判断所述待检测对象是否存在攻击行为，若所述黑名单以及所述白名单中均不存在与所述待检测对象相匹配的身份信息，再通过第三检测模块判断所述待检测对象是否存在攻击行为。