[发明专利]APT攻击的检测方法、终端设备、服务器及系统在审
| 申请号: | 201510959102.0 | 申请日: | 2015-12-18 |
| 公开(公告)号: | CN105430001A | 公开(公告)日: | 2016-03-23 |
| 发明(设计)人: | 江爱军;张聪 | 申请(专利权)人: | 北京奇虎科技有限公司;北京奇安信科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京鼎佳达知识产权代理事务所(普通合伙) 11348 | 代理人: | 王伟锋;刘铁生 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种APT攻击的检测方法、终端设备、服务器及系统,涉及信息安全技术领域,主要目的在于实现快速、精确的对APT攻击进行检测。本发明的主要技术方案包括:终端设备记录局域网中预置文件的属性信息;其中,预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据属性信息确定预置文件是否为灰文件;灰文件既不存在于预置文件的白名单内,也不存在预置文件的黑名单内;若确定预置文件为灰文件,则确定灰文件是否触发预置异常行为规则;若确定灰文件触发预置异常行为规则,则向服务器发送灰文件触发预置异常行为规则的异常警示信息;其中,异常警示信息包含终端设备的标识信息。本发明主要应用于APT攻击的检测过程中。 | ||
| 搜索关键词: | apt 攻击 检测 方法 终端设备 服务器 系统 | ||
【主权项】:
一种APT攻击的检测方法,其特征在于,包括:终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发所述预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;北京奇安信科技有限公司,未经北京奇虎科技有限公司;北京奇安信科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510959102.0/,转载请声明来源钻瓜专利网。
