[发明专利]APT攻击行为的检测方法及检测系统在审
| 申请号: | 201710361322.2 | 申请日: | 2017-05-19 |
| 公开(公告)号: | CN107172050A | 公开(公告)日: | 2017-09-15 |
| 发明(设计)人: | 李强 | 申请(专利权)人: | 北京安数云信息技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京创遇知识产权代理有限公司11577 | 代理人: | 李芙蓉,孙进华 |
| 地址: | 100085 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种APT攻击行为的检测方法及检测系统,该APT攻击行为的检测方法采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为;所述方式一包括通过预设的特征知识库检测待检测对象是否存在攻击行为;所述方式二包括通过预设的黑名单检测所述待检测对象是否存在攻击行为;所述方式三包括对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行。本发明可以有效提高APT检测的准确性和时效性。 | ||
| 搜索关键词: | apt 攻击行为 检测 方法 系统 | ||
【主权项】:
一种APT攻击行为的检测方法,其特征在于,采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为;所述方式一包括:通过预设的特征知识库检测待检测对象是否存在攻击行为,所述特征知识库包括若干个预设的APT攻击规则,若所述特征知识库中存在与所述待检测对象相匹配的APT攻击规则,则判断所述待检测对象存在攻击行为;所述方式二包括:通过预设的黑名单检测所述待检测对象是否存在攻击行为,所述预设的黑名单包括若干个预设的身份信息,若所述待检测对象的身份信息与所述黑名单中任意身份信息相匹配,则判断所述待检测对象存在攻击行为;所述方式三包括:对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行,检测所述待检测对象在进行所述虚拟执行的过程中是否具有恶意行为,若具有恶意行为,则判断所述待检测对象存在攻击行为。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京安数云信息技术有限公司,未经北京安数云信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710361322.2/,转载请声明来源钻瓜专利网。
