摘要:本發明公開了一種APT攻擊的檢測方法、終端設備、服務器及系統,涉及信息安全技術領域,主要目的在于實現快速、精確的對APT攻擊進行檢測。本發明的主要技術方案包括:終端設備記錄局域網中預置文件的屬性信息;其中,預置文件的屬性信息包括標識信息、時間信息、來源信息及流轉目標信息;根據屬性信息確定預置文件是否為灰文件;灰文件既不存在于預置文件的白名單內,也不存在預置文件的黑名單內;若確定預置文件為灰文件,則確定灰文件是否觸發預置異常行為規則;若確定灰文件觸發預置異常行為規則,則向服務器發送灰文件觸發預置異常行為規則的異常警示信息;其中,異常警示信息包含終端設備的標識信息。本發明主要應用于APT攻擊的檢測過程中。
- 專利類型發明專利
- 申請人北京奇虎科技有限公司;北京奇安信科技有限公司;
- 發明人江愛軍;張聰;
- 地址100088 北京市西城區新街口外大街28號D座112室(德勝園區)
- 申請號CN201510959102.0
- 申請時間2015年12月18日
- 申請公布號CN105430001A
- 申請公布時間2016年03月23日
- 分類號H04L29/06(2006.01)I;