摘要:本发明公开了一种APT攻击的检测方法、终端设备、服务器及系统,涉及信息安全技术领域,主要目的在于实现快速、精确的对APT攻击进行检测。本发明的主要技术方案包括:终端设备记录局域网中预置文件的属性信息;其中,预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据属性信息确定预置文件是否为灰文件;灰文件既不存在于预置文件的白名单内,也不存在预置文件的黑名单内;若确定预置文件为灰文件,则确定灰文件是否触发预置异常行为规则;若确定灰文件触发预置异常行为规则,则向服务器发送灰文件触发预置异常行为规则的异常警示信息;其中,异常警示信息包含终端设备的标识信息。本发明主要应用于APT攻击的检测过程中。
- 专利类型发明专利
- 申请人北京奇虎科技有限公司;北京奇安信科技有限公司;
- 发明人江爱军;张聪;
- 地址100088 北京市西城区新街口外大街28号D座112室(德胜园区)
- 申请号CN201510959102.0
- 申请时间2015年12月18日
- 申请公布号CN105430001A
- 申请公布时间2016年03月23日
- 分类号H04L29/06(2006.01)I;
教育装备采购网在线客服
京公网安备11010802043465号
