APT攻擊行為的檢測方法及檢測系統(tǒng)

基本信息

申請?zhí)?/td> CN201710361322.2 申請日 -
公開(公告)號 CN107172050A 公開(公告)日 2017-09-15
申請公布號 CN107172050A 申請公布日 2017-09-15
分類號 H04L29/06 分類 電通信技術(shù);
發(fā)明人 李強 申請(專利權(quán))人 北京安數(shù)云信息技術(shù)有限公司
代理機構(gòu) 北京創(chuàng)遇知識產(chǎn)權(quán)代理有限公司 代理人 李芙蓉;孫進(jìn)華
地址 100085 北京市海淀區(qū)安寧莊西路9號院25號樓-1層106室
法律狀態(tài) -

摘要

摘要 本發(fā)明公開了一種APT攻擊行為的檢測方法及檢測系統(tǒng),該APT攻擊行為的檢測方法采用方式一、方式二、方式三中的至少兩種方式檢測待檢測對象是否存在攻擊行為;所述方式一包括:通過預(yù)設(shè)的特征知識庫檢測待檢測對象是否存在攻擊行為;所述方式二包括:通過預(yù)設(shè)的黑名單檢測所述待檢測對象是否存在攻擊行為;所述方式三包括:對所述待檢測對象進(jìn)行反編譯,檢測所述待檢測對象是否具有shellcode特征,若具有shellcode特征,則判斷所述待檢測對象存在攻擊行為,若不具有shellcode特征,則將所述待檢測對象送入安全沙箱或虛擬系統(tǒng)進(jìn)行虛擬執(zhí)行。本發(fā)明可以有效提高APT檢測的準(zhǔn)確性和時效性。