Apt攻击的检测方法、终端设备、服务器及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,特别是涉及一种APT攻击的检测方法、终端设备、服务器及系统。
【背景技术】
[0002]随着计算机技术的不断发展,人类社会的信息化程度越来越高,整个社会对计算机信息的依赖程度也越来越高。与此同时,计算机文件中的安全存在的威胁也在不断的增长,而高级持续性威胁(Advanced Persistent Threat,APT)成为信息安全领域最严重的威胁之一,是一种持续性网络攻击。
[0003]APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象信任的系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用Oday漏洞进行攻击。APT攻击的手段,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种"网络间谍"的行为。
[0004]为了能够将隐藏的APT攻击检测出来,以便及时的进行修复,人们想出各种各样的方案。目前常用的技术方案为:依靠人的经验进行判断,该种判断方法不能快速、精确地检测出APT攻击,可能会错过潜伏的APT攻击,因此,可能会严重威胁计算机数据信息的安全。
【发明内容】
[0005]有鉴于此,本发明提供的一种APT攻击的检测方法、终端设备、服务器及系统,主要目的在于解决人工检测APT攻击时,不能快速、精确地检测出APT攻击,可能会错过潜伏的APT攻击,因此,可能会严重威胁计算机数据信息的安全的问题。
[0006]依据本发明第一方面,本发明提供了一种APT攻击的检测方法,包括:
[0007]终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;
[0008]根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;
[0009]若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;
[0010]若确定所述灰文件触发所述预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。[0011 ]依据本发明第二方面,本发明提供了一种APT攻击的检测方法,包括:
[0012]服务器接收局域网中各终端设备上报的灰文件的属性信息;其中,所述灰文件的属性信息包括标识信息、来源信息及流转目标信息、时间信息;
[0013]当接收到所述局域网中终端设备发送的异常警示信息时,根据所述异常警示信息中包含的终端设备的标识信息,获取所述终端设备在预置时间段内的灰文件;所述异常警示信息根据所述灰文件触发预置异常行为规则产生;
[0014]根据所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息;
[0015]根据所述局域网中各终端设备上报的所述灰文件的属性信息获取所述灰文件的流转路径;其中,所述流转路径是将所述灰文件的来源信息及流转目标信息按照时间先后顺序串联形成的。
[0016]依据本发明第三方面,本发明提供了一种终端设备,包括:
[0017]第一记录单元,用于记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;
[0018]第一确定单元,用于根据所述第一记录单元记录的所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;
[0019]第二确定单元,用于当所述第一确定单元确定所述预置文件为所述灰文件时,确定所述灰文件是否触发预置异常行为规则;
[0020]第一发送单元,用于当所述第二确定单元确定所述灰文件触发所述预置异常行为规则时,向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。
[0021]依据本发明第四方面,本发明提供了一种服务器,包括:
[0022]第一接收单元,用于接收局域网中各终端设备上报的灰文件的属性信息;其中,所述灰文件的属性信息包括标识信息、来源信息及流转目标信息、时间信息;
[0023]第一获取单元,用于当接收到所述局域网中终端设备发送的异常警示信息时,根据所述异常警示信息中包含的终端设备的标识信息,获取所述终端设备在预置时间段内的灰文件;所述异常警示信息根据所述灰文件触发预置异常行为规则产生;
[0024]第二获取单元,用于根据所述第一接收单元接收的所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息;
[0025]第三获取单元,用于根据所述第二获取单元获取的所述局域网中各终端设备上报的所述灰文件的属性信息获取所述灰文件的流转路径;其中,所述流转路径是将所述灰文件的来源信息及流转目标信息按照时间先后顺序串联形成的。
[0026]依据本发明第五方面,本发明提供了一种APT攻击的检测系统,所述系统包括:如上所述的终端设备及如上所述的服务器。
[0027]借由上述技术方案,本发明提供的APT攻击的检测方法、终端设备、服务器及系统,在检测APT攻击时,终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息;与现有技术中,通过人工检测APT攻击的方式相比,本发明中当灰文件的异常行为触发预置异常行为规则时,终端向服务器发送异常警示信息,服务器会根据局域网内各个终端上报的灰文件的标识信息,获取灰文件的流转路径,根据流转路径获取灰文件进行该局域网的时间信息、来源信息等,能够快速、精确的对APT攻击进行检测。
[0028]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0029]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0030]图1示出了本发明实施例提供的一种APT攻击的检测方法的流程图;
[0031]图2示出了本发明实施例提供的另一种APT攻击的检测方法的流程图;
[0032]图3示出了本发明实施例提供的一种终端设备的组成框图;
[0033]图4示出了本发明实施例提供的另一种终端设备的组成框图;
[0034]图5示出了本发明实施例提供的一种服务器的组成框图;
[0035]图6示出了本发明实施例提供的另一种服务器的组成框图;
[0036]图7示出了本发明实施例提供一种APT攻击的检测系统的组成框图。
【具体实施方式】
[0037]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0038]本发明实施例提供一种APT攻击的检测方法,该方法应用于终端设备侧,如图1所示,该方法包括:
[0039]101、终端设备记录局域网中预置文件的属性信息。
[0040]在局域网环境中,包含多个终端设备,每个终端设备均会记录预置文件的属性信息,其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;需要说明的是,所述预置文件是指从网络下载或者从U盘、硬盘、智能手机有线或无线传输所获取的文件;网络下载包含但不局限于以下内容,例如:网站下载、邮件下载、网络共享等等。本发明实施例对预置文件的来源及预置文件的具体类型不进行限定。
[0041]为了确保终端设备记录预置文件属性信息的准确性,在终端设备第一次接收到预置文件时,对预置文件的属性信息进行记录,在终端设备记录预置文件的属性信息时,仅记录一次;在记录预置文件的属性信息之前,不能确定该预置文件的安全等级,因此,需要将终端设备中所有的预置文件的属性信息都进行记录;其中,所述预置文件的安全等级包括:白名单文件、黑名单文件、灰文件,所述灰文件为既不属于白名单,也不属于黑名单的文件;本发明实施例对终端设备记录局域网中预置文件的属性信息的具体时机以及预置文件的安全等级不进行限定。
[0042]为了更清晰的对记录预置文件的属性信息,以下将以示例的形式进行详细说明。示例性的,当终端设备A中含有预置文件I,该预置文件I是于2015年3月4日,通过用户使用U盘传递给终端设备A的,终端设备A于2015年5月28日,将预置文件I又通过邮件的方法发送给终端设备B及终端设备C。针对同一个预置文件I,终端设备A记录预置文件的属性信息包括:预置文件标识信息为WJ-001,时间信息为2015年3月4日,来源信息为U盘,流转目标信息为终端设备B及终端设备C;终端设备B记录预置文件的属性信息包括:预置文件标识信息为WJ-001,时间信息为2015年5月28日,来源信息为终端设备A,流转目标信息为无;终端设备C记录预置文件的属性信息包括:预置文件标识信息为WJ-001,时间信息为2015年5月28日