,来源信息为终端设备A,流转目标信息为无。以上仅为示例性的举例,本发明实施例对终端设备记录预置文件的属性信息的具体内容不进行限定。
[0043]102、终端设备根据所述属性信息确定所述预置文件是否为灰文件。
[0044]本步骤中基于步骤101中记录预置文件的属性信息,确定预置文件的安全等级,若预置文件为白名单文件,则说明预置文件是安全的,该预置文件内不可能存在APT攻击;若预置文件为黑名单文件,则说明该预置文件是危险文件,将该预置文件进行过滤或者删除;若预置文件为灰文件,则说明该预置文件的危险系数为未知。因此,需要对灰文件进行跟足示ο
[0045]103、若确定所述预置文件为所述灰文件,则终端设备确定所述灰文件是否触发预置异常行为规则。
[0046]在确定预置文件为灰文件之后,若该灰文件在局域网内的终端设备之间流转过程中,没有任何的异常行为,则说明该灰文件中不存在APT攻击;若该文件在局域网内的终端设备之间流转过程中,出现异常行为,则说明该灰文件中可能存在APT攻击。由于APT攻击具备高度的隐蔽性,且其发起APT攻击的时间具有不确定性,因此,在本发明实施例中,终端设备通过对灰文件进行监控,确定灰文件是否触发预置异常行为规则。
[0047]所述预置异常行为规则为是经验值,在设置异常行为规则时,所述异常行为规则可以包含但不局限于以下的内容,例如:灰文件的访问权限、灰文件的执行时间等等。
[0048]在具体实施时,不同的终端设备用户均会设置有不同的访问权限,如财务部门会有其相应的访问权限,研发部门会有其相应的访问权限;若研发部分的终端设备中的灰文件去访问财务部门,则该灰文件触发了预置异常行为规则。或者,终端设备会有固定的工作时间,假设,终端设备的工作时间为09:00-17:30,若终端设备中的灰文件在22:00自动执行,则该灰文件触发了预置异常行为规则。本发明实施例对预置异常行为规则的具体设置内容不进行具体限定。
[0049]104、若确定所述灰文件触发预置异常行为规则,则终端设备向服务器发送所述灰文件触发预置异常行为规则的异常警示信息。
[0050]当确定灰文件触发预置异常行为规则时,终端设备确定该灰文件中可能存在APT攻击,因此,终端设备针对该异常行为向服务器发送异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。
[0051 ]本发明实施例提供的APT攻击的检测方法,在检测APT攻击时,终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息;与现有技术中,通过人工检测APT攻击的方式相比,本发明实施例中当灰文件的异常行为触发预置异常行为规则时,终端向服务器发送异常警示信息,服务器会根据局域网内各个终端上报的灰文件的标识信息,获取灰文件的流转路径,根据流转路径获取灰文件进行该局域网的时间信息、来源信息等,能够快速、精确的对APT攻击进行检测。
[0052]进一步的,作为对图1所示方法的细化和扩展,在步骤101终端设备记录局域网中预置文件的属性信息,可以采用但不局限于以下的方式实现:
[0053]方式一:基于预置驱动程序记录局域网中预置文件的属性信息。
[0054]当终端设备作为流转目标信息,且接收预置文件时,预置驱动程序会自动识别该预置文件,并记录该预置文件的属性信息;在具体操作时,该预置驱动程序可以包含但不限于是U盘监控驱动,本发明实施例对预置驱动程序的具体类型不进行限定。
[0055]方式二:基于预置网关设备记录局域网中预置文件的属性信息。
[0056]当终端设备利用互联网进行预置文件下载时,预置网关设备会自动识别该预置文件,并记录该预祝文件的属性信息。
[0057]需要说明的是,在通过方式一记录局域网中预置文件的属性信息时,若该预置文件为灰文件,且灰文件触发预置异常行为规则,则由终端设备向服务器上报灰文件触发预置异常行为规则的异常警示信息;在通过方式二记录局域网中预置文件的属性信息时,若该预置文件为灰文件,且灰文件触发预置异常行为规则,则由预置网关设备向服务器上报灰文件触发预置异常行为规则的异常警示信息。
[0058]进一步的,为了让服务器能够在终端设备上报异常警示信息时,及时对终端设备内的灰文件进行追溯,因此,在终端设备向服务器发送所述灰文件触发预置异常行为规则的异常警示信息之前,终端设备根据灰文件的标识信息,记录灰文件的时间信息、来源信息及流转目标信息,终端设备将记录的灰文件的时间信息、来源信息及流转目标信息发送至服务器。需要说明的是,同一终端设备中可能存在多个灰文件,终端设备需要根据各个灰文件的不同标识信息,分别记录灰文件的时间信息、来源信息及流转目标信息。局域网内的各个终端设备均向服务器上报灰文件的时间信息、来源信息及流转目标信息,确保服务器在后续追溯灰文件的流转路径时,其流转路径的完整性和准确性。
[0059]进一步的,在终端设备根据属性信息确定预置文件是否为灰文件时,其具体过程如下:终端设备记录预置文件的属性信息之后,将该属性信息发送至云查杀服务器,云查杀服务器中记录有预置文件的黑名单和白名单,云查杀服务器在接收到预置文件的属性信息之后,获取属性信息中的标识信息,基于标识信息遍历黑名单以及白名单,若该标识信息存在于黑名单中,则直接将该标识信息对应的预置文件进行过滤;若该标识信息存在于白名单中,确定该标识信息对应的预置文件为安全文件;若该标识信息既不存在于白名单中,也不存在于黑名单中,则确定该标识信息对应的预置文件为灰文件,此时,云查杀服务器会向终端设备返回灰文件的标识信息,以便终端设备对该灰文件的属性信息进行记录,并上报至服务器。
[0060]进一步的,在终端设备确定所述灰文件是否触发预置异常行为规则之前,生成预置异常行为规则,所述预置异常行文规则用于确定所述灰文件是否存在异常行为。
[0061]进一步的,在生成预置异常行为规则之后,终端设备确定所述灰文件是否触发预置异常行为规则具体包括:获取预置异常行为规则,确定灰文件是否存在异常行为,判断异常行为是否触发预置异常行为规则。示例性的,假设,预置异常行为规则中包含:以一天为标准,灰文件的异常执行时间超过一次时,确定该灰文件触发预置异常行为规则,异常执行时间为22:00-次日05:00;若灰文件在23:00时执行一次,则终端设备确定灰文件的执行为异常行为,并查看在一天时间内,该灰文件异常执行的次数是否超过一次;若灰文件的异常执行为一次,则不会向服务器上报异常警示信息;若灰文件的异常执行为两次,则向服务器上报异常警示信息。
[0062]本发明实施例还提供另一种攻击的检测方法,该方法应用于服务器侧,如图2所示,该方法包括:
[0063]201、服务器接收局域网中各终端设备上报的灰文件的属性信息。
[0064]其中,所述灰文件的属性信息包括标识信息、来源信息及流转目标信息、时间信息;有关灰文件的详细说明,请参考步骤101中的详细描述,本发明实施例在此不再进行赘述。
[0065]202、服务器当接收到所述局域网中终端设备发送的异常警示信息时,根据所述异常警示信息中包含的终端设备的标识信息,获取所述终端设备在预置时间段内的灰文件。
[0066]当终端设备上报异常警示信息时,说明该终端设备中的灰文件中可能存在APT攻击,所述异常警示信息根据所述灰文件触发预置异常行为规则产生;由于终端设备中可能包含多个灰文件,在不能确定该异常警示信息是哪个灰文件触发的前提下,服务器接收到终端设备发送的异常警示信息时,根据异常警示信息中包含的终端设备的标识信息,获取终端设备在预置时间段内的所有灰文件,并获取所有灰文件对应的标识信息。
[0067]所述预置时间段为局域网运维人员人工设置的,在设置预置时间段时,可以设置预置时间段为一周;或者,也可以设置预置时间段为一个月,具体的本发明实施例对预置时间段的设置不进行限定。
[0068]203、服务器根据所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息。
[0069]由于灰文件在局域网内的流转是随机性的,且终端设备在向服务器上报灰文件的时间信息、来源信息及流转目标信息是各个终端设备单独发送的,服务器在接收到终端设备发送的时间信息、来源信息及流转目标信息时,仅将接收到的信息进行保存,而不会根据灰文件的标识信息将灰文件在局域网内的流转路径进行串联。只有当终端设备发送异常警示信息时,服务器才会将灰文件在局域网内的时间信息、来源信息及流转目标信息时进行串联。
[0070]204、服务器根据所述局域网中各终端设备上报的所述灰文件的属性信息获取所述灰文件的流转路径。
[0071]在步骤203获取所述局域网中各终端设备上报的所述灰文件的属性信息之后,月艮务器按照时间的先后顺序根据灰文件的标识信息将灰文件的来源信息及流转目标信息进行串联;服务器获取灰文件的流转路径,并将流转路径进行输出,以便局域网的运维人员查找APT攻击的源头。
[0072]作为本发明实施例的一种实现方式,在输出显示流转路径时,以图表的形式进行显示,图表中包含灰文件在局域网内流转的时间信息;或者,以时间轴的方式将灰文件的流转路径进行显示。本发明实施例对输出显示流转路径的方式不进行限定。
[0073]本发明实施例提供的APT攻击的检测方法,在检测APT攻击时,终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预