置异常行为规则;若确定所述灰文件触发预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息;与现有技术中,通过人工检测APT攻击的方式相比,本发明实施例中当灰文件的异常行为触发预置异常行为规则时,终端向服务器发送异常警示信息,服务器会根据局域网内各个终端上报的灰文件的标识信息,获取灰文件的流转路径,根据流转路径获取灰文件进行该局域网的时间信息、来源信息等,能够快速、精确的对APT攻击进行检测。
[0074]进一步的,作为对图2所示方法的细化和扩展,在步骤203根据所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息之后,根据灰文件的标识信息对灰文件的属性信息进行解析,确定灰文件的时间信息、来源信息及流转目标信息,根据时间信息的先后顺序将灰文件的来源信息及流转目标信息进行串联。
[0075]示例性的,假设,若灰文件的标识信息为HWJ-008,根据该标识信息HWJ-008,服务器查找各个终端设备上报的属性信息,其中,上报属性信息中包含HWJ-008的终端设备有终端设备1、终端设备8、终端设备45、终端设备12,其中,终端设备1中记录时间信息为2015年3月9日、来源信息为终端设备8、流转目标信息12;终端设备8中记录时间信息为2015年2月20日、来源信息为XXX网站、流转目标信息1;终端设备12中记录时间信息为2015年3月15日、来源信息为终端设备1、流转目标信息为终端设备45;终端设备45中记录时间信息为2015年4月6日、来源信息为终端设备12、流转目标信息为无。服务器根据时间信息,形成标识信息为HWJ-008的灰文件的流转路径为:终端设备8(2015年2月20日终端设备1(2015年3月9日)—终端设备12(2015年3月15日终端设备45(2015年4月6日)。以上仅为示例性的举例,本发明实施例对标识信息、灰文件在局域网内终端设备流转的来源信息及流转目标信息等内容不进行限定。
[0076]进一步的,在服务器接收局域网中各终端设备上报的灰文件的属性信息之前,接收终端设备发送的预置文件,同时,接收云查杀服务器发送的数据库表格,该数据库表格为云查杀数据库根据预置文件的白名单及黑名单生成,服务器根据数据库表格确定接收到的预置文件是否为灰文件,当确定预置文件为灰文件之后,接收终端设备上报的灰文件的属性信息。其中,服务器确定预置文件为灰文件的目的在于,仅接收灰文件的属性信息,而不接收云查杀服务器确定的白名单或者黑名单中的预置文件对应的属性信息,能够节省部分服务器的处理资源;同时,白名单中的预置文件不会存在APT攻击,因此,无需对该类预置文件进行跟踪。
[0077]作为本发明实施例的一种实现方式,云查杀服务器实时对终端设备记录的预置文件进行查杀,确定该预置文件的安全性,即确定该预置文件是否是白名单文件、黑名单文件或者灰文件;确定出预置文件的类型之后,存储于数据库表格中,并按照预置周期将数据库表格发送至服务器;或者,在确定预置文件的类型之后,实时将数据库表格发送至服务器,本发明实施例对云查杀向服务器发送数据库表格的时机不进行限定。
[0078]进一步的,作为对上述图1所示方法的实现,本发明另一实施例还提供了一种终端设备。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
[0079]本发明实施例提供的一种终端设备,如图3所示,包括:
[0080]第一记录单元31,用于记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;
[0081]第一确定单元32,用于根据所述第一记录单元31记录的所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;
[0082]第二确定单元33,用于当所述第一确定单元32确定所述预置文件为所述灰文件时,确定所述灰文件是否触发预置异常行为规则;
[0083]第一发送单元34,用于当所述第二确定单元33确定所述灰文件触发所述预置异常行为规则时,向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息。
[0084]进一步的,如图4所示,所述第一记录单元31包括:
[0085]第一记录模块311,用于基于预置驱动程序记录局域网中预置文件的属性信息;
[0086]第二记录模块312,用于基于预置网关设备记录局域网中预置文件的属性信息。
[0087]进一步的,如图4所示,所述终端设备还包括:
[0088]第二记录单元35,用于在所述第一发送单元34向服务器发送所述灰文件触发预置异常行为规则的异常警示信息之前,根据所述灰文件的标识信息,记录所述灰文件的时间信息、来源信息及流转目标信息;
[0089]第二发送单元36,用于将所述第二记录单元35记录的所述时间信息、来源信息及所述流转目标信息发送至所述服务器。
[0090]进一步的,如图4所示,所述第一确定单元32包括:
[0091 ]发送模块321,用于将所述属性信息发送至云查杀服务器,以便所述云查杀服务器根据所述属性信息判断所述预置文件是否为所述灰文件,当所述云查杀服务器返回所述灰文件的标识信息时,确定所述预置文件为灰文件;
[0092]确定模块322,用于在所述发送模块321将所述属性信息发送至所述云查杀服务器之后,根据所述云查杀服务器是否发送所述标识信息,确定所述预置文件是否为灰文件。
[0093]进一步的,如图4所示,所述终端设备还包括:
[0094]生成单元37,用于在所述第二确定单元33确定所述灰文件是否触发预置异常行为规则之前,生成预置异常行为规则。
[0095]进一步的,如图4所示,所述第二确定单元33包括:
[0096]获取模块331,用于获取所述预置异常行为规则;
[0097]确定模块332,用于确定所述灰文件是否存在异常行为;
[0098]判断模块333,用于判断所述确定模块332确定的所述异常行为是否触发所述获取模块331获取的所述预置异常行为规则。
[0099]进一步的,作为对上述图2所示方法的实现,本发明另一实施例还提供了一种服务器。该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
[0100]本发明实施例提供一种服务器,如图5所示,包括:
[0101]第一接收单元51,用于接收局域网中各终端设备上报的灰文件的属性信息;其中,所述灰文件的属性信息包括标识信息、来源信息及流转目标信息、时间信息;
[0102]第一获取单元52,用于当接收到所述局域网中终端设备发送的异常警示信息时,根据所述异常警示信息中包含的终端设备的标识信息,获取所述终端设备在预置时间段内的灰文件;所述异常警示信息根据所述灰文件触发预置异常行为规则产生;
[0103]第二获取单元53,用于根据所述第一接收单元51接收的所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息;
[0104]第三获取单元54,用于根据所述第二获取单元53获取的所述局域网中各终端设备上报的所述灰文件的属性信息获取所述灰文件的流转路径;其中,所述流转路径是将所述灰文件的来源信息及流转目标信息按照时间先后顺序串联形成的。
[0105]进一步的,如图6所示,所述服务器还包括:
[0106]解析单元55,用于在所述第二获取单元53根据所述灰文件的标识信息分别获取所述局域网中各终端设备上报的所述灰文件的属性信息之后,根据所述灰文件的标识信息对所述灰文件的属性信息进行解析;
[0107]第一确定单元56,用于在所述解析单元55根据所述灰文件的标识信息对所述灰文件的属性信息进行解析之后,确定所述灰文件的时间信息、来源信息及流转目标信息;
[0108]串联单元57,用于根据所述第一确定单元56确定的所述时间信息的先后顺序将所述灰文件的所述来源信息及所述流转目标信息进行串联;
[0109]形成单元58,用于形成所述灰文件的所述流转路径。
[0110]进一步的,如图6所示,所述服务器还包括:
[0111]第二接收单元59,用于在所述第一接收单元51接收局域网中各终端设备上报的灰文件的属性信息之前,接收所述终端设备发送的预置文件;
[0112]第三接收单元510,用于接收云查杀服务器发送的数据库表格,所述数据库表格为所述云查杀服务器根据所述预置文件的白名单及黑名单生成;
[0113]第二确定单元511,用于根据所述第三接收单元510接收的所述数据库表格确定所述预置文件是否为所述灰文件;
[0114]所述第一接收单元51,还用于当所述第二确定单元511根据所述数据库表格确定所述预置文件为所述灰文件时,接收局域网中各终端设备上报的灰文件的属性信息。
[0115]进一步的,本发明实施例还提供一种APT攻击的检测系统,如图7所示,所述系统包括:如图3或图4任一幅图所示的终端设备71及如图5或图6任一幅图所示的服务器72。
[0116]本发明实施例提供的终端设备、服务器及APT攻击的检测系统,在检测APT攻击时,终端设备记录局域网中预置文件的属性信息;其中,所述预置文件的属性信息包括标识信息、时间信息、来源信息及流转目标信息;根据所述属性信息确定所述预置文件是否为灰文件;其中,所述灰文件既不存在于所述预置文件的白名单内,也不存在所述预置文件的黑名单内;若确定所述预置文件为所述灰文件,则确定所述灰文件是否触发预置异常行为规则;若确定所述灰文件触发预置异常行为规则,则向服务器发送所述灰文件触发预置异常行为规则的异常警示信息;其中,所述异常警示信息包含终端设备的标识信息;与现有技术中,通过人