网络钓鱼攻击的检测方法、终端及服务器的制造方法

网络钓鱼攻击的检测方法、终端及服务器的制造方法
【专利摘要】本发明实施例提供了一种网络钓鱼攻击的检测方法及装置，其中方法包括：终端记录通讯应用操作事件的发生时间以及操作系统新增自启动项事件的发生时间，计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差，若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。该方案使用通讯应用操作事件与操作系统自启动事件发生的时间维度进行计算和判断，能够全面检测网络钓鱼攻击，检测覆盖率高，计算复杂度低，易于维护和优化。
【专利说明】网络钓鱼攻击的检测方法、终端及服务器
【技术领域】
[0001]本发明涉及计算机安全领域，尤其涉及一种网络钓鱼攻击的检测的方法、终端及服务器。
【背景技术】
[0002]网络钓鱼攻击指攻击者在与被攻击者的电子通讯中(常见如邮件，即时消息等)，骗取被攻击者的信任，从而获取被攻击者私有信息的一种电子攻击方式，常见的一种称为钓鱼链接攻击，攻击者在内容中会放置下载恶意软件的链接，被攻击者在被诱导点击该链接后，会下载该恶意软件到被攻击者客户端并运行，之后该恶意软件会通过添加自启动项实现长期存活。攻击者通过远程与此恶意软件进行通信，从而收集被攻击者本地私有信息。
[0003]目前，用于检测网络钓鱼攻击的技术一般是基于网络钓鱼攻击的特征分析，如对已知网络钓鱼链接建立黑名单，建立相似度模型，检测与黑名单中链接相同或相似的链接。但是，随着计算机技术的发展，新的网络钓鱼链接层出不穷，这种基于特征分析的检测方式难以保证覆盖率，检测效果不佳。

【发明内容】

[0004]有鉴于此，实有必要提供一种高覆盖率的网络钓鱼攻击检测方法和装置。
[0005]第一方面，提供一种网络钓鱼攻击检测终端，该终端包括:记录单元，用于记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间；
[0006]计算单元，与所述记录单元相连，用于计算所述系统新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；
[0007]判断单元，与所述计算单元相连，用于判断若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。
[0008]依据第一方面的第一实施方式中，该终端还包括:检测单元，用于在所述记录单元记录操作系统新增自启动项事件的发生时间之前，识别出操作系统新增自启动项。
[0009]依据第一方面的第一实施方式的第二实施方式中，所述检测单元具体用于:
[0010]定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0011]依据第一方面第二实施方式的第三实施方式中，所述检测单元具体用于:
[0012]在系统配置文件、系统自启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0013]依据第一方面的第四实施方式中，所述计算单元具体用于:对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；
[0014]选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
[0015]第二方面，提供一种网络钓鱼攻击检测服务器，包括:收发单元，用于接收终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；
[0016]存储单元，与所述接收单元相连，用于存储所述终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；
[0017]计算单元，与所述存储单元相连，用于从所述存储单元读取所述应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间，计算所述终端新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；
[0018]判断单元，与所述计算单元相连，用于判断若所述终端的通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。
[0019]依据第二方面的第一实施方式中，所述收发单元还接收与所述通信应用操作事件的发生时间和所述系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端，所述计算单元具体用于:
[0020]根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间，对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。
[0021]依据第一方面或者第一方面的第一实施方式的第二实施方式中，所述计算单元具体用于:
[0022]对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；
[0023]选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。第三方面，提供一种网络钓鱼攻击检测方法，该方法包括:
[0024]终端记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间；
[0025]所述终端计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；
[0026]若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。
[0027]依据第三方面的第一实施方式中，在所述记录操作系统新增自启动项事件的发生时间之前，还包括:识别出操作系统新增自启动项。
[0028]依据第三方面的第一实施方式的第二实施方式中，所述识别出新增自启动项包括:
[0029]定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0030]依据第三方面的第一实施方式的第三实施方式中，所述识别出新增自启动项包括:
[0031]在系统配置文件、系统自启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0032]依据第三方面的第四实施方式中，所述新增自启动项事件的发生时间中包括如下时间中的一种:
[0033]与所述新增自启动项相关的系统配置文件的修改时间；
[0034]与所述新增自启动项相关的系统自启动文件夹的修改时间；
[0035]与所述新增自启动相关的系统注册表文件的修改时间。
[0036]依据第三方面的第五实施方式中，所述方法还包括:
[0037]向服务器发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种:
[0038]事件标识，用于标识所述通讯应用操作事件类型；
[0039]通讯应用标识，用于标识所述通讯应用；
[0040]文件源标识，用于标识引起所述通讯应用操作事件的源文件。
[0041]第四方面，提供一种网络钓鱼攻击的检测方法，该方法包括:
[0042]服务器接收终端发送的通讯应用操作事件的发生时间和所述终端操作系统新增自启动项事件的发生时间；
[0043]所述服务器计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；
[0044]若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。
[0045]依据第四方面的第一实施方式中，服务器还接收与所述通信应用操作事件的发生时间和系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端；
[0046]所述计算所述终端新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差，包括:
[0047]根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间；
[0048]对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。
[0049]依据第四方面或第四方面第一实施方式的第二实施方式中，所述服务器计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差包括:
[0050]对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；
[0051]选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
[0052]如上所述的网络钓鱼攻击的检测方法及装置，以电子通讯应用操作事件与操作系统自启动事件发生时间为维度进行计算和判断，能够全面检测网络钓鱼攻击，检测覆盖率高，计算复杂度低，易于维护和优化。
【专利附图】

【附图说明】
[0053]图1是本发明一实施例的网络钓鱼攻击检测方法示意流程图；
[0054]图2是本发明另一实施例的网络钓鱼攻击检测方法示意流程图；
[0055]图3是本发明又一实施例的网络钓鱼攻击检测方法示意流程图；
[0056]图4是本发明再一实施例的网络钓鱼攻击检测方法示意流程图；
[0057]图5是本发明一实施例的网络钓鱼攻击检测终端示意框图；
[0058]图6是本发明一实施例的网络钓鱼攻击检测服务器示意框图；
[0059]图7是本发明另一实施例的网络钓鱼攻击检测终端示意框图。
【具体实施方式】
[0060]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0061]网络钓鱼攻击一般尝试攻击的方式有两种:
[0062]第一，攻击者，比如黑客向被攻击者，比如网络用户发送伪装的电子邮件，该电子邮件中隐藏有用于下载黑客放置的恶意软件的链接。网络用户被诱导点击该链接后，会自动下载恶意软件到本地并运行，该恶意软件会在用户的终端操作系统中添加自启动项实现其长期存活，黑客使用远程工具与网络用户本地的恶意软件秘密通信，窃取用户私有信息。
[0063]第二，黑客向网络用户发送伪装的电子邮件，该电子邮件中隐藏有黑客放置的恶意软件的附件，网络用户被诱导点击该附件后，恶意软件被运行，该恶意软件会在用户的终端操作系统中添加自启动项实现其长期存活，黑客使用远程工具与网络用户本地的恶意软件秘密通信，窃取用户私有信息。
[0064]本申请发明人在研究中发现，攻击者如果要成功发动网络钓鱼攻击，其攻击过程会产生以下事件:
[0065]用户通过通讯软件，如电子邮件、即时通讯软件，点击链接或者打开附件，产生访问链接事件或者打开附件事件。
[0066]恶意软件被成功下载或打开运行后，该恶意软件会在终端操作系统的注册表中创建自启动项，自启动项是能够实现在操作系统启动时，程序自动启动的项。本方案中，将创建新的自启动项称为新增自启动项事件。
[0067]以上两类事件顺序为访问链接事件或者打开附件事件早于新增自启动项事件，且访问链接事件或者打开附件事件与新增自启动项事件之间的时间间隔较短。
[0068]本方案中，恶意软件指故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。终端指安装有操作系统的电子计算装置，如计算机，智能手机，平板电脑等。
[0069]图1是本发明一实施例的网络钓鱼攻击检测的方法示意流程图。
[0070]如图1所示，该网络钓鱼攻击的检测方法包括:[0071]101、终端记录通讯应用操作事件的发生时间。
[0072]具体的，安装有操作系统的终端，如计算机、智能手机、平板电脑，安装有网络钓鱼攻击检测软件，能够监控该终端上通过电子通讯软件进行操作的各类操作事件，如打开附件事件、访问链接事件，能够获取各类操作事件发生的时间，通讯应用标识以及引起该类操作事件的源文件标识。
[0073]本实施例中，终端可以将通讯应用操作事件的发生时间记录在事件记录表中，可选的，还可将该通讯应用标识，比如即时通信软件应用标识，和用于描述操作事件类型的事件标识、引起该操作事件的源文件与该通讯应用操作时间的发生时间对应的写入到事件记录表中。
[0074]102、该终端记录操作系统新增自启动项事件的发生时间。
[0075]具体的，以装有windows系统的终端为例,恶意软件一般通过修改Windows配置文件、Windows系统自启动文件夹或者注册表来实现自启动。
[0076]本实施例中，在终端记录操作系统新增自启动项事件的发生时间之前，通过定时启动Windows自启动项检测工具,如autoruns, exe,能够检测到Windows系统所有的自启动项。在本实施例中，Windows自启动项检测工具在预置的很小的时间间隔内，定时启动，检测Windows系统此时所有的自启动项，并将该时刻的自启动项与Windows自启动项检测工具的启动时间对应保存。通过将最新时间点的自启动项与前一时刻自启动项对比，识别出新增自启动项。
[0077]然后，通过确定该新增自启动项相关的系统配置文件的修改时间、系统自启动文件夹的修改事件或者系统注册表的修改时间来确定该新增自启动项事件的发生时间，并可记录到事件记录表中。
[0078]需要注意的是,为保证新增自启动项事件的发生时间判断的准确性，Windows自启动项检测工具启动时间间隔可设置很小。
[0079]在本实施例中，该Windows自启动项检测工具还可以在终端检测到系统配直文件、系统自启动文件夹或系统注册表发生修改时启动。将本次启动检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0080]103、计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差。
[0081]具体的，终端根据事件记录表中保存的新增自启动项事件的发生时间和通讯应用操作事件的发生时间，计算两者之间的时间差值。
[0082]可选的，若在计算时存在多个新增自启动项事件和通讯应用操作事件，则逐一计算各个新增自启动项事件与通讯应用操作事件的发生时间之间的时间差。
[0083]在本实施例中，还可以在计算所述新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差之前，终端对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按自然时间顺序进行排序，然后仅选取离该新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。这样可以保证计算量小，节省终端的计算资源。
[0084]104、若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。
[0085]具体的，可以根据实验测试结果，预先设置用于判断的时间阈值，该时间阈值的具体数值在本实施例中不做限制。
[0086]首先，可根据事件记录表中记录的通讯应用操作事件发生时间与新增自启动项事件的发生时间进行对比，判断通讯应用操作事件发生在新增自启动项事件之前，而后将上述步骤获得的通讯应用操作事件与新增自启动项事件的发生时间之间的时间差值与该时间阈值进行对比，如果该时间差值小于该时间阈值，则认定该通信应用操作事件为网络钓鱼攻击事件。如果该时间差值大于该时间阈值，则可对该电子通讯应用操作事件不作任何处理。
[0087]可选的，若该时间差等于该时间阈值，也将该电子通讯应用操作事件认定为网络钓鱼攻击事件。
[0088]可选的，还可以将认定为网络钓鱼攻击事件的通讯应用操作事件以告警的方式提示用户，也可以对产生该类操作事件的附件或者链接进行杀毒处理，如删除该附件或者链接，也可以将包含该附件或者链接的电子邮件删除。
[0089]在本实施方式中，终端还可以向服务器发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种:事件标识，用于标识所述通讯应用操作事件类型；通讯应用标识，用于标识所述通讯应用；文件源标识，用于标识引起所述通讯应用操作事件的源文件。这样服务器可以对终端上报的告警信息进行分析和统计，以便向其他用户发送网络钓鱼攻击预警信息。
[0090]如上所述的网络钓鱼攻击的检测方法，以电子通讯应用操作事件与操作系统自启动项事件发生时间为维度进行计算和判断，能够全面检测网络钓鱼攻击，检测覆盖率高，计算复杂度低，易于维护和优化，同时，通过在终端本地检测和识别，能够快速定位网络钓鱼攻击，提高终端本地的安全性。
[0091]图2是本发明第二实施例的网络钓鱼攻击检测的方法示意流程图。
[0092]如图2所示，以电子通讯软件为电子邮件应用为例，该检测方法包括:
[0093]201、终端A记录通过电子邮件打开附件事件的发生时间。
[0094]具体的，以电子邮件应用outlook为例，当用户收到新邮件时，点击邮件中的附件，outlook会调用windows的API “ShellExecuteEX”打开该附件。在本实施例中，将outlook对windows的API “ShellExecuteEX”的调用时间作为通讯应用打开附件事件的发生时间记录在事件记录表中。
[0095]202、该终端记录操作系统新增自启动项事件的发生时间。
[0096]具体的，以装有windows系统的终端为例,恶意软件一般通过修改Windows配置文件、Windows系统自启动文件夹或者注册表来实现自启动。
[0097]本实施例中，在终端记录操作系统新增自启动项事件的发生时间之前，通过定时启动Windows自启动项检测工具,如autoruns, exe,能够检测到Windows系统所有的自启动项。在本实施例中，Windows自启动项检测工具在预置的很小的时间间隔内，定时启动，检测Windows系统此时所有的自启动项，并将该时刻的自启动项与Windows自启动项检测工具的启动时间对应保存。通过将最新时间点的自启动项与前一时刻自启动项对比，识别出新增自启动项。[0098]然后，通过确定该新增自启动项相关的系统配置文件的修改时间、系统自启动文件夹的修改事件或者系统注册表的修改时间来确定该新增自启动项事件的发生时间，并可记录到事件记录表中。
[0099]203、计算打开附件事件的发生时间与新增自启动项事件的发生时间之间的时间差。
[0100]本实施例中，还可以在计算所述新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差之前，终端对所述记录的新增自启动项事件的发生时间和打开附件事件的发生时间按自然时间顺序进行排序，然后仅选取离该新增自启动项事件发生时间最近的打开附件事件的发生时间与所述新增自启动项事件发生时间进行差值计算。这样可以保证计算量小，节省终端的计算资源。
[0101]204、若打开附件事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断该打开附件事件为网络钓鱼攻击事件。
[0102]可选的，终端可将判断为网络钓鱼攻击事件通过告警形式显示给用户，也可将产生该网络钓鱼攻击事件的附件、邮件、发件人信息上报给服务器，以便服务器收集相关网络钓鱼攻击信息，对用户进行预警。
[0103]图3是本发明第三实施例的网络钓鱼攻击检测方法示意流程图。
[0104]如图3所示，该检测方法包括:
[0105]301、终端向服务器发送的所述终端记录的电子通讯应用操作事件发生时间和所述终端操作系统新增自启动项事件的发生时间。
[0106]具体的，安装有操作系统的终端，如计算机、智能手机、平板电脑，安装有网络钓鱼攻击检测软件，能够监控该终端上通过通讯软件进行操作的各类操作事件，能够获取各类操作事件发生的时间，通讯应用标识以及引起该类操作事件的源文件标识。
[0107]本实施例中，终端可以将通讯应用操作事件的发生时间记录在事件记录表中，可选的，还可将该通讯应用标识，比如即时通信软件应用标识，和用于描述操作事件类型的事件标识、引起该操作事件的源文件与该通讯应用操作时间的发生时间对应的写入到事件记录表中。
[0108]可选的，该事件记录表还记录有终端标识，如终端的设备标识。
[0109]具体的，以装有windows系统的终端为例,恶意软件一般通过修改Windows配置文件、Windows系统自启动文件夹或者注册表来实现自启动。
[0110]本实施例中，在终端记录操作系统新增自启动项事件的发生时间之前，通过定时启动Windows自启动项检测工具,如autoruns, exe,能够检测到Windows系统所有的自启动项。在本实施例中，Windows自启动项检测工具在预置的很小的时间间隔内，定时启动，检测Windows系统此时所有的自启动项，并将该时刻的自启动项与Windows自启动项检测工具的启动时间对应保存。通过将最新时间点的自启动项与前一时刻自启动项对比，识别出新增自启动项。
[0111]然后，通过确定该新增自启动项相关的系统配置文件的修改时间、系统自启动文件夹的修改事件或者系统注册表的修改时间来确定该新增自启动项事件的发生时间，并可记录到事件记录表中。[0112]需要注意的是，为保证新增自启动项事件的发生时间判断的准确性，Windows自启动项检测工具启动时间间隔可设置很小。
[0113]在本实施例中，该Windows自启动项检测工具还可以在终端检测到系统配置文件、系统自启动文件夹或系统注册表发生修改时启动。将本次启动检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
[0114]终端可在预置的时间周期将记录有电子通讯应用操作事件发生时间和新增自启动项事件发生时间的事件记录表发送给服务器。可选的，终端也可分开向服务器发送电子通讯应用操作事件信息和新增自启动项事件信息，在该方案中，单独分开发送的通讯应用操作事件信息和新增自启动项事件信息除了分别包括电子通讯应用操作事件发生时间和新增自启动项事件发生时间外，均包括终端标识，便于服务器根据终端标识确定同一终端的电子通讯应用操作事件和新增自启动项事件的发生时间。
[0115]在本实施例中，终端还可以在检测到有新增自启动项事件时，向服务器发送新增自启动项事件的发生时间和在该新增自启动项事件的之前的通讯应用操作事件的发生时间。
[0116]302、该服务器计算所述终端新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的事件差。
[0117]具体的，服务器根据终端发送的事件记录表中记录的新增自启动项事件的发生时间和电子通讯应用操作事件的发生时间，计算两者之间的时间差。
[0118]可选的，服务器也可根据分别接收的电子通讯应用操作事件信息和新增自启动项事件信息中的终端标识，确定同一终端的电子通讯应用操作事件和新增自启动项事件的发生时间，计算同一终端新增自启动项事件的发生时间和电子通讯应用操作事件的发生时间之间的时间差。
[0119]可选的，若在计算时，同一终端存在多个新增自启动项事件和电子通讯应用操作事件，则逐一计算各个新增自启动项事件与电子通讯应用操作事件的发生时间之间的时间差。
[0120]在本实施例中，还可以在计算所述新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差之前，服务器对接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按自然时间顺序进行排序，然后仅选取离该新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。这样可以保证计算量小，节省服务器的计算资源。
[0121]303、若所述终端的通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。
[0122]具体的，服务器可以根据实验测试结果，预先设置用于判断的时间阈值，该时间阈值的具体数值在本实施例中不做限制。
[0123]首先，可根据终端发送的事件记录表中记录的通讯应用操作事件发生时间与新增自启动项事件的发生时间进行对比，判断该终端的通讯应用操作事件发生在新增自启动项事件之前，而后将上述步骤获得的通讯应用操作事件与新增自启动项事件的发生时间之间的时间差与该时间阈值进行对比，如果该时间差小于该时间阈值，则认定该通讯应用操作事件为网络钓鱼攻击事件。如果该时间差大于该时间阈值，则可对该操作事件不作任何处理。
[0124]可选的，还可以将认定为网络钓鱼攻击事件的操作事件以告警的方式发送给终端，提示终端用户对产生该类操作事件的附件或者链接或者邮件进行删除处理。
[0125]在本实施例中，所述告警信息还包括如下标识中的一种或多种:事件标识，用于标识所述通讯应用操作事件类型；通讯应用标识，用于标识所述通讯应用；文件源标识，用于标识引起所述通讯应用操作事件的源文件。这样，便于用户确定引起钓鱼攻击的文件、通讯应用。
[0126]如上所述的网络钓鱼攻击检测方法，通过服务器收集各终端上报的电子通讯应用操作事件信息与新增自启动项事件信息，根据终端标识将同一终端的电子通讯应用操作事件与新增自启动项事件关联，根据电子通讯应用操作事件的发生时间与新增自启动项事件的发生时间计算两者发生时间的时间差，若所述电子通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述电子通讯应用操作事件为网络钓鱼攻击事件。该方法能够全面检测网络钓鱼攻击，检测覆盖率高，计算复杂度低，易于维护和优化，同时，通过服务器可大批量的计算和处理，减轻客户端资源压力，还能在大量判断的基础上，进一步提升检测的覆盖率和准确率。
[0127]下面以电子邮件应用访问链接事件为例，对本发明实施例作进一步的阐述。
[0128]图4是本发明第四实施例的网络钓鱼攻击检测方法示意流程图；
[0129]如图4所示，该网络钓鱼攻击检测方法，包括:
[0130]401、终端向服务器发送的所述终端记录的电子邮件应用访问链接事件的发送时间和所述终端操作系统新增自启动项事件的发生时间。
[0131]具体的，以电子邮件应用outlook为例，当用户收到新邮件时，点击邮件中的链接,outlook会调用windows的AP1“ShellExecuteEX”访问该链接。在本方案中，将outlook对windows的API “ShellExecuteEX”的调用时间作为访问链接事件的发生时间记录在事件记录表中。终端将该访问链接事件的发生时间上报给服务器。
[0132]另外，终端还定时启动Windows自启动项检测工具，检测Windows系统此时所有的自启动项，并将该时刻的自启动项与Windows自启动项检测工具的启动时间对应保存。通过将最新时间点的自启动项与前一时刻自启动项对比，识别出新增自启动项。
[0133]终端将该新增自启动项的文件创建时间作为新增自启动项事件的发生时间上报给服务器。可选的，终端也可将新增自启动项识别时对应的Windows自启动项检测工具启动时间作为新增自启动项事件的发生时间上报给服务器。
[0134]可选的，终端还将终端标识作为新增自启动项事件和访问链接时间的附加信息分别上报给服务器。
[0135]402、该服务器计算所述终端新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差。
[0136]服务器可根据终端标识，将同一终端的访问链接事件和新增自启动项事件关联起来，计算同一终端新增自启动项事件的发生时间和访问链接事件的发生时间之间的时间差。[0137]403、若所述终端的访问链接事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的访问链接事件为网络钓鱼攻击事件。
[0138]可选的，还可以将认定为网络钓鱼攻击事件的访问链接事件以告警的方式发送给终端，提示终端用户对产生该类操作事件的链接或者邮件进行删除处理。
[0139]图5是本发明一实施例的网络钓鱼攻击检测终端示意框图。
[0140]如图5所示，该网络钓鱼攻击检测终端包括:
[0141]记录单元501,与记录单元501相连的计算单元502,以及与计算单元502相连的判断单元503。
[0142]记录单元501用于记录电子通讯应用操作事件的发生时间,还用于记录记录操作系统新增自启动项事件的发生时间。
[0143]在本实施例中，该终端还包括:检测单元504,用于定时启动,检测Windows系统此时所有的自启动项，并将该时刻的自启动项与Windows自启动项检测工具的启动时间对应保存。通过将最新时间点的自启动项与前一时刻自启动项对比，识别出新增自启动项。
[0144]然后，记录单元501通过确定该新增自启动项相关的系统配置文件的修改时间、系统自启动文件夹的修改事件或者系统注册表的修改时间来确定该新增自启动项事件的发生时间，并可记录到事件记录表中。
[0145]本实施例中，记录单元501可以将通讯应用操作事件的发生时间记录在事件记录表中，可选的，还可将该通讯应用标识，比如即时通信软件应用标识，和用于描述操作事件类型的事件标识、引起该操作事件的源文件与该通讯应用操作时间的发生时间对应的写入到事件记录表中。
[0146]计算单元502，与所述记录单元相连，用于计算所述操作系统新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差。可选的，若在计算时存在多个新增自启动项事件和电子通讯应用操作事件，则计算单元502逐一计算各个新增自启动项事件与电子通讯应用操作事件的发生时间之间的时间差。
[0147]在本实施例中，该终端还可以包括:计算单元502还可以对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按自然时间顺序进行排序，该计算单元502选取离该新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。这样可以保证计算量小，节省终端的计算资源。
[0148]判断单元503，用于判断若所述电子通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述电子通讯应用操作事件为网络钓鱼攻击事件。
[0149]具体的，判断单元503可将记录单元501记录的电子通讯应用操作事件发生时间与新增自启动项事件的发生时间进行对比，判断电子通讯应用操作事件发生在新增自启动项事件之前，而后将上述步骤获得的电子通讯应用操作事件与新增自启动项事件的发生时间之间的时间差值与该时间阈值进行对比，如果该时间差值小于该时间阈值，则认定该电子通信应用操作事件为网络钓鱼攻击事件。如果该时间差值大于该时间阈值，则可对该电子通讯应用操作事件不作任何处理。
[0150]该网络钓鱼攻击检测终端可以是带有操作系统的计算装置，如计算机、平板电脑、智能手机等。
[0151]该网络钓鱼攻击检测终端可用于执行实例一、实施例二所示的网络钓鱼攻击检测方法。
[0152]图6是本发明一实施例的网络钓鱼攻击检测服务器示意框图。
[0153]该服务器包括:
[0154]收发单元601，用于接收终端发送的所述终端记录的电子通讯应用操作事件的发生时间和所述终端操作系统新增自启动项事件的发生时间。
[0155]具体的终端将记录有电子通讯应用操作事件发生时间和新增自启动项事件发生时间的事件记录表发送给收发单元601。可选的，终端也可分开向收发单元601发送电子通讯应用操作事件信息和新增自启动项事件信息，在该方案中，单独分开发送的电子通讯应用操作事件信息和新增自启动项事件信息除了分别包括电子通讯应用操作事件发生时间和新增自启动项事件发生时间外，均包括终端标识。
[0156]存储单元602，与所述接收单元601相连，用于存储所述终端发送的所述终端记录的电子通讯应用操作事件的发生时间和所述终端操作系统新增自启动项事件的发生时间。
[0157]计算单元603，与所述存储单元602相连，用于从所述存储单元602读取所述终端记录的电子通讯应用操作事件的发生时间和所述终端操作系统新增自启动项事件的发生时间，计算所述终端新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差。
[0158]具体的，计算单元603根据存储单元602存储的事件记录表中记录的新增自启动项事件的发生时间和电子通讯应用操作事件的发生时间，计算两者之间的时间差。
[0159]可选的，计算单元603根据分别接收的电子通讯应用操作事件信息和新增自启动项事件信息中的终端标识，将同一终端的电子通讯应用操作事件和新增自启动项事件关联起来，计算同一终端新增自启动项事件的发生时间和电子通讯应用操作事件的发生时间之间的时间差。
[0160]可选的，若在计算时同一终端存在多个新增自启动项事件和电子通讯应用操作事件，则逐一计算各个新增自启动项事件与电子通讯应用操作事件的发生时间之间的时间差。
[0161]在本实施例中，该服务器还可包括:排序单元，用于对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按自然时间顺序进行排序；
[0162]该计算单元603可具体用于选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
[0163]判断单元604，与所述计算单元603相连，用于判断若所述终端的电子通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的电子通讯应用操作事件为网络钓鱼攻击事件。
[0164]可选的，收发单元601还向终端发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种:事件标识，用于标识所述通讯应用操作事件类型；通讯应用标识，用于标识所述通讯应用；文件源标识，用于标识引起所述通讯应用操作事件的源文件。[0165]图7是本发明一实施例的用户终端示意框图。
[0166]如图7所示，该用户终端包括:至少一个处理器701，例如CPU，至少一个通信接口 704或者其他通信接口，存储器702，和至少一个通信总线705，用于实现这些装置之间的会话通信。处理器701用于执行存储器中存储的可执行模块，例如计算机程序。用户终端可选的还包含用户接口 703，包括但不限于显示器，键盘和点击设备(例如，鼠标，轨迹球(trackball),触感板或者触感显示屏)。存储器702可能包含高速Ram存储器,也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个网络接口(可以是有线或者无线)实现该用户终端与至少一个其他计算机之间的通信会话，可以使用互联网，广域网，本地网，城域网等。
[0167]可选的，通信接口 704可用于记录电子通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间，存储器702可用于存储该通信接口 704记录的该用户终端上电子通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间，处理器701可用于从该存储器702中读取该电子通讯应用操作事件的发生时间和新增自启动项事件的发生时间，计算所述新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差。还可用于若所述电子通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述电子通讯应用操作事件为网络钓鱼攻击事件。用户接口 703可用于将判断出的网络钓鱼攻击事件以告警形式显示给用户。
[0168]本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0169]所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0170]在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的，机械的或其它的形式连接。
[0171]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
[0172]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。[0173]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0174]以上所述，仅为本发明的【具体实施方式】，但本发明的保护范围并不局限于此，任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。
【权利要求】
1.一种网络钓鱼攻击检测终端，其特征在于，包括: 记录单元，用于记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间； 计算单元，与所述记录单元相连，用于计算所述系统新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差； 判断单元，与所述计算单元相连，用于判断若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。
2.如权利要求1所述的终端，其特征在于，还包括: 检测单元，用于在所述记录单元记录操作系统新增自启动项事件的发生时间之前，识别出操作系统新增自启动项。
3.如权利要求2所述的终端，其特征在于，所述检测单元具体用于: 定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
4.如权利要求2所述的终端，其特征在于，所述检测单元具体用于: 在系统配置文件、系统自 启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
5.如权利要求1所述的终端，其特征在于，所述新增自启动项的创建时间中包括如下时间中的一种: 与所述新增自启动项相关的系统配置文件的修改时间； 与所述新增自启动项识相关的系统自启动文件夹的修改时间； 与所述新增自启动项相关的系统注册表文件的修改时间。
6.如权利要求1-5任一项所述的终端，其特征在于，所述计算单元具体用于: 对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序； 选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
7.如权利要求1-6任一项所述的终端，其特征在于，还包括: 发送单元，用于向服务器发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种: 事件标识，用于标识所述通讯应用操作事件类型； 通讯应用标识，用于标识所述通讯应用； 文件源标识，用于标识引起所述通讯应用操作事件的源文件。
8.—种网络钓鱼攻击检测服务器，其特征在于，包括: 收发单元，用于接收终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间； 存储单元，与所述接收单元相连，用于存储所述终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间； 计算单元，与所述存储单元相连，用于从所述存储单元读取所述应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间，计算所述终端新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差； 判断单元，与所述计算单元相连，用于判断若所述终端的通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。
9.如权利要求8所述的服务器，其特征在于，所述收发单元还接收与所述通信应用操作事件的发生时间和所述系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端，所述计算单元具体用于: 根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间，对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。
10.如权利要求8或9所述的服务器，其特征在于，所述计算单元具体用于: 对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序； 选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
11.如权利要求8所述的服务器，其特征在于，所述收发单元，还用于向所述终端发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种: 事件标识，用于标识所述通讯应`用操作事件类型； 通讯应用标识，用于标识所述通讯应用； 文件源标识，用于标识引起所述通讯应用操作事件的源文件。
12.—种网络钓鱼攻击的检测方法，其特征在于，包括: 终端记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间； 所述终端计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差； 若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。
13.如权利要求12所述的方法，其特征在于，在所述记录操作系统新增自启动项事件的发生时间之前，还包括: 识别出操作系统新增自启动项。
14.如权利要求13所述的检测方法，其特征在于，所述识别出新增自启动项包括: 定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
15.如权利要求13所述的检测方法，其特征在于，所述识别出新增自启动项包括:在系统配置文件、系统自启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。
16.如权利要求12所述的检测方法，其特征在于，所述新增自启动项事件的发生时间中包括如下时间中的一种: 与所述新增自启动项相关的系统配置文件的修改时间； 与所述新增自启动项相关的系统自启动文件夹的修改时间； 与所述新增自启动相关的系统注册表文件的修改时间。
17.如权利要求12-16任一项所述的检测方法，其特征在于，所述终端计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差包括: 对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序； 选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
18.如权利要求12所述的方法，其特征在于，所述方法还包括: 向服务器发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种: 事件标识，用于标识所述通讯应用 操作事件类型； 通讯应用标识，用于标识所述通讯应用； 文件源标识，用于标识引起所述通讯应用操作事件的源文件。
19.一种网络钓鱼攻击的检测方法，其特征在于，包括: 服务器接收终端发送的通讯应用操作事件的发生时间和所述终端操作系统新增自启动项事件的发生时间； 所述服务器计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差； 若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。
20.如权利要求19所述的检测方法，其特征在于，服务器还接收与所述通信应用操作事件的发生时间和系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端； 所述计算所述终端新增自启动项事件的发生时间与所述电子通讯应用操作事件的发生时间之间的时间差，包括: 根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间； 对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。
21.如权利19或20所述的方法，其特征在于，所述服务器计算所述新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差包括: 对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序； 选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。
22.如权利要求19所述的检测方法，其特征在于，所述新增自启动项事件的发生时间包括如下时间中的一种: 与所述新增自启动项相关的系统配置文件的修改时间； 与所述新增自启动项相关的系统自启动文件夹的修改时间； 与所述新增自启动项相关的系统注册表文件的修改时间。
23.如权利要求19所述的检测方法，其特征在于，服务器还接收与通讯应用操作事件一起发送的以下标识中的一种或多种: 事件标识，用于标识所述通讯应用操作事件类型； 通讯应用标识，用于标识所述通讯应用； 文件源标识，用于标识引起 所述通讯应用操作事件的源文件。
【文档编号】H04L29/06GK103501300SQ201310466004
【公开日】2014年1月8日 申请日期:2013年9月30日 优先权日:2013年9月30日
【发明者】杨鹏 申请人:华为技术有限公司