技术特征:
技术总结
本发明公开了一种APT攻击行为的检测方法及检测系统,该APT攻击行为的检测方法采用方式一、方式二、方式三中的至少两种方式检测待检测对象是否存在攻击行为;所述方式一包括:通过预设的特征知识库检测待检测对象是否存在攻击行为;所述方式二包括:通过预设的黑名单检测所述待检测对象是否存在攻击行为;所述方式三包括:对所述待检测对象进行反编译,检测所述待检测对象是否具有shellcode特征,若具有shellcode特征,则判断所述待检测对象存在攻击行为,若不具有shellcode特征,则将所述待检测对象送入安全沙箱或虚拟系统进行虚拟执行。本发明可以有效提高APT检测的准确性和时效性。
技术研发人员:李强
受保护的技术使用者:北京安数云信息技术有限公司
技术研发日:2017.05.19
技术公布日:2017.09.15