【技术实现步骤摘要】
一种APT攻击检测方法、系统、装置、介质及设备
[0001]本专利技术涉及安全检测领域,特别是涉及一种APT攻击检测方法、系统、装置、介质及设备。
技术介绍
[0002]APT(AdvancedPersistentThreat
‑‑‑‑
高级持续性威胁)组织会针对客户某场景下的生产环境,进行前期信息探测以了解该环境的特征,然后对应开发针对该场景下的恶意软件。同时APT组织在开发相关样本时,会设置一些对应的绕杀措施,以对特定的杀毒软件进行绕过。同时,还由于APT组织的相关攻击样本具有隐蔽性以及样本独一性,不利于被检出。故此,常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击。
技术实现思路
[0003]针对上述常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击的技术问题,本专利技术采用的技术方案为:
[0004]根据本专利技术的一个方面,提供了一种APT攻击检测方法,方法包括如下步骤:
[0005]响应于检测指令,将待测...
【技术保护点】
【技术特征摘要】
1.一种APT攻击检测方法,其特征在于,所述方法包括如下步骤:响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;对所述第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;对所述第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;对第三灰名单中对应的每一可执行文件进行信息提取处理,生成所述第三灰名单中对应的每一可执行文件的检测信息;基于所述可执行文件的检测信息,判断是否存在APT攻击。2.根据权利要求1所述的方法,其特征在于,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配;所述第一灰名单中包括匹配失败的所述可执行文件的文件名。3.根据权利要求1所述的方法,其特征在于,数字签名校验处理包括:检测可执行文件是否具有数字签名;若所述可执行文件具有数字签名,则检测所述数字签名是否有效;若所述数字签名有效,则所述可执行文件校验成功;若不具有所述数字签名或所述数字签名无效,则所述可执行文件校验失败;所述第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。4.根据权利要求1所述的方法,其特征在于,所述沙箱检测处理包括:对可执行文件进行静态检测,确定所述可执行文件运行所需要的文件配置信息;以及获取可执行文件所在待测主机的配置信息;根据所述文件配置信息及所在待测主机的配置信息,在沙箱中搭建所述可执行文件运行所需要的运行环境,以模拟所述可执行文件真实运行环境;在沙箱中运行所述可执行文件,并监控所述可执行文件运行过程中的行为信息;基于所述行为信息,生成所述可执行文件的运行结果。5.根据权利要求4所述的方法,其特征在于,基于所述行为信息,生成所述可执行文件的运行结果,包括:若所述行为信息包括存在进程正在进行收集...
【专利技术属性】
技术研发人员:张小雷,于泽研,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。