技術領域

本發明涉及計算機安全領域，尤其涉及一種網絡釣魚攻擊的檢測的方法、終端及服務器。

背景技術

網絡釣魚攻擊指攻擊者在與被攻擊者的電子通訊中（常見如郵件，即時消息等），騙取被攻擊者的信任，從而獲取被攻擊者私有信息的一種電子攻擊方式，常見的一種稱為釣魚鏈接攻擊，攻擊者在內容中會放置下載惡意軟件的鏈接，被攻擊者在被誘導點擊該鏈接后，會下載該惡意軟件到被攻擊者客戶端并運行，之后該惡意軟件會通過添加自啟動項實現長期存活。攻擊者通過遠程與此惡意軟件進行通信，從而收集被攻擊者本地私有信息。

目前，用于檢測網絡釣魚攻擊的技術一般是基于網絡釣魚攻擊的特征分析，如對已知網絡釣魚鏈接建立黑名單，建立相似度模型，檢測與黑名單中鏈接相同或相似的鏈接。但是，隨著計算機技術的發展，新的網絡釣魚鏈接層出不窮，這種基于特征分析的檢測方式難以保證覆蓋率，檢測效果不佳。

發明內容

有鑒于此，實有必要提供一種高覆蓋率的網絡釣魚攻擊檢測方法和裝置。

第一方面，提供一種網絡釣魚攻擊檢測終端，該終端包括：記錄單元，用于記錄通訊應用操作事件的發生時間和操作系統新增自啟動項事件的發生時間；

計算單元，與所述記錄單元相連，用于計算所述系統新增自啟動項事件的發生時間與所述通訊應用操作事件的發生時間之間的時間差；

判斷單元，與所述計算單元相連，用于判斷若所述通訊應用操作事件發生在所述新增自啟動項事件之前，且與所述新增自啟動項事件的發生時間之間的時間差小于預置時間閾值，則判斷所述通訊應用操作事件為網絡釣魚攻擊事件。

依據第一方面的第一實施方式中，該終端還包括：檢測單元，用于在所述記錄單元記錄操作系統新增自啟動項事件的發生時間之前，識別出操作系統新增自啟動項。

依據第一方面的第一實施方式的第二實施方式中，所述檢測單元具體用于：

定時或周期性啟動自啟動項檢測工具，將本次檢測出的自啟動項與前一次檢測出的自啟動項進行對比，識別出新增自啟動項。

依據第一方面第二實施方式的第三實施方式中，所述檢測單元具體用于：

在系統配置文件、系統自啟動文件夾或系統注冊表發生修改時，啟動自啟動項檢測工具，將本次檢測出的自啟動項與前一次檢測出的自啟動項進行對比，識別出新增自啟動項。

依據第一方面的第四實施方式中，所述計算單元具體用于：對所述記錄的新增自啟動項事件的發生時間和通訊應用操作事件的發生時間按時間順序進行排序；

選取離新增自啟動項事件發生時間最近的通訊應用操作事件的發生時間與所述新增自啟動項事件發生時間進行差值計算。

第二方面，提供一種網絡釣魚攻擊檢測服務器，包括：收發單元，用于接收終端發送的通訊應用操作事件的發生時間和所述終端系統新增自啟動項事件的發生時間；

存儲單元，與所述接收單元相連，用于存儲所述終端發送的通訊應用操作事件的發生時間和所述終端系統新增自啟動項事件的發生時間；

計算單元，與所述存儲單元相連，用于從所述存儲單元讀取所述應用操作事件的發生時間和所述終端系統新增自啟動項事件的發生時間，計算所述終端新增自啟動項事件的發生時間與所述通訊應用操作事件的發生時間之間的時間差；

判斷單元，與所述計算單元相連，用于判斷若所述終端的通訊應用操作事件發生在所述新增自啟動項事件之前，且與所述新增自啟動項事件的發生時間之間的時間差小于預置時間閾值，則判斷所述終端的通訊應用操作事件為網絡釣魚攻擊事件。

依據第二方面的第一實施方式中，所述收發單元還接收與所述通信應用操作事件的發生時間和所述系統新增自啟動項事件的發生時間一起發送的終端標識，所述終端標識用于標識所述通信應用操作事件和系統新增自啟動項事件所屬的終端，所述計算單元具體用于：

根據所述終端標識確定屬于同一終端的新增自啟動項事件的發生時間和通訊應用操作事件的發生時間，對所述確定的同一終端的新增自啟動項事件的發生時間與所述通訊應用操作事件的發生時間做差值運算。

依據第一方面或者第一方面的第一實施方式的第二實施方式中，所述計算單元具體用于：

對所述接收的新增自啟動項事件的發生時間和通訊應用操作事件的發生時間按時間順序進行排序；

選取離新增自啟動項事件發生時間最近的通訊應用操作事件的發生時間與所述新增自啟動項事件發生時間進行差值計算。第三方面，提供一種網絡釣魚攻擊檢測方法，該方法包括：