[發明專利]APT攻擊檢測方法和裝置有效
| 申請號: | 201710155925.7 | 申請日: | 2017-03-14 |
| 公開(公告)號: | CN107786531B | 公開(公告)日: | 2020-02-18 |
| 發明(設計)人: | 張澍滋 | 申請(專利權)人: | 平安科技(深圳)有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/24 |
| 代理公司: | 廣州華進聯合專利商標代理有限公司 44224 | 代理人: | 謝曲曲 |
| 地址: | 518052 廣東省深*** | 國省代碼: | 廣東;44 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | apt 攻擊 檢測 方法 裝置 | ||
1.一種APT攻擊檢測方法,所述方法包括:
獲取局域網的出口IP地址;
將所述出口IP地址與預存IP地址文件中的預存IP地址進行對比;
若所述出口IP地址與所述預存IP地址對比一致,則檢測局域網訪問內容中是否出現文件;
若局域網訪問內容中出現文件,則計算所述文件的哈希值;
將所述文件的哈希值與預存哈希值文件中的預存哈希值進行對比;
若所述文件的哈希值與所述預存哈希值對比一致,則產生安全警告并發送至終端。
2.根據權利要求1所述的方法,其特征在于,所述方法還包括:
檢測預存網站是否出現新IP地址和/或新哈希值;
若所述預存網站出現新IP地址和/或新哈希值,則將所述新IP地址和/或新哈希值添加至預存IP地址文件和/或預存哈希值文件中。
3.根據權利要求1所述的方法,其特征在于,在所述若所述文件的哈希值與所述預存哈希值對比一致,則產生安全警告并發送至終端之后,還包括:
獲取提供所述文件的第一源IP地址;
將所述第一源IP地址添加至所述預存IP地址文件。
4.根據權利要求1所述的方法,其特征在于,所述方法還包括:
檢測局域網訪問內容中是否出現郵件;
若局域網訪問內容中出現郵件,則獲取所述郵件的郵件源地址和郵件目的地址;
將所述郵件的郵件源地址/郵件目的地址與預存郵件地址進行對比;
若所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址對比一致,則產生安全警告并發送至所述終端。
5.根據權利要求4所述的方法,其特征在于,在所述若所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址對比一致,則產生安全警告并發送至所述終端之后,還包括:
獲取與所述郵件源地址對應的第二源IP地址;
將所述第二源IP地址添加至所述預存IP地址文件中。
6.一種APT攻擊檢測裝置,所述裝置包括:
出口IP地址獲取模塊,用于獲取局域網的出口IP地址;
IP地址對比模塊,用于將所述出口IP地址與預存IP地址進行對比;
文件檢測模塊,用于若所述出口IP地址與所述預存IP地址對比一致,則檢測局域網訪問內容中是否出現文件;
文件哈希值計算模塊,用于若局域網訪問內容中出現文件,則計算所述文件的哈希值;
哈希值對比模塊,用于將所述文件的哈希值與預存哈希值文件中的預存哈希值進行對比;
安全警告生成模塊,用于若所述文件的哈希值與所述預存哈希值對比一致,則產生安全警告并發送至終端。
7.根據權利要求6所述的裝置,其特征在于,所述裝置還包括:
第一預存文件更新模塊,用于檢測預存網站是否出現新IP地址和/或新哈希值,若所述預存網站出現新IP地址和/或新哈希值,則將所述新IP地址和/或新哈希值添加至預存IP地址文件和/或預存哈希值文件中。
8.根據權利要求6所述的裝置,其特征在于,所述裝置還包括:
第二預存文件更新模塊,用于獲取提供所述文件的第一源IP地址,將所述第一源IP地址添加至所述預存IP地址文件。
9.根據權利要求6所述的裝置,其特征在于,所述裝置還包括:
郵件檢測模塊,用于檢測局域網訪問內容中是否出現郵件;
郵件地址獲取模塊,用于若局域網訪問內容中出現郵件,則獲取所述郵件的郵件源地址和郵件目的地址;
郵件地址對比模塊,用于將所述郵件的郵件源地址/郵件目的地址與預存郵件地址進行對比;
所述安全警告生成模塊還用于若所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址對比一致,則產生安全警告并發送至所述終端。
10.根據權利要求9所述的裝置,其特征在于,所述裝置還包括:
第三預存文件更新模塊,用于獲取與所述郵件源地址對應的第二源IP地址,將所述第二源IP地址添加至所述預存IP地址文件。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于平安科技(深圳)有限公司,未經平安科技(深圳)有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710155925.7/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:文件交互系統及方法
- 下一篇:銀行卡業務參數調整方法和裝置
