本發明涉及一種APT攻擊檢測方法，所述方法包括：獲取局域網的出口IP地址；將所述出口IP地址與預存IP地址文件中的預存IP地址進行對比；若所述出口IP地址與所述預存IP地址對比一致，則檢測局域網訪問內容中是否出現文件；若局域網訪問內容中出現文件，則計算所述文件的哈希值；將所述文件的哈希值與預存哈希值文件中的預存哈希值進行對比；若所述文件的哈希值與所述預存哈希值對比一致，則產生安全警告并發送至終端。采用該方法能提高APT攻擊的檢測準確率。此外，還提供了一種APT攻擊檢測裝置。

技術領域

本發明涉及計算機技術領域，特別是涉及一種APT攻擊檢測方法和裝置。

背景技術

APT(Advanced Persistent Threat，高級持續性威脅)是一種有組織、有特定目標、隱蔽性強、破壞力大、持續時間長的新型攻擊和威脅。攻擊者在進行APT攻擊時，通常會遠程控制企業內部服務器用來發起對外DDOS攻擊(分布式拒絕服務攻擊)或通過上傳惡意文件并留后門，方便以后再次入侵企業內部網絡。

針對上述APT攻擊，傳統的檢測方法是通過分析收集到的設備日志、系統日志和應用日志是否符合預設判定規則來實現的。然而傳統的APT攻擊檢測方法依賴于日志判定規則，當日志信息的數量十分龐大時，用于判定APT攻擊的某些可用信息容易被誤提取，使得APT攻擊的檢測的誤報率高，從而導致APT攻擊檢測的準確率低。

發明內容

基于此，有必要針對上述技術問題，提供一種提高檢測準確率的APT攻擊檢測方法和裝置。

一種APT攻擊檢測方法，所述方法包括：

獲取局域網的出口IP地址；

將所述出口IP地址與預存IP地址文件中的預存IP地址進行對比；

若所述出口IP地址與所述預存IP地址對比一致，則檢測局域網訪問內容中是否出現文件；

若局域網訪問內容中出現文件，則計算所述文件的哈希值；

將所述文件的哈希值與預存哈希值文件中的預存哈希值進行對比；

若所述文件的哈希值與所述預存哈希值對比一致，則產生安全警告并發送至終端。

在其中一個實施例中，檢測預存網站是否出現新IP地址和/或新哈希值；若所述預存網站出現新IP地址和/或新哈希值，則將所述新IP地址和/或新哈希值添加至預存IP地址文件和/或預存哈希值文件中。

在其中一個實施例中，在所述若所述文件的哈希值與所述預存哈希值對比一致，則產生安全警告并發送至終端之后，還包括：獲取提供所述文件的第一源IP地址；將所述第一源IP地址添加至所述預存IP地址文件。

在其中一個實施例中，所述方法還包括：檢測局域網訪問內容中是否出現郵件；若局域網訪問內容中出現郵件，則獲取所述郵件的郵件源地址和郵件目的地址；將所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址進行對比；若所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址對比一致，則產生安全警告并發送至所述終端。

在其中一個實施例中，在所述若所述郵件的郵件源地址/郵件目的地址與所述預存郵件地址對比一致，則產生安全警告并發送至所述終端之后，還包括：獲取與所述郵件源地址對應的第二源IP地址；將所述第二IP源地址添加至所述預存IP地址文件中。

一種APT攻擊檢測裝置，所述裝置包括：

出口IP地址獲取模塊，用于獲取局域網的出口IP地址；

IP地址對比模塊，用于將所述出口IP地址與預存IP地址進行對比；

文件檢測模塊，，用于若所述出口IP地址與所述預存IP地址對比一致，則檢測局域網訪問內容中是否出現文件；