CN116127453A - 一种apt攻击检测方法、系统、装置、介质及设备 - Google Patents

一种apt攻击检测方法、系统、装置、介质及设备 Download PDF

Info

Publication number
CN116127453A
CN116127453A CN202211693938.7A CN202211693938A CN116127453A CN 116127453 A CN116127453 A CN 116127453A CN 202211693938 A CN202211693938 A CN 202211693938A CN 116127453 A CN116127453 A CN 116127453A
Authority
CN
China
Prior art keywords
executable file
detection
executable
gray list
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211693938.7A
Other languages
English (en)
Inventor
张小雷
于泽研
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202211693938.7A priority Critical patent/CN116127453A/zh
Publication of CN116127453A publication Critical patent/CN116127453A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及安全检测领域,特别是涉及一种APT攻击检测方法、系统、装置、介质及设备。包括:将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息,基于所述可执行文件的检测信息,判断是否存在APT攻击。本发明可以快速确定APT组织所使用的相关攻击样本可能存在的范围,再通过该检测信息作为对应的APT攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。

Description

一种APT攻击检测方法、系统、装置、介质及设备
技术领域
本发明涉及安全检测领域,特别是涉及一种APT攻击检测方法、系统、装置、介质及设备。
背景技术
APT(AdvancedPersistentThreat----高级持续性威胁)组织会针对客户某场景下的生产环境,进行前期信息探测以了解该环境的特征,然后对应开发针对该场景下的恶意软件。同时APT组织在开发相关样本时,会设置一些对应的绕杀措施,以对特定的杀毒软件进行绕过。同时,还由于APT组织的相关攻击样本具有隐蔽性以及样本独一性,不利于被检出。故此,常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击。
发明内容
针对上述常见杀毒软件无法检测到该攻击,进而使得被APT组织攻击的单位无法感知到是否被攻击的技术问题,本发明采用的技术方案为:
根据本发明的一个方面,提供了一种APT攻击检测方法,方法包括如下步骤:
响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;
对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;
对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;
对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息;
基于所述可执行文件的检测信息,判断是否存在APT攻击。
在本发明中,进一步的,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:
将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配。
第一灰名单中包括匹配失败的可执行文件的文件名。
在本发明中,进一步的,数字签名校验处理包括:
检测可执行文件是否具有数字签名。
若可执行文件具有数字签名,则检测数字签名是否有效。
若数字签名有效,则可执行文件校验成功。
若不具有数字签名或数字签名无效,则可执行文件校验失败;
第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。
在本发明中,进一步的,沙箱检测处理包括:
对可执行文件进行静态检测,确定可执行文件运行所需要的文件配置信息。以及获取可执行文件所在待测主机的配置信息。
根据文件配置信息及所在待测主机的配置信息,在沙箱中搭建可执行文件运行所需要的运行环境,以模拟可执行文件真实运行环境。
在沙箱中运行可执行文件,并监控可执行文件运行过程中的行为信息。
基于行为信息,生成可执行文件的运行结果。
在本发明中,进一步的,基于行为信息,生成可执行文件的运行结果,包括:
若行为信息包括存在进程正在进行收集系统信息或运行于系统上的应用软件信息或用户操作系统及应用软件的日志信息的至少一种,则确定在沙箱中运行了可疑的可执行文件;
第三灰名单中包括在沙箱中运行可疑的可执行文件的文件名。。
在本发明中,进一步的,信息提取处理用于获取每一可执行文件的属性信息及存放路径属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机ID。
根据本发明的第二个方面,提供了一种APT攻击检测系统,包括:服务器及多个客户端,每一客户端均与服务器通信连接。
每一客户端用于执行上述的APT检测方法。
服务器用于更新预设黑白名单库及接收检测信息。
根据本发明的第三个方面,提供了一种APT攻击检测装置,包括:
第一检测模块,用于响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。
第二检测模块,用于对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。
第三检测模块,用于对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。
生成模块,用于对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息。
判断模块,用于基于所述可执行文件的检测信息,判断是否存在APT攻击。
根据本发明的第四个方面,提供了一种非瞬时性计算机可读存储介质,非瞬时性计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现上述的一种APT攻击检测方法。
根据本发明的第五个方面,提供了一种电子设备,包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述的一种APT攻击检测方法。
本发明至少具有以下有益效果:
本发明中通过依次黑白名单库匹配、数字签名校验以及沙箱检测处理等检测手段,可以形成严格程度逐级增加的多级检测方式,进而对待测主机上的所有可执行文件逐步进行筛选,以检测出待检测主机中的未知可执行文件,也即第三灰名单中对应的可执行文件。由于,该可执行文件无法通过上述3种检测手段,可以确定出现有的绝大部分的恶意可执行文件以及非恶意的可执行文件,所以剩余的无法确定其身份的可执行文件,极有可能为APT组织所使用的相关攻击样本。由此,可以快速确定APT组织所使用的相关攻击样本可能存在的范围。然后再对第三灰名单中对应的每一可执行文件进行信息提取处理,以生成第三灰名单中对应的每一可执行文件的检测信息。通过该检测信息作为对应的APT攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种APT攻击检测方法的流程图。
图2为本发明实施例提供的一种APT攻击检测系统的结构示意框图。
图3为本发明实施例提供的一种APT攻击检测装置的结构示意框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的第一个方面,如图1所示,提供了一种APT攻击检测方法,该方法包括如下步骤:
S100:响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。
第一灰名单中包括匹配失败的可执行文件的文件名。
优选的,将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配。由于可执行文件的MD5值与可执行文件具有唯一对应性,所以一旦可执行文件有修改,则对应的MD5值必然出现变化。所以通过对MD5值进行匹配,可以提高检测的准确性。
由于APT组织所使用的攻击样本一般为针对特定攻击对象的某一特定特征所设定的。所以其唯一性更高,同时还会设置一系列规避手段来规避杀毒软件的检测。如利用白加黑手法进行防御规避。由此,使得APT组织所使用的攻击样本的隐蔽性更高,更加不容易被检测到。综上,APT组织所使用的攻击样本相对于一般的检测手段均为一个全新的可执行文件,无法探知到其对应的安全性。由于无法判断该攻击样本是否为病毒文件,所以无法对其进行对应的查杀。
针对APT组织所使用的攻击样本高隐蔽性的特点,本步骤使用遍历待测主机中的所有可执行文件的方式,由此可以避免漏测的情况出现。
S200:对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。
在S100中经过预设黑白库过滤后,没有数字签名的都是无法进行校验的,有数字签名的验证其签名。
使用的预设黑白名单库为根据现有的已知的恶意样本与非恶意样本的MD5值生成的。其依赖于收集到的MD5值的数量,对应的恶意与非恶意样本的MD5值的数量越多,越容易将所有的可执行文件中的已知安全性的可执行文件筛选出来。
另外,通过现有的数字签名校验的方式也可以进一步筛选出所有的可执行文件中的已知安全性的可执行文件。
由此通过使用上述两个方法的筛选可以将所有的可执行文件中的已知安全性的可执行文件筛选出来。由此,使得攻击样本被筛选至剩余的未知安全性的可执行文件中。
S300:对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单,第三灰名单中包括在沙箱中运行可疑的可执行文件的文件名。
然后,通过使用沙箱来模拟第二灰名单中的每一可执行文件的实际运行环境,进而将每一可执行文件在沙箱中进行一次完全的运行,然后监控其在运行过程中操作行为,如果出现如私自修改重要信息或盗取资料的异常行为,则确认对应的可执行文件为恶意文件。若可执行文件的进程行为信息中仅包括了一些既不具有恶意又不具有安全性的中性行为信息,则确定可执行文件在沙箱中运行可疑。由于中性行为无法进行安全性判断,所以无法检测到对应的可执行文件的安全性。中性行为包括创建计划任务的行为。本步骤的中的沙箱检测技术也可以使用现有的其他方式的沙箱检测技术。
将上述S100-S300中探测出来的确定安全性的恶意文件及非恶意文件加入预设黑白名单库中,由此来更新扩充预设黑白名单库中的名单数量,进而增强预设黑白名单库的检测能力。
S400:第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息。
信息提取处理用于获取每一可执行文件的属性信息及存放路径。
优选的,属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机ID。通常,一些组织所使用的主机的数量极大,且主机的分布也较为广泛,有可能分布在不同的地理位置。其存在如下检测难题:
1、单位已知被APT组织攻击,但感染相关主机较多,且主机部署位置较为分散,人工排查成本较高。
2、单位已知被APT组织攻击,感染主机已被排查,但想进一步排查单位其他主机是否被感染。
所以在属性信息中设置可执行文件所在待测主机的主机ID,可以快速定位到待测主机的位置,以便于更加快速准确的判定出是哪一个主机出现了安全问题。同时,其他的属性值可以作为判定其他主机是否发生ATP攻击的依据。
S500:基于所述可执行文件的检测信息,判断是否存在APT攻击。
本步骤中,将经过上述S100-S300中的检测方式的筛选,可以将大部分的已知安全性的可执行文件排除掉,然后剩余的可执行文件即为具有极大可能性为APT组织所使用的攻击样本。然后,提取对应的检测信息,以便进一步的进行人工分析研判。以便更加准确的判断对应的可执行文件是否为APT组织所使用的攻击样本。
本实施例中,为克服APT组织所使用的攻击样本的高未知性及高隐蔽性,所以使用了全盘检测的方式来避免漏检的发生。对应的,也使得需要进行的检测的样本数量急剧上升。为了提高检测效率本发明中的S100-S300中的检测方式,可以通过自动化的方式实现,同时,使用上述方法可以自动化的快速将所有可执行文件中的已知安全性的可执行文件,进行快速的去除。也即将不可能为APT组织所使用的攻击样本的可执行文件快速去除。然后将剩余的极少量的未知安全性的可执行文件进行人工研判,以提高检测的准确性。
作为本发明一种可能的实施例,数字签名校验处理包括:
S201:检测可执行文件是否具有数字签名。
S202:若可执行文件具有数字签名,则检测数字签名是否有效。
在进行数字签名的有效性检测中,先对数字签名进行非对称加密及对称加密方式的有效性校验,若签名有效性校验通过后,再从可执行文件中提取数据签名的具体内容。数据签名的具体内容可以包括数字签名的颁发者、使用者、签名日期、签名有效期、签名状态(合法、过期、撤销、伪造、盗用)、证书列表等。通过验证数据签名状态来判断该文件是否为白文件。如通过判断是否在签名有效期内来判断该文件是否为白文件。在有效期内为白文件,不在则为黑文件。
S203:若数字签名有效,则可执行文件校验成功。
S204:若不具有数字签名或数字签名无效,则可执行文件校验失败。
作为本发明一种可能的实施例,沙箱检测处理包括:
S301:对可执行文件进行静态检测,确定可执行文件运行所需要的文件配置信息,以及获取可执行文件所在待测主机的配置信息。
S302:根据文件配置信息及所在待测主机的配置信息,在沙箱中搭建可执行文件运行所需要的运行环境,以模拟可执行文件真实运行环境。
S303:在沙箱中运行可执行文件,并监控可执行文件运行过程中的行为信息。
S304:基于行为信息,生成可执行文件的运行结果。
进一步的,S314:若行为信息包括存在进程正在进行收集系统信息或运行于系统上的应用软件信息或用户操作系统及应用软件的日志信息的至少一种,则确定在沙箱中运行了可疑的可执行文件。
本发明实施例中的可执行文件运行环境配置的搭建可能不是一次就搭建完成,是需要根据可执行文件运行情况不断迭代更新的,因此,沙箱预置环境的含义根据运行环境迭代的次数有所变化。例如,第一次搭建时,沙箱预置环境指的是沙箱内置默认环境;第二次迭代更新时,沙箱预置环境变更为第一次搭建的沙箱环境;如果是第三次迭代更新时,沙箱预置环境变更为第二次搭建的沙箱环境,依次类推,直至沙箱的环境可以保证每一可执行文件进行正常完全的运行为止。沙箱预置环境的实际所指是上一次在沙箱中构建的用于模拟可执行文件真实运行环境的运行环境配置。
在搭建好可执行文件在特定生产环境下的运行环境之后,运行可执行文件,并监控可执行文件运行过程中的行为信息。具体可以包括:监视可执行文件内存信息;从可执行文件内存信息中获取可执行文件的进程行为信息。
若可执行文件的进程行为信息中包括S314中的行为信息,则确定在沙箱中运行了可疑的可执行文件。
若可执行文件的进程行为信息中仅包括了一些既不具有恶意又不具有安全性的中性行为信息,则确定在沙箱中运行了可疑的可执行文件。由于中性行为无法进行安全性判断,所以无法检测到对应的可执行文件的安全性。中性行为包括创建计划任务的行为。
若可执行文件的进程行为信息中包括了具有安全性的行为信息,则确定可执行文件在沙箱中运行正常。
由此,通过本实施例可以通过在沙箱中进行可执行文件的实际运行来进一步确定,可执行文件是否为恶意文件。该检测方式更加准确。
根据本发明的第二个方面,如图2所示,提供了一种APT攻击检测系统,包括:服务器及多个客户端,每一客户端均与服务器通信连接。
每一客户端用于执行上述的APT检测方法。
服务器用于更新预设黑白名单库及接收检测信息。
本实施例提供了一种采用C/S架构的系统,具有服务器端和多个客户端,部署服务器端,并将客户端部署在待测主机中。通过服务器端下发检测指令,每一客户端对所在的待测主机进行安全检测。
服务器中具有提前设置的预设黑白名单库供各个客户端进行调用,同时,各个客户端将新检测出来的黑文件以及白文件的MD5值添加更新至预设黑白名单库。该架构便于对多个位于不同地理区域的主机进行安全检测。
根据本发明的第三个方面,如图3所示,提供了一种APT攻击检测装置,包括:
第一检测模块,用于响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单。
第二检测模块,用于对第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单。
第三检测模块,用于对第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单。
生成模块,用于对第三灰名单中对应的每一可执行文件进行信息提取处理,生成第三灰名单中对应的每一可执行文件的检测信息。
判断模块,用于基于所述可执行文件的检测信息,判断是否存在APT攻击。
本发明中通过依次黑白名单库匹配、数字签名校验以及沙箱检测处理等检测手段,可以形成严格程度逐级增加的多级检测方式,进而对待测主机上的所有可执行文件逐步进行筛选,以检测出待检测主机中的未知可执行文件,也即第三灰名单中对应的可执行文件。由于,该可执行文件无法通过上述3种检测手段,可以确定出现有的绝大部分的恶意可执行文件以及非恶意的可执行文件,所以剩余的无法确定其身份的可执行文件,极有可能为APT组织所使用的相关攻击样本。由此,可以快速确定APT组织所使用的相关攻击样本可能存在的范围。然后再对第三灰名单中对应的每一可执行文件进行信息提取处理,以生成第三灰名单中对应的每一可执行文件的检测信息。通过该检测信息可以作为对应的APT攻击的判断依据,以便于更加快速准确的对待测主机进行安全检测。
本发明的实施例还提供了一种非瞬时性计算机可读存储介质,该存储介质可设置于电子设备之中以保存用于实现方法实施例中一种方法相关的至少一条指令或至少一段程序,该至少一条指令或该至少一段程序由该处理器加载并执行以实现上述实施例提供的方法。
本发明的实施例还提供了一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当程序产品在电子设备上运行时,程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技术人员还应理解,可以对实施例进行多种修改而不脱离本发明的范围和精神。本发明开的范围由所附权利要求来限定。

Claims (10)

1.一种APT攻击检测方法,其特征在于,所述方法包括如下步骤:
响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;
对所述第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;
对所述第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;
对第三灰名单中对应的每一可执行文件进行信息提取处理,生成所述第三灰名单中对应的每一可执行文件的检测信息;
基于所述可执行文件的检测信息,判断是否存在APT攻击。
2.根据权利要求1所述的方法,其特征在于,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,包括:
将待测主机中的所有可执行文件的MD5值与预设黑白名单库进行匹配;
所述第一灰名单中包括匹配失败的所述可执行文件的文件名。
3.根据权利要求1所述的方法,其特征在于,数字签名校验处理包括:
检测可执行文件是否具有数字签名;
若所述可执行文件具有数字签名,则检测所述数字签名是否有效;
若所述数字签名有效,则所述可执行文件校验成功;
若不具有所述数字签名或所述数字签名无效,则所述可执行文件校验失败;
所述第二灰名单中包括校验失败或无法进行校验的可执行文件的文件名。
4.根据权利要求1所述的方法,其特征在于,所述沙箱检测处理包括:
对可执行文件进行静态检测,确定所述可执行文件运行所需要的文件配置信息;以及获取可执行文件所在待测主机的配置信息;
根据所述文件配置信息及所在待测主机的配置信息,在沙箱中搭建所述可执行文件运行所需要的运行环境,以模拟所述可执行文件真实运行环境;
在沙箱中运行所述可执行文件,并监控所述可执行文件运行过程中的行为信息;
基于所述行为信息,生成所述可执行文件的运行结果。
5.根据权利要求4所述的方法,其特征在于,基于所述行为信息,生成所述可执行文件的运行结果,包括:
若所述行为信息包括存在进程正在进行收集系统信息或运行于系统上的应用软件信息或用户操作系统及应用软件的日志信息的至少一种,则确定在沙箱中运行了可疑的所述可执行文件;
所述第三灰名单中包括在沙箱中运行可疑的可执行文件的文件名。
6.根据权利要求1所述的方法,其特征在于,所述信息提取处理用于获取每一可执行文件的属性信息及存放路径,所述属性信息包括可执行文件的文件创建时间、文件修改时间、文件类型、文件大小及可执行文件所在待测主机的主机ID。
7.一种APT攻击检测系统,其特征在于,包括:服务器及多个客户端,每一所述客户端均与所述服务器通信连接;
每一所述客户端用于执行权利要求1-6任意一项所述的APT检测方法;
所述服务器用于更新预设黑白名单库及接收检测信息。
8.一种APT攻击检测装置,其特征在于,包括:
第一检测模块,用于响应于检测指令,将待测主机中的所有可执行文件与预设黑白名单库进行匹配,生成第一灰名单;
第二检测模块,用于对所述第一灰名单中对应的每一可执行文件进行数字签名校验处理,生成第二灰名单;
第三检测模块,用于对所述第二灰名单中的对应的每一可执行文件进行沙箱检测处理,生成第三灰名单;
生成模块,用于对第三灰名单中对应的每一可执行文件进行信息提取处理,生成所述第三灰名单中对应的每一可执行文件的检测信息;
判断模块,用于基于所述可执行文件的检测信息,判断是否存在APT攻击。
9.一种非瞬时性计算机可读存储介质,所述非瞬时性计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的一种APT攻击检测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的一种APT攻击检测方法。
CN202211693938.7A 2022-12-28 2022-12-28 一种apt攻击检测方法、系统、装置、介质及设备 Pending CN116127453A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211693938.7A CN116127453A (zh) 2022-12-28 2022-12-28 一种apt攻击检测方法、系统、装置、介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211693938.7A CN116127453A (zh) 2022-12-28 2022-12-28 一种apt攻击检测方法、系统、装置、介质及设备

Publications (1)

Publication Number Publication Date
CN116127453A true CN116127453A (zh) 2023-05-16

Family

ID=86296667

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211693938.7A Pending CN116127453A (zh) 2022-12-28 2022-12-28 一种apt攻击检测方法、系统、装置、介质及设备

Country Status (1)

Country Link
CN (1) CN116127453A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117034261A (zh) * 2023-10-08 2023-11-10 深圳安天网络安全技术有限公司 一种基于标识符的异常检测方法、装置、介质及电子设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117034261A (zh) * 2023-10-08 2023-11-10 深圳安天网络安全技术有限公司 一种基于标识符的异常检测方法、装置、介质及电子设备
CN117034261B (zh) * 2023-10-08 2023-12-08 深圳安天网络安全技术有限公司 一种基于标识符的异常检测方法、装置、介质及电子设备

Similar Documents

Publication Publication Date Title
CN107659583B (zh) 一种检测事中攻击的方法及系统
CN110933101B (zh) 安全事件日志处理方法、装置及存储介质
CN110830470B (zh) 一种失陷主机检测方法、装置、设备及可读存储介质
EP2940957A1 (en) Method, apparatus and system for detecting malicious process behavior
KR101132197B1 (ko) 악성 코드 자동 판별 장치 및 방법
CN108200095B (zh) 互联网边界安全策略脆弱性确定方法及装置
CN114386032A (zh) 电力物联网设备的固件检测系统及方法
CN112131571B (zh) 威胁溯源方法及相关设备
CN113992386A (zh) 一种防御能力的评估方法、装置、存储介质及电子设备
CN116127453A (zh) 一种apt攻击检测方法、系统、装置、介质及设备
CN116566674A (zh) 自动化渗透测试方法、系统、电子设备及存储介质
CN113158197A (zh) 一种基于主动iast的sql注入漏洞检测方法、系统
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
CN112347484A (zh) 软件漏洞检测方法、装置、设备及计算机可读存储介质
CN115913634A (zh) 一种基于深度学习的网络安全异常的检测方法及系统
KR101725670B1 (ko) 웹 서버 점검을 이용해서 악성 코드를 탐지하고 차단하는 시스템 및 방법
CN114547610A (zh) 一种文件检测方法、装置及设备
US11449610B2 (en) Threat detection system
CN114925369A (zh) 一种针对业务系统容器安全的静态分析方法与系统
CN114205123A (zh) 基于攻防对抗的威胁狩猎方法、装置、设备及存储介质
CN111027052A (zh) 基于应用程序版本虚拟机文档判别方法、装置及存储设备
KR101650445B1 (ko) 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법
CN110868382A (zh) 一种基于决策树的网络威胁评估方法、装置及存储介质
CN112788009B (zh) 一种网络攻击预警方法、装置、介质和设备
CN117290823B (zh) 一种app智能检测与安全防护方法、计算机设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination