[发明专利]网络钓鱼攻击的检测方法、终端及服务器

权利要求书

1.一种网络钓鱼攻击检测终端，其特征在于，包括：

记录单元，用于记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间；

计算单元，与所述记录单元相连，用于计算所述系统新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；

判断单元，与所述计算单元相连，用于判断若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。

2.如权利要求1所述的终端，其特征在于，还包括：

检测单元，用于在所述记录单元记录操作系统新增自启动项事件的发生时间之前，识别出操作系统新增自启动项。

3.如权利要求2所述的终端，其特征在于，所述检测单元具体用于：

定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。

4.如权利要求2所述的终端，其特征在于，所述检测单元具体用于：

在系统配置文件、系统自启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。

5.如权利要求1所述的终端，其特征在于，所述新增自启动项的创建时间中包括如下时间中的一种：

与所述新增自启动项相关的系统配置文件的修改时间；

与所述新增自启动项识相关的系统自启动文件夹的修改时间；

与所述新增自启动项相关的系统注册表文件的修改时间。

6.如权利要求1-5任一项所述的终端，其特征在于，所述计算单元具体用于：

对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；

选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。

7.如权利要求1-6任一项所述的终端，其特征在于，还包括：

发送单元，用于向服务器发送告警信息，所述告警信息包括所述判断的网络钓鱼攻击事件，所述告警信息还包括如下标识中的一种或多种：

事件标识，用于标识所述通讯应用操作事件类型；

通讯应用标识，用于标识所述通讯应用；

文件源标识，用于标识引起所述通讯应用操作事件的源文件。

8.一种网络钓鱼攻击检测服务器，其特征在于，包括：

收发单元，用于接收终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；

存储单元，与所述接收单元相连，用于存储所述终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；

计算单元，与所述存储单元相连，用于从所述存储单元读取所述应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间，计算所述终端新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；

判断单元，与所述计算单元相连，用于判断若所述终端的通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。

9.如权利要求8所述的服务器，其特征在于，所述收发单元还接收与所述通信应用操作事件的发生时间和所述系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端，所述计算单元具体用于：

根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间，对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。

10.如权利要求8或9所述的服务器，其特征在于，所述计算单元具体用于：

对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；

选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。