[发明专利]网络钓鱼攻击的检测方法、终端及服务器

说明书

技术领域

本发明涉及计算机安全领域，尤其涉及一种网络钓鱼攻击的检测的方法、终端及服务器。

背景技术

网络钓鱼攻击指攻击者在与被攻击者的电子通讯中（常见如邮件，即时消息等），骗取被攻击者的信任，从而获取被攻击者私有信息的一种电子攻击方式，常见的一种称为钓鱼链接攻击，攻击者在内容中会放置下载恶意软件的链接，被攻击者在被诱导点击该链接后，会下载该恶意软件到被攻击者客户端并运行，之后该恶意软件会通过添加自启动项实现长期存活。攻击者通过远程与此恶意软件进行通信，从而收集被攻击者本地私有信息。

目前，用于检测网络钓鱼攻击的技术一般是基于网络钓鱼攻击的特征分析，如对已知网络钓鱼链接建立黑名单，建立相似度模型，检测与黑名单中链接相同或相似的链接。但是，随着计算机技术的发展，新的网络钓鱼链接层出不穷，这种基于特征分析的检测方式难以保证覆盖率，检测效果不佳。

发明内容

有鉴于此，实有必要提供一种高覆盖率的网络钓鱼攻击检测方法和装置。

第一方面，提供一种网络钓鱼攻击检测终端，该终端包括：记录单元，用于记录通讯应用操作事件的发生时间和操作系统新增自启动项事件的发生时间；

计算单元，与所述记录单元相连，用于计算所述系统新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；

判断单元，与所述计算单元相连，用于判断若所述通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述通讯应用操作事件为网络钓鱼攻击事件。

依据第一方面的第一实施方式中，该终端还包括：检测单元，用于在所述记录单元记录操作系统新增自启动项事件的发生时间之前，识别出操作系统新增自启动项。

依据第一方面的第一实施方式的第二实施方式中，所述检测单元具体用于：

定时或周期性启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。

依据第一方面第二实施方式的第三实施方式中，所述检测单元具体用于：

在系统配置文件、系统自启动文件夹或系统注册表发生修改时，启动自启动项检测工具，将本次检测出的自启动项与前一次检测出的自启动项进行对比，识别出新增自启动项。

依据第一方面的第四实施方式中，所述计算单元具体用于：对所述记录的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；

选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。

第二方面，提供一种网络钓鱼攻击检测服务器，包括：收发单元，用于接收终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；

存储单元，与所述接收单元相连，用于存储所述终端发送的通讯应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间；

计算单元，与所述存储单元相连，用于从所述存储单元读取所述应用操作事件的发生时间和所述终端系统新增自启动项事件的发生时间，计算所述终端新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间之间的时间差；

判断单元，与所述计算单元相连，用于判断若所述终端的通讯应用操作事件发生在所述新增自启动项事件之前，且与所述新增自启动项事件的发生时间之间的时间差小于预置时间阈值，则判断所述终端的通讯应用操作事件为网络钓鱼攻击事件。

依据第二方面的第一实施方式中，所述收发单元还接收与所述通信应用操作事件的发生时间和所述系统新增自启动项事件的发生时间一起发送的终端标识，所述终端标识用于标识所述通信应用操作事件和系统新增自启动项事件所属的终端，所述计算单元具体用于：

根据所述终端标识确定属于同一终端的新增自启动项事件的发生时间和通讯应用操作事件的发生时间，对所述确定的同一终端的新增自启动项事件的发生时间与所述通讯应用操作事件的发生时间做差值运算。

依据第一方面或者第一方面的第一实施方式的第二实施方式中，所述计算单元具体用于：

对所述接收的新增自启动项事件的发生时间和通讯应用操作事件的发生时间按时间顺序进行排序；

选取离新增自启动项事件发生时间最近的通讯应用操作事件的发生时间与所述新增自启动项事件发生时间进行差值计算。第三方面，提供一种网络钓鱼攻击检测方法，该方法包括：