[发明专利]APT攻击检测方法和装置

说明书

本发明涉及一种APT攻击检测方法，所述方法包括：获取局域网的出口IP地址；将所述出口IP地址与预存IP地址文件中的预存IP地址进行对比；若所述出口IP地址与所述预存IP地址对比一致，则检测局域网访问内容中是否出现文件；若局域网访问内容中出现文件，则计算所述文件的哈希值；将所述文件的哈希值与预存哈希值文件中的预存哈希值进行对比；若所述文件的哈希值与所述预存哈希值对比一致，则产生安全警告并发送至终端。采用该方法能提高APT攻击的检测准确率。此外，还提供了一种APT攻击检测装置。

技术领域

本发明涉及计算机技术领域，特别是涉及一种APT攻击检测方法和装置。

背景技术

APT(Advanced Persistent Threat，高级持续性威胁)是一种有组织、有特定目标、隐蔽性强、破坏力大、持续时间长的新型攻击和威胁。攻击者在进行APT攻击时，通常会远程控制企业内部服务器用来发起对外DDOS攻击(分布式拒绝服务攻击)或通过上传恶意文件并留后门，方便以后再次入侵企业内部网络。

针对上述APT攻击，传统的检测方法是通过分析收集到的设备日志、系统日志和应用日志是否符合预设判定规则来实现的。然而传统的APT攻击检测方法依赖于日志判定规则，当日志信息的数量十分庞大时，用于判定APT攻击的某些可用信息容易被误提取，使得APT攻击的检测的误报率高，从而导致APT攻击检测的准确率低。

发明内容

基于此，有必要针对上述技术问题，提供一种提高检测准确率的APT攻击检测方法和装置。

一种APT攻击检测方法，所述方法包括：

获取局域网的出口IP地址；

将所述出口IP地址与预存IP地址文件中的预存IP地址进行对比；

若所述出口IP地址与所述预存IP地址对比一致，则检测局域网访问内容中是否出现文件；

若局域网访问内容中出现文件，则计算所述文件的哈希值；

将所述文件的哈希值与预存哈希值文件中的预存哈希值进行对比；

若所述文件的哈希值与所述预存哈希值对比一致，则产生安全警告并发送至终端。

在其中一个实施例中，检测预存网站是否出现新IP地址和/或新哈希值；若所述预存网站出现新IP地址和/或新哈希值，则将所述新IP地址和/或新哈希值添加至预存IP地址文件和/或预存哈希值文件中。

在其中一个实施例中，在所述若所述文件的哈希值与所述预存哈希值对比一致，则产生安全警告并发送至终端之后，还包括：获取提供所述文件的第一源IP地址；将所述第一源IP地址添加至所述预存IP地址文件。

在其中一个实施例中，所述方法还包括：检测局域网访问内容中是否出现邮件；若局域网访问内容中出现邮件，则获取所述邮件的邮件源地址和邮件目的地址；将所述邮件的邮件源地址/邮件目的地址与所述预存邮件地址进行对比；若所述邮件的邮件源地址/邮件目的地址与所述预存邮件地址对比一致，则产生安全警告并发送至所述终端。

在其中一个实施例中，在所述若所述邮件的邮件源地址/邮件目的地址与所述预存邮件地址对比一致，则产生安全警告并发送至所述终端之后，还包括：获取与所述邮件源地址对应的第二源IP地址；将所述第二IP源地址添加至所述预存IP地址文件中。

一种APT攻击检测装置，所述装置包括：

出口IP地址获取模块，用于获取局域网的出口IP地址；

IP地址对比模块，用于将所述出口IP地址与预存IP地址进行对比；

文件检测模块，，用于若所述出口IP地址与所述预存IP地址对比一致，则检测局域网访问内容中是否出现文件；