網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法��、終端及服務(wù)器的制造方法
【專利摘要】本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法及裝置�����,其中方法包括:終端記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間以及操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間����,計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差,若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前�,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�����。該方案使用通訊應(yīng)用操作事件與操作系統(tǒng)自啟動(dòng)事件發(fā)生的時(shí)間維度進(jìn)行計(jì)算和判斷���,能夠全面檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊��,檢測(cè)覆蓋率高��,計(jì)算復(fù)雜度低��,易于維護(hù)和優(yōu)化��。
【專利說(shuō)明】網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法����、終端及服務(wù)器
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域,尤其涉及一種網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)的方法�、終端及服務(wù)器。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)釣魚(yú)攻擊指攻擊者在與被攻擊者的電子通訊中(常見(jiàn)如郵件���,即時(shí)消息等)�����,騙取被攻擊者的信任�����,從而獲取被攻擊者私有信息的一種電子攻擊方式���,常見(jiàn)的一種稱為釣魚(yú)鏈接攻擊�,攻擊者在內(nèi)容中會(huì)放置下載惡意軟件的鏈接,被攻擊者在被誘導(dǎo)點(diǎn)擊該鏈接后���,會(huì)下載該惡意軟件到被攻擊者客戶端并運(yùn)行�,之后該惡意軟件會(huì)通過(guò)添加自啟動(dòng)項(xiàng)實(shí)現(xiàn)長(zhǎng)期存活。攻擊者通過(guò)遠(yuǎn)程與此惡意軟件進(jìn)行通信���,從而收集被攻擊者本地私有信息��。
[0003]目前���,用于檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊的技術(shù)一般是基于網(wǎng)絡(luò)釣魚(yú)攻擊的特征分析,如對(duì)已知網(wǎng)絡(luò)釣魚(yú)鏈接建立黑名單�����,建立相似度模型��,檢測(cè)與黑名單中鏈接相同或相似的鏈接����。但是,隨著計(jì)算機(jī)技術(shù)的發(fā)展���,新的網(wǎng)絡(luò)釣魚(yú)鏈接層出不窮���,這種基于特征分析的檢測(cè)方式難以保證覆蓋率�,檢測(cè)效果不佳���。
【發(fā)明內(nèi)容】
[0004]有鑒于此��,實(shí)有必要提供一種高覆蓋率的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法和裝置���。
[0005]第一方面,提供一種網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端�����,該終端包括:記錄單元�,用于記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間;
[0006]計(jì)算單元��,與所述記錄單元相連���,用于計(jì)算所述系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�;
[0007]判斷單元��,與所述計(jì)算單元相連�����,用于判斷若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前��,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值���,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�����。
[0008]依據(jù)第一方面的第一實(shí)施方式中��,該終端還包括:檢測(cè)單元�,用于在所述記錄單元記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前�����,識(shí)別出操作系統(tǒng)新增自啟動(dòng)項(xiàng)����。
[0009]依據(jù)第一方面的第一實(shí)施方式的第二實(shí)施方式中,所述檢測(cè)單元具體用于:
[0010]定時(shí)或周期性啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具�����,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比��,識(shí)別出新增自啟動(dòng)項(xiàng)。
[0011]依據(jù)第一方面第二實(shí)施方式的第三實(shí)施方式中�����,所述檢測(cè)單元具體用于:
[0012]在系統(tǒng)配置文件�、系統(tǒng)自啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí),啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具�,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)��。
[0013]依據(jù)第一方面的第四實(shí)施方式中����,所述計(jì)算單元具體用于:對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序;
[0014]選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算�。
[0015]第二方面,提供一種網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)服務(wù)器�����,包括:收發(fā)單元��,用于接收終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間����;
[0016]存儲(chǔ)單元����,與所述接收單元相連�,用于存儲(chǔ)所述終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�;
[0017]計(jì)算單元,與所述存儲(chǔ)單元相連����,用于從所述存儲(chǔ)單元讀取所述應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間,計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�;
[0018]判斷單元,與所述計(jì)算單元相連�����,用于判斷若所述終端的通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值,則判斷所述終端的通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
[0019]依據(jù)第二方面的第一實(shí)施方式中�����,所述收發(fā)單元還接收與所述通信應(yīng)用操作事件的發(fā)生時(shí)間和所述系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間一起發(fā)送的終端標(biāo)識(shí)��,所述終端標(biāo)識(shí)用于標(biāo)識(shí)所述通信應(yīng)用操作事件和系統(tǒng)新增自啟動(dòng)項(xiàng)事件所屬的終端��,所述計(jì)算單元具體用于:
[0020]根據(jù)所述終端標(biāo)識(shí)確定屬于同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間���,對(duì)所述確定的同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間做差值運(yùn)算�����。
[0021]依據(jù)第一方面或者第一方面的第一實(shí)施方式的第二實(shí)施方式中�����,所述計(jì)算單元具體用于:
[0022]對(duì)所述接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序�����;
[0023]選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算��。第三方面��,提供一種網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法�,該方法包括:
[0024]終端記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間;
[0025]所述終端計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差���;
[0026]若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前��,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值�,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件���。
[0027]依據(jù)第三方面的第一實(shí)施方式中,在所述記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前���,還包括:識(shí)別出操作系統(tǒng)新增自啟動(dòng)項(xiàng)�����。
[0028]依據(jù)第三方面的第一實(shí)施方式的第二實(shí)施方式中��,所述識(shí)別出新增自啟動(dòng)項(xiàng)包括:
[0029]定時(shí)或周期性啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具���,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)���。
[0030]依據(jù)第三方面的第一實(shí)施方式的第三實(shí)施方式中�,所述識(shí)別出新增自啟動(dòng)項(xiàng)包括:
[0031]在系統(tǒng)配置文件、系統(tǒng)自啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí)�����,啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具�,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)���。
[0032]依據(jù)第三方面的第四實(shí)施方式中�,所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間中包括如下時(shí)間中的一種:
[0033]與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間����;
[0034]與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)自啟動(dòng)文件夾的修改時(shí)間;
[0035]與所述新增自啟動(dòng)相關(guān)的系統(tǒng)注冊(cè)表文件的修改時(shí)間�。
[0036]依據(jù)第三方面的第五實(shí)施方式中,所述方法還包括:
[0037]向服務(wù)器發(fā)送告警信息���,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件����,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種:
[0038]事件標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型�;
[0039]通訊應(yīng)用標(biāo)識(shí),用于標(biāo)識(shí)所述通訊應(yīng)用����;
[0040]文件源標(biāo)識(shí),用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件�。
[0041]第四方面,提供一種網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法�,該方法包括:
[0042]服務(wù)器接收終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間;
[0043]所述服務(wù)器計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�����;
[0044]若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前�����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值�,則判斷所述終端的通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
[0045]依據(jù)第四方面的第一實(shí)施方式中���,服務(wù)器還接收與所述通信應(yīng)用操作事件的發(fā)生時(shí)間和系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間一起發(fā)送的終端標(biāo)識(shí)����,所述終端標(biāo)識(shí)用于標(biāo)識(shí)所述通信應(yīng)用操作事件和系統(tǒng)新增自啟動(dòng)項(xiàng)事件所屬的終端;
[0046]所述計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差��,包括:
[0047]根據(jù)所述終端標(biāo)識(shí)確定屬于同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間�;
[0048]對(duì)所述確定的同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間做差值運(yùn)算。
[0049]依據(jù)第四方面或第四方面第一實(shí)施方式的第二實(shí)施方式中���,所述服務(wù)器計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差包括:
[0050]對(duì)所述接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序�;
[0051]選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算���。
[0052]如上所述的網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法及裝置�,以電子通訊應(yīng)用操作事件與操作系統(tǒng)自啟動(dòng)事件發(fā)生時(shí)間為維度進(jìn)行計(jì)算和判斷�,能夠全面檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊,檢測(cè)覆蓋率高����,計(jì)算復(fù)雜度低,易于維護(hù)和優(yōu)化����。
【專利附圖】
【附圖說(shuō)明】
[0053]圖1是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖;
[0054]圖2是本發(fā)明另一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖����;
[0055]圖3是本發(fā)明又一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖��;
[0056]圖4是本發(fā)明再一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖�;
[0057]圖5是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端示意框圖��;
[0058]圖6是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)服務(wù)器示意框圖�;
[0059]圖7是本發(fā)明另一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端示意框圖。
【具體實(shí)施方式】
[0060]下面將結(jié)合本發(fā)明實(shí)施例中的附圖����,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?��;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍�。
[0061]網(wǎng)絡(luò)釣魚(yú)攻擊一般嘗試攻擊的方式有兩種:
[0062]第一,攻擊者���,比如黑客向被攻擊者�,比如網(wǎng)絡(luò)用戶發(fā)送偽裝的電子郵件,該電子郵件中隱藏有用于下載黑客放置的惡意軟件的鏈接�。網(wǎng)絡(luò)用戶被誘導(dǎo)點(diǎn)擊該鏈接后,會(huì)自動(dòng)下載惡意軟件到本地并運(yùn)行���,該惡意軟件會(huì)在用戶的終端操作系統(tǒng)中添加自啟動(dòng)項(xiàng)實(shí)現(xiàn)其長(zhǎng)期存活��,黑客使用遠(yuǎn)程工具與網(wǎng)絡(luò)用戶本地的惡意軟件秘密通信�����,竊取用戶私有信息�。
[0063]第二�,黑客向網(wǎng)絡(luò)用戶發(fā)送偽裝的電子郵件,該電子郵件中隱藏有黑客放置的惡意軟件的附件����,網(wǎng)絡(luò)用戶被誘導(dǎo)點(diǎn)擊該附件后,惡意軟件被運(yùn)行���,該惡意軟件會(huì)在用戶的終端操作系統(tǒng)中添加自啟動(dòng)項(xiàng)實(shí)現(xiàn)其長(zhǎng)期存活�,黑客使用遠(yuǎn)程工具與網(wǎng)絡(luò)用戶本地的惡意軟件秘密通信���,竊取用戶私有信息���。
[0064]本申請(qǐng)發(fā)明人在研究中發(fā)現(xiàn)�����,攻擊者如果要成功發(fā)動(dòng)網(wǎng)絡(luò)釣魚(yú)攻擊���,其攻擊過(guò)程會(huì)產(chǎn)生以下事件:
[0065]用戶通過(guò)通訊軟件,如電子郵件��、即時(shí)通訊軟件����,點(diǎn)擊鏈接或者打開(kāi)附件,產(chǎn)生訪問(wèn)鏈接事件或者打開(kāi)附件事件��。
[0066]惡意軟件被成功下載或打開(kāi)運(yùn)行后�,該惡意軟件會(huì)在終端操作系統(tǒng)的注冊(cè)表中創(chuàng)建自啟動(dòng)項(xiàng),自啟動(dòng)項(xiàng)是能夠?qū)崿F(xiàn)在操作系統(tǒng)啟動(dòng)時(shí)����,程序自動(dòng)啟動(dòng)的項(xiàng)���。本方案中�,將創(chuàng)建新的自啟動(dòng)項(xiàng)稱為新增自啟動(dòng)項(xiàng)事件。
[0067]以上兩類事件順序?yàn)樵L問(wèn)鏈接事件或者打開(kāi)附件事件早于新增自啟動(dòng)項(xiàng)事件��,且訪問(wèn)鏈接事件或者打開(kāi)附件事件與新增自啟動(dòng)項(xiàng)事件之間的時(shí)間間隔較短���。
[0068]本方案中�����,惡意軟件指故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的病毒���、蠕蟲(chóng)和特洛伊木馬。終端指安裝有操作系統(tǒng)的電子計(jì)算裝置�,如計(jì)算機(jī)��,智能手機(jī)����,平板電腦等��。
[0069]圖1是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)的方法示意流程圖�����。
[0070]如圖1所示��,該網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法包括:[0071]101���、終端記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間��。
[0072]具體的�����,安裝有操作系統(tǒng)的終端��,如計(jì)算機(jī)��、智能手機(jī)����、平板電腦����,安裝有網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)軟件,能夠監(jiān)控該終端上通過(guò)電子通訊軟件進(jìn)行操作的各類操作事件��,如打開(kāi)附件事件�����、訪問(wèn)鏈接事件����,能夠獲取各類操作事件發(fā)生的時(shí)間,通訊應(yīng)用標(biāo)識(shí)以及引起該類操作事件的源文件標(biāo)識(shí)�。
[0073]本實(shí)施例中,終端可以將通訊應(yīng)用操作事件的發(fā)生時(shí)間記錄在事件記錄表中�,可選的,還可將該通訊應(yīng)用標(biāo)識(shí)���,比如即時(shí)通信軟件應(yīng)用標(biāo)識(shí)�����,和用于描述操作事件類型的事件標(biāo)識(shí)�、引起該操作事件的源文件與該通訊應(yīng)用操作時(shí)間的發(fā)生時(shí)間對(duì)應(yīng)的寫(xiě)入到事件記錄表中���。
[0074]102�����、該終端記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�。
[0075]具體的,以裝有windows系統(tǒng)的終端為例,惡意軟件一般通過(guò)修改Windows配置文件�、Windows系統(tǒng)自啟動(dòng)文件夾或者注冊(cè)表來(lái)實(shí)現(xiàn)自啟動(dòng)。
[0076]本實(shí)施例中����,在終端記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前,通過(guò)定時(shí)啟動(dòng)Windows自啟動(dòng)項(xiàng)檢測(cè)工具,如autoruns, exe,能夠檢測(cè)到Windows系統(tǒng)所有的自啟動(dòng)項(xiàng)�。在本實(shí)施例中,Windows自啟動(dòng)項(xiàng)檢測(cè)工具在預(yù)置的很小的時(shí)間間隔內(nèi)���,定時(shí)啟動(dòng)�,檢測(cè)Windows系統(tǒng)此時(shí)所有的自啟動(dòng)項(xiàng)��,并將該時(shí)刻的自啟動(dòng)項(xiàng)與Windows自啟動(dòng)項(xiàng)檢測(cè)工具的啟動(dòng)時(shí)間對(duì)應(yīng)保存����。通過(guò)將最新時(shí)間點(diǎn)的自啟動(dòng)項(xiàng)與前一時(shí)刻自啟動(dòng)項(xiàng)對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)���。
[0077]然后��,通過(guò)確定該新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間���、系統(tǒng)自啟動(dòng)文件夾的修改事件或者系統(tǒng)注冊(cè)表的修改時(shí)間來(lái)確定該新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�����,并可記錄到事件記錄表中�����。
[0078]需要注意的是,為保證新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間判斷的準(zhǔn)確性,Windows自啟動(dòng)項(xiàng)檢測(cè)工具啟動(dòng)時(shí)間間隔可設(shè)置很小�。
[0079]在本實(shí)施例中,該Windows自啟動(dòng)項(xiàng)檢測(cè)工具還可以在終端檢測(cè)到系統(tǒng)配直文件��、系統(tǒng)自啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí)啟動(dòng)�����。將本次啟動(dòng)檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比�����,識(shí)別出新增自啟動(dòng)項(xiàng)�。
[0080]103、計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�����。
[0081]具體的,終端根據(jù)事件記錄表中保存的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間�,計(jì)算兩者之間的時(shí)間差值。
[0082]可選的����,若在計(jì)算時(shí)存在多個(gè)新增自啟動(dòng)項(xiàng)事件和通訊應(yīng)用操作事件,則逐一計(jì)算各個(gè)新增自啟動(dòng)項(xiàng)事件與通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差����。
[0083]在本實(shí)施例中,還可以在計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差之前��,終端對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按自然時(shí)間順序進(jìn)行排序����,然后僅選取離該新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算。這樣可以保證計(jì)算量小���,節(jié)省終端的計(jì)算資源��。
[0084]104�����、若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前��,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值���,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�。
[0085]具體的���,可以根據(jù)實(shí)驗(yàn)測(cè)試結(jié)果���,預(yù)先設(shè)置用于判斷的時(shí)間閾值����,該時(shí)間閾值的具體數(shù)值在本實(shí)施例中不做限制。
[0086]首先�,可根據(jù)事件記錄表中記錄的通訊應(yīng)用操作事件發(fā)生時(shí)間與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間進(jìn)行對(duì)比,判斷通訊應(yīng)用操作事件發(fā)生在新增自啟動(dòng)項(xiàng)事件之前���,而后將上述步驟獲得的通訊應(yīng)用操作事件與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差值與該時(shí)間閾值進(jìn)行對(duì)比���,如果該時(shí)間差值小于該時(shí)間閾值,則認(rèn)定該通信應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。如果該時(shí)間差值大于該時(shí)間閾值�����,則可對(duì)該電子通訊應(yīng)用操作事件不作任何處理。
[0087]可選的�,若該時(shí)間差等于該時(shí)間閾值,也將該電子通訊應(yīng)用操作事件認(rèn)定為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
[0088]可選的�,還可以將認(rèn)定為網(wǎng)絡(luò)釣魚(yú)攻擊事件的通訊應(yīng)用操作事件以告警的方式提示用戶,也可以對(duì)產(chǎn)生該類操作事件的附件或者鏈接進(jìn)行殺毒處理�����,如刪除該附件或者鏈接�����,也可以將包含該附件或者鏈接的電子郵件刪除�。
[0089]在本實(shí)施方式中,終端還可以向服務(wù)器發(fā)送告警信息��,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件���,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種:事件標(biāo)識(shí)��,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型�����;通訊應(yīng)用標(biāo)識(shí)����,用于標(biāo)識(shí)所述通訊應(yīng)用;文件源標(biāo)識(shí)�����,用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件���。這樣服務(wù)器可以對(duì)終端上報(bào)的告警信息進(jìn)行分析和統(tǒng)計(jì),以便向其他用戶發(fā)送網(wǎng)絡(luò)釣魚(yú)攻擊預(yù)警信息���。
[0090]如上所述的網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法���,以電子通訊應(yīng)用操作事件與操作系統(tǒng)自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間為維度進(jìn)行計(jì)算和判斷,能夠全面檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊�,檢測(cè)覆蓋率高,計(jì)算復(fù)雜度低����,易于維護(hù)和優(yōu)化����,同時(shí)�,通過(guò)在終端本地檢測(cè)和識(shí)別,能夠快速定位網(wǎng)絡(luò)釣魚(yú)攻擊�����,提高終端本地的安全性���。
[0091]圖2是本發(fā)明第二實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)的方法示意流程圖���。
[0092]如圖2所示,以電子通訊軟件為電子郵件應(yīng)用為例����,該檢測(cè)方法包括:
[0093]201、終端A記錄通過(guò)電子郵件打開(kāi)附件事件的發(fā)生時(shí)間�。
[0094]具體的,以電子郵件應(yīng)用outlook為例�,當(dāng)用戶收到新郵件時(shí),點(diǎn)擊郵件中的附件�����,outlook會(huì)調(diào)用windows的API “ShellExecuteEX”打開(kāi)該附件。在本實(shí)施例中����,將outlook對(duì)windows的API “ShellExecuteEX”的調(diào)用時(shí)間作為通訊應(yīng)用打開(kāi)附件事件的發(fā)生時(shí)間記錄在事件記錄表中。
[0095]202��、該終端記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間���。
[0096]具體的�����,以裝有windows系統(tǒng)的終端為例,惡意軟件一般通過(guò)修改Windows配置文件�����、Windows系統(tǒng)自啟動(dòng)文件夾或者注冊(cè)表來(lái)實(shí)現(xiàn)自啟動(dòng)����。
[0097]本實(shí)施例中���,在終端記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前,通過(guò)定時(shí)啟動(dòng)Windows自啟動(dòng)項(xiàng)檢測(cè)工具,如autoruns, exe,能夠檢測(cè)到Windows系統(tǒng)所有的自啟動(dòng)項(xiàng)。在本實(shí)施例中���,Windows自啟動(dòng)項(xiàng)檢測(cè)工具在預(yù)置的很小的時(shí)間間隔內(nèi)���,定時(shí)啟動(dòng),檢測(cè)Windows系統(tǒng)此時(shí)所有的自啟動(dòng)項(xiàng)����,并將該時(shí)刻的自啟動(dòng)項(xiàng)與Windows自啟動(dòng)項(xiàng)檢測(cè)工具的啟動(dòng)時(shí)間對(duì)應(yīng)保存。通過(guò)將最新時(shí)間點(diǎn)的自啟動(dòng)項(xiàng)與前一時(shí)刻自啟動(dòng)項(xiàng)對(duì)比��,識(shí)別出新增自啟動(dòng)項(xiàng)��。[0098]然后�����,通過(guò)確定該新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間���、系統(tǒng)自啟動(dòng)文件夾的修改事件或者系統(tǒng)注冊(cè)表的修改時(shí)間來(lái)確定該新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�,并可記錄到事件記錄表中��。
[0099]203�、計(jì)算打開(kāi)附件事件的發(fā)生時(shí)間與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差�����。
[0100]本實(shí)施例中��,還可以在計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差之前��,終端對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和打開(kāi)附件事件的發(fā)生時(shí)間按自然時(shí)間順序進(jìn)行排序�,然后僅選取離該新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的打開(kāi)附件事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算���。這樣可以保證計(jì)算量小���,節(jié)省終端的計(jì)算資源。
[0101]204��、若打開(kāi)附件事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值,則判斷該打開(kāi)附件事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�。
[0102]可選的,終端可將判斷為網(wǎng)絡(luò)釣魚(yú)攻擊事件通過(guò)告警形式顯示給用戶�,也可將產(chǎn)生該網(wǎng)絡(luò)釣魚(yú)攻擊事件的附件�����、郵件、發(fā)件人信息上報(bào)給服務(wù)器�����,以便服務(wù)器收集相關(guān)網(wǎng)絡(luò)釣魚(yú)攻擊信息��,對(duì)用戶進(jìn)行預(yù)警����。
[0103]圖3是本發(fā)明第三實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖。
[0104]如圖3所示�����,該檢測(cè)方法包括:
[0105]301�����、終端向服務(wù)器發(fā)送的所述終端記錄的電子通訊應(yīng)用操作事件發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�����。
[0106]具體的���,安裝有操作系統(tǒng)的終端�����,如計(jì)算機(jī)�����、智能手機(jī)��、平板電腦��,安裝有網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)軟件��,能夠監(jiān)控該終端上通過(guò)通訊軟件進(jìn)行操作的各類操作事件�,能夠獲取各類操作事件發(fā)生的時(shí)間,通訊應(yīng)用標(biāo)識(shí)以及引起該類操作事件的源文件標(biāo)識(shí)�。
[0107]本實(shí)施例中,終端可以將通訊應(yīng)用操作事件的發(fā)生時(shí)間記錄在事件記錄表中�,可選的,還可將該通訊應(yīng)用標(biāo)識(shí)����,比如即時(shí)通信軟件應(yīng)用標(biāo)識(shí),和用于描述操作事件類型的事件標(biāo)識(shí)���、引起該操作事件的源文件與該通訊應(yīng)用操作時(shí)間的發(fā)生時(shí)間對(duì)應(yīng)的寫(xiě)入到事件記錄表中�����。
[0108]可選的��,該事件記錄表還記錄有終端標(biāo)識(shí)����,如終端的設(shè)備標(biāo)識(shí)��。
[0109]具體的�����,以裝有windows系統(tǒng)的終端為例,惡意軟件一般通過(guò)修改Windows配置文件��、Windows系統(tǒng)自啟動(dòng)文件夾或者注冊(cè)表來(lái)實(shí)現(xiàn)自啟動(dòng)��。
[0110]本實(shí)施例中����,在終端記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前,通過(guò)定時(shí)啟動(dòng)Windows自啟動(dòng)項(xiàng)檢測(cè)工具,如autoruns, exe,能夠檢測(cè)到Windows系統(tǒng)所有的自啟動(dòng)項(xiàng)���。在本實(shí)施例中����,Windows自啟動(dòng)項(xiàng)檢測(cè)工具在預(yù)置的很小的時(shí)間間隔內(nèi),定時(shí)啟動(dòng)�����,檢測(cè)Windows系統(tǒng)此時(shí)所有的自啟動(dòng)項(xiàng)���,并將該時(shí)刻的自啟動(dòng)項(xiàng)與Windows自啟動(dòng)項(xiàng)檢測(cè)工具的啟動(dòng)時(shí)間對(duì)應(yīng)保存����。通過(guò)將最新時(shí)間點(diǎn)的自啟動(dòng)項(xiàng)與前一時(shí)刻自啟動(dòng)項(xiàng)對(duì)比�����,識(shí)別出新增自啟動(dòng)項(xiàng)����。
[0111]然后,通過(guò)確定該新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間���、系統(tǒng)自啟動(dòng)文件夾的修改事件或者系統(tǒng)注冊(cè)表的修改時(shí)間來(lái)確定該新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��,并可記錄到事件記錄表中�����。[0112]需要注意的是�����,為保證新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間判斷的準(zhǔn)確性�����,Windows自啟動(dòng)項(xiàng)檢測(cè)工具啟動(dòng)時(shí)間間隔可設(shè)置很小�����。
[0113]在本實(shí)施例中����,該Windows自啟動(dòng)項(xiàng)檢測(cè)工具還可以在終端檢測(cè)到系統(tǒng)配置文件����、系統(tǒng)自啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí)啟動(dòng)。將本次啟動(dòng)檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比�,識(shí)別出新增自啟動(dòng)項(xiàng)���。
[0114]終端可在預(yù)置的時(shí)間周期將記錄有電子通訊應(yīng)用操作事件發(fā)生時(shí)間和新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間的事件記錄表發(fā)送給服務(wù)器?���?蛇x的,終端也可分開(kāi)向服務(wù)器發(fā)送電子通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息�����,在該方案中���,單獨(dú)分開(kāi)發(fā)送的通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息除了分別包括電子通訊應(yīng)用操作事件發(fā)生時(shí)間和新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間外����,均包括終端標(biāo)識(shí)���,便于服務(wù)器根據(jù)終端標(biāo)識(shí)確定同一終端的電子通訊應(yīng)用操作事件和新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��。
[0115]在本實(shí)施例中�,終端還可以在檢測(cè)到有新增自啟動(dòng)項(xiàng)事件時(shí)�,向服務(wù)器發(fā)送新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和在該新增自啟動(dòng)項(xiàng)事件的之前的通訊應(yīng)用操作事件的發(fā)生時(shí)間。
[0116]302、該服務(wù)器計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的事件差�。
[0117]具體的,服務(wù)器根據(jù)終端發(fā)送的事件記錄表中記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和電子通訊應(yīng)用操作事件的發(fā)生時(shí)間�,計(jì)算兩者之間的時(shí)間差。
[0118]可選的���,服務(wù)器也可根據(jù)分別接收的電子通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息中的終端標(biāo)識(shí)�,確定同一終端的電子通訊應(yīng)用操作事件和新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�,計(jì)算同一終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差。
[0119]可選的���,若在計(jì)算時(shí),同一終端存在多個(gè)新增自啟動(dòng)項(xiàng)事件和電子通訊應(yīng)用操作事件���,則逐一計(jì)算各個(gè)新增自啟動(dòng)項(xiàng)事件與電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�。
[0120]在本實(shí)施例中�,還可以在計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差之前,服務(wù)器對(duì)接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按自然時(shí)間順序進(jìn)行排序���,然后僅選取離該新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算����。這樣可以保證計(jì)算量小,節(jié)省服務(wù)器的計(jì)算資源�����。
[0121]303����、若所述終端的通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值��,則判斷所述終端的通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�����。
[0122]具體的�,服務(wù)器可以根據(jù)實(shí)驗(yàn)測(cè)試結(jié)果,預(yù)先設(shè)置用于判斷的時(shí)間閾值�����,該時(shí)間閾值的具體數(shù)值在本實(shí)施例中不做限制���。
[0123]首先����,可根據(jù)終端發(fā)送的事件記錄表中記錄的通訊應(yīng)用操作事件發(fā)生時(shí)間與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間進(jìn)行對(duì)比,判斷該終端的通訊應(yīng)用操作事件發(fā)生在新增自啟動(dòng)項(xiàng)事件之前�����,而后將上述步驟獲得的通訊應(yīng)用操作事件與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差與該時(shí)間閾值進(jìn)行對(duì)比��,如果該時(shí)間差小于該時(shí)間閾值�����,則認(rèn)定該通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件����。如果該時(shí)間差大于該時(shí)間閾值,則可對(duì)該操作事件不作任何處理����。
[0124]可選的�����,還可以將認(rèn)定為網(wǎng)絡(luò)釣魚(yú)攻擊事件的操作事件以告警的方式發(fā)送給終端���,提示終端用戶對(duì)產(chǎn)生該類操作事件的附件或者鏈接或者郵件進(jìn)行刪除處理��。
[0125]在本實(shí)施例中��,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種:事件標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型�����;通訊應(yīng)用標(biāo)識(shí)�����,用于標(biāo)識(shí)所述通訊應(yīng)用�;文件源標(biāo)識(shí)��,用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件�。這樣,便于用戶確定引起釣魚(yú)攻擊的文件����、通訊應(yīng)用。
[0126]如上所述的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法���,通過(guò)服務(wù)器收集各終端上報(bào)的電子通訊應(yīng)用操作事件信息與新增自啟動(dòng)項(xiàng)事件信息�����,根據(jù)終端標(biāo)識(shí)將同一終端的電子通訊應(yīng)用操作事件與新增自啟動(dòng)項(xiàng)事件關(guān)聯(lián)����,根據(jù)電子通訊應(yīng)用操作事件的發(fā)生時(shí)間與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間計(jì)算兩者發(fā)生時(shí)間的時(shí)間差,若所述電子通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前���,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值�����,則判斷所述電子通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件����。該方法能夠全面檢測(cè)網(wǎng)絡(luò)釣魚(yú)攻擊�,檢測(cè)覆蓋率高,計(jì)算復(fù)雜度低���,易于維護(hù)和優(yōu)化,同時(shí)���,通過(guò)服務(wù)器可大批量的計(jì)算和處理����,減輕客戶端資源壓力,還能在大量判斷的基礎(chǔ)上��,進(jìn)一步提升檢測(cè)的覆蓋率和準(zhǔn)確率����。
[0127]下面以電子郵件應(yīng)用訪問(wèn)鏈接事件為例,對(duì)本發(fā)明實(shí)施例作進(jìn)一步的闡述����。
[0128]圖4是本發(fā)明第四實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法示意流程圖;
[0129]如圖4所示��,該網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法�����,包括:
[0130]401���、終端向服務(wù)器發(fā)送的所述終端記錄的電子郵件應(yīng)用訪問(wèn)鏈接事件的發(fā)送時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��。
[0131]具體的���,以電子郵件應(yīng)用outlook為例�,當(dāng)用戶收到新郵件時(shí)����,點(diǎn)擊郵件中的鏈接,outlook會(huì)調(diào)用windows的AP1“ShellExecuteEX”訪問(wèn)該鏈接。在本方案中�����,將outlook對(duì)windows的API “ShellExecuteEX”的調(diào)用時(shí)間作為訪問(wèn)鏈接事件的發(fā)生時(shí)間記錄在事件記錄表中����。終端將該訪問(wèn)鏈接事件的發(fā)生時(shí)間上報(bào)給服務(wù)器。
[0132]另外�,終端還定時(shí)啟動(dòng)Windows自啟動(dòng)項(xiàng)檢測(cè)工具,檢測(cè)Windows系統(tǒng)此時(shí)所有的自啟動(dòng)項(xiàng)��,并將該時(shí)刻的自啟動(dòng)項(xiàng)與Windows自啟動(dòng)項(xiàng)檢測(cè)工具的啟動(dòng)時(shí)間對(duì)應(yīng)保存����。通過(guò)將最新時(shí)間點(diǎn)的自啟動(dòng)項(xiàng)與前一時(shí)刻自啟動(dòng)項(xiàng)對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)��。
[0133]終端將該新增自啟動(dòng)項(xiàng)的文件創(chuàng)建時(shí)間作為新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間上報(bào)給服務(wù)器���?���?蛇x的�,終端也可將新增自啟動(dòng)項(xiàng)識(shí)別時(shí)對(duì)應(yīng)的Windows自啟動(dòng)項(xiàng)檢測(cè)工具啟動(dòng)時(shí)間作為新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間上報(bào)給服務(wù)器。
[0134]可選的���,終端還將終端標(biāo)識(shí)作為新增自啟動(dòng)項(xiàng)事件和訪問(wèn)鏈接時(shí)間的附加信息分別上報(bào)給服務(wù)器��。
[0135]402�����、該服務(wù)器計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�����。
[0136]服務(wù)器可根據(jù)終端標(biāo)識(shí)����,將同一終端的訪問(wèn)鏈接事件和新增自啟動(dòng)項(xiàng)事件關(guān)聯(lián)起來(lái)��,計(jì)算同一終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和訪問(wèn)鏈接事件的發(fā)生時(shí)間之間的時(shí)間差����。[0137]403����、若所述終端的訪問(wèn)鏈接事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前��,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值���,則判斷所述終端的訪問(wèn)鏈接事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
[0138]可選的���,還可以將認(rèn)定為網(wǎng)絡(luò)釣魚(yú)攻擊事件的訪問(wèn)鏈接事件以告警的方式發(fā)送給終端,提示終端用戶對(duì)產(chǎn)生該類操作事件的鏈接或者郵件進(jìn)行刪除處理��。
[0139]圖5是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端示意框圖�。
[0140]如圖5所示,該網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端包括:
[0141]記錄單元501,與記錄單元501相連的計(jì)算單元502,以及與計(jì)算單元502相連的判斷單元503����。
[0142]記錄單元501用于記錄電子通訊應(yīng)用操作事件的發(fā)生時(shí)間,還用于記錄記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間。
[0143]在本實(shí)施例中����,該終端還包括:檢測(cè)單元504,用于定時(shí)啟動(dòng),檢測(cè)Windows系統(tǒng)此時(shí)所有的自啟動(dòng)項(xiàng)�����,并將該時(shí)刻的自啟動(dòng)項(xiàng)與Windows自啟動(dòng)項(xiàng)檢測(cè)工具的啟動(dòng)時(shí)間對(duì)應(yīng)保存�����。通過(guò)將最新時(shí)間點(diǎn)的自啟動(dòng)項(xiàng)與前一時(shí)刻自啟動(dòng)項(xiàng)對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)��。
[0144]然后���,記錄單元501通過(guò)確定該新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間��、系統(tǒng)自啟動(dòng)文件夾的修改事件或者系統(tǒng)注冊(cè)表的修改時(shí)間來(lái)確定該新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��,并可記錄到事件記錄表中���。
[0145]本實(shí)施例中,記錄單元501可以將通訊應(yīng)用操作事件的發(fā)生時(shí)間記錄在事件記錄表中�����,可選的���,還可將該通訊應(yīng)用標(biāo)識(shí)�����,比如即時(shí)通信軟件應(yīng)用標(biāo)識(shí)�����,和用于描述操作事件類型的事件標(biāo)識(shí)���、引起該操作事件的源文件與該通訊應(yīng)用操作時(shí)間的發(fā)生時(shí)間對(duì)應(yīng)的寫(xiě)入到事件記錄表中��。
[0146]計(jì)算單元502�,與所述記錄單元相連��,用于計(jì)算所述操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�。可選的��,若在計(jì)算時(shí)存在多個(gè)新增自啟動(dòng)項(xiàng)事件和電子通訊應(yīng)用操作事件��,則計(jì)算單元502逐一計(jì)算各個(gè)新增自啟動(dòng)項(xiàng)事件與電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�。
[0147]在本實(shí)施例中,該終端還可以包括:計(jì)算單元502還可以對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按自然時(shí)間順序進(jìn)行排序�����,該計(jì)算單元502選取離該新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算。這樣可以保證計(jì)算量小�,節(jié)省終端的計(jì)算資源。
[0148]判斷單元503�����,用于判斷若所述電子通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前�����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值��,則判斷所述電子通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件����。
[0149]具體的�,判斷單元503可將記錄單元501記錄的電子通訊應(yīng)用操作事件發(fā)生時(shí)間與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間進(jìn)行對(duì)比,判斷電子通訊應(yīng)用操作事件發(fā)生在新增自啟動(dòng)項(xiàng)事件之前��,而后將上述步驟獲得的電子通訊應(yīng)用操作事件與新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差值與該時(shí)間閾值進(jìn)行對(duì)比����,如果該時(shí)間差值小于該時(shí)間閾值����,則認(rèn)定該電子通信應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�����。如果該時(shí)間差值大于該時(shí)間閾值���,則可對(duì)該電子通訊應(yīng)用操作事件不作任何處理����。
[0150]該網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端可以是帶有操作系統(tǒng)的計(jì)算裝置�,如計(jì)算機(jī)、平板電腦�、智能手機(jī)等。
[0151]該網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端可用于執(zhí)行實(shí)例一��、實(shí)施例二所示的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)方法�。
[0152]圖6是本發(fā)明一實(shí)施例的網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)服務(wù)器示意框圖。
[0153]該服務(wù)器包括:
[0154]收發(fā)單元601�����,用于接收終端發(fā)送的所述終端記錄的電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�。
[0155]具體的終端將記錄有電子通訊應(yīng)用操作事件發(fā)生時(shí)間和新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間的事件記錄表發(fā)送給收發(fā)單元601���。可選的�,終端也可分開(kāi)向收發(fā)單元601發(fā)送電子通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息,在該方案中�,單獨(dú)分開(kāi)發(fā)送的電子通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息除了分別包括電子通訊應(yīng)用操作事件發(fā)生時(shí)間和新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間外,均包括終端標(biāo)識(shí)��。
[0156]存儲(chǔ)單元602��,與所述接收單元601相連��,用于存儲(chǔ)所述終端發(fā)送的所述終端記錄的電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��。
[0157]計(jì)算單元603���,與所述存儲(chǔ)單元602相連,用于從所述存儲(chǔ)單元602讀取所述終端記錄的電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�����,計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�����。
[0158]具體的,計(jì)算單元603根據(jù)存儲(chǔ)單元602存儲(chǔ)的事件記錄表中記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和電子通訊應(yīng)用操作事件的發(fā)生時(shí)間���,計(jì)算兩者之間的時(shí)間差�。
[0159]可選的�����,計(jì)算單元603根據(jù)分別接收的電子通訊應(yīng)用操作事件信息和新增自啟動(dòng)項(xiàng)事件信息中的終端標(biāo)識(shí)�����,將同一終端的電子通訊應(yīng)用操作事件和新增自啟動(dòng)項(xiàng)事件關(guān)聯(lián)起來(lái)���,計(jì)算同一終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差��。
[0160]可選的�,若在計(jì)算時(shí)同一終端存在多個(gè)新增自啟動(dòng)項(xiàng)事件和電子通訊應(yīng)用操作事件��,則逐一計(jì)算各個(gè)新增自啟動(dòng)項(xiàng)事件與電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差���。
[0161]在本實(shí)施例中�,該服務(wù)器還可包括:排序單元�����,用于對(duì)所述接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按自然時(shí)間順序進(jìn)行排序;
[0162]該計(jì)算單元603可具體用于選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算����。
[0163]判斷單元604,與所述計(jì)算單元603相連����,用于判斷若所述終端的電子通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值��,則判斷所述終端的電子通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�。
[0164]可選的,收發(fā)單元601還向終端發(fā)送告警信息��,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件�,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種:事件標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型��;通訊應(yīng)用標(biāo)識(shí)�����,用于標(biāo)識(shí)所述通訊應(yīng)用���;文件源標(biāo)識(shí)�����,用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件����。[0165]圖7是本發(fā)明一實(shí)施例的用戶終端示意框圖��。
[0166]如圖7所示�����,該用戶終端包括:至少一個(gè)處理器701�,例如CPU,至少一個(gè)通信接口 704或者其他通信接口���,存儲(chǔ)器702�,和至少一個(gè)通信總線705�,用于實(shí)現(xiàn)這些裝置之間的會(huì)話通信。處理器701用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的可執(zhí)行模塊,例如計(jì)算機(jī)程序�����。用戶終端可選的還包含用戶接口 703�����,包括但不限于顯示器��,鍵盤(pán)和點(diǎn)擊設(shè)備(例如����,鼠標(biāo),軌跡球(trackball),觸感板或者觸感顯示屏)����。存儲(chǔ)器702可能包含高速Ram存儲(chǔ)器,也可能還包括非不穩(wěn)定的存儲(chǔ)器(non-volatile memory),例如至少一個(gè)磁盤(pán)存儲(chǔ)器。通過(guò)至少一個(gè)網(wǎng)絡(luò)接口(可以是有線或者無(wú)線)實(shí)現(xiàn)該用戶終端與至少一個(gè)其他計(jì)算機(jī)之間的通信會(huì)話���,可以使用互聯(lián)網(wǎng)��,廣域網(wǎng),本地網(wǎng)�,城域網(wǎng)等。
[0167]可選的,通信接口 704可用于記錄電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�����,存儲(chǔ)器702可用于存儲(chǔ)該通信接口 704記錄的該用戶終端上電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間���,處理器701可用于從該存儲(chǔ)器702中讀取該電子通訊應(yīng)用操作事件的發(fā)生時(shí)間和新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間����,計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�����。還可用于若所述電子通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前�����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值��,則判斷所述電子通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件����。用戶接口 703可用于將判斷出的網(wǎng)絡(luò)釣魚(yú)攻擊事件以告警形式顯示給用戶。
[0168]本領(lǐng)域普通技術(shù)人員可以意識(shí)到����,結(jié)合本文中所公開(kāi)的實(shí)施例描述的各示例的單元及算法步驟��,能夠以電子硬件���、計(jì)算機(jī)軟件或者二者的結(jié)合來(lái)實(shí)現(xiàn),為了清楚地說(shuō)明硬件和軟件的可互換性��,在上述說(shuō)明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟�。這些功能究竟以硬件還是軟件方式來(lái)執(zhí)行,取決于技術(shù)方案的特定應(yīng)用和設(shè)計(jì)約束條件����。專業(yè)技術(shù)人員可以對(duì)每個(gè)特定的應(yīng)用來(lái)使用不同方法來(lái)實(shí)現(xiàn)所描述的功能,但是這種實(shí)現(xiàn)不應(yīng)認(rèn)為超出本發(fā)明的范圍��。
[0169]所屬領(lǐng)域的技術(shù)人員可以清楚地了解到�����,為了描述的方便和簡(jiǎn)潔����,上述描述的系統(tǒng)、裝置和單元的具體工作過(guò)程���,可以參考前述方法實(shí)施例中的對(duì)應(yīng)過(guò)程��,在此不再贅述����。
[0170]在本申請(qǐng)所提供的幾個(gè)實(shí)施例中�,應(yīng)該理解到,所揭露的系統(tǒng)�����、裝置和方法�����,可以通過(guò)其它的方式實(shí)現(xiàn)���。例如����,以上所描述的裝置實(shí)施例僅僅是示意性的��,例如��,所述單元的劃分,僅僅為一種邏輯功能劃分���,實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式�����,例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)����,或一些特征可以忽略��,或不執(zhí)行�����。另外�,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過(guò)一些接口、裝置或單元的間接耦合或通信連接�,也可以是電的,機(jī)械的或其它的形式連接�。
[0171]所述作為分離部件說(shuō)明的單元可以是或者也可以不是物理上分開(kāi)的,作為單元顯示的部件可以是或者也可以不是物理單元�����,即可以位于一個(gè)地方,或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上���??梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來(lái)實(shí)現(xiàn)本發(fā)明實(shí)施例方案的目的�����。
[0172]另外��,在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中�,也可以是各個(gè)單元單獨(dú)物理存在����,也可以是兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)����,也可以采用軟件功能單元的形式實(shí)現(xiàn)。[0173]所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)�����,可以存儲(chǔ)在一個(gè)計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��。基于這樣的理解�����,本發(fā)明的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分�,或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品存儲(chǔ)在一個(gè)存儲(chǔ)介質(zhì)中���,包括若干指令用以使得一臺(tái)計(jì)算機(jī)設(shè)備(可以是個(gè)人計(jì)算機(jī)��,服務(wù)器���,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲(chǔ)介質(zhì)包括:U盤(pán)���、移動(dòng)硬盤(pán)��、只讀存儲(chǔ)器(ROM���,Read-OnlyMemory)、隨機(jī)存取存儲(chǔ)器(RAM, Random Access Memory)�����、磁碟或者光盤(pán)等各種可以存儲(chǔ)程序代碼的介質(zhì)。
[0174]以上所述�����,僅為本發(fā)明的【具體實(shí)施方式】�����,但本發(fā)明的保護(hù)范圍并不局限于此����,任何熟悉本【技術(shù)領(lǐng)域】的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)���,可輕易想到各種等效的修改或替換�,這些修改或替換都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍之內(nèi)�����。因此��,本發(fā)明的保護(hù)范圍應(yīng)以權(quán)利要求的保護(hù)范圍為準(zhǔn)����。
【權(quán)利要求】
1.一種網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)終端����,其特征在于�,包括: 記錄單元,用于記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��; 計(jì)算單元��,與所述記錄單元相連���,用于計(jì)算所述系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差���; 判斷單元,與所述計(jì)算單元相連����,用于判斷若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值���,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
2.如權(quán)利要求1所述的終端�,其特征在于,還包括: 檢測(cè)單元�,用于在所述記錄單元記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前,識(shí)別出操作系統(tǒng)新增自啟動(dòng)項(xiàng)��。
3.如權(quán)利要求2所述的終端���,其特征在于�����,所述檢測(cè)單元具體用于: 定時(shí)或周期性啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具����,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比����,識(shí)別出新增自啟動(dòng)項(xiàng)����。
4.如權(quán)利要求2所述的終端,其特征在于�����,所述檢測(cè)單元具體用于: 在系統(tǒng)配置文件、系統(tǒng)自 啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí)�,啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比�����,識(shí)別出新增自啟動(dòng)項(xiàng)����。
5.如權(quán)利要求1所述的終端,其特征在于����,所述新增自啟動(dòng)項(xiàng)的創(chuàng)建時(shí)間中包括如下時(shí)間中的一種: 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間; 與所述新增自啟動(dòng)項(xiàng)識(shí)相關(guān)的系統(tǒng)自啟動(dòng)文件夾的修改時(shí)間����; 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)注冊(cè)表文件的修改時(shí)間。
6.如權(quán)利要求1-5任一項(xiàng)所述的終端��,其特征在于�,所述計(jì)算單元具體用于: 對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序; 選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算�����。
7.如權(quán)利要求1-6任一項(xiàng)所述的終端,其特征在于���,還包括: 發(fā)送單元��,用于向服務(wù)器發(fā)送告警信息�,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件��,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種: 事件標(biāo)識(shí)�����,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型����; 通訊應(yīng)用標(biāo)識(shí),用于標(biāo)識(shí)所述通訊應(yīng)用���; 文件源標(biāo)識(shí),用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件�。
8.—種網(wǎng)絡(luò)釣魚(yú)攻擊檢測(cè)服務(wù)器,其特征在于����,包括: 收發(fā)單元��,用于接收終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間����; 存儲(chǔ)單元�,與所述接收單元相連,用于存儲(chǔ)所述終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�; 計(jì)算單元,與所述存儲(chǔ)單元相連��,用于從所述存儲(chǔ)單元讀取所述應(yīng)用操作事件的發(fā)生時(shí)間和所述終端系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間�����,計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差�; 判斷單元,與所述計(jì)算單元相連���,用于判斷若所述終端的通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值���,則判斷所述終端的通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件����。
9.如權(quán)利要求8所述的服務(wù)器,其特征在于�,所述收發(fā)單元還接收與所述通信應(yīng)用操作事件的發(fā)生時(shí)間和所述系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間一起發(fā)送的終端標(biāo)識(shí),所述終端標(biāo)識(shí)用于標(biāo)識(shí)所述通信應(yīng)用操作事件和系統(tǒng)新增自啟動(dòng)項(xiàng)事件所屬的終端����,所述計(jì)算單元具體用于: 根據(jù)所述終端標(biāo)識(shí)確定屬于同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間,對(duì)所述確定的同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間做差值運(yùn)算���。
10.如權(quán)利要求8或9所述的服務(wù)器����,其特征在于���,所述計(jì)算單元具體用于: 對(duì)所述接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序���; 選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算。
11.如權(quán)利要求8所述的服務(wù)器�,其特征在于,所述收發(fā)單元�����,還用于向所述終端發(fā)送告警信息�,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種: 事件標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)`用操作事件類型��; 通訊應(yīng)用標(biāo)識(shí)����,用于標(biāo)識(shí)所述通訊應(yīng)用�����; 文件源標(biāo)識(shí)����,用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件。
12.—種網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法�����,其特征在于����,包括: 終端記錄通訊應(yīng)用操作事件的發(fā)生時(shí)間和操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間���; 所述終端計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差; 若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值,則判斷所述通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件��。
13.如權(quán)利要求12所述的方法�,其特征在于,在所述記錄操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之前����,還包括: 識(shí)別出操作系統(tǒng)新增自啟動(dòng)項(xiàng)。
14.如權(quán)利要求13所述的檢測(cè)方法����,其特征在于,所述識(shí)別出新增自啟動(dòng)項(xiàng)包括: 定時(shí)或周期性啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具�����,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比�,識(shí)別出新增自啟動(dòng)項(xiàng)。
15.如權(quán)利要求13所述的檢測(cè)方法,其特征在于����,所述識(shí)別出新增自啟動(dòng)項(xiàng)包括:在系統(tǒng)配置文件��、系統(tǒng)自啟動(dòng)文件夾或系統(tǒng)注冊(cè)表發(fā)生修改時(shí)���,啟動(dòng)自啟動(dòng)項(xiàng)檢測(cè)工具���,將本次檢測(cè)出的自啟動(dòng)項(xiàng)與前一次檢測(cè)出的自啟動(dòng)項(xiàng)進(jìn)行對(duì)比,識(shí)別出新增自啟動(dòng)項(xiàng)��。
16.如權(quán)利要求12所述的檢測(cè)方法���,其特征在于����,所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間中包括如下時(shí)間中的一種: 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間�; 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)自啟動(dòng)文件夾的修改時(shí)間; 與所述新增自啟動(dòng)相關(guān)的系統(tǒng)注冊(cè)表文件的修改時(shí)間��。
17.如權(quán)利要求12-16任一項(xiàng)所述的檢測(cè)方法���,其特征在于���,所述終端計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差包括: 對(duì)所述記錄的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序�; 選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算��。
18.如權(quán)利要求12所述的方法�����,其特征在于�,所述方法還包括: 向服務(wù)器發(fā)送告警信息,所述告警信息包括所述判斷的網(wǎng)絡(luò)釣魚(yú)攻擊事件�����,所述告警信息還包括如下標(biāo)識(shí)中的一種或多種: 事件標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)用 操作事件類型�����; 通訊應(yīng)用標(biāo)識(shí)���,用于標(biāo)識(shí)所述通訊應(yīng)用; 文件源標(biāo)識(shí),用于標(biāo)識(shí)引起所述通訊應(yīng)用操作事件的源文件����。
19.一種網(wǎng)絡(luò)釣魚(yú)攻擊的檢測(cè)方法,其特征在于��,包括: 服務(wù)器接收終端發(fā)送的通訊應(yīng)用操作事件的發(fā)生時(shí)間和所述終端操作系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間��; 所述服務(wù)器計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差����; 若所述通訊應(yīng)用操作事件發(fā)生在所述新增自啟動(dòng)項(xiàng)事件之前����,且與所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間之間的時(shí)間差小于預(yù)置時(shí)間閾值,則判斷所述終端的通訊應(yīng)用操作事件為網(wǎng)絡(luò)釣魚(yú)攻擊事件�����。
20.如權(quán)利要求19所述的檢測(cè)方法�����,其特征在于���,服務(wù)器還接收與所述通信應(yīng)用操作事件的發(fā)生時(shí)間和系統(tǒng)新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間一起發(fā)送的終端標(biāo)識(shí)��,所述終端標(biāo)識(shí)用于標(biāo)識(shí)所述通信應(yīng)用操作事件和系統(tǒng)新增自啟動(dòng)項(xiàng)事件所屬的終端���; 所述計(jì)算所述終端新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述電子通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差��,包括: 根據(jù)所述終端標(biāo)識(shí)確定屬于同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間�����; 對(duì)所述確定的同一終端的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間做差值運(yùn)算����。
21.如權(quán)利19或20所述的方法�����,其特征在于��,所述服務(wù)器計(jì)算所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間與所述通訊應(yīng)用操作事件的發(fā)生時(shí)間之間的時(shí)間差包括: 對(duì)所述接收的新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間和通訊應(yīng)用操作事件的發(fā)生時(shí)間按時(shí)間順序進(jìn)行排序����; 選取離新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間最近的通訊應(yīng)用操作事件的發(fā)生時(shí)間與所述新增自啟動(dòng)項(xiàng)事件發(fā)生時(shí)間進(jìn)行差值計(jì)算。
22.如權(quán)利要求19所述的檢測(cè)方法���,其特征在于�����,所述新增自啟動(dòng)項(xiàng)事件的發(fā)生時(shí)間包括如下時(shí)間中的一種: 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)配置文件的修改時(shí)間�����; 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)自啟動(dòng)文件夾的修改時(shí)間���; 與所述新增自啟動(dòng)項(xiàng)相關(guān)的系統(tǒng)注冊(cè)表文件的修改時(shí)間����。
23.如權(quán)利要求19所述的檢測(cè)方法�,其特征在于�����,服務(wù)器還接收與通訊應(yīng)用操作事件一起發(fā)送的以下標(biāo)識(shí)中的一種或多種: 事件標(biāo)識(shí)��,用于標(biāo)識(shí)所述通訊應(yīng)用操作事件類型��; 通訊應(yīng)用標(biāo)識(shí)�,用于標(biāo)識(shí)所述通訊應(yīng)用�; 文件源標(biāo)識(shí)���,用于標(biāo)識(shí)引起 所述通訊應(yīng)用操作事件的源文件���。
【文檔編號(hào)】H04L29/06GK103501300SQ201310466004
【公開(kāi)日】2014年1月8日 申請(qǐng)日期:2013年9月30日 優(yōu)先權(quán)日:2013年9月30日
【發(fā)明者】楊鵬 申請(qǐng)人:華為技術(shù)有限公司