技術特征：

技術總結
本發明公開了一種APT攻擊行為的檢測方法及檢測系統，該APT攻擊行為的檢測方法采用方式一、方式二、方式三中的至少兩種方式檢測待檢測對象是否存在攻擊行為；所述方式一包括：通過預設的特征知識庫檢測待檢測對象是否存在攻擊行為；所述方式二包括：通過預設的黑名單檢測所述待檢測對象是否存在攻擊行為；所述方式三包括：對所述待檢測對象進行反編譯，檢測所述待檢測對象是否具有shellcode特征，若具有shellcode特征，則判斷所述待檢測對象存在攻擊行為，若不具有shellcode特征，則將所述待檢測對象送入安全沙箱或虛擬系統進行虛擬執行。本發明可以有效提高APT檢測的準確性和時效性。

技術研發人員：李強
受保護的技術使用者：北京安數云信息技術有限公司
技術研發日：2017.05.19
技術公布日：2017.09.15