CN111753301B - 一种无文件攻击检测方法、装置、电子设备和介质 - Google Patents

一种无文件攻击检测方法、装置、电子设备和介质 Download PDF

Info

Publication number
CN111753301B
CN111753301B CN202010625139.0A CN202010625139A CN111753301B CN 111753301 B CN111753301 B CN 111753301B CN 202010625139 A CN202010625139 A CN 202010625139A CN 111753301 B CN111753301 B CN 111753301B
Authority
CN
China
Prior art keywords
detection
determining
detection result
file
execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010625139.0A
Other languages
English (en)
Other versions
CN111753301A (zh
Inventor
王云峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202010625139.0A priority Critical patent/CN111753301B/zh
Publication of CN111753301A publication Critical patent/CN111753301A/zh
Application granted granted Critical
Publication of CN111753301B publication Critical patent/CN111753301B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请提供一种无文件攻击检测方法,包括:检测到进程创建的情况下,根据进程的进程信息确定进程的进程类型;根据进程类型对应的检测策略对进程进行检测,并根据得到的第一检测结果确定是否执行进程。可见,本申请当检测到进程创建的情况下,通过进程的进程信息确定进程的进程类型,进程类型对应有检测策略,基于检测策略对进程进行检测得到第一检测结果,根据第一检测结果确定进程是否执行,实现了针对多种进程类型的检测,保证了系统的安全性。本申请同时还提供了一种无文件攻击检测装置、电子设备和计算机可读存储介质,均具有上述有益效果。

Description

一种无文件攻击检测方法、装置、电子设备和介质
技术领域
本申请涉及检测技术领域,特别涉及一种无文件攻击检测方法、无文件攻击检测装置、电子设备和计算机可读存储介质。
背景技术
无文件攻击是利用受系统信任的原生工具比如PowerShell WMI wscript或者对正在执行的程序进行漏洞攻击比如浏览器office来完成他们的恶意行为的攻击方式。相关的防护措施采用的安全软件采用暴力阻止系统组件的执行,由于powershell等属于常用的系统运维工具,暴力阻止执行增加了运维成本,且只能防御利用这些系统工具的攻击。其他类型的无文件攻击很难防护。
因此,如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。
发明内容
本申请的目的是提供一种无文件攻击检测方法、无文件攻击检测装置、电子设备和计算机可读存储介质,实现了针对多种进程类型的检测,保证了系统的安全。其具体方案如下:
本申请公开了一种无文件攻击检测方法,包括:
检测到进程创建的情况下,根据所述进程的进程信息确定所述进程的进程类型;
根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程。
优选地,所述根据所述进程的进程信息确定所述进程的进程类型之后,还包括:
判断所述进程的父进程是否是授信进程;
若所述父进程是所述授信进程,则执行所述根据所述进程类型对应的检测策略对所述进程进行检测的步骤。
优选地,所述进程信息包括文件版本信息、文件签名、文件特征信息、文件哈希值中的任意一项或者多项。
优选地,所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程,包括:
当所述进程类型是易被利用第三方程序的情况下,基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程。
优选地,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述进程的应用的所述端点设备的所述数量是否大于预设数量;
若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述数量不大于所述预设数量,则判断所述端点设备的执行频次是否大于预设频次阈值;
若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述进程的应用的所述端点设备的所述数量是否大于所述预设数量;
若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述数量不大于所述预设数量,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述端点设备的执行频次是否大于所述预设频次阈值;
若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程。
优选地,所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程,包括:
当所述进程类型是易受攻击进程的情况下,确定所述第一检测结果是通过检测,并执行所述进程。
优选地,所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程,包括:
当所述进程类型是易被利用系统组件进程的情况下,扫描所述进程的命令行;
根据所述命令行判断是否存在恶意命令和/或恶意参数;
若存在所述恶意命令和/或所述恶意参数,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
若不存在所述恶意命令和/或所述恶意参数,则确定所述第一检测结果是通过检测,并执行所述进程。
优选地,所述根据得到的第一检测结果确定是否执行所述进程之后,还包括:
当所述进程执行的情况下,对所述进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行所述进程。
优选地,所述对所述进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行所述进程,包括:
获取所述进程的所述执行过程中产生的行为;
判断所述行为是否为可执行行为;
若所述行为是所述可执行行为,则确定所述第二检测结果是通过检测,并放行所述进程;
若所述行为不是所述可执行行为,则确定所述第二检测结果是未通过检测,并阻止执行所述进程;
或,若所述行为不是所述可执行行为,则对所述行为进行审计,得到审计结果;
若所述审计结果是通过审计,则确定所述第二检测结果是通过检测,并放行所述进程;
若所述审计结果是未通过所述审计,则确定所述第二检测结果是未通过检测,并阻止执行所述进程。
本申请公开了一种无文件攻击检测装置,包括:
进程类型确定模块,用于检测到进程创建的情况下,根据所述进程的进程信息确定所述进程的进程类型;
第一检测模块,用于根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程。
本申请公开了一种电子设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上所述无文件攻击检测方法的步骤。
本申请公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述无文件攻击检测方法的步骤。
本申请提供一种无文件攻击检测方法,包括:检测到进程创建的情况下,根据进程的进程信息确定进程的进程类型;根据进程类型对应的检测策略对进程进行检测,并根据得到的第一检测结果确定是否执行进程。
可见,本申请当检测到进程创建的情况下,通过进程的进程信息确定进程的进程类型,进程类型对应有检测策略,基于检测策略对进程进行检测得到第一检测结果,根据第一检测结果确定进程是否执行,实现了针对多种进程类型的检测,保证了系统的安全性。
本申请同时还提供了一种无文件攻击检测装置、电子设备和计算机可读存储介质,均具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种无文件攻击检测方法的流程示意图;
图2为本申请实施例提供的另一种无文件攻击检测的流程示意图;
图3为本申请实施例提供的一种无文件攻击检测装置的结构示意图;
图4为本申请实施例提供的一种电子设备的结构示意图;
图5为本申请实施例提供的另一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
无文件攻击是利用受系统信任的原生工具比如powershell、wmi、wscript或者对正在执行的程序进行漏洞攻击比如浏览器office来完成他们的恶意行为的攻击方式。相关的防护措施采用的安全软件采用暴力阻止系统组件的执行,由于powershell等属于常用的系统运维工具,暴力阻止执行增加了运维成本,且只能防御利用这些系统工具的攻击。其他类型的无文件攻击很难防护。基于上述技术问题,本实施例提供一种无文件攻击检测方法,具体请参考图1,图1为本申请实施例提供的一种无文件攻击检测方法的流程示意图,具体包括:
S101、检测到进程创建的情况下,根据进程的进程信息确定进程的进程类型。
本实施例中检测到进程创建后,均启动且挂起不执行,然后对新创建的进程的进程类型进行判定,具体的,根据进程对应的进程信息进行进程类型的确定,本实施例不对进程信息进行限定,只要是能够实现本实施例的目的即可。本实施例中的进程对应的进程类型包括但是不限定于易受攻击进程、易被利用系统组件进程、易被利用第三方程序和其他进程。其中,易受攻击进程包括但是不限定于office套件、浏览器等;易被利用系统组件进程包括但是不限定于powshell、wmi等;易被利用第三方程序包括但是不限定于Psexec、hacktool等。
进一步的,本实施例提供一种具体的确定进程类型的方式,根据进程的进程信息确定进程的进程类型,其中,进程信息包括文件版本信息、文件签名、文件特征信息、文件哈希值中的任意一项或者多项。
具体的,根据进程对应的文件版本信息确定进程类型;还可以根据进程对应的文件签名确定进程类型;还可以是根据文件特征信息确定进程类型;还可以根据文件哈希值确定文件类型;还可以根据文件版本信息、文件签名确定进程类型;还可以根据文件版本信息、文件特征信息确定进程类型;还可以根据文件版本信息、文件哈希值确定进程类型;还可以根据文件签名、文件特征信息确定进程类型;还可以根据文件签名、文件哈希值确定进程类型;还可以根据文件特征信息、文件哈希值确定进程类型;还可以根据、文件签名、文件特征信息、文件哈希值确定进程类型;还可以根据文件版本信息、文件特征信息、文件哈希值确定进程类型;还可以根据文件版本信息、文件签名、文件哈希值确定进程类型;还可以根据文件版本信息、文件签名、文件特征信息确定进程类型;还可以根据文件版本信息、文件签名、文件特征信息、文件哈希值确定进程类型。
可以理解的是,文件版本信息、文件签名、文件哈希值(如md5)以及文件特征来进行综合判断防止漏报和误报。针对文件哈希值,为了确保被识别文件(该进程对应的进程文件)的完整性,对于本身就无签名的进程要保证其不被修改。因此,本实施例提供了多种进程类型的确定方式,能够精准的确定进程类型,并且基于文件哈希值还可以保证进程文件的完整性。
S102、根据进程类型对应的检测策略对进程进行检测,并根据得到的第一检测结果确定是否执行进程。
本步骤中利用检测策略对进程进行检测,得到第一检测结果,根据第一检测结果判断该进程是否可以正常执行,第一检测结果是通过检测时,则执行进程,第一检测结果是未通过检测时,则阻止执行进程。
不同的进程的检测策略不同,有的本实施例中对不同的进程类型设置有不同的检测策略,根据检测策略对进程进行检测,根据得到的第一检测结果确定是否要执行该进程。具体的,进程类型可以包括易受攻击进程、易被利用系统组件进程、易被利用第三方程序和其他进程,易受攻击进程对应第一检测策略,易被利用系统组件进程对应第二检测策略,易被利用第三方程序对应第三检测策略,其他进程对应第四检测策略。可以理解的是,当为其他进程时,则第一检测结果是通过检测,直接执行该进程。
在一种可实现的实施方式中,在步骤S101之前可以判断进程的父进程是否是授信进程,如果是授信进程则执行步骤S101,如果不是授信进程则停止执行进程。
在另一种可实现的实施方式中,为了提高无文件攻击检测的效率,本实施例中根据进程的进程信息确定进程的进程类型之后,且当父进程是授信进程时才根据进程类型对应的检测策略对进程进行检测,具体的,根据进程的进程信息确定进程的进程类型之后,还包括:
判断进程的父进程是否是授信进程;
若父进程是授信进程,则执行根据进程类型对应的检测策略对进程进行检测的步骤。
在本实施例中只针对预设进程类型进行检测策略的检测,因此只有根据进程的进程信息确定进程的进程类型后,才执行父进程的授信判断,只有父进程授信通过后才根据进程类型对应的检测策略对进程进行检测,有针对性的进行进程的检测,可以保证其他的进程不受影响。若是授信进程,则根据进程类型对应的检测策略对进程进行检测,若不是授信进程,则不执行进程。本实施例在确定进程类型之后才进行父进程的判定,避免了在步骤S101之前直接进行父进程的判定,造成的虽然父进程不是授信进程,但是该进程不是存在风险,因此,易造成误小众软件、用户自写软件及脚本的误报,造成进程终止的情况的发生。可见,本实施例当进程类型与预设进程类型匹配时,且当父进程是授信进程时才执行对应的检测策略,提高了无文件攻击检测的效率。
在一种可实现的实施方式中,根据得到的第一检测结果确定是否执行进程之后,还包括:当进程执行后,直接放行进程。
在另一种可实现的实施方式中,根据得到的第一检测结果确定是否执行进程之后,还包括:当进程执行的情况下,对进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行进程。当进程执行后,本实施例进行一步对进程执行过程的进程行为进行无文件攻击检测,保证系统不受攻击。
基于上述技术方案,本实施例当检测到进程创建的情况下,通过进程的进程信息确定进程的进程类型,进程类型对应有检测策略,基于检测策略对进程进行检测得到第一检测结果,根据第一检测结果确定进程是否执行,实现了针对多种进程类型的检测,保证了系统的安全性。
请参考图2,图2为本申请实施例提供的另一种无文件攻击检测的流程示意图,包括:
S201、检测到进程创建的情况下,根据进程的进程信息确定进程的进程类型;
具体的,当进程类型是易被利用第三方程序时执行步骤S202。
当进程类型是易受攻击进程时执行步骤S203,易受攻击进程包括但是不限定于office套件、浏览器等。
当进程类型是易被利用系统组件进程时执行步骤S204。
S202、基于进程的应用情况对进程进行检测,并根据得到的第一检测结果确定是否执行进程;
若确定不执行进程,则阻止执行进程;若确定执行进程,则执行步骤S203,执行进程。
其中,易被利用第三方程序包括但是不限定于Psexec、hacktool等。应用情况包括但是不限定于进程使用时间、进程对应端点设备的数量和进程使用频次中的一个或者多个。
具体的,基于进程的应用情况确定是否执行进程,判断进程使用时间是否大于预设阈值,若使用时间大于预设阈值,则确定第一检测结果是通过检测,并执行进程,若使用时间不大于预设阈值,则确定第一检测结果是未通过检测,并阻止执行进程;或者,判断进程在近期的一段时间内的使用时间是否大于预设阈值,若近期的一段时间内的使用时间大于预设阈值,则确定第一检测结果是通过检测,并执行进程,若近期的一段时间内的使用时间不大于预设阈值,则确定第一检测结果是未通过检测,并阻止执行进程。
再次,基于进程的应用情况确定是否执行进程,判断进程对应端点设备的数量是否大于预设数量,若数量大于预设数量,则确定第一检测结果是通过检测,并执行进程,若数量不大于预设数量,则确定第一检测结果是通过检测,并阻止执行进程。
再次,基于进程的应用情况确定是否执行进程,判断进程的使用频次是否大于预设频次阈值;若使用频次大于预设频次阈值,则确定第一检测结果是通过检测,并执行进程,若使用频次不大于预设频次阈值,则确定第一检测结果是通过检测,并阻止执行进程。
再次,基于进程的应用情况确定是否执行进程,包括:判断进程的应用的端点设备的数量是否大于预设数量;若数量大于预设数量,则确定第一检测结果是通过检测,并执行进程,若数量不大于预设数量,则判断端点设备的执行频次是否大于预设频次阈值;若执行频次大于预设频次阈值,则确定第一检测结果是通过检测,并执行进程;若执行频次不大于预设频次阈值,则确定第一检测结果是通过检测,并阻止执行进程。具体的,本实施例中,进程的使用频度是以端点设备为基础点去确定,可以用端点设备以及每天或者一段时间内的使用频次来中和判断其使用频度。比如某进程只在一个端点设备用,也就是对应的端点设备的数量不大于预设数量的情况,只有其执行频次达到预设频次阈值才认为是使用频度高的,可以执行进程,否则将其判定为使用频度低,不可以执行进程。如果某个进程在大部分端点都有使用,也就是说,进程的应用的端点设备的数量大于预设数量,则不管其使用频次多少,都可以执行该进程。可见,本实施例通过以频次和数量确定是否执行可以对易被利用第三方程序进行综合评定,提高无文件攻击检测的准确性。
S203、执行进程。
当进程类型是易受攻击进程时,执行步骤S203。
S204、扫描进程的命令行;
当进程类型是易被利用系统组件进程时,执行步骤S204。易被利用第三方程序包括但是不限定于Psexec、hacktool等。
S205、根据命令行判断是否存在恶意命令和/或恶意参数;
若存在恶意命令和/或恶意参数,则确定第一检测结果是通过检测,并阻止执行进程。
若不存在恶意命令和/或恶意参数,则执行步骤S203,执行进程。
具体的,恶意命令包括但是不限定于:关机、下载、修改文件;恶意参数包括但是不限定于直线恶意网站的参数、修改主页的参数等。
可见,本实施例通过对命令行的扫描确定命令行,根据命令行的内容确定是否执行进程,可以有效的避免易被利用系统组件进程在被攻击的情况下还执行该进程所造成的风险,保证了系统的安全性。
S206、获取进程执行过程中产生的行为;
S207、判断行为是否为可执行行为;
若是可执行行为,则确定第二检测结果是通过检测,并放行进程;
在一种可实现的实施方式中,若不是可执行行为,则确定第二检测结果是未通过检测,并阻止执行进程。
在另一种可实现的实施方式中,若不是可执行行为,则执行步骤S208。
具体的,本实施例中不对判断行为是否是可执行行为的方式进行限定,用户可自定义设置。可执行行为是常规行为,如果是常规行为则放行进程。如果不是常规行为而是越权行为和非常规操作行为,则执行步骤S208。
其中,针对易受攻击进程来说,非常规操作行为可以是创建可执行文件邮件服务去创建进程或者脚本容器执行混淆脚本等,也就是说,在进程执行时,进行进程类型进行标记,并对于该易受攻击进程匹配针对漏洞利用的多种行为限制规则。针对易受攻击的进程启用漏洞缓和规则,比如office进程去创建进程,创建可执行文件邮件服务去创建进程脚本容器执行混淆脚本等。这些规则都会被判定为非常规的行为,所以当监控到有此行为需要进行审计。当确定该行为后,要执行步骤S208。
S208、对行为进行审计,得到审计结果;
若审计结果是通过审计,则确定第二检测结果是通过检测,并放行进程;若审计结果是未通过审计,则确定第二检测结果是未通过检测,并阻止执行进程。
在一种可实现的实施方式中,对行为进行审计可以依据预设评分规则,根据该行为和预设评分规则,得到该行为的评分,当得到审计结果是该评分大于预设评分阈值时,则确定为不通过审计,当得到的审计结果是该评分不大于预设评分阈值,则确定通过审计。
在另一种可实现的实施方式中,对行为进行审计可以是根据放行行为信息,只有该行为在放行行为信息中,则确定通过审计,否则,确定未通过审计。
S209、放行进程。
S210、阻止执行进程。
综上可知,本实施例构建了一个纵深的体系化防御,以减少攻击面为主要指导思想,对无文件攻击的大多数手段做中途限制,对易受漏洞攻击软件的操作智能监控,并对这些程序的高危行为进行审计,对于常用系统工具Powershell WScript的智能监控,不限制其执行,但限制其操作。
本实施例中采用内核驱动来实现这一需求,对进程的行为进行实时监控,并通知策略中心进行审计。以体系化的防御手段来大幅度的对无文件攻击进行识别和阻止,在用户体验上会比其他方案更加优秀,打扰程度低,用户可接受程度高。以进程分类的方式来分别个个击破的方式拦截无文件攻击,使用频度以及攻击面防护的手段拦截无文件攻击的防御体系。
下面对本申请实施例提供的一种无文件攻击检测装置进行介绍,下文描述的无文件攻击检测装置与上文描述的无文件攻击检测方法可相互对应参照,参考图3,图3为本申请实施例提供的一种无文件攻击检测装置的结构示意图,包括:
进程类型确定模块301,用于检测到进程创建的情况下,根据进程的进程信息确定进程的进程类型;
第一检测模块302,用于根据进程类型对应的检测策略对进程进行检测,并根据得到的第一检测结果确定是否执行进程。
优选的,还包括:
授信进程判断模块,用于判断进程的父进程是否是授信进程;
检测策略确定模块,用于若父进程是授信进程,则执行根据进程类型对应的检测策略对进程进行检测的步骤。
优选的,进程信息包括文件版本信息、文件签名、文件特征信息、文件哈希值中的任意一项或者多项。
优选的,第一检测模块302,包括:
第一检测单元,用于当进程类型是易被利用第三方程序的情况下,基于进程的应用情况对进程进行检测,根据得到的第一检测结果确定是否执行进程。
优选的,第一检测单元,包括:
判断子单元,用于判断进程的应用的端点设备的数量是否大于预设数量;
第一执行子单元,用于若数量大于预设数量,则确定第一检测结果是通过检测,并执行进程;
判断子单元,用于若数量不大于预设数量,则判断端点设备的执行频次是否大于预设频次阈值;
第二执行子单元,用于若执行频次大于预设频次阈值,则确定第一检测结果是通过检测,并执行进程;
第一阻止子单元,用于若执行频次不大于预设频次阈值,则确定第一检测结果是未通过检测,并阻止执行进程;
或,第一检测单元,包括:
数量判断子单元,用于判断进程的应用的端点设备的数量是否大于预设数量;
第三执行子单元,用于若数量大于预设数量,则确定第一检测结果是通过检测,并执行进程;
第二阻止子单元,用于若数量不大于预设数量,则确定第一检测结果是未通过检测,并阻止执行进程;
或,第一检测单元,包括:
频次判断子单元,用于判断端点设备的执行频次是否大于预设频次阈值;
第四执行子单元,用于若执行频次大于预设频次阈值,则确定第一检测结果是通过检测,并执行进程;
第三阻止子单元,用于若执行频次不大于预设频次阈值,则确定第一检测结果是未通过检测,并阻止执行进程。
优选的,第一检测模块302,包括:
执行单元,用于当进程类型是易受攻击进程的情况下,确定第一检测结果是通过检测,并执行进程。
优选的,第一检测模块302,包括:
扫描单元,用于当进程类型是易被利用系统组件进程时,扫描进程的命令行;
判断单元,用于根据命令行判断是否存在恶意命令和/或恶意参数;
阻止单元,用于若存在恶意命令和/或恶意参数,则确定第一检测结果是未通过检测,并阻止执行进程;
执行单元,用于若不存在恶意命令和/或恶意参数,则确定第一检测结果是通过检测,并执行进程。
优选的,还包括:
第二检测模块,用于当进程执行的情况下,对进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行进程。
优选的,第二检测模块包括:
行为监测单元,用于获取进程的执行过程中产生的行为;
行为判断单元,用于判断行为是否为可执行行为;
第一放行单元,用于若行为是可执行行为,则确定第二检测结果是通过检测,并放行进程;
阻止单元,用于若行为不是可执行行为,则确定第二检测结果是未通过检测,并阻止执行进程;
审计单元,用于若行为不是可执行行为,则对行为进行审计,得到审计结果;
第二放行单元,用于若审计结果是通过审计,则确定第二检测结果是通过检测,并放行进程;
阻止单元,用于若审计结果是未通过审计,则确定第二检测结果是未通过检测,并阻止执行进程。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种电子设备进行介绍,下文描述的电子设备与上文描述的无文件攻击检测方法可相互对应参照。请参考图4,图4为本申请实施例提供的一种电子设备的结构示意图,包括:
存储器401,用于存储计算机程序;
处理器402,用于执行计算机程序时实现如上述无文件攻击检测方法的步骤。具体的,存储器401包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机可读指令,该内存储器为非易失性存储介质中的操作系统和计算机可读指令的执行提供环境。处理器402在一些实施例中可以是一中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片,为电子设备提供计算和控制能力,执行存储器401中保存的计算机程序时,可以实现前述任一实施例公开的无文件攻击检测方法的步骤。
在上述实施例的基础上,作为优选实施方式,参见图5所示,图5为本申请实施例提供的另一种电子设备的结构示意图,电子设备还包括:
输入接口403,与处理器402相连,用于获取外部导入的计算机程序、参数和指令,经处理器402控制保存至存储器401中。该输入接口403可以与输入装置相连,接收用户手动输入的参数或指令。该输入装置可以是显示屏上覆盖的触摸层,也可以是终端外壳上设置的按键、轨迹球或触控板,也可以是键盘、触控板或鼠标等。
显示单元404,与处理器402相连,用于显示处理器402处理的数据以及用于显示可视化的用户界面。该显示单元404可以为LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。
网络端口405,与处理器402相连,用于与外部各终端设备进行通信连接。该通信连接所采用的通信技术可以为有线通信技术或无线通信技术,如移动高清链接技术(MHL)、通用串行总线(USB)、高清多媒体接口(HDMI)、无线保真技术(WiFi)、蓝牙通信技术、低功耗蓝牙通信技术、基于IEEE802.11s的通信技术等。
图5仅示出了具有组件401-405的电子设备,本领域技术人员可以理解的是,图5示出的结构并不构成对电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
由于电子设备部分的实施例与无文件攻击检测方法部分的实施例相互对应,因此电子设备部分的实施例请参见无文件攻击检测方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的方法可相互对应参照。
本实施例提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述无文件攻击检测方法的步骤。
由于计算机可读存储介质部分的实施例与方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种无文件攻击检测方法、无文件攻击检测装置、电子设备和计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种无文件攻击检测方法,其特征在于,包括:
检测到进程创建的情况下,根据所述进程的进程信息确定所述进程的进程类型;
当所述进程类型是易被利用第三方程序的情况下,基于所述进程的应用情况对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程;
其中,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述进程的应用的端点设备的数量是否大于预设数量;
若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述数量不大于所述预设数量,则判断所述端点设备的执行频次是否大于预设频次阈值;
若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述进程的应用的所述端点设备的所述数量是否大于所述预设数量;
若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述数量不大于所述预设数量,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或,所述基于所述进程的应用情况对所述进程进行检测,并根据得到的所述第一检测结果确定是否执行所述进程,包括:
判断所述端点设备的执行频次是否大于所述预设频次阈值;
若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;
若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程。
2.根据权利要求1所述的无文件攻击检测方法,其特征在于,所述根据所述进程的进程信息确定所述进程的进程类型之后,还包括:
判断所述进程的父进程是否是授信进程;
若所述父进程是所述授信进程,则执行所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程的步骤。
3.根据权利要求1所述的无文件攻击检测方法,其特征在于,所述进程信息包括文件版本信息、文件签名、文件特征信息、文件哈希值中的任意一项或者多项。
4.根据权利要求1所述的无文件攻击检测方法,其特征在于,所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程,包括:
当所述进程类型是易受攻击进程的情况下,确定所述第一检测结果是通过检测,并执行所述进程。
5.根据权利要求1所述的无文件攻击检测方法,其特征在于,所述根据所述进程类型对应的检测策略对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程,包括:
当所述进程类型是易被利用系统组件进程的情况下,扫描所述进程的命令行;
根据所述命令行判断是否存在恶意命令和/或恶意参数;
若存在所述恶意命令和/或所述恶意参数,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
若不存在所述恶意命令和/或所述恶意参数,则确定所述第一检测结果是通过检测,并执行所述进程。
6.根据权利要求1至5任一项所述的无文件攻击检测方法,其特征在于,所述根据得到的第一检测结果确定是否执行所述进程之后,还包括:
当所述进程执行的情况下,对所述进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行所述进程。
7.根据权利要求6所述的无文件攻击检测方法,其特征在于,所述对所述进程的执行过程中的进程行为进行检测,并根据得到的第二检测结果确定是否放行所述进程,包括:
获取所述进程的所述执行过程中产生的行为;
判断所述行为是否为可执行行为;
若所述行为是所述可执行行为,则确定所述第二检测结果是通过检测,并放行所述进程;
若所述行为不是所述可执行行为,则确定所述第二检测结果是未通过检测,并阻止执行所述进程;
或,若所述行为不是所述可执行行为,则对所述行为进行审计,得到审计结果;
若所述审计结果是通过审计,则确定所述第二检测结果是通过检测,并放行所述进程;
若所述审计结果是未通过所述审计,则确定所述第二检测结果是未通过检测,并阻止执行所述进程。
8.一种无文件攻击检测装置,其特征在于,包括:
进程类型确定模块,用于检测到进程创建的情况下,根据所述进程的进程信息确定所述进程的进程类型;
第一检测模块,用于当所述进程类型是易被利用第三方程序的情况下,基于所述进程的应用情况对所述进程进行检测,并根据得到的第一检测结果确定是否执行所述进程;
其中,所述第一检测模块,具体用于:判断所述进程的应用的端点设备的数量是否大于预设数量;若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;若所述数量不大于所述预设数量,则判断所述端点设备的执行频次是否大于预设频次阈值;若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或所述第一检测模块,具体用于:判断所述进程的应用的所述端点设备的所述数量是否大于所述预设数量;若所述数量大于所述预设数量,则确定所述第一检测结果是通过检测,并执行所述进程;若所述数量不大于所述预设数量,则确定所述第一检测结果是未通过检测,并阻止执行所述进程;
或所述第一检测模块,具体用于:判断所述端点设备的执行频次是否大于所述预设频次阈值;若所述执行频次大于所述预设频次阈值,则确定所述第一检测结果是通过检测,并执行所述进程;若所述执行频次不大于所述预设频次阈值,则确定所述第一检测结果是未通过检测,并阻止执行所述进程。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述无文件攻击检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述无文件攻击检测方法的步骤。
CN202010625139.0A 2020-07-01 2020-07-01 一种无文件攻击检测方法、装置、电子设备和介质 Active CN111753301B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010625139.0A CN111753301B (zh) 2020-07-01 2020-07-01 一种无文件攻击检测方法、装置、电子设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010625139.0A CN111753301B (zh) 2020-07-01 2020-07-01 一种无文件攻击检测方法、装置、电子设备和介质

Publications (2)

Publication Number Publication Date
CN111753301A CN111753301A (zh) 2020-10-09
CN111753301B true CN111753301B (zh) 2024-04-09

Family

ID=72678634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010625139.0A Active CN111753301B (zh) 2020-07-01 2020-07-01 一种无文件攻击检测方法、装置、电子设备和介质

Country Status (1)

Country Link
CN (1) CN111753301B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI755278B (zh) * 2021-02-09 2022-02-11 國立中央大學 偵測無檔案惡意軟體的系統及方法
CN113886814A (zh) * 2021-09-29 2022-01-04 深信服科技股份有限公司 一种攻击检测方法及相关装置
CN114065204A (zh) * 2021-11-29 2022-02-18 中国工商银行股份有限公司 一种无文件木马查杀方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102855274A (zh) * 2012-07-17 2013-01-02 北京奇虎科技有限公司 一种可疑进程检测的方法和装置
CN103235912A (zh) * 2013-04-12 2013-08-07 福建伊时代信息科技股份有限公司 可信进程识别装置和可信进程识别方法
CN107122663A (zh) * 2017-04-28 2017-09-01 成都梆梆信息科技有限公司 一种注入攻击检测方法及装置
CN108804918A (zh) * 2017-12-31 2018-11-13 北京安天网络安全技术有限公司 安全性防御方法、装置、电子设备及存储介质
CN109815695A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 进程安全的检测方法、装置及设备
CN111125688A (zh) * 2019-12-13 2020-05-08 北京浪潮数据技术有限公司 一种进程控制方法、装置及电子设备和存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102855274A (zh) * 2012-07-17 2013-01-02 北京奇虎科技有限公司 一种可疑进程检测的方法和装置
CN103235912A (zh) * 2013-04-12 2013-08-07 福建伊时代信息科技股份有限公司 可信进程识别装置和可信进程识别方法
CN107122663A (zh) * 2017-04-28 2017-09-01 成都梆梆信息科技有限公司 一种注入攻击检测方法及装置
CN108804918A (zh) * 2017-12-31 2018-11-13 北京安天网络安全技术有限公司 安全性防御方法、装置、电子设备及存储介质
CN109815695A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 进程安全的检测方法、装置及设备
CN111125688A (zh) * 2019-12-13 2020-05-08 北京浪潮数据技术有限公司 一种进程控制方法、装置及电子设备和存储介质

Also Published As

Publication number Publication date
CN111753301A (zh) 2020-10-09

Similar Documents

Publication Publication Date Title
CN111753301B (zh) 一种无文件攻击检测方法、装置、电子设备和介质
US10893068B1 (en) Ransomware file modification prevention technique
EP3502943B1 (en) Method and system for generating cognitive security intelligence for detecting and preventing malwares
US10872151B1 (en) System and method for triggering analysis of an object for malware in response to modification of that object
US20220368707A1 (en) System and Method for Cyber Security Threat Detection
US10462173B1 (en) Malware detection verification and enhancement by coordinating endpoint and malware detection systems
EP2788912B1 (en) Predictive heap overflow protection
US8272059B2 (en) System and method for identification and blocking of malicious code for web browser script engines
US10148689B2 (en) Method and apparatus for monitoring malicious link injection into website source code
US9262628B2 (en) Operating system sandbox
US20170185785A1 (en) System, method and apparatus for detecting vulnerabilities in electronic devices
US20150310213A1 (en) Adjustment of protection based on prediction and warning of malware-prone activity
EP3270317B1 (en) Dynamic security module server device and operating method thereof
US9275231B1 (en) Method and apparatus for securing a computer using an optimal configuration for security software based on user behavior
JP6383445B2 (ja) 保護されたアプリケーションへのアクセスを阻止するシステム及び方法
CN106161373B (zh) 一种安全防护信息提示方法、安全监控装置以及系统
US20160335439A1 (en) Method and apparatus for detecting unsteady flow in program
US20190327263A1 (en) Distributed client protection
JP2019525314A (ja) グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減
US11263307B2 (en) Systems and methods for detecting and mitigating code injection attacks
US20220138311A1 (en) Systems and methods for detecting and mitigating code injection attacks
KR20090081200A (ko) 인터넷 사이트 보안 시스템 및 그 방법
CN114095227A (zh) 一种数据通信网关可信认证方法、系统及电子设备
KR101426059B1 (ko) 애플리케이션의 제어 방법
CN115834112A (zh) 暴力破解的确定方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant