CN112398786B - 渗透攻击的识别方法及装置、系统、存储介质、电子装置 - Google Patents
渗透攻击的识别方法及装置、系统、存储介质、电子装置 Download PDFInfo
- Publication number
- CN112398786B CN112398786B CN201910755445.3A CN201910755445A CN112398786B CN 112398786 B CN112398786 B CN 112398786B CN 201910755445 A CN201910755445 A CN 201910755445A CN 112398786 B CN112398786 B CN 112398786B
- Authority
- CN
- China
- Prior art keywords
- remote management
- process chain
- behavior
- chain information
- penetration attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 226
- 230000035515 penetration Effects 0.000 title claims abstract description 83
- 230000008569 process Effects 0.000 claims abstract description 188
- 230000006399 behavior Effects 0.000 claims abstract description 166
- 238000012544 monitoring process Methods 0.000 claims abstract description 31
- 238000004590 computer program Methods 0.000 claims description 18
- 230000009471 action Effects 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000004880 explosion Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 125
- 238000010586 diagram Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 8
- 238000004891 communication Methods 0.000 description 5
- 230000000903 blocking effect Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 231100000572 poisoning Toxicity 0.000 description 1
- 230000000607 poisoning effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种渗透攻击的识别方法及装置、系统、存储介质、电子装置,其中,该方法包括:监测所述第一设备向第二设备发起的远程管理行为;获取所述远程管理行为的进程链信息;向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。通过本发明,解决了相关技术中无法识别渗透攻击的技术问题。可以避免利用弱口令、口令泄露或口令被爆破等创建的非法远程管理,提高了远程管理的安全性。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种渗透攻击的识别方法及装置、系统、存储介质、电子装置。
背景技术
相关技术中,业务系统管理人员在对服务器或者远程设备进行管理时,通常都采用远程登录管理模式,并根据业务的不同采用不同的远程管理方法。比如:针对服务器Windows操作系统的管理时,通常采用C/S模式,在终端通过客户端程序连接到被管理服务器端的服务端程序,进行管理。而针对网站、邮件、论坛、OA(办公自动化,OfficeAutomation)系统等Web服务系统进行管理时,通常采用B/S模式,在终端使用浏览器通过相应Web服务提供的管理页面进行登录管理。
至今为止,仍有大量“逍遥法外”的境外黑客通过工具破解服务器系统密码,使用远程协助的攻击手段进行“手动投毒”,并危害着网民的服务器系统安全。与显性攻击相比,针对企业服务器的精准攻击是隐性的。由于服务器使用弱口令和存在严重系统漏洞,导致被黑客入侵远程攻击是最为常见的两个原因。相关技术中的远程连接方式存在严重的安全缺陷。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种渗透攻击的识别方法及装置、系统、存储介质、电子装置。
根据本发明的一个实施例,提供了一种渗透攻击的识别方法,应用在第一设备,包括:监测所述第一设备向第二设备发起的远程管理行为;获取所述远程管理行为的进程链信息;向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。
可选的,获取所述远程管理行为的进程链信息包括:通过文件驱动识别所述远程管理行为的操作进程;追溯所述操作进程的上级进程,直到所述操作进程根节点的父进程;将所述根节点的父进程至所述操作进程的所有进程,确定为所述远程管理行为的进程链信息。
可选的,监测所述第一设备向第二设备发起的远程管理行为包括:监测所述第一设备执行的操作行为;通过网络驱动识别所述操作行为为针对所述第二设备的Windows管理规范WMI远程管理行为。
根据本发明的一个实施例,提供了另一种渗透攻击的识别方法,应用在第二设备,包括:监测来自第一设备的远程管理行为;从服务器获取进程链信息;根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为。
可选的,根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为包括:读取所述远程管理行为的可信进程链列表;判断所述进程链信息是否与所述可信进程链列表匹配;在所述进程链信息与所述可信进程链列表不匹配时,确定所述远程管理行为为渗透攻击行为;在所述进程链信息与所述可信进程链列表匹配时,确定所述远程管理行为为合法行为。
可选的,根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为包括:识别所述进程链信息的上传设备;判断所述上传设备是否与所述第一设备匹配;在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为渗透攻击行为;在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为合法行为。
可选的,在根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为之后,所述方法还包括:在所述远程管理行为为渗透攻击行为,阻断或者告警所述远程管理行为;在所述远程管理行为为合法行为时,允许所述第一设备远程接入所述第二设备。
根据本发明的另一个实施例,提供了一种渗透攻击的识别装置,应用在第一设备,包括:监测模块,用于监测所述第一设备向第二设备发起的远程管理行为;获取模块,用于获取所述远程管理行为的进程链信息;发送模块,用于向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。
可选的,所述获取模块包括:识别单元,用于通过文件驱动识别所述远程管理行为的操作进程;追溯单元,用于追溯所述操作进程的上级进程,直到所述操作进程根节点的父进程;确定单元,用于将所述根节点的父进程至所述操作进程的所有进程,确定为所述远程管理行为的进程链信息。
可选的,所述监测模块包括:监测单元,用于监测所述第一设备执行的操作行为;识别单元,用于通过网络驱动识别所述操作行为为针对所述第二设备的Windows管理规范WMI远程管理行为。
根据本发明的另一个实施例,提供了另一种渗透攻击的识别装置,应用在第二设备,包括:监测模块,用于监测来自第一设备的远程管理行为;获取模块,用于从服务器获取进程链信息;识别模块,用于根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为。
可选的,所述识别模块包括:读取单元,用于读取所述远程管理行为的可信进程链列表;第一判断单元,用于判断所述进程链信息是否与所述可信进程链列表匹配;第一确定单元,用于在所述进程链信息与所述可信进程链列表不匹配时,确定所述远程管理行为为渗透攻击行为;在所述进程链信息与所述可信进程链列表匹配时,确定所述远程管理行为为合法行为。
可选的,所述识别模块包括:识别单元,用于识别所述进程链信息的上传设备;第二判断单元,用于判断所述上传设备是否与所述第一设备匹配;第二确定单元,用于在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为渗透攻击行为;在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为合法行为。
可选的,所述装置还包括:控制模块,用于在所述识别模块根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为之后,在所述远程管理行为为渗透攻击行为时,阻断或者告警所述远程管理行为;在所述远程管理行为为合法行为时,允许所述第一设备远程接入所述第二设备。
根据本发明的又一个实施例,提供了一种渗透攻击的识别系统,包括:第一设备,第二设备,与所述第一设备和所述第二设备连接的服务器,其中,所述第一设备,包括如上述实施例所描述的装置;所述第二设备,包括如上述实施例所描述的装置;所述服务器,用于接收所述第一设备发送的进程链信息,以及向所述第二设备发送所述进程链信息。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,监测所述第一设备向第二设备发起的远程管理行为,然后获取所述远程管理行为的进程链信息,最后向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,通过远程管理行为的进程链信息来识别渗透攻击,解决了相关技术中无法识别渗透攻击的技术问题。可以避免利用弱口令、口令泄露或口令被爆破等创建的非法远程管理,提高了远程管理的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种渗透攻击的识别计算机的硬件结构框图;
图2是根据本发明实施例的一种渗透攻击的识别方法的流程图;
图3是根据本发明实施例的另一种渗透攻击的识别方法的流程图;
图4是本发明实施例的渗透攻击的控制示意图;
图5是根据本发明实施例的一种渗透攻击的识别装置的结构框图;
图6是根据本发明实施例的另一种渗透攻击的识别装置的结构框图;
图7是根据本发明实施例的一种渗透攻击的识别系统的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器、计算机、终端或者类似的运算装置中执行。以运行在计算机上为例,图1是本发明实施例的一种渗透攻击的识别计算机的硬件结构框图。如图1所示,计算机10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述计算机还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机的结构造成限定。例如,计算机10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种渗透攻击的识别方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
本实施例应用的远程管理场景包括第一设备,第二设备,服务器,其中,在远程管理(远程访问、远程登录、文件共享等)时,本地设备(第一设备)发起远程管理请求,以连接到远程设备(第二设备),在连接成功后,本地设备即可以在权限范围内操控远程设备。服务器用于在第一设备和第二设备之间进行信息中转和交互。
在本实施例中提供了一种渗透攻击的识别方法,图2是根据本发明实施例的一种渗透攻击的识别方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,监测第一设备向第二设备发起的远程管理行为;
步骤S204,获取远程管理行为的进程链信息;
步骤S206,向服务器发送进程链信息,其中,进程链信息用于第二设备对第一设备发起的远程管理行为进行渗透攻击识别。
第二设备在监测到第一设备发起的远程管理行为,会依据进程链信息对第一设备发起的远程管理行为进行渗透攻击识别,以确定发起的远程管理行为是否为渗透攻击行为,如局域网内的渗透攻击行为。
通过上述步骤,监测所述第一设备向第二设备发起的远程管理行为,然后获取所述远程管理行为的进程链信息,最后向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,通过远程管理行为的进程链信息来识别渗透攻击,解决了相关技术中无法识别渗透攻击的技术问题。可以避免利用弱口令、口令泄露或口令被爆破等创建的非法远程管理,提高了远程管理的安全性。
本实施例的方案可以应用在各种不同的远程管理模式中,如C/S模式,B/S模式等,第一设备与第二设备的通讯方式也可以是中转或者直连的通讯方式,可以是C直连S、或S直连C(B/S类似)等任意的信息传输与数据交换方式,下面进行举例说明:
在C/S模式的远程管理场景中,针对服务器Windows操作系统的管理时,可以采用C/S模式,在终端通过Telnet(远程登录协议)客户端程序连接到被管理服务器端的Telnet服务端程序,进行管理。
在B/S模式的远程管理场景中,在网站、邮件、论坛、OA等Web服务系统进行管理时,通常采用B/S模式,在终端使用浏览器通过相应Web服务提供的管理页面进行登录管理。
在本实施例中,获取远程管理行为的进程链信息包括:通过文件驱动识别远程管理行为的操作进程;追溯操作进程的上级进程,直到操作进程根节点的父进程;将根节点的父进程至操作进程的所有进程,确定为远程管理行为的进程链信息。
由于系统中的每个进程,根据父进程的关系,向上可以找到其根节点的父进程,向下找到其最下一层的子进程,以此构成的进程关系链。如远程管理行为的操作进程为P0,通过向上追溯,P0的父进程为P1,P1的父进程为P2,P2为根节点的起始进程,可知,远程管理行为的进程链信息为:P2-P1-P0。
可选的,本实施例通过网络驱动获取发起远程连接的进程,监测第一设备向第二设备发起的远程管理行为包括:监测第一设备执行的操作行为;通过网络驱动识别操作行为为针对第二设备的WMI(Windows Management Instrumentation,Windows管理规范)远程管理行为。
在本实施例中提供了另一种渗透攻击的识别方法,图3是根据本发明实施例的另一种渗透攻击的识别方法的流程图,应用在第二设备,如图3所示,该流程包括如下步骤:
步骤S302,监测来自第一设备的远程管理行为;
步骤S304,从服务器获取进程链信息;
本实施例的进程链信息除了进程链的成员信息和时序信息之外,还可以包括其上传设备,上传时间等。
在监测到远程管理行为后,即从服务器获取进程链信息。
步骤S306,根据进程链信息识别远程管理行为是否为渗透攻击行为。
在远程管理行为为渗透攻击行为,阻断或者告警(放行但是触发告警信息通知用户)远程管理行为时;在远程管理行为为合法行为时,允许第一设备远程接入第二设备。
在本实施例中,识别远程管理行为是否为渗透攻击行为包括多种识别方式,下面进行举例说明:
在本实施例的一个实施方式中,根据进程链信息识别远程管理行为是否为渗透攻击行为包括:
S11,读取远程管理行为的可信进程链列表;
本实施例的可信进程链列表是预先配置的,不同的远程管理行为对应的可信进程链不同,如行为1的可信进程链为P1-P2-P3,如行为2的可信进程链为P4-P5-P3。
S12,判断进程链信息是否与可信进程链列表匹配;
S13,在进程链信息与可信进程链列表不匹配时,确定远程管理行为为渗透攻击行为;在进程链信息与可信进程链列表匹配时,确定远程管理行为为合法行为。
在本实施例的另一个实施方式中,根据进程链信息识别远程管理行为是否为渗透攻击行为包括:
S21,识别进程链信息的上传设备;
本实施例的服务器中保存了各个进程链信息以及对应的上传设备,如进程链信息1-上传设备1,进程链信息2-上传设备2。
S22,判断上传设备是否与第一设备匹配;
S23,在上传设备与第一设备不匹配时,确定远程管理行为为渗透攻击行为;在上传设备与第一设备不匹配时,确定远程管理行为为合法行为。
此外,还可以进一步判断上传设备是否在可信设备列表中,可信设备列表预先配置在第二设备中,如果上传设备也在可信设备列表中,确定远程管理行为为合法行为。
图4是本发明实施例的渗透攻击的控制示意图,其中,客户端A到客户端B分别为远程管理行为的发起设备和响应设备,控制中心为服务器。本实施例在内核层和数据服务层对远程管理行为进行监控管理,可以与应用层的防御方案进行结合使用。
对于客户端A到客户端B的远程连接,本实施例在整个登录过程,建立A到B的进程链对应关系,通过描述可信连接的列表,达到“准入”效果。也即:只有在列表中允许的客户端上,被允许的进程链,发起的对应登录连接,才能够被连接的接受方允许接入。
在客户端A中,通过网络驱动获取发起特定连接的进程,通过文件驱动获取该进程的进程链,通过整条进程链获取其发起连接的合法性并将这些信息综合起来向中控打点。
在服务器B中,通过网络驱动获取连接行为,通过向中控查询打点获取该连接行为是否为合法,如合法,则放过,否则阻止。
在某客户局域网中,管理员通过wmi共计进行一次远程管理,此时网络驱动识别出这是一次wmi远程行为,通知给客户端,客户端通过文件驱动得到该远程行为的完整进程链,发现是管理员通过powershell进行远程管理,遂向中控服务器打点,被管理端侦测到远程管理连接之后,去中控查询打点,查询后得知其为合法,随后放行,管理员顺利的进行工作。另一方面,某黑客攻陷了该局域网中的一台机器,利用自己写的脚本通过wmi发起远程控制,该行为被网络驱动侦测到,随后通过进程链发现其是一个非法工具发起的行为,随后拒绝打点,当连接到达被连接端时,被连接端未查询到打点,随后拒绝该连接,黑客通过wmi横向渗透的企图被阻止。通过本实施例的方案,能够在内网中准确识别横向渗透攻击行为,并予以阻止。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种渗透攻击的识别装置,系统,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的一种渗透攻击的识别装置的结构框图,应用在第一设备,如图5所示,该装置包括:监测模块50,获取模块52,发送模块54,其中,
监测模块50,用于监测所述第一设备向第二设备发起的远程管理行为;
获取模块52,用于获取所述远程管理行为的进程链信息;
发送模块54,用于向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。
可选的,所述获取模块包括:识别单元,用于通过文件驱动识别所述远程管理行为的操作进程;追溯单元,用于追溯所述操作进程的上级进程,直到所述操作进程根节点的父进程;确定单元,用于将所述根节点的父进程至所述操作进程的所有进程,确定为所述远程管理行为的进程链信息。
可选的,所述监测模块包括:监测单元,用于监测所述第一设备执行的操作行为;识别单元,用于通过网络驱动识别所述操作行为为针对所述第二设备的Windows管理规范WMI远程管理行为。
图6是根据本发明实施例的另一种渗透攻击的识别装置的结构框图,应用在第二设备,如图6所示,该装置包括:监测模块60,获取模块62,识别模块64,其中,
监测模块60,用于监测来自第一设备的远程管理行为;
获取模块62,用于从服务器获取进程链信息;
识别模块64,用于根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为。
可选的,所述识别模块包括:读取单元,用于读取所述远程管理行为的可信进程链列表;第一判断单元,用于判断所述进程链信息是否与所述可信进程链列表匹配;第一确定单元,用于在所述进程链信息与所述可信进程链列表不匹配时,确定所述远程管理行为为渗透攻击行为;在所述进程链信息与所述可信进程链列表匹配时,确定所述远程管理行为为合法行为。
可选的,所述识别模块包括:识别单元,用于识别所述进程链信息的上传设备;第二判断单元,用于判断所述上传设备是否与所述第一设备匹配;第二确定单元,用于在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为渗透攻击行为;在所述上传设备与所述第一设备不匹配时,确定所述远程管理行为为合法行为。
可选的,所述装置还包括:控制模块,用于在所述识别模块根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为之后,在所述远程管理行为为渗透攻击行为时,阻断或者告警所述远程管理行为;在所述远程管理行为为合法行为时,允许所述第一设备远程接入所述第二设备。
图7是根据本发明实施例的一种渗透攻击的识别系统的结构框图,如图7所示,该系统包括:第一设备70,第二设备72,与所述第一设备和所述第二设备连接的服务器74,其中,所述第一设备70,包括如上述实施例所述的装置;所述第二设备72,包括如上述实施例所述的装置;所述服务器104,用于接收所述第一设备发送的进程链信息,以及向所述第二设备发送所述进程链信息。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,监测所述第一设备向第二设备发起的远程管理行为;
S2,获取所述远程管理行为的进程链信息;
S3,向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,监测所述第一设备向第二设备发起的远程管理行为;
S2,获取所述远程管理行为的进程链信息;
S3,向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (7)
1.一种渗透攻击的识别方法,应用在第一设备,其特征在于,包括:
监测所述第一设备向第二设备发起的远程管理行为;
获取所述远程管理行为的进程链信息,其中,所述进程链信息包括:进程链的成员信息、时序信息、上传设备和/或上传时间;
向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,所述第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,包括:
读取所述远程管理行为的可信进程链列表;
判断所述进程链信息是否与所述可信进程链列表匹配;
在所述进程链信息与所述可信进程链列表不匹配时,确定所述远程管理行为为渗透攻击行为;在所述进程链信息与所述可信进程链列表匹配时,确定所述远程管理行为为合法行为;
如果所述远程管理行为被判断为渗透攻击行为,则不被允许接入第二设备,否则允许接入第二设备。
2.根据权利要求1所述的方法,其特征在于,获取所述远程管理行为的进程链信息包括:
通过文件驱动识别所述远程管理行为的操作进程;
追溯所述操作进程的上级进程,直到所述操作进程根节点的父进程;
将所述根节点的父进程至所述操作进程的所有进程,确定为所述远程管理行为的进程链信息。
3.根据权利要求1所述的方法,其特征在于,监测所述第一设备向第二设备发起的远程管理行为包括:
监测所述第一设备执行的操作行为;
通过网络驱动识别所述操作行为为针对所述第二设备的Windows管理规范WMI远程管理行为。
4.一种渗透攻击的识别装置,应用在第一设备,其特征在于,包括:
监测模块,用于监测所述第一设备向第二设备发起的远程管理行为;
获取模块,用于获取所述远程管理行为的进程链信息,其中,所述进程链信息包括:进程链的成员信息、时序信息、上传设备和/或上传时间;
发送模块,用于向服务器发送所述进程链信息,其中,所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,所述第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别,包括:
读取所述远程管理行为的可信进程链列表;
判断所述进程链信息是否与所述可信进程链列表匹配;
在所述进程链信息与所述可信进程链列表不匹配时,确定所述远程管理行为为渗透攻击行为;在所述进程链信息与所述可信进程链列表匹配时,确定所述远程管理行为为合法行为;
如果所述远程管理行为被判断为渗透攻击行为,则不被允许接入第二设备,否则允许接入第二设备。
5.一种渗透攻击的识别系统,其特征在于,包括:第一设备,第二设备,与所述第一设备和所述第二设备连接的服务器,其中,
所述第一设备,包括如权利要求4所述的装置;
所述服务器,用于接收所述第一设备发送的进程链信息,以及向所述第二设备发送所述进程链信息。
6.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至3任一项中所述的方法。
7.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至3任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755445.3A CN112398786B (zh) | 2019-08-15 | 2019-08-15 | 渗透攻击的识别方法及装置、系统、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755445.3A CN112398786B (zh) | 2019-08-15 | 2019-08-15 | 渗透攻击的识别方法及装置、系统、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112398786A CN112398786A (zh) | 2021-02-23 |
| CN112398786B true CN112398786B (zh) | 2023-08-15 |
Family
ID=74601739
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755445.3A Active CN112398786B (zh) | 2019-08-15 | 2019-08-15 | 渗透攻击的识别方法及装置、系统、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398786B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114465752B (zh) * | 2021-12-10 | 2024-06-28 | 奇安信科技集团股份有限公司 | 一种远程调用检测方法、装置、电子设备及存储介质 |
| CN114466074B (zh) * | 2021-12-10 | 2024-04-30 | 奇安信科技集团股份有限公司 | 一种基于wmi的攻击行为检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105302707A (zh) * | 2014-06-06 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 应用程序的漏洞检测方法和装置 |
| CN108200053A (zh) * | 2017-12-30 | 2018-06-22 | 成都亚信网络安全产业技术研究院有限公司 | 记录apt攻击操作的方法及装置 |
| CN108966234A (zh) * | 2018-05-31 | 2018-12-07 | 北京五八信息技术有限公司 | 恶意信息的处理方法和装置 |
| CN109818972A (zh) * | 2019-03-12 | 2019-05-28 | 国网新疆电力有限公司电力科学研究院 | 一种工业控制系统信息安全管理方法、装置及电子设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10084816B2 (en) * | 2015-06-26 | 2018-09-25 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
-
2019
- 2019-08-15 CN CN201910755445.3A patent/CN112398786B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105302707A (zh) * | 2014-06-06 | 2016-02-03 | 腾讯科技(深圳)有限公司 | 应用程序的漏洞检测方法和装置 |
| CN108200053A (zh) * | 2017-12-30 | 2018-06-22 | 成都亚信网络安全产业技术研究院有限公司 | 记录apt攻击操作的方法及装置 |
| CN108966234A (zh) * | 2018-05-31 | 2018-12-07 | 北京五八信息技术有限公司 | 恶意信息的处理方法和装置 |
| CN109818972A (zh) * | 2019-03-12 | 2019-05-28 | 国网新疆电力有限公司电力科学研究院 | 一种工业控制系统信息安全管理方法、装置及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112398786A (zh) | 2021-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829310B (zh) | 相似攻击的防御方法及装置、系统、存储介质、电子装置 | |
| US9654480B2 (en) | Systems and methods for profiling client devices | |
| CN105282126B (zh) | 登录认证方法、终端及服务器 | |
| EP2963958B1 (en) | Network device, terminal device and information security improving method | |
| US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
| CN105939326A (zh) | 处理报文的方法及装置 | |
| CN109862043A (zh) | 一种终端认证的方法及装置 | |
| CN112398786B (zh) | 渗透攻击的识别方法及装置、系统、存储介质、电子装置 | |
| CN104767713A (zh) | 账号绑定的方法、服务器及系统 | |
| CN110516470A (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、系统、存储介质、电子装置 | |
| CN103841091A (zh) | 一种安全登录方法、装置及系统 | |
| CN113259918A (zh) | 设备的绑定方法及系统 | |
| CN113812125B (zh) | 登录行为的校验方法及装置、系统、存储介质、电子装置 | |
| CN114006772B (zh) | 一种反制黑客攻击的方法、装置、电子设备及存储介质 | |
| CN115633359A (zh) | Pfcp会话安全检测方法、装置、电子设备和存储介质 | |
| CN113162922B (zh) | 客户端数据的获取方法及装置、存储介质、电子设备 | |
| CN107317790B (zh) | 网络行为的监控方法及装置 | |
| CN114285890A (zh) | 云平台连接方法、装置、设备及存储介质 | |
| CN108134771A (zh) | 手机号码同一性验证方法 | |
| CN109560960B (zh) | Waf暴力破解防护的参数配置方法及装置、waf系统 | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN107124390B (zh) | 计算设备的安全防御、实现方法、装置及系统 | |
| CN113596823A (zh) | 切片网络保护方法及装置 | |
| CN112398785A (zh) | 资源共享的控制方法及装置、系统、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |