CN114021125A - 终端设备异常检测方法、装置、计算设备及存储介质 - Google Patents
终端设备异常检测方法、装置、计算设备及存储介质 Download PDFInfo
- Publication number
- CN114021125A CN114021125A CN202111324003.7A CN202111324003A CN114021125A CN 114021125 A CN114021125 A CN 114021125A CN 202111324003 A CN202111324003 A CN 202111324003A CN 114021125 A CN114021125 A CN 114021125A
- Authority
- CN
- China
- Prior art keywords
- script
- tool
- powershell
- abnormal behavior
- execution environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 49
- 238000013515 script Methods 0.000 claims abstract description 136
- 238000000034 method Methods 0.000 claims abstract description 77
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 65
- 230000005856 abnormality Effects 0.000 claims abstract description 23
- 230000008569 process Effects 0.000 claims description 39
- 238000012544 monitoring process Methods 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 13
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000006399 behavior Effects 0.000 abstract description 14
- 230000002159 abnormal effect Effects 0.000 abstract description 11
- 238000012550 audit Methods 0.000 description 12
- 230000009471 action Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供了一种终端设备异常检测方法、装置、计算设备及存储介质,其中方法包括:在当前终端设备中创建PowerShell脚本执行环境;在所述PowerShell脚本执行环境中执行异常行为捕获脚本;获取所述异常行为捕获脚本的执行结果。本方案,无需安装安全工具,并且由于恶意代码检测不到系统中运行的安全工具,因此不会隐藏恶意行为,从而利用Windows系统中自带的PowerShell可实现对终端设备的异常检测。
Description
技术领域
本发明实施例涉及计算机技术领域,特别涉及一种终端设备异常检测方法、装置、计算设备及存储介质。
背景技术
随着互联网的飞速发展和计算机的快速普及,在方便用户的同时,也带来了安全隐患。计算机病毒对社会和国家所带来的影响和危害越来越大。为了有效防护计算机病毒,可以对恶意代码在计算机内恶意行为进行分析,以快速得出处置方案。
目前,一般在终端设备上安装并运行安全工具,利用安全工具对终端设备进行异常检测。但是为了对抗安全工具的检测,恶意代码会通过搜索进程、注册表等方式检测系统中是否存在病毒分析工具、流量监测工具等安全工具,若检测到,则会改变操作行为或者隐蔽恶意行为,以逃避安全工具对终端设备异常的检测。
发明内容
基于恶意代码能够逃避安全工具对终端设备异常的检测的问题,本发明实施例提供了一种终端设备异常检测方法、装置、计算设备及存储介质,能够避开恶意代码的检测,从而实现对终端设备的异常检测。
第一方面,本发明实施例提供了一种终端设备异常检测方法,包括:
在当前终端设备中创建PowerShell脚本执行环境;
在所述PowerShell脚本执行环境中执行异常行为捕获脚本;
获取所述异常行为捕获脚本的执行结果。
优选地,所述异常行为捕获脚本包括:网络流量抓取脚本;
所述在所述PowerShell脚本执行环境中执行异常行为捕获脚本,包括:
在所述PowerShell脚本执行环境中创建网络事件会话,利用所述网络事件会话控制所述终端设备抓取网络流量,将所述网络流量记录为Windows事件跟踪事件,将所述Windows事件跟踪事件存储在etl文件中。
优选地,所述异常行为捕获脚本包括:进程信息监控脚本;
所述在所述PowerShell脚本执行环境中执行异常行为捕获脚本,包括:
在所述PowerShell脚本执行环境中加载动态链接库,利用所述动态链接库监控所述终端设备中各进程信息。
优选地,在所述获取所述异常行为捕获脚本的执行结果之后,还包括:对所述执行结果进行异常分析,得到所述终端设备的异常行为。
优选地,在所述创建PowerShell脚本执行环境之后,还包括:在所述PowerShell脚本执行环境中执行工具调用脚本,获取所述工具调用脚本所调用工具的执行结果,根据所述工具调用脚本所调用工具的执行结果,确定所述终端设备的异常行为。
优选地,所述在所述PowerShell脚本执行环境中执行工具调用脚本,包括:
调用组策略命令行工具,利用所述组策略命令行工具读取预设审核策略,根据所述预设审核策略中包括的参数名和参数值对所述终端设备中的账户进行检查;
和/或,
调用Get-Command命令工具,利用所述Get-Command命令工具对指定函数进行hook检测;
和/或,
调用Get-ChildItem命令工具,利用所述Get-ChildItem命令工具对命名管道进行敏感内容检测;
和/或,
调用注册表查看工具,利用所述注册表查看工具查看注册表,并对该注册表中第一指定位置的键值进行检测;
和/或,
调用文件系统监视工具,利用所述文件系统监视工具获取第二指定位置的文件夹操作信息。
优选地,还包括:将所述异常行为进行可视化呈现。
第二方面,本发明实施例还提供了一种终端设备异常检测装置,包括:
脚本执行环境创建单元,用于在当前终端设备中创建PowerShell脚本执行环境;
脚本执行单元,用于在所述PowerShell脚本执行环境中执行异常行为捕获脚本;
执行结果获取单元,用于获取所述异常行为捕获脚本的执行结果。
第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种终端设备异常检测方法、装置、计算设备及存储介质,通过创建PowerShell脚本执行环境,在PowerShell脚本执行环境中执行异常行为捕获脚本,能够对终端设备进行异常检测。可见,本方案无需安装安全工具,并且由于恶意代码检测不到系统中运行的安全工具,则不会隐藏恶意行为,因此利用Windows系统中自带的PowerShell可实现对终端设备的异常检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种终端设备异常检测方法流程图;
图2是本发明一实施例提供的一种计算设备的硬件架构图;
图3是本发明一实施例提供的一种终端设备异常检测装置结构图;
图4是本发明一实施例提供的另一种终端设备异常检测装置结构图;
图5是本发明一实施例提供的再一种终端设备异常检测装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如前所述,终端设备上通过安装并运行安全工具,以对终端设备的异常进行检测,目的是检测恶意代码对终端设备造成的异常行为。但是为了对抗安全工具的检测,恶意代码会通过检索进程、注册表等方式检测系统中是否存在病毒分析工具、流量监测工具等安全工具,若检测到,则会改变操作行为或者隐蔽恶意行为,以逃避安全工具对终端设备的异常检测。如此在利用安全工具进行异常检测时,往往检测不到终端设备的异常行为,也就无法确定对恶意代码的处置方案。可见,如何能够避开恶意代码的检测,从而实现对终端设备的异常检测,是本发明亟需解决的技术问题。
由于恶意代码对终端是否存在安全工具的检测方式是基于安全工具名单进行的,即检索进程、注册表中是否存在安全工具名单上的安全工具,若存在,则确定系统中存在安全工具。基于此,可以考虑使用PowerShell进行终端设备的异常检测,其中,PowerShell是Windows系统中自带的命令行工具,PowerShell可提供脚本执行环境,在PowerShell脚本执行环境中可以执行所需脚本。另外,由于PowerShell并不是安全工具,且终端设备正常运行过程中也会使用PowerShell,因此恶意代码并不会将PowerShell视为安全工具进行防范。因此,可以利用PowerShell能够避开恶意代码的检测,且可以实现对终端设备的异常检测。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种终端设备异常检测方法,该方法包括:
步骤100,在当前终端设备中创建PowerShell脚本执行环境。
步骤102,在PowerShell脚本执行环境中执行异常行为捕获脚本。
步骤104,获取异常行为捕获脚本的执行结果。
本发明实施例中,通过创建PowerShell脚本执行环境,在PowerShell脚本执行环境中执行异常行为捕获脚本,能够对终端设备进行异常检测。可见,本方案无需安装安全工具,并且由于恶意代码检测不到系统中运行的安全工具,则不会隐藏恶意行为,因此利用Windows系统中自带的PowerShell可实现对终端设备的异常检测。
下面描述图1所示的各个步骤的执行方式。
首先,针对步骤100“在当前终端设备中创建PowerShell脚本执行环境”和步骤102“在PowerShell脚本执行环境中执行异常行为捕获脚本”进行说明。
PowerShell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用.NET Framework的强大功能。为实现对终端设备的异常行为的捕获,需要预先编写异常行为捕获脚本。
恶意代码在终端设备进行恶意行为时,一般情况下是在终端设备中运行恶意代码,终端设备的进程中会显示恶意代码对应的进程,因此可以通过监控进程信息来确定终端设备的异常行为。另外,恶意代码一般会将在终端设备中获取的信息发送给外部服务端,即存在向外部发送流量的行为,因此可以通过抓取网络流量的方式分析网络流量中是否存在异常,来确定终端设备的异常行为。基于此,在本发明一个实施例中,异常行为捕获脚本至少可以包括:网络流量抓取脚本和进程信息监控脚本。下面对这两种脚本分别进行说明。
首先,对网络流量抓取脚本进行说明。
当异常行为捕获脚本包括网络流量抓取脚本时,本步骤102可以包括:在PowerShell脚本执行环境中创建网络事件会话NetEventSession,利用网络事件会话控制终端设备抓取网络流量,将网络流量记录为Windows事件跟踪(ETW)事件,将Windows事件跟踪事件存储在etl(Extract-Transform-Load,数据仓库技术)文件中。
其中,还可以设定etl文件的存储位置和最大存储量,以将etl文件存储在指定位置,以及当etl文件存储的事件大小达到该最大存储量时,则不再进行存储。
由PowerShell创建网络事件会话,利用网络事件会话可以快速实现对终端设备中网络流量的抓取,且不会被恶意代码监控到,从而避开恶意代码的检测。
然后,对进程信息监控脚本进行说明。
当异常行为捕获脚本包括进程信息监控脚本时,本步骤102可以包括:在PowerShell脚本执行环境中加载动态链接库(Microsoft.PowerShell.Commands.Management.dll),利用动态链接库监控终端设备中各进程信息。
利用动态链接库可以监控终端设备中运行的每一个进程的进程信息。其中,进程信息至少可以包括进程文件和进程名称。
由PowerShell加载动态链接库,利用动态链接库可以快速实现对终端设备中进程信息的监控,且不会被恶意代码监控到,从而避开恶意代码的检测。
最后针对步骤104,获取异常行为捕获脚本的执行结果。
根据步骤102中异常行为捕获脚本所包括的两种脚本,在本步骤104中该异常行为捕获脚本的执行结果可以包括:网络流量和/或进程信息。
在本发明一个实施例中,PowerShell在获取到异常行为捕获脚本的执行结果之后,还可以包括:对该执行结果进行异常分析,得到终端设备的异常行为。
需要说明的是,本实施例中对执行结果进行异常分析除由PowerShell实现以外,还可以由中央控制系统来实现。当由中央控制系统来实现时,PowerShell将网络流量和/或进程信息发送给中央控制系统,中央控制系统利用异常行为分析策略对网络流量和/或进程信息进行分析,确定终端设备中存在的异常行为。
还需要说明的是,对该执行结果进行异常分析的方法可以利用现有技术中对网络流量、进程信息的分析方法来实现,本实施例不在赘述。
考虑到恶意代码在终端设备中进行有恶意行为,在本发明一个实施例中,可以对终端设备中组织资产的当前状况进行识别,具体地,在步骤100之后,还可以包括:在PowerShell脚本执行环境中执行工具调用脚本,获取工具调用脚本所调用工具的执行结果,根据工具调用脚本所调用工具的执行结果,确定终端设备的异常行为。
具体地,在执行工具调用脚本时,可以包括如下一种或多种工具:1、组策略命令行工具;2、Get-Command命令工具;3、Get-ChildItem命令工具;4、注册表查看工具;5、文件系统监视工具。
下面对分别调用各个工具时,各个工具的执行情况进行说明。
1、策略命令行工具。
具体地,调用组策略命令行工具secedit,利用组策略命令行工具读取预设审核策略,根据预设审核策略中包括的参数名和参数值对终端设备中的账户进行检查。
其中,该审核策略包括但不限于密码复杂性策略、密码长度最小值策略和密码最长使用期限策略。举例来说,该审核策略可以包括如下参数名及对应含义:
[System Access]
MinimumPasswordAge//密码最短留存期
MaximumPasswordAge//密码最长留存期
MinimumPasswordLength//密码长度最小值
PasswordComplexity//密码必须符合复杂性要求
PasswordHistorySize//记录历史密码的数量
LockoutBadCount//账户锁定阈值
ResetLockoutCount//账户锁定时间
LockoutDuration//复位账户锁定计数器
RequireLogonToChangePassword//下次登录必须更改密码
ForceLogoffWhenHourExpire//强制过期
NewAdministratorName//管理员账户名称
NewGuestName//来宾账户名称
ClearTextPassword//明文密码
LSAAnonymousNameLookup//是否允许匿名用户查询本地LSA策略
EnableAdminAccount//administrator是否禁用
EnableGuestAccount//guest是否禁用
[Event Audit]
AuditSystemEvents//审核系统事件成功、失败
AuditLogonEvents//审核登录事件成功、失败
AuditObjectAccess//审核对象访问成功、失败
AuditPrivilegeUse//审核特权使用失败
AuditPolicyChange//审核策略更改成功、失败
AuditAccountManage//审核账户管理成功、失败
AuditProcessTracking//审核过程追踪失败
AuditDSAccess//审核目录服务访问失败
AuditAccountLogon//审核账户登录事件成功、失败
本发明实施例中,在根据预设审核策略中包括的参数名和参数值对终端设备中的账户进行检查时,若执行结果中包括账户信息中目标参数名所对应的实际参数值与该目标参数名对应的参数值不同,那么表明该参数名的设置不满足预设审核策略,终端设备存在异常行为。
2、Get-Command命令工具。
具体地,调用Get-Command命令工具,利用Get-Command命令工具对指定函数进行hook检测。
其中,可以预先定义需要进行hook检测的指定函数,然后利用Get-Command命令工具对指定函数进行hook检测。若函数未被hook,hook检测结果为一个结果,若hook检测结果为多个,则表明该函数被hook,可以确定终端设备在该函数上存在异常行为。
3、Get-ChildItem命令工具。
具体地,调用Get-ChildItem命令工具(Get-ChildItem\\.\\pipe\\),利用Get-ChildItem命令工具对命名管道进行敏感内容检测。
命名管道(NamedPipe)是服务器进程和一个或多个客户进程之间通信的单向或双向管道。利用Get-ChildItem命令工具可以对命名管道内容进行检测,利用预设敏感策略检测命名管道内容是否包括敏感内容。
4、注册表查看工具。
具体地,调用注册表查看工具,利用注册表查看工具查看注册表,并对该注册表中第一指定位置的键值进行检测。
其中,预先指定注册表中所需查看的位置,比如,开机启动项、共享盘启动关闭状态、驱动器自动播放操作的允许禁止状态等操作。这些操作可以通过对应位置的键值进行确认。
5、文件系统监视工具。
具体地,调用文件系统监视工具(System.IO.FileSystemWatcher),利用文件系统监视工具获取第二指定位置的文件夹操作信息。
其中,可以预先定义需要监控的文件夹位置,将这些文件夹位置确定为第二指定位置。监控的文件夹操作信息可以包括:新建文件、删除文件、重命名文件等。
以上完成了对各个工具的执行情况的说明,在PowerShell得到上述各个工具返回的执行结果之后,可以根据返回的执行结果确定终端设备的异常行为。
本发明实施例中,在PowerShell脚本执行环境中执行工具调用脚本,通过调用不同工具,实现不同异常行为的检测,不仅丰富了系统监控内容,还实现了对组织资产当前状况的识别,使得安全人员能够掌握终端设备的异常行为,进而对终端设备进行安全维护。
在本发明一个实施例中,在PowerShell确定了终端设备的异常行为之后,还可以包括:将异常行为进行可视化呈现。
通过将异常行为进行可视化呈现,从而可以更加直观的给安全人员警示,安全人员根据呈现的异常行为对终端设备进行安全维护。
进一步地,为便于安全人员对恶意代码的特征分析,可以将异常行为上传至Web服务器进行存储备份。
下面以终端设备中存在iSpy恶意代码为例进行说明。
iSpy恶意代码家族会检测系统中是否存在Sandboxie、Wireshark、Wpe等安全工具,若存在,则会结束上述安全工具的进程。使用本发明实施例的终端设备异常检测方法,可以在受感染的终端设备上利用PowerShell进行网络流量和进程信息的抓取,避免安装驱动对系统造成的改变,有效规避恶意代码对终端安全工具的检测。然后利用PowerShell对网络流量信息和进程信息整合传输至中央控制系统,从而可完成组织资产的当前状况识别,掌握当前组织内感染iSpy恶意代码家族的情况。
如图2、图3所示,本发明实施例提供了一种终端设备异常检测装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图2所示,为本发明实施例提供的一种终端设备异常检测装置所在计算设备的一种硬件架构图,除了图2所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的计算设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图3所示,作为一个逻辑意义上的装置,是通过其所在计算设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。本实施例提供的一种终端设备异常检测装置,包括:
脚本执行环境创建单元301,用于在当前终端设备中创建PowerShell脚本执行环境;
脚本执行单元302,用于在所述PowerShell脚本执行环境中执行异常行为捕获脚本;
执行结果获取单元303,用于获取所述异常行为捕获脚本的执行结果。
在本发明一个实施例中,所述异常行为捕获脚本包括:网络流量抓取脚本;
所述脚本执行单元302,具体用于:在所述PowerShell脚本执行环境中创建网络事件会话,利用所述网络事件会话控制所述终端设备抓取网络流量,将所述网络流量记录为Windows事件跟踪事件,将所述Windows事件跟踪事件存储在etl文件中。
在本发明一个实施例中,所述异常行为捕获脚本包括:进程信息监控脚本;
所述脚本执行单元302,具体用于:在所述PowerShell脚本执行环境中加载动态链接库,利用所述动态链接库监控所述终端设备中各进程信息。
在本发明一个实施例中,请参考图4,该终端设备异常检测装置还可以包括:异常分析单元304,用于对所述执行结果进行异常分析,得到所述终端设备的异常行为。
在本发明一个实施例中,所述脚本执行单元302,还可以用于在所述PowerShell脚本执行环境中执行工具调用脚本,获取所述工具调用脚本所调用工具的执行结果,根据所述工具调用脚本所调用工具的执行结果,确定所述终端设备的异常行为。
在本发明一个实施例中,所述脚本执行单元302,在所述PowerShell脚本执行环境中执行工具调用脚本时,具体用于:调用组策略命令行工具,利用所述组策略命令行工具读取预设审核策略,根据所述预设审核策略中包括的参数名和参数值对所述终端设备中的账户进行检查;
在本发明一个实施例中,所述脚本执行单元302,在所述PowerShell脚本执行环境中执行工具调用脚本时,具体用于:调用Get-Command命令工具,利用所述Get-Command命令工具对指定函数进行hook检测;
在本发明一个实施例中,所述脚本执行单元302,在所述PowerShell脚本执行环境中执行工具调用脚本时,具体用于:调用Get-ChildItem命令工具,利用所述Get-ChildItem命令工具对命名管道进行敏感内容检测;
在本发明一个实施例中,所述脚本执行单元302,在所述PowerShell脚本执行环境中执行工具调用脚本时,具体用于:调用注册表查看工具,利用所述注册表查看工具查看注册表,并对该注册表中第一指定位置的键值进行检测;
在本发明一个实施例中,所述脚本执行单元302,在所述PowerShell脚本执行环境中执行工具调用脚本时,具体用于:调用文件系统监视工具,利用所述文件系统监视工具获取第二指定位置的文件夹操作信息。
在本发明一个实施例中,请参考图5,该终端设备异常检测装置还可以包括:可视化单元305,用于将所述异常行为进行可视化呈现。
可以理解的是,本发明实施例示意的结构并不构成对一种终端设备异常检测装置的具体限定。在本发明的另一些实施例中,一种终端设备异常检测装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种终端设备异常检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种终端设备异常检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
本发明各实施例至少具有如下有益效果:
1、在本发明一个实施例中,通过创建PowerShell脚本执行环境,在PowerShell脚本执行环境中执行异常行为捕获脚本,能够对终端设备进行异常检测。可见,本方案无需安装安全工具,并且由于恶意代码检测不到系统中运行的安全工具,则不会隐藏恶意行为,因此利用Windows系统中自带的PowerShell可实现对终端设备的异常检测。
2、在本发明一个实施例中,由PowerShell创建网络事件会话,利用网络事件会话可以快速实现对终端设备中网络流量的抓取,以及由PowerShell加载动态链接库,利用动态链接库可以快速实现对终端设备中进程信息的监控,网络流量和进程信息均可以分析出恶意代码在终端设备中的恶意行为,从而实现利用PowerShell对终端设备的异常检测。
3、在本发明一个实施例中,在PowerShell脚本执行环境中执行工具调用脚本,通过调用不同工具,实现不同异常行为的检测,不仅丰富了系统监控内容,还实现了对组织资产当前状况的识别,使得安全人员能够掌握终端设备的异常行为,进而对终端设备进行安全维护。
4、在本发明一个实施例中,通过将异常行为进行可视化呈现,从而可以给安全人员更加直观的警示,安全人员根据呈现的异常行为对终端设备进行安全维护。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种终端设备异常检测方法,其特征在于,包括:
在当前终端设备中创建PowerShell脚本执行环境;
在所述PowerShell脚本执行环境中执行异常行为捕获脚本;
获取所述异常行为捕获脚本的执行结果。
2.根据权利要求1所述的方法,其特征在于,所述异常行为捕获脚本包括:网络流量抓取脚本;
所述在所述PowerShell脚本执行环境中执行异常行为捕获脚本,包括:
在所述PowerShell脚本执行环境中创建网络事件会话,利用所述网络事件会话控制所述终端设备抓取网络流量,将所述网络流量记录为Windows事件跟踪事件,将所述Windows事件跟踪事件存储在etl文件中。
3.根据权利要求1所述的方法,其特征在于,所述异常行为捕获脚本包括:进程信息监控脚本;
所述在所述PowerShell脚本执行环境中执行异常行为捕获脚本,包括:
在所述PowerShell脚本执行环境中加载动态链接库,利用所述动态链接库监控所述终端设备中各进程信息。
4.根据权利要求1所述的方法,其特征在于,在所述获取所述异常行为捕获脚本的执行结果之后,还包括:对所述执行结果进行异常分析,得到所述终端设备的异常行为。
5.根据权利要求1所述的方法,其特征在于,在所述创建PowerShell脚本执行环境之后,还包括:在所述PowerShell脚本执行环境中执行工具调用脚本,获取所述工具调用脚本所调用工具的执行结果,根据所述工具调用脚本所调用工具的执行结果,确定所述终端设备的异常行为。
6.根据权利要求5所述的方法,其特征在于,所述在所述PowerShell脚本执行环境中执行工具调用脚本,包括:
调用组策略命令行工具,利用所述组策略命令行工具读取预设审核策略,根据所述预设审核策略中包括的参数名和参数值对所述终端设备中的账户进行检查;
和/或,
调用Get-Command命令工具,利用所述Get-Command命令工具对指定函数进行hook检测;
和/或,
调用Get-ChildItem命令工具,利用所述Get-ChildItem命令工具对命名管道进行敏感内容检测;
和/或,
调用注册表查看工具,利用所述注册表查看工具查看注册表,并对该注册表中第一指定位置的键值进行检测;
和/或,
调用文件系统监视工具,利用所述文件系统监视工具获取第二指定位置的文件夹操作信息。
7.根据权利要求4或5所述的方法,其特征在于,还包括:将所述异常行为进行可视化呈现。
8.一种终端设备异常检测装置,其特征在于,包括:
脚本执行环境创建单元,用于在当前终端设备中创建PowerShell脚本执行环境;
脚本执行单元,用于在所述PowerShell脚本执行环境中执行异常行为捕获脚本;
执行结果获取单元,用于获取所述异常行为捕获脚本的执行结果。
9.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111324003.7A CN114021125A (zh) | 2021-11-10 | 2021-11-10 | 终端设备异常检测方法、装置、计算设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111324003.7A CN114021125A (zh) | 2021-11-10 | 2021-11-10 | 终端设备异常检测方法、装置、计算设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114021125A true CN114021125A (zh) | 2022-02-08 |
Family
ID=80062751
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111324003.7A Pending CN114021125A (zh) | 2021-11-10 | 2021-11-10 | 终端设备异常检测方法、装置、计算设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114021125A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106228069A (zh) * | 2015-09-30 | 2016-12-14 | 卡巴斯基实验室股份公司 | 用于检测恶意可执行文件的系统和方法 |
CN110806980A (zh) * | 2019-11-04 | 2020-02-18 | 深信服科技股份有限公司 | 一种检测方法、装置、设备及存储介质 |
CN111368303A (zh) * | 2020-03-12 | 2020-07-03 | 深信服科技股份有限公司 | 一种PowerShell恶意脚本的检测方法及装置 |
CN112181815A (zh) * | 2020-09-21 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 基于Python的异常捕获方法、装置及计算机可读存储介质 |
CN112667436A (zh) * | 2020-12-22 | 2021-04-16 | 北京浪潮数据技术有限公司 | 一种服务器关机时的自动捕获分析方法、装置、设备及介质 |
CN113127868A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 脚本识别方法、装置、设备及存储介质 |
CN113496033A (zh) * | 2020-04-08 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 访问行为识别方法和装置及存储介质 |
-
2021
- 2021-11-10 CN CN202111324003.7A patent/CN114021125A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106228069A (zh) * | 2015-09-30 | 2016-12-14 | 卡巴斯基实验室股份公司 | 用于检测恶意可执行文件的系统和方法 |
CN110806980A (zh) * | 2019-11-04 | 2020-02-18 | 深信服科技股份有限公司 | 一种检测方法、装置、设备及存储介质 |
CN113127868A (zh) * | 2019-12-31 | 2021-07-16 | 苏州三六零智能安全科技有限公司 | 脚本识别方法、装置、设备及存储介质 |
CN111368303A (zh) * | 2020-03-12 | 2020-07-03 | 深信服科技股份有限公司 | 一种PowerShell恶意脚本的检测方法及装置 |
CN113496033A (zh) * | 2020-04-08 | 2021-10-12 | 腾讯科技(深圳)有限公司 | 访问行为识别方法和装置及存储介质 |
CN112181815A (zh) * | 2020-09-21 | 2021-01-05 | 苏州浪潮智能科技有限公司 | 基于Python的异常捕获方法、装置及计算机可读存储介质 |
CN112667436A (zh) * | 2020-12-22 | 2021-04-16 | 北京浪潮数据技术有限公司 | 一种服务器关机时的自动捕获分析方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US9418227B2 (en) | Detecting malicious software | |
US8621624B2 (en) | Apparatus and method for preventing anomaly of application program | |
US7647622B1 (en) | Dynamic security policy through use of empirical security events | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
CN108322446A (zh) | 内网资产漏洞检测方法、装置、计算机设备和存储介质 | |
CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
CN109409087B (zh) | 防提权检测方法及设备 | |
WO2017109129A1 (en) | Software security | |
EP3394785A1 (en) | Detecting malicious software | |
US20210357501A1 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
CN113632432B (zh) | 一种攻击行为的判定方法、装置及计算机存储介质 | |
JP5936798B2 (ja) | ログ分析装置、不正アクセス監査システム、ログ分析プログラム及びログ分析方法 | |
US7620983B1 (en) | Behavior profiling | |
US20140222496A1 (en) | Determining cost and risk associated with assets of an information technology environment | |
CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
CN114021125A (zh) | 终端设备异常检测方法、装置、计算设备及存储介质 | |
WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
CN112711772A (zh) | 一种服务中功能执行时的审计系统、方法及存储介质 | |
KR100961438B1 (ko) | 실시간 침입 탐지 시스템 및 방법, 그리고 그 방법을수행하기 위한 프로그램이 기록된 기록매체 | |
CN112069489A (zh) | 一种移动存储介质内外网交叉使用的检测方法 | |
EP3394786B1 (en) | Software security | |
JP6602471B2 (ja) | 自動化されたアプリケーション分析のための技法 | |
JP4138856B1 (ja) | 操作監視システム | |
KR102488337B1 (ko) | 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |