CN114401103A - Smb远程传输文件检测方法及装置 - Google Patents
Smb远程传输文件检测方法及装置 Download PDFInfo
- Publication number
- CN114401103A CN114401103A CN202111440208.1A CN202111440208A CN114401103A CN 114401103 A CN114401103 A CN 114401103A CN 202111440208 A CN202111440208 A CN 202111440208A CN 114401103 A CN114401103 A CN 114401103A
- Authority
- CN
- China
- Prior art keywords
- file
- smb
- behavior
- target file
- network connection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 73
- 238000001514 detection method Methods 0.000 title claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 95
- 230000006399 behavior Effects 0.000 claims description 173
- 238000012544 monitoring process Methods 0.000 claims description 133
- 230000008569 process Effects 0.000 claims description 76
- 230000006870 function Effects 0.000 claims description 62
- 230000026676 system process Effects 0.000 claims description 28
- 238000004891 communication Methods 0.000 claims description 18
- 230000002155 anti-virotic effect Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 238000012546 transfer Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 238000001914 filtration Methods 0.000 description 3
- 238000005065 mining Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种SMB远程传输文件检测方法及装置,所述方法包括:根据第一跟踪记录数据确定目标文件是基于SMB协议传输并创建的,记录目标文件的创建时间;根据第二跟踪记录数据确定网络连接行为是基于SMB协议的网络连接行为,记录网络连接行为的发生时间;在目标文件是基于SMB协议传输并创建的、网络连接行为是基于SMB协议的网络连接行为、目标文件的创建时间与网络连接行为的发生时间在同一时间区间内、且目标文件来源于远程终端的情况下,确定目标文件为SMB远程传输文件。本发明实施例提供的SMB远程传输文件检测方法及装置,实现了对目标文件的快速有序的检测。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种SMB远程传输文件检测方法及装置。
背景技术
随着越来越多网络安全威胁的出现,攻击者在进行内网渗透攻击过程中,通常选择将恶意代码远程传输到受害者电脑上进行破坏活动,而对于通过SMB方式传输的文件,导致杀毒软件针对该行为难以进行鉴定识别。所以攻击者通常会考虑最大化利用当前系统环境的SMB共享文件传输机制进行恶意代码的远程传输,以此来绕过传统杀毒软件的防火墙,文件防护等监控手段。
在现有SMB文件传输监控技术里,需要针对系统445,135端口进行监控和数据包进行解析过滤,而在网络流量大的情况下,会极大增加网络传输的质量的负担,并且对于文件的过滤效率低下,无法高效实现对操作系统的保护。
发明内容
本发明提供一种SMB远程传输文件检测方法及装置,用于解决现有技术中的存在的技术问题。
本发明提供一种SMB远程传输文件检测方法,包括:
基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;
基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;
在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
根据本发明提供的一种SMB远程传输文件检测方法,所述第一跟踪记录数据包括:第一进程信息、操作文件信息以及堆栈跟踪记录信息;
相应的,所述根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,包括:
根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程;
根据所述堆栈跟踪记录信息判断是否存在SMB驱动模块;
根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件;
在所述目标文件创建行为的来源进程是系统进程、所述堆栈信息中存在SMB驱动模块、所述目标文件创建行为的操作对象是文件的情况下,确定所述目标文件是基于SMB协议传输并创建的。
根据本发明提供的一种SMB远程传输文件检测方法,所述第二跟踪记录数据包括:第二进程信息、端口连接信息以及网络连接行为类型信息;
相应的,所述根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,包括:
根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程;
根据所述端口连接信息判断所述网络连接行为是否通过445端口进行通讯连接;
根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的Connection或Received;
在所述网络连接行为的来源进程是系统进程、所述网络连接行为通过445端口进行通讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下,确定所述网络连接行为是基于SMB协议的网络连接行为。
根据本发明提供的一种SMB远程传输文件检测方法,在所述基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前,方法还包括:
开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数;
为所述文件创建监控事件设置属性信息,以使得所述文件创建监控事件的监听回调函数所获取的目标文件创建行为的第一跟踪记录数据中包含有堆栈跟踪记录信息。
根据本发明提供的一种SMB远程传输文件检测方法,所述开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数,包括:
调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数,以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。
根据本发明提供的一种SMB远程传输文件检测方法,所述为所述文件创建监控事件设置属性信息,包括:
为所述文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性。
根据本发明提供的一种SMB远程传输文件检测方法,在所述确定所述目标文件为SMB远程传输文件之后,方法还包括:
将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎,以对所述目标文件进行安全鉴定。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述SMB远程传输文件检测方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述SMB远程传输文件检测方法的步骤。
本发明还提供一种计算机程序产品,所计算机程序产品包括有计算机程序,该计算机程序被处理器执行时实现如第一方面所述的SMB远程传输文件检测方法的步骤。
本发明提供的SMB远程传输文件检测方法及装置,通过对来源于远程终端的文件的创建过程以及与之对应的网络连接过程的分别判定,明确该文件的创建过程与网络连接过程均是基于SMB协议来实现,然后基于文件的创建时间和网络连接时间是否处于同一时间区间来最终判定该文件是否为SMB远程传输文件,基于以上过程实现了对目标文件的快速有序的检测过程,且该低技术成本的检测过程可稳定运行,借此增强了内网安全防护的监控能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的SMB远程传输文件检测方法的流程示意图之一;
图2是本发明提供的SMB远程传输文件检测方法的流程示意图之二;
图3是本发明提供的SMB远程传输文件检测装置的结构示意图;
图4是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明提供的SMB远程传输文件检测方法的流程示意图之一,如图1所示,所述方法包括:
S110,基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;
S120,基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;
S130,在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
SMB(全称是Server Message Block)是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通,而SMB远程传输文件指的是通过SMB协议进行传输的文件。ETW(Event Tracing for Windows),即应用于窗口的事件跟踪,提供了一种对用户层应用程序和内核层驱动创建的事件对象的跟踪记录机制。本发明即借助于ETW机制实现对SMB远程传输文件的跟踪检测,具体过程为:当有新文件创建操作行为产生时,会进入预设的文件创建监控事件的监听回调函数中,在该监听回调函数中会获得文件创建行为的ETW数据,即第一跟踪记录数据,而第一跟踪记录数据包括文件创建过程的进程信息、操作文件信息以及堆栈跟踪记录信息,根据第一跟踪记录数据即可确认目标文件是否基于SMB协议传输并创建,如果是基于SMB协议传输并创建,则记录该目标文件的创建时间。
当有网络连接行为产生时,会进入预设的网络信息连接监控事件的监听回调函数,在该监听回调函数中会获取该网络连接行为的ETW数据,即第二跟踪记录数据,根据第二跟踪记录数据即可确认网络连接行为是否基于SMB协议执行连接动作,如果是基于SMB协议进行的网络连接,则记录该网络连接行为发生时的时间。
当目标文件同时符合以下条件时,即判定该目标文件为SMB远程传输文件,各条件分别为:目标文件基于SMB协议传输并创建,基于SMB协议执行网络连接行为,且目标文件的创建时间与网络连接行为的发生时间在同一时间区间内,同时该目标文件来源于远程终端。
本发明提供的SMB远程传输文件检测方法,通过对来源于远程终端的文件的创建过程以及与之对应的网络连接过程的分别判定,明确该文件的创建过程与网络连接过程均是基于SMB协议来实现,然后基于文件的创建时间和网络连接时间是否处于同一时间区间来最终判定该文件是否为SMB远程传输文件,基于以上过程实现了对目标文件的快速有序的检测过程,且该低技术成本的检测过程可稳定运行,借此增强了内网安全防护的监控能力。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,所述第一跟踪记录数据包括:第一进程信息、操作文件信息以及堆栈跟踪记录信息;相应的,所述根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,包括:根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程;根据所述堆栈跟踪记录信息判断是否存在SMB驱动模块;根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件;在所述目标文件创建行为的来源进程是系统进程、所述堆栈信息中存在SMB驱动模块、所述目标文件创建行为的操作对象是文件的情况下,确定所述目标文件是基于SMB协议传输并创建的。
进程是指在系统中正在运行的一个应用程序,进程可分为系统进程和用户进程,用于完成操作系统的各种功能的进程就是系统进程(System),表示处于运行状态下的操作系统本身。根据第一进程信息判断目标文件创建行为的来源进程是否为系统进程(System)。
堆栈是操作系统在建立某个进程时,为这个进程建立的存储区域,在该存储区域中,如果存在SMB驱动模块,则表明基于SMB协议进行了文件操作行为,所以根据堆栈跟踪记录信息判断是否存在SMB驱动模块,以此作为目标文件创建行为的重要判断依据。
目标文件创建行为的操作对象既可以为文件也可以为目录,基于操作文件信息判断目标文件创建行为的操作对象是否为文件。
当目标文件的创建行为同时满足以下条件时,即判定该目标文件是基于SMB协议传输并创建的,具体条件包括:目标文件创建行为的来源进程是系统进程(System),堆栈信息中存在SMB驱动模块,目标文件创建行为的操作对象是文件。
本发明提供的SMB远程传输文件检测方法,通过基于第一跟踪记录数据明确目标文件创建行为同时符合来源进程为系统进程、堆栈信息中存在SMB驱动模块、目标文件创建行为的操作对象是文件来判定目标文件是基于SMB协议传输并创建的;上述判断过程有序且判断条件充分,有利于实现对目标文件的精准判定,有效避免出现漏判、误判的情况。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,所述第二跟踪记录数据包括:第二进程信息、端口连接信息以及网络连接行为类型信息;相应的,所述根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,包括:根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程;根据所述端口连接信息判断所述网络连接行为是否通过445端口进行通讯连接;根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的Connection或Received;在所述网络连接行为的来源进程是系统进程、所述网络连接行为通过445端口进行通讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下,确定所述网络连接行为是基于SMB协议的网络连接行为。
对于进程的分类以及定义已在上一个实施例中作出说明,在此不做赘述,同样地,根据第二进程信息判断网络连接行为的来源进程是否为系统进程。
根据端口连接信息判断网络连接行为是否通过445端口进行通讯连接,因为445端口是SMB协议端口,所以是否通过445端口进行通讯连接是判断该网络连接行为是否基于SMB协议执行的重要判断依据。
TCP(Transmission Control Protocol)是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议,Connection表示发生连接行为,Received表示发生信息接收行为,根据网络连接行为类型信息判断网络连接行为的类型是否属于TCP的Connection或Received。
当网络连接行为同时满足以下条件时,即判定该网络连接行为是基于SMB协议的网络连接行为,具体条件包括:网络连接行为的来源进程是系统进程、通过445端口进行通讯连接并且其网络连接行为类型为Connection或Received的情况。
本发明提供的SMB远程传输文件检测方法,通过基于第二跟踪记录数据明确网络连接行为同时符合来源进程为系统进程、通过445端口进行通讯连接并且其网络连接行为类型为Connection或Received的情况来判定网络连接行为是基于SMB协议进行的;上述判断过程有序且判断条件充分,有利于实现对网络连接行为的精准判定,有效避免出现漏判、误判的情况。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,在所述基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前,方法还包括:开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数;为所述文件创建监控事件设置属性信息,以使得所述文件创建监控事件的监听回调函数所获取的目标文件创建行为的第一跟踪记录数据中包含有堆栈跟踪记录信息。
堆栈是操作系统在建立某个进程时,为这个进程建立的存储区域,在该存储区域中,如果存在SMB驱动模块,则表明基于SMB协议进行了文件操作行为,所以根据堆栈跟踪记录信息判断是否存在SMB驱动模块,以此作为目标文件创建行为的重要判断依据。
本发明提供的SMB远程传输文件检测方法,通过设置文件创建监控事件的属性信息,确保可以从该堆栈跟踪记录信息中获取SMB驱动模块的信息,基于此实现对目标文件属性的精确判断。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,所述开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数,包括:调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数,以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。
Win32API为Microsoft 32位平台的应用程序编程接口(ApplicationProgramming Interface)。所有在Win32平台上运行的应用程序都可以调用这些函数,使用Win32API,应用程序可以充分挖掘Windows的32位操作系统的潜力。
在本发明实施例中,基于已有的Win32API对操作系统进行进一步的潜力挖掘,以实现我们的技术目的,即实现对SMB远程传输文件的检测,具体过程为:调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数,以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。
本发明提供的SMB远程传输文件检测方法,通过调用Win32API中的EnableTraceEx函数来实现对文件创建监控事件的监听回调函数和网络信息连接监控事件的监听回调函数的开启,基于此,在确保完成对目标文件进行检测的前提下,实现了对操作系统的潜力挖掘。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,所述为所述文件创建监控事件设置属性信息,包括:为所述文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性。
通过设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性,让目标文件创建行为数据里有堆栈跟踪记录,进而可以通过堆栈跟踪记录得到SMB模块的信息,最终实现对目标文件属性的判定。
本发明提供的SMB远程传输文件检测方法,通过为文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性,使目标文件创建行为数据里有堆栈跟踪记录,进而基于堆栈跟踪记录最终实现对目标文件属性的快速精准判定。
根据本发明提供的SMB远程传输文件检测方法,在本发明中,在所述确定所述目标文件为SMB远程传输文件之后,方法还包括:将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎,以对所述目标文件进行安全鉴定。
对被判定为SMB远程传输文件的目标文件以及该目标文件的传输行为数据传送至杀毒引擎,进行安全鉴定,针对不同的鉴定结果进行不同的处理方法,具体为:①直接删除该文件;②给该文件做标记可疑,后续该文件被使用会重点监控,做更加严格行为监控策略;③正常文件。
本发明提供的SMB远程传输文件检测方法,通过杀毒引擎对被判定为SMB远程传输文件的目标文件进行安全鉴定,并针对不同的鉴定结果执行不同的处理过程,基于此,实现了对目标文件的区别性处理,细化了对于文件的杀毒处理过程,减轻了系统的杀毒处理压力,节省了系统处理资源。
图2是本发明提供的SMB远程传输文件检测方法的流程示意图之二,如图2所示,所述方法包括:
Step1,使用系统本身的ETW机制,开启Microsoft-Windows-Kernel-File新文件创建监控和Microsoft-Windows-Kernel-Network网络信息连接监控;
Step2,通过ETW机制对新文件创建过程进行监控,且采用优化过滤精确识别策略,降低资源消耗,精确监控范围,只需要监控System系统进程创建新文件的行为,并且该行为调用的堆栈调用链中包含有SMB驱动模块,以此监测识别新文件通过SMB协议传输创建;
Step3,通过采用轻量ETW监控机制,只需要监控System系统进程所提供的SMB协议服务端口产生网络连接信息,此处无需进一步去分析解析SMB协议的数据包,提高效率并且不影响网络传输质量;
Step4,通过ETW监控SMB新文件创建和SMB网络连接产生的数据信息,并判断两者行为发生的时间戳是在同一个时间范围,以此进一步精确识别文件通过SMB协议传输创建;
Step5,最终将该文件进一步通过杀毒引擎和云鉴定引擎进行安全检测,根据最终监测结果判断是否提示拦截删除。
本发明提供的SMB远程传输文件检测方法,通过对来源于远程终端的文件的创建过程以及与之对应的网络连接过程的分别判定,明确该文件的创建过程与网络连接过程均是基于SMB协议来实现,然后基于文件的创建时间和网络连接时间是否处于同一时间区间来最终判定该文件是否为SMB远程传输文件,基于以上过程实现了对目标文件的快速有序的检测过程,且该低技术成本的检测过程可稳定运行,借此增强了内网安全防护的监控能力。
图3是本发明提供的SMB远程传输文件检测装置的结构示意图,如图3所示,所述装置300包括:
第一跟踪模块310,用于基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;
第二跟踪模块320,用于基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;
确定模块330,用于在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
本发明提供的SMB远程传输文件检测装置,通过对来源于远程终端的文件的创建过程以及与之对应的网络连接过程的分别判定,明确该文件的创建过程与网络连接过程均是基于SMB协议来实现,然后基于文件的创建时间和网络连接时间是否处于同一时间区间来最终判定该文件是否为SMB远程传输文件,基于以上过程实现了对目标文件的快速有序的检测过程,且该低技术成本的检测过程可稳定运行,借此增强了内网安全防护的监控能力。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,所述第一跟踪记录数据包括:第一进程信息、操作文件信息以及堆栈跟踪记录信息;第一跟踪模块310在用于根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建时,具体用于:根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程;根据所述堆栈跟踪记录信息判断是否存在SMB驱动模块;根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件;在所述目标文件创建行为的来源进程是系统进程、所述堆栈信息中存在SMB驱动模块、所述目标文件创建行为的操作对象是文件的情况下,确定所述目标文件是基于SMB协议传输并创建的。
本发明提供的SMB远程传输文件检测装置,通过基于第一跟踪记录数据明确目标文件创建行为同时符合来源进程为系统进程、堆栈信息中存在SMB驱动模块、目标文件创建行为的操作对象是文件来判定目标文件是基于SMB协议传输并创建的;上述判断过程有序且判断条件充分,有利于实现对目标文件的精准判定,有效避免出现漏判、误判的情况。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,所述第二跟踪记录数据包括:第二进程信息、端口连接信息以及网络连接行为类型信息;第二跟踪模块320在用于根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为时,具体用于:根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程;根据所述端口连接信息判断所述网络连接行为是否通过445端口进行通讯连接;根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的Connection或Received;在所述网络连接行为的来源进程是系统进程、所述网络连接行为通过445端口进行通讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下,确定所述网络连接行为是基于SMB协议的网络连接行为。
本发明提供的SMB远程传输文件检测装置,通过基于第二跟踪记录数据明确网络连接行为同时符合来源进程为系统进程、通过445端口进行通讯连接并且其网络连接行为类型为Connection或Received的情况来判定网络连接行为是基于SMB协议进行的;上述判断过程有序且判断条件充分,有利于实现对网络连接行为的精准判定,有效避免出现漏判、误判的情况。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,所述装置300还包括:预设模块,在所述基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前,所述预设模块用于开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数;为所述文件创建监控事件设置属性信息,以使得所述文件创建监控事件的监听回调函数所获取的目标文件创建行为的第一跟踪记录数据中包含有堆栈跟踪记录信息。
本发明提供的SMB远程传输文件检测装置,通过设置文件创建监控事件的属性信息,确保可以从该堆栈跟踪记录信息中获取SMB驱动模块的信息,基于此实现对目标文件属性的精确判断。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,预设模块在用于开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数时,具体用于:调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数,以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。
本发明提供的SMB远程传输文件检测装置,通过调用Win32API中的EnableTraceEx函数来实现对文件创建监控事件的监听回调函数和网络信息连接监控事件的监听回调函数的开启,基于此,在确保完成对目标文件进行检测的前提下,实现了对操作系统的潜力挖掘。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,预设模块在用于为所述文件创建监控事件设置属性信息时,具体用于:为所述文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性。
本发明提供的SMB远程传输文件检测装置,通过为文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性,使目标文件创建行为数据里有堆栈跟踪记录,进而基于堆栈跟踪记录最终实现对目标文件属性的快速精准判定。
根据本发明提供的SMB远程传输文件检测装置,在本发明中,所述装置300还包括杀毒模块,在所述确定所述目标文件为SMB远程传输文件之后,所述杀毒模块用于将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎,以对所述目标文件进行安全鉴定。
本发明提供的SMB远程传输文件检测装置,通过杀毒引擎对被判定为SMB远程传输文件的目标文件进行安全鉴定,并针对不同的鉴定结果执行不同的处理过程,基于此,实现了对目标文件的区别性处理,细化了对于文件的杀毒处理过程,减轻了系统的杀毒处理压力,节省了系统处理资源。
图4示例了一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器810,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行SMB远程传输文件检测方法,该方法包括:基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法所提供的SMB远程传输文件检测方法,该方法包括:基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各提供的SMB远程传输文件检测方法,该方法包括:基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (11)
1.一种SMB远程传输文件检测方法,其特征在于,包括:
基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;
基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;
在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
2.根据权利要求1所述的SMB远程传输文件检测方法,其特征在于,所述第一跟踪记录数据包括:第一进程信息、操作文件信息以及堆栈跟踪记录信息;
相应的,所述根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,包括:
根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程;
根据所述堆栈跟踪记录信息判断是否存在SMB驱动模块;
根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件;
在所述目标文件创建行为的来源进程是系统进程、所述堆栈信息中存在SMB驱动模块、所述目标文件创建行为的操作对象是文件的情况下,确定所述目标文件是基于SMB协议传输并创建的。
3.根据权利要求1所述的SMB远程传输文件检测方法,其特征在于,所述第二跟踪记录数据包括:第二进程信息、端口连接信息以及网络连接行为类型信息;
相应的,所述根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,包括:
根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程;
根据所述端口连接信息判断所述网络连接行为是否通过445端口进行通讯连接;
根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的Connection或Received;
在所述网络连接行为的来源进程是系统进程、所述网络连接行为通过445端口进行通讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下,确定所述网络连接行为是基于SMB协议的网络连接行为。
4.根据权利要求1所述的SMB远程传输文件检测方法,其特征在于,在所述基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前,方法还包括:
开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数;
为所述文件创建监控事件设置属性信息,以使得所述文件创建监控事件的监听回调函数所获取的目标文件创建行为的第一跟踪记录数据中包含有堆栈跟踪记录信息。
5.根据权利要求4所述的SMB远程传输文件检测方法,其特征在于,所述开启文件创建监控事件的监听回调函数与网络信息连接监控事件的监听回调函数,包括:
调用Win32API的StartTrace创建事件会话,并调用Win32API EnableTraceEx开启预设Microsoft-Windows-Kernel-File的文件创建监控事件的监听回调函数,以及开启Microsoft-Windows-Kernel-Network网络信息连接监控事件的监听回调函数。
6.根据权利要求4所述的SMB远程传输文件检测方法,其特征在于,所述为所述文件创建监控事件设置属性信息,包括:
为所述文件创建监控事件设置EVENT_ENABLE_PROPERTY_STACK_TRACE属性。
7.根据权利要求1至6任一项所述的SMB远程传输文件检测方法,其特征在于,在所述确定所述目标文件为SMB远程传输文件之后,方法还包括:
将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎,以对所述目标文件进行安全鉴定。
8.一种SMB远程传输文件检测装置,其特征在于,包括:
第一跟踪模块,用于基于文件创建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据,并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的,记录所述目标文件的创建时间;
第二跟踪模块,用于基于网络信息连接监控事件的监听回调函数获取网络连接行为的第二跟踪记录数据,并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为,记录所述网络连接行为的发生时间;
确定模块,用于在所述目标文件是基于SMB协议传输并创建的、所述网络连接行为是基于SMB协议的网络连接行为、所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间内、且所述目标文件来源于远程终端的情况下,确定所述目标文件为SMB远程传输文件。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述SMB远程传输文件检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述SMB远程传输文件检测方法的步骤。
11.一种计算机程序产品,所计算机程序产品包括有计算机程序,其特征在于,该计算机程序被处理器执行时实现根据权利要求1至7任一项所述的SMB远程传输文件检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440208.1A CN114401103B (zh) | 2021-11-30 | 2021-11-30 | Smb远程传输文件检测方法及装置,电子设备,存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111440208.1A CN114401103B (zh) | 2021-11-30 | 2021-11-30 | Smb远程传输文件检测方法及装置,电子设备,存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114401103A true CN114401103A (zh) | 2022-04-26 |
| CN114401103B CN114401103B (zh) | 2024-04-19 |
Family
ID=81225851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111440208.1A Active CN114401103B (zh) | 2021-11-30 | 2021-11-30 | Smb远程传输文件检测方法及装置,电子设备,存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114401103B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132175A (zh) * | 2023-02-16 | 2023-05-16 | 中国人民解放军61660部队 | 一种基于事件驱动网络引擎的远程后门检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140115705A1 (en) * | 2012-10-22 | 2014-04-24 | Fujitsu Limited | Method for detecting illegal connection and network monitoring apparatus |
| CN105721464A (zh) * | 2016-01-29 | 2016-06-29 | 四川秘无痕信息安全技术有限责任公司 | 一种基于文件共享协议的跨平台数据即时传输方法 |
| CN109858243A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 追踪病毒来源的方法和装置 |
-
2021
- 2021-11-30 CN CN202111440208.1A patent/CN114401103B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140115705A1 (en) * | 2012-10-22 | 2014-04-24 | Fujitsu Limited | Method for detecting illegal connection and network monitoring apparatus |
| CN105721464A (zh) * | 2016-01-29 | 2016-06-29 | 四川秘无痕信息安全技术有限责任公司 | 一种基于文件共享协议的跨平台数据即时传输方法 |
| CN109858243A (zh) * | 2018-12-29 | 2019-06-07 | 北京奇安信科技有限公司 | 追踪病毒来源的方法和装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116132175A (zh) * | 2023-02-16 | 2023-05-16 | 中国人民解放军61660部队 | 一种基于事件驱动网络引擎的远程后门检测方法 |
| CN116132175B (zh) * | 2023-02-16 | 2023-09-22 | 中国人民解放军61660部队 | 一种基于事件驱动网络引擎的远程后门检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114401103B (zh) | 2024-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2968201C (en) | Systems and methods for malicious code detection | |
| WO2022083226A1 (zh) | 异常识别方法和系统、存储介质及电子装置 | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US20160323305A1 (en) | Information processing apparatus, method for determining activity and computer-readable medium | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| CN108931968A (zh) | 一种应用于工业控制系统中的网络安全防护系统及其防护方法 | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN111641591B (zh) | 云服务安全防御方法、装置、设备及介质 | |
| CN106778229B (zh) | 一种基于vpn的恶意应用下载拦截方法及系统 | |
| CN110417578B (zh) | 一种异常ftp连接告警处理方法 | |
| CN104113559A (zh) | 一种防御tcp全链接攻击的方法 | |
| CN111651754A (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| CN115150208A (zh) | 一种基于零信任的物联网终端安全接入方法及系统 | |
| CN114401103B (zh) | Smb远程传输文件检测方法及装置,电子设备,存储介质 | |
| CN110022319B (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| CN107707569A (zh) | Dns请求处理方法及dns系统 | |
| CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| US20240137768A1 (en) | Automatic dynamic secure connection system and method thereof | |
| WO2020057156A1 (zh) | 一种安全管理方法和安全管理装置 | |
| US20140068761A1 (en) | Abuse identification of front-end based services | |
| CN112653609B (zh) | 一种vpn识别应用方法、装置、终端及存储介质 | |
| CN109617866B (zh) | 工控系统主机会话数据过滤方法和装置 | |
| CN112351044A (zh) | 一种基于大数据的网络安全系统 | |
| CN113518067A (zh) | 一种基于原始报文的安全分析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |