CN114465752B - 一种远程调用检测方法、装置、电子设备及存储介质 - Google Patents
一种远程调用检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114465752B CN114465752B CN202111509951.8A CN202111509951A CN114465752B CN 114465752 B CN114465752 B CN 114465752B CN 202111509951 A CN202111509951 A CN 202111509951A CN 114465752 B CN114465752 B CN 114465752B
- Authority
- CN
- China
- Prior art keywords
- remote
- service
- remote call
- item
- behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 64
- 238000000034 method Methods 0.000 claims abstract description 151
- 230000000977 initiatory effect Effects 0.000 claims abstract description 100
- 230000008569 process Effects 0.000 claims abstract description 90
- 238000002347 injection Methods 0.000 claims abstract description 34
- 239000007924 injection Substances 0.000 claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 22
- 230000006399 behavior Effects 0.000 claims description 146
- 230000006870 function Effects 0.000 claims description 53
- 230000005540 biological transmission Effects 0.000 claims description 33
- 230000007246 mechanism Effects 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 10
- 239000000243 solution Substances 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 230000035515 penetration Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 230000007123 defense Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000009434 installation Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供一种远程调用检测方法、装置、电子设备及存储介质,其中,远程调用检测方法包括:将Services.exe进程确定为目标进程;在目标进程允许注入的情况下,在目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据服务启动项操作行为的远程过程调用数据确定服务启动项操作行为是远程调用操作,并获取发起远程调用操作的终端的信息。通过本发明提供的远程调用检测方法,从而能够精确检测到远程调用操作,提升系统安全性。
Description
技术领域
本发明涉及数字信息传输技术领域,尤其涉及一种远程调用检测方法、装置、电子设备及存储介质。
背景技术
信息安全的应用已经涵盖移动通信、物联网、甚至工业控制领域,而恶意代码防护技术是信息安全中的重要分支,其最重要的部分便是高级可持续性威胁(AdvancedPersistent Threat,简称APT)。APT攻击是目前攻击类型中最高端的攻击模式,被公认为是一种地下产业链的核心行为。
目前,APT攻击可通过远程调用实现,即在某个主机已经被攻占的情况下,通过该已被攻占的主机对内网下其他主机进行远程调用操作,从而获取内网下所有主机上的信息,严重影响信息安全。因此,对远程调用操作的精确检测,对信息安全至关重要。而当前只能识别本地机器发起操作,而无法准确检测远程调用操作。
发明内容
本发明提供一种远程调用检测方法、装置、电子设备及存储介质,用以解决现有技术中无法精确检测出远程调用操作的缺陷。
本发明提供一种远程调用检测方法,包括:将Services.exe进程确定为目标进程;在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过所述钩子函数监测服务启动项操作行为,在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
根据本发明提供的一种远程调用检测方法,所述在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数,包括:在以下至少一个svcctl服务操作接口中注入用于检测远程调用操作的钩子函数:RCreateServiceW,RChangeServiceConfigW和RDeleteService。
根据本发明提供的一种远程调用检测方法,在根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息之后,方法还包括:将所述服务启动项操作行为的远程过程调用数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
根据本发明提供的一种远程调用检测方法,方法还包括:在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。
根据本发明提供的一种远程调用检测方法,所述通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据,包括:通过跟踪记录机制启动服务控制管理器事件和网络信息连接事件;通过所述服务控制管理器事件监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,记录服务启动项操作行为的参数数据;通过所述网络信息连接事件监测并记录所述目标进程的网络连接传输信息数据。
根据本发明提供的一种远程调用检测方法,在所述通过所述网络信息连接事件监控所述目标进程的网络连接传输信息数据之后,方法还包括:判断所述服务启动项操作行为的参数数据中的时间戳信息与网络连接传输信息数据中的时间戳信息之间的时间差是否在预设时间差范围内;在所述时间差在预设时间差范围内的情况下,将所述服务启动项操作行为的参数数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
本发明还提供一种远程调用检测装置,包括:目标进程确定模块,用于将Services.exe进程确定为目标进程;函数注入模块,用于在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;远程调用操作确定模块,用于通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种远程调用检测方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种远程调用检测方法的步骤。
本发明提供的远程调用检测方法、装置、电子设备及存储介质,其中,远程调用检测方法通过在Services.exe进程下注入钩子函数来检测服务启动项操作行为,并基于获得的远程过程调用数据来确定是本地发起的服务启动项操作行为,还是远程发起的服务启动项操作行为,若是远程发起的服务启动项操作行为,则进一步获取发出远程调用操作的终端信息,从而能够精确检测到远程调用操作,提升系统安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的远程调用检测方法的流程示意图一;
图2是本发明提供的远程调用检测方法的流程示意图二;
图3是本发明提供的远程调用检测装置的结构示意图;
图4是本发明提供的一种电子设备的实体结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前,在网络渗透完整攻击链中,内网远程横向渗透阶段是攻击者将一台已被攻陷的机器做跳板,通过这个突破口尝试去攻击同一网络里其他机器,获取更多有价值的凭据,更高级的权限,以此扩大攻击面,进而达到控制整个内网网络,最终完成发起APT高级可持续威胁攻击的目的。通过Windows服务机制进行远程攻击是攻击者在内网横向渗透的一个常用攻击手段,它是一种利用操作系统自身机制能力,传统网络攻击检测手段无法有效精确覆盖检测此类攻击手段。为此,本申请提供了一种远程调用检测方法、装置、电子设备及存储介质,从而能够准确地检测是远程调用操作,进而根据该远程调用操作确定攻击,并对其进行处理。
接下来结合附图1对本申请的远程调用检测方法进行介绍。
图1是本发明提供的远程调用检测方法的流程示意图一;如图1所示,一种远程调用检测方法包括:
步骤S101,将Services.exe进程确定为目标进程。
在本步骤中,从系统正在运行的进程列表里,查找Services.exe进程,将其确定为目标进程,即需要在该目标进行下执行后续步骤。Services.exe是Windows操作系统的一部分,用于管理启动和停止服务。正常的Services.exe位于%systemroot%\System32文件夹中,可以通过“cmd”命令方式确定,也可以通过“控制面板”-“管理工具”-“服务”方式确定,本实施例对此不做限定。
步骤S102,在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数。
在本步骤中,若是能够在Services.exe进程下注入钩子函数(即Hook函数),则在Services.exe进程的远程过程调用(Remote Procedure Call,简称RPC)的svcctl服务操作接口中注入Hook函数,用于检测远程调用操作。Hook函数的注入可以通过往Services.exe注入DLL模块实现。
步骤S103,通过所述钩子函数监测服务启动项操作行为,在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
在本步骤中,利用钩子函数监测服务启动项操作行为,并通过调用Win32API获取服务启动项操作行为的远程过程调用数据,根据远程过程调用数据确定当前的服务启动项操作行为是远程调用操作还是本地操作,在确定为远程调用操作时进一步地获取发起远程调用操作的终端的信息,即获取发起远程调用操作机器的IP,在确定为本地操作时,则存储本地目标进程的PID。
本发明提供的远程调用检测方法通过在Services.exe进程下注入钩子函数来检测服务启动项操作行为,并基于获得的远程过程调用数据来确定是本地发起的服务启动项操作行为,还是远程发起的服务启动项操作行为,若是远程发起的服务启动项操作行为,则进一步获取发出远程调用操作的终端信息,从而能够精确检测到远程调用操作,提升系统安全性。
在本实施例中,所述在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数,包括:
在以下至少一个svcctl服务操作接口中注入用于检测远程调用操作的钩子函数:RCreateServiceW,RChangeServiceConfigW和RDeleteService。
本发明提供的远程调用检测方法通过在至少一个svcctl服务操作接口中注入钩子函数,从而能够从多个svcctl服务操作接口中获得远程调用数据,进而能够基于多方面获取的数据确定远程调用操作,从而提高系统的信息安全性。
在本实施例中,在根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息之后,方法还包括:
将所述服务启动项操作行为的远程过程调用数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
在本实施例中,预设的威胁行为识别引擎可以是本地引擎,也可以是云端引擎,亦或是网络流引擎,对此不做限定。
威胁行为识别引擎可以将远程过程调用数据与恶意软件数据库内的数据进行匹配,若是匹配成功,则最终确定该远程调用操作属于远程攻击,进而需要对该远程调用操作进行拦截;若没有匹配成功,则确定该远程调用操作为正常操作,通过步骤S103检测下一次的服务启动项操作行为,进一步确定下一次的远程调用操作以及对应的终端信息,并对其进行威胁行为识别。
本发明提供的远程调用检测方法通过利用威胁行为识别引擎对远程调用操作进一步地识别鉴定,最终确定其是否为远程攻击,在是的情况下,拦截本次远程调用操作,从而能够实时掌握攻击方信息,且通过捕获到远程机器的IP进一步溯源追踪,有效提高了安全防御能力。
在本实施例中,方法还包括:
在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;
根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;
根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。
具体地,在前述对Services.exe进程注入钩子函数时可能会出现无法的注入情况,例如:1)注入过程被其他安全软件拦截,导致安装失败;2)Win10及以上版本的操作系统自身对Services.exe进程保护比较严格,操作系统很大可能会直接禁止注入,进而导致注入失败。在上述钩子函数注入失败的情况下,无法通过钩子函数来获取远程过程调用数据,进而无法确定远程调用操作。基于此,本实施例通过跟踪记录机制(Event Tracing forWindows,简称ETW)记录服务启动项操作行为的参数数据以及网络连接传输信息数据,进而确定服务启动项操作行为是否为远程调用操作以及对应的终端信息。其中,服务启动项操作行为的参数数据可以用来确定所述服务启动项操作行为是远程调用操作还是本地操作,网络连接传输信息数据可以用来确定发起所述远程调用操作的终端的信息(即终端IP)。
本发明提供的远程调用检测方法还可以在Services.exe进程下无法注入钩子函数的情况下,通过启动ETW机制来获取服务启动项操作行为的参数数据以及网络连接传输信息数据,进而确定服务启动项操作行为是否为远程调用操作,若是,获取该远程调用操作的终端信息,从而能够更加全面地检测服务启动项操作行为是否是远程调用操作提升系统安全性。
在本实施例中,所述通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据,包括:通过跟踪记录机制启动服务控制管理器事件(即ServiceControl Manager Trace事件)和网络信息连接事件(即Microsoft-Windows-Kernel-Network事件);通过所述服务控制管理器事件监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,记录服务启动项操作行为的参数数据;通过所述网络信息连接事件监测并记录所述目标进程的网络连接传输信息数据。
具体地,ETW机制启动Service Control Manager Trace事件和Microsoft-Windows-Kernel-Network事件,通过Service Control Manager Trace事件监控服务启动项操作行为,根据监控到的行为参数区分服务启动项操作是本地操作还是远程调用操作,若服务启动项操作是本地操作,则跳过本次检测,等待下一次检测调用;若服务启动项操作是远程调用操作,则根据网络连接传输信息数据进一步确定发起本次远程调用操作的终端信息。
本发明提供的远程调用检测方法还可以通过ETW机制启动服务控制管理器事件与网络信息连接事件,分别用来记录服务启动项操作行为的参数数据与目标进程的网络连接传输信息数据,从而能够确定服务启动项操作行为是否为远程调用操作,以及发起远程调用操作的终端信息,全面准确地检测远程调用操作,提升系统的安全性。
在本实施例中,在所述通过所述网络信息连接事件监控所述目标进程的网络连接传输信息数据之后,方法还包括:
判断所述服务启动项操作行为的参数数据中的时间戳信息与网络连接传输信息数据中的时间戳信息之间的时间差是否在预设时间差范围内;
在所述时间差在预设时间差范围内的情况下,将所述服务启动项操作行为的参数数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
其中,若是服务启动项操作行为的参数数据中的时间戳信息与网络连接传输信息数据中的时间戳信息之间的时间差不在预设时间差范围内,则表明将服务启动项操作判断为远程调用操作不够准确,需要获取下一时刻的服务启动项操作行为的参数数据与网络连接传输信息数据进行进一步地判断;而若是时间戳在预设时间差范围内,则认定服务启动项操作就是远程调用操作,需要基于该远程调用操作对应的参数数据与终端信息进一步鉴定本次远程调用操作是否为威胁行为。
预设的威胁行为识别引擎与前述的威胁行为识别引擎相同,可以是本地引擎,也可以是云端引擎,亦或是网络流引擎,对此不做限定。其将服务启动项操作行为的参数数据与恶意软件数据库中数据进行匹配,若是匹配成功则判定该远程调用操作属于威胁行为,拦截本次远程调用操作,并根据终端信息对相应终端进行处理。若是没有匹配到相同的数据,则认为本次远程调用操作属于正常行为,对此不做处理,进而进行下一时刻的远程调用检测。
本发明提供的远程调用检测方法通过利用威胁行为识别引擎对远程调用操作进一步地识别鉴定,最终确定其是否为远程攻击,在是的情况下,拦截本次远程调用操作,能够实时掌握攻击方信息,且通过捕获到远程机器的IP进一步溯源追踪,有效提高了安全防御能力。
本实施例还提供一种远程调用检测方法,接下来结合图2进行说明。
图2是本发明提供的远程调用检测方法的流程示意图二。
如图2所示,一种远程调用检测方法包括:
步骤S201;查找Services.exe进程;
步骤S202;往Services.exe进程安装监控装置(即注入钩子函数);
步骤S203;若步骤S202安装成功则监控Services.exe进程的RPC的svcctl服务操作接口下的服务启动项操作行为;
步骤S204;识别判断服务启动项操作行为是否为远程调用操作;若判断为服务启动项操作行为是远程调用操作,则将服务启动项操作行为对应的数据以及发起远程调用操作的终端信息发送至威胁行为识别引擎;
步骤S205;若步骤S202安装失败则启动ETW监控;
步骤S206;监听Service Control Manager Trace事件以及Microsoft-Windows-Kernel-Network事件;
步骤S207;通过Service Control Manager Trace事件监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,记录服务启动项操作行为的参数数据;同时,通过Microsoft-Windows-Kernel-Network事件监测并记录所述目标进程的网络连接传输信息数据;
步骤S208;根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作,并根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息
步骤S209;判断服务启动项操作行为时间戳和Services.exe进程额网络连接信息时间戳是否在同一个时间范围内,若在同一时间范围内则进一步确认服务启动项操作行为是远程调用操作,将参数数据与终端的信息发送至威胁行为识别引擎;
步骤S210;利用预设的威胁行为识别引擎对远程调用操作进行鉴定;
步骤S211;根据步骤S210中的鉴定结果对远程调用操作进行相应处置。
本发明提供的远程调用检测方法通过往Services.exe进程注入钩子函数以及ETW机制启动Service Control Manager Trace事件以及Microsoft-Windows-Kernel-Network事件这两种方式来对服务启动项操作是否为远程调用操作进行检测,进一步对远程调用操作进行威胁行为识别,从而能够全面检测远程调用操作,提升系统安全性。
又一方面,本实施例还提供一种远程调用检测装置,下面对本发明提供的远程调用检测装置进行描述,下文描述的远程调用检测装置与上文描述的远程调用检测方法可相互对应参照。图3是本发明提供的远程调用检测装置的结构示意图。
如图3所示,该远程调用检测装置包括:
目标进程确定模块310,用于将Services.exe进程确定为目标进程。
函数注入模块320,用于在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数。
远程调用操作确定模块330,用于通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
具体地,目标进程确定模块310从系统正在运行的进程列表里,查找Services.exe进程,将其确定为目标进程。Services.exe是Windows操作系统的一部分,用于管理启动和停止服务。正常的Services.exe位于%systemroot%\System32文件夹中,可以通过“cmd”命令方式确定,也可以通过“控制面板”-“管理工具”-“服务”方式确定,本实施例对此不做限定。
函数注入模块320若是能够在Services.exe进程下注入钩子函数(即Hook函数),则在Services.exe进程的远程过程调用(Remote Procedure Call,简称RPC)的svcctl服务操作接口中注入Hook函数,用于检测远程调用操作。Hook函数的注入可以通过往Services.exe注入DLL模块实现。
远程调用操作确定模块330利用钩子函数监测服务启动项操作行为,并通过调用Win32API获取服务启动项操作行为的远程过程调用数据,根据远程过程调用数据确定当前的服务启动项操作行为是远程调用操作还是本地操作,在确定为远程调用操作时进一步地获取发起远程调用操作的终端的信息,即获取发起远程调用操作机器的IP,在确定为本地操作时,则存储本地目标进程的PID。
本发明提供的远程调用检测装置通过函数注入模块320在Services.exe进程下注入钩子函数来检测服务启动项操作行为,并通过远程调用操作确定模块330确定服务启动项操作行为本地发起,还是远程发起的,若是远程发起的服务启动项操作行为,则进一步获取发出远程调用操作的终端信息,从而能够精确检测到远程调用操作,提升系统安全性。
除此之外,远程调用检测装置还包括跟踪记录机制记录模块,用于在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。
具体地,在前述对Services.exe进程注入钩子函数时可能会出现无法的注入情况,例如:1)注入过程被其他安全软件拦截,导致安装失败;2)Win10及以上版本的操作系统自身对Services.exe进程保护比较严格,较高程度上禁止被注入,进而导致注入失败。在上述钩子函数注入失败的情况下,无法通过钩子函数来获取远程过程调用数据,进而无法确定远程调用操作,基于此,本实施例通过跟踪记录机制(Event Tracing for Windows,简称ETW)记录服务启动项操作行为的参数数据以及网络连接传输信息数据,进而确定服务启动项操作行为是否为远程调用操作以及对应的终端信息。其中,服务启动项操作行为的参数数据可以用来确定所述服务启动项操作行为是远程调用操作还是本地操作,网络连接传输信息数据可以用来确定发起所述远程调用操作的终端的信息(即终端IP)。
本发明提供的远程调用检测装置还可以在Services.exe进程下无法注入钩子函数的情况下,通过跟踪记录机制记录模块启动ETW机制来获取服务启动项操作行为的参数数据以及网络连接传输信息数据,进而确定服务启动项操作行为是否为远程调用操作,若是时获取该远程调用操作的终端信息,从而能够精确检测到远程调用操作,提升系统安全性。
基于前述的远程调用检测装置所确定的远程调用操作,远程调用检测装置还包括威胁行为识别模块,用于基于远程过程调用数据与所述发起所述远程调用操作的终端的信息或者服务启动项操作行为的参数数据与所述发起所述远程调用操作的终端的信息,检测远程调用操作是否为远程攻击。
本发明提供的远程调用检测装置能够全面检测横向渗透攻击,从而能够基于远程调用数据以及终端信息进一步检测出是否为横向渗透攻击,能够实时掌握攻击方信息,且通过捕获到远程机器的IP进一步溯源追踪,有效提高了安全防御能力。
图4是本发明提供的一种电子设备的实体结构示意图,如图4所示,该电子设备可以包括:处理器(processor)410、通信接口(Communications Interface)420、存储器(memory)430和通信总线440,其中,处理器410,通信接口420,存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令,以执行远程调用检测方法,该方法包括:将Services.exe进程确定为目标进程;在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
此外,上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的远程调用检测方法,该方法包括:将Services.exe进程确定为目标进程;在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的远程调用检测方法,该方法包括:将Services.exe进程确定为目标进程;在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种远程调用检测方法,其特征在于,包括:
将Services.exe进程确定为目标进程;
在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;
通过所述钩子函数监测服务启动项操作行为,在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息;
在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;
根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;
根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。
2.根据权利要求1所述的远程调用检测方法,其特征在于,所述在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数,包括:
在以下至少一个svcctl服务操作接口中注入用于检测远程调用操作的钩子函数:RCreateServiceW,RChangeServiceConfigW和RDeleteService。
3.根据权利要求1所述的远程调用检测方法,其特征在于,在根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息之后,方法还包括:
将所述服务启动项操作行为的远程过程调用数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
4.根据权利要求1所述的远程调用检测方法,其特征在于,所述通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据,包括:
通过跟踪记录机制启动服务控制管理器事件和网络信息连接事件;
通过所述服务控制管理器事件监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,记录服务启动项操作行为的参数数据;
通过所述网络信息连接事件监测并记录所述目标进程的网络连接传输信息数据。
5.根据权利要求1所述的远程调用检测方法,其特征在于,在所述通过所述网络信息连接事件监控所述目标进程的网络连接传输信息数据之后,方法还包括:
判断所述服务启动项操作行为的参数数据中的时间戳信息与网络连接传输信息数据中的时间戳信息之间的时间差是否在预设时间差范围内;
在所述时间差在预设时间差范围内的情况下,将所述服务启动项操作行为的参数数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。
6.一种远程调用检测装置,其特征在于,包括:
目标进程确定模块,用于将Services.exe进程确定为目标进程;
函数注入模块,用于在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;
远程调用操作确定模块,用于通过所述钩子函数监测服务启动项操作行为,并在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息;
所述远程调用操作确定模块还用于:
在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;
根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;
根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述远程调用检测方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述远程调用检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111509951.8A CN114465752B (zh) | 2021-12-10 | 2021-12-10 | 一种远程调用检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111509951.8A CN114465752B (zh) | 2021-12-10 | 2021-12-10 | 一种远程调用检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114465752A CN114465752A (zh) | 2022-05-10 |
| CN114465752B true CN114465752B (zh) | 2024-06-28 |
Family
ID=81405682
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111509951.8A Active CN114465752B (zh) | 2021-12-10 | 2021-12-10 | 一种远程调用检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114465752B (zh) |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN109753791A (zh) * | 2018-12-29 | 2019-05-14 | 北京奇虎科技有限公司 | 恶意程序检测方法及装置 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101093410B1 (ko) * | 2010-03-22 | 2011-12-14 | 주식회사 엔씨소프트 | 코드실행 알림기능을 이용한 악성 프로그램 탐지 방법 |
| CN102663274B (zh) * | 2012-02-07 | 2015-12-02 | 北京奇虎科技有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
| KR101410289B1 (ko) * | 2013-02-05 | 2014-06-20 | 주식회사 잉카인터넷 | 악성코드의 원격지 접속 서버 추적 시스템 및 방법 |
| CN105956470A (zh) * | 2016-05-03 | 2016-09-21 | 北京金山安全软件有限公司 | 一种拦截应用程序行为的方法及终端 |
| CN108804920B (zh) * | 2018-05-24 | 2021-09-28 | 河南省躬行信息科技有限公司 | 一种基于跨进程行为监控恶意代码同源性分析的方法 |
| CN109697338A (zh) * | 2018-12-10 | 2019-04-30 | 深圳市网心科技有限公司 | 一种软件安装拦截方法及相关装置 |
| CN109800577B (zh) * | 2018-12-29 | 2020-10-16 | 360企业安全技术(珠海)有限公司 | 一种识别逃逸安全监控行为的方法及装置 |
| CN111191224B (zh) * | 2019-07-08 | 2022-04-08 | 腾讯科技(深圳)有限公司 | 虚拟机检测的对抗方法、装置及计算机可读存储介质 |
| CN112398786B (zh) * | 2019-08-15 | 2023-08-15 | 奇安信安全技术(珠海)有限公司 | 渗透攻击的识别方法及装置、系统、存储介质、电子装置 |
| CN112162873B (zh) * | 2020-09-28 | 2024-03-26 | 杭州安恒信息技术股份有限公司 | 一种远程调用方法、电子装置和存储介质 |
| CN113660292B (zh) * | 2021-10-19 | 2022-01-11 | 北京安华金和科技有限公司 | 一种获取调用客户端的主体的信息方法和装置 |
-
2021
- 2021-12-10 CN CN202111509951.8A patent/CN114465752B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108537040A (zh) * | 2018-04-12 | 2018-09-14 | 腾讯科技(深圳)有限公司 | 电信诈骗木马程序拦截方法、装置、终端及存储介质 |
| CN109753791A (zh) * | 2018-12-29 | 2019-05-14 | 北京奇虎科技有限公司 | 恶意程序检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114465752A (zh) | 2022-05-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2893447B1 (en) | Systems and methods for automated memory and thread execution anomaly detection in a computer network | |
| EP3293657B1 (en) | Analysis method, analysis device, and analysis program | |
| CN111651754B (zh) | 入侵的检测方法和装置、存储介质、电子装置 | |
| CN112926048B (zh) | 一种异常信息检测方法和装置 | |
| CN110868403B (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN110879889A (zh) | Windows平台的恶意软件的检测方法及系统 | |
| CN114417335A (zh) | 一种恶意文件检测方法、装置、电子设备及存储介质 | |
| CN109784035B (zh) | 一种安装进程的追踪处理方法及装置 | |
| KR100736540B1 (ko) | 웹 서버 위/변조 감시장치 및 그 방법 | |
| CN116305155A (zh) | 一种程序安全检测防护方法、装置、介质及电子设备 | |
| CN114465752B (zh) | 一种远程调用检测方法、装置、电子设备及存储介质 | |
| CN109785537B (zh) | 一种atm机的安全防护方法及装置 | |
| CN110955894B (zh) | 一种恶意内容检测方法、装置、电子设备及可读存储介质 | |
| GB2574209A (en) | Threat control | |
| CN112241529B (zh) | 恶意代码检测方法、装置、存储介质和计算机设备 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN116049822A (zh) | 应用程序的监管方法、系统、电子设备及存储介质 | |
| CN117093999A (zh) | 远程代码执行漏洞检测方法、装置、设备、介质及产品 | |
| CN114499928B (zh) | 远程注册表监测方法及装置 | |
| CN112398784B (zh) | 防御漏洞攻击的方法及装置、存储介质、计算机设备 | |
| KR101410289B1 (ko) | 악성코드의 원격지 접속 서버 추적 시스템 및 방법 | |
| CN112464249A (zh) | 资产设备攻击漏洞修复方法、装置、设备及存储介质 | |
| CN114499929B (zh) | 计划任务内网远程横向渗透监测方法及装置 | |
| CN114466074B (zh) | 一种基于wmi的攻击行为检测方法及装置 | |
| CN113504971B (zh) | 基于容器的安全拦截方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Country or region after: China Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Applicant after: Qianxin Wangshen information technology (Beijing) Co.,Ltd. Address before: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant before: QAX Technology Group Inc. Country or region before: China Applicant before: LEGENDSEC INFORMATION TECHNOLOGY (BEIJING) Inc. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |