CN118368114A - 木马检测的方法、装置、电子设备及存储介质 - Google Patents

木马检测的方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN118368114A
CN118368114A CN202410495195.5A CN202410495195A CN118368114A CN 118368114 A CN118368114 A CN 118368114A CN 202410495195 A CN202410495195 A CN 202410495195A CN 118368114 A CN118368114 A CN 118368114A
Authority
CN
China
Prior art keywords
resource
access
type
terminal
accessed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410495195.5A
Other languages
English (en)
Inventor
殷伟
卢佳顺
郭国庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Shenxinfu Information Security Co ltd
Original Assignee
Shenzhen Shenxinfu Information Security Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Information Security Co ltd filed Critical Shenzhen Shenxinfu Information Security Co ltd
Priority to CN202410495195.5A priority Critical patent/CN118368114A/zh
Publication of CN118368114A publication Critical patent/CN118368114A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供了一种木马检测的方法、装置、电子设备及存储介质。其中,在木马检测的方法中,首先针对每一个资源,确定各个资源的资源类型,并基于资源类型,设置各个资源的访问基线。能够自动确定各个资源的资源类型,并形成访问基线,以访问基线作为木马检测的基础,不需要依赖产品特征库/规则库的丰富度。若接收到终端进程的资源访问请求,基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。通过监控终端进程的访问资源的行为,确定是否存在偏离访问基线的情况,若存在偏离访问基线的情况即可判定存在远控木马,以此不仅能够对已知威胁进行防御,也能有效识别未知威胁。

Description

木马检测的方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全技术领域,尤其涉及一种木马检测的方法、装置、电子设备及存储介质。
背景技术
为了保证数据不被泄露和破坏,网络安全一直是各个企业的重点关注方向。而远控木马就是一种网络攻击者用于远程控制用户终端的程序或者恶意代码,将控制程序或者恶意代码寄生于被控制的用户终端中。
在现有技术中,通常是利用互联网地址威胁情报技术、恶意代码特征库技术、网络流量分析技术等方案进行木马病毒的防御,但是这些方案严重依赖产品特征库/规则库的丰富度,只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患。
发明内容
有鉴于此,本申请提供了一种木马检测的方法、装置、电子设备及存储介质,以解决现有技术中只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患的问题。
为实现上述目的,本申请提供如下技术方案:
本申请第一方面公开了一种木马检测的方法,包括:
针对每一个资源,确定各个所述资源的资源类型;其中,所述资源类型包括BS资源、CS资源和混合资源;
基于所述资源类型,设置各个所述资源的访问基线;其中,所述访问基线用于表征资源可被访问的进程类型;所述进程类型包括BS进程和CS进程;
若接收到终端进程的资源访问请求,基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
可选的,上述的方法,所述针对每一个资源,确定所述资源的资源类型,包括:
针对每一个资源,获取当前资源的历史访问进程类型数据,并基于所述进程类型数据确定所述当前资源的资源类型。
可选的,上述的方法,所述基于所述资源类型,设置各个所述资源的访问基线,包括:
针对每一个资源,若当前资源的资源类型为BS资源,则设置所述当前资源可被访问的进程类型为BS进程;
若所述当前资源的资源类型为CS资源,则设置所述当前资源可被访问的进程类型为CS进程;
若所述当前资源的资源类型为混合资源,则设置所述当前资源可被访问的进程类型为BS进程和CS进程。
可选的,上述的方法,所述基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果,包括:
基于所述终端进程的进程类型,确定所述资源访问请求是否符合所述终端进程请求访问的资源的访问基线;
若确定出所述终端进程的进程类型符合所述终端进程请求访问的资源的访问基线,则检测结果为不存在远控木马;
若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线,则检测结果为存在远控木马。
可选的,上述的方法,若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线,则检测结果为存在远控木马之后,还包括:
生成告警信息,并执行预设的风险处置方案。
可选的,上述的方法,还包括:
接收到终端进程的资源访问请求时,通过单包授权方式对所述终端进程的用户进行鉴权。
可选的,上述的方法,还包括:
当未确定进程类型的新进程同时访问不同资源类型的资源时,则生成告警信息。
本申请第二方面公开了一种木马检测的装置,包括:
确定单元,用于针对每一个资源,确定各个所述资源的资源类型;其中,所述资源类型包括BS资源、CS资源和混合资源;
设置单元,用于基于所述资源类型,设置各个所述资源的访问基线;其中,所述访问基线用于表征资源可被访问的进程类型;所述进程类型包括BS进程和CS进程;
检测单元,用于若接收到终端进程的资源访问请求,基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
可选的,上述的装置,所述确定单元,包括:
第一确定子单元,用于针对每一个资源,获取当前资源的历史访问进程类型数据,并基于所述进程类型数据确定所述当前资源的资源类型。
可选的,上述的装置,所述设置单元,包括:
第一设置子单元,用于针对每一个资源,若当前资源的资源类型为BS资源,则设置所述当前资源可被访问的进程类型为BS进程;
第二设置子单元,用于若所述当前资源的资源类型为CS资源,则设置所述当前资源可被访问的进程类型为CS进程;
第三设置子单元,用于若所述当前资源的资源类型为混合资源,则设置所述当前资源可被访问的进程类型为BS进程和CS进程。
可选的,上述的装置,所述检测单元,包括:
第二确定子单元,用于基于所述终端进程的进程类型,确定所述资源访问请求是否符合所述终端进程请求访问的资源的访问基线;
第三确定子单元,用于若确定出所述终端进程的进程类型符合所述终端进程请求访问的资源的访问基线,则检测结果为不存在远控木马;
第四确定子单元,用于若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线,则检测结果为存在远控木马。
可选的,上述的装置,还包括:
风险处置单元,用于生成告警信息,并执行预设的风险处置方案。
可选的,上述的装置,还包括:
鉴权单元,用于接收到终端进程的资源访问请求时,通过单包授权方式对所述终端进程的用户进行鉴权。
可选的,上述的装置,还包括:
告警单元,用于当未确定进程类型的新进程同时访问不同资源类型的资源时,则生成告警信息。
本申请第三方面公开了一种电子设备,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如本申请第一方面中任意一项所述的方法。
本申请第四方面公开了一种计算机存储介质,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如本申请第一方面中任意一项所述的方法。
从上述技术方案可以看出,本申请提供的一种木马检测的方法中,首先针对每一个资源,确定各个资源的资源类型,并基于资源类型,设置各个资源的访问基线;其中,访问基线用于表征资源可被访问的进程类型。能够自动确定各个资源的资源类型,并形成访问基线,以访问基线作为木马检测的基础,不需要依赖产品特征库/规则库的丰富度。若接收到终端进程的资源访问请求,基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。通过监控终端进程的访问资源的行为,确定是否存在偏离访问基线的情况,若存在偏离访问基线的情况即可判定存在远控木马,以此不仅能够对已知威胁进行防御,也能有效识别未知威胁。解决了现有技术中只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例公开的一种木马检测的方法的流程图;
图2为本申请另一实施例公开的一种木马检测应用场景的示意图;
图3为本申请另一实施例公开的步骤S103的一种实施方式的流程图;
图4为本申请另一实施例公开的一种木马检测的装置的示意图;
图5为本申请另一实施例公开的一种电子设备的示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在本申请中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
并且,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
由背景技术可知,在现有技术中,通常是利用互联网地址威胁情报技术、恶意代码特征库技术、网络流量分析技术等方案进行木马病毒的防御,但是这些方案严重依赖产品特征库/规则库的丰富度,只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患。
鉴于此,本申请提供了一种木马检测的方法、装置、电子设备及存储介质,以解决现有技术中只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患的问题。
本申请实施例提供了一种木马检测的方法,如图1所示,具体包括:
S101、针对每一个资源,确定各个资源的资源类型;其中,资源类型包括BS资源、CS资源和混合资源。
需要说明的是,针对每一个资源,首先确定各个资源的资源类型;其中,资源类型包括BS资源(仅被浏览器访问的应用资源)、CS资源(仅被CS程序访问的应用资源)和混合资源(能同时被浏览器和CS进程访问的应用资源)。
还需要说明的是,资源指的是经过SDP(一种基于零信任理念的网络访问控制安全架构,用于保护企业应用和服务,属于零信任访问控制系统的一种)软件定义边界产品代理访问的应用资源,SDP产品一般由三大组件构成:SDP控制中心和代理网关(以下称“SDP服务端”)、SDP连接发起主机(以下称“SDP客户端”)。本实施例结合图2所示的应用场景进行说明,当用户终端上存在远控木马,且用户已经登录SDP客户端时,由于木马具备代理能力,攻击者可通过攻击机上的BS进程、CS进程来访问受控机上的应用资源,所有的访问请求将通过受控机上的木马程序代理,SDP服务端即可发现偏离访问基线的行为。
可选的,在本申请的另一实施例中,步骤S101的一种实施方式,可以包括:
针对每一个资源,获取当前资源的历史访问进程类型数据,并基于进程类型数据确定当前资源的资源类型。
需要说明的是,针对每一个资源,首先获取当前资源的历史访问进程类型数据,即每个用户访问当前资源时所使用的进程的进程类型,并基于进程类型数据确定当前资源的资源类型。例如用户访问当前资源时所使用的进程的进程类型为BS进程,则确定当前资源的资源类型为BS资源。
S102、基于资源类型,设置各个资源的访问基线;其中,访问基线用于表征资源可被访问的进程类型;进程类型包括BS进程和CS进程。
需要说明的是,基于每一个资源的资源类型,设置各个资源的访问基线,其中,访问基线用于表征资源可被访问的进程类型;进程类型包括BS进程(例如浏览器)和CS进程(例如SSh客户端、远程桌面客户端等)。以访问基线为基础,即可根据进程的访问行为进行木马检测,一旦发现偏离访问基线的访问行为,即可判定存在远控木马。
正常情况下,浏览器(BS进程)均支持访问BS资源,但不支持访问SSh(SecureShell)服务、远程桌面服务等CS资源,此类服务均需要通过特定应用程序,即CS进程进行访问。
当用户终端上的浏览器被注入木马后,且用户已经登录SDP客户端,攻击者即可通过用户终端上的浏览器代理访问用户权限内的全部应用资源,若此时攻击者通过CS进程访问了CS应用,SDP服务端即可发现偏离访问基线的行为,即:访问进程为浏览器(BS进程),访问资源为CS资源,此时即可判定用户终端浏览器存在木马。
同样的,一般CS进程也不支持访问BS资源,但是有独立进程的远控木马则不一样,由于木马具备代理能力,攻击者可通过攻击机上的CS进程来访问受控机上的应用资源,所有的访问请求将通过受控机上的木马程序代理,SDP服务端即可发现偏离访问基线的行为,即:访问进程为未知CS进程(远控木马),访问BS资源,此时即可判定该进程为远控木马。
在本申请的另一实施例中,步骤S102的一种实施方式,可以包括:
针对每一个资源,若当前资源的资源类型为BS资源,则设置当前资源可被访问的进程类型为BS进程。
若当前资源的资源类型为CS资源,则设置当前资源可被访问的进程类型为CS进程。
若当前资源的资源类型为混合资源,则设置当前资源可被访问的进程类型为BS进程和CS进程。
需要说明的是,如果当前资源为BS资源,则访问基线设置为当前资源可被访问的进程类型为CS进程;当前资源为CS资源,则访问基线设置为当前资源可被访问的进程类型为CS进程;当前资源为混合资源,则访问基线设置为当前资源可被访问的进程类型为BS进程和CS进程。
S103、若接收到终端进程的资源访问请求,基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
需要说明的是,如果接收到终端进程的资源访问请求,则基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,确定其资源访问请求是否符合资源的访问基线,以此判断是否存在远控木马,得到检测结果。本申请基于远控木马代理场景下的固有缺陷,识别攻击者的访问行为与资源访问基线的偏离情况,实现了在远控木马代理访问场景下的通用检测和精准检测。并且,传统远控木马检测技术需要不断更新、扩充特征库/规则库的数据,随着相关库数据的规模变化,对用户终端、安全产品的性能也会产生极大消耗,影响用户正常业务体验。本发明方案基于私有化部署场景,针对每套环境自动化生成个性特征库,规则数据量小,无需云端更新,对用户终端和SDP产品的性能消耗都保持着极低状态。
可选的,在本申请的另一实施例中,步骤S103的一种实施方式,如图3所示,可以包括:
S301、基于终端进程的进程类型,确定资源访问请求是否符合终端进程请求访问的资源的访问基线。
需要说明的是,由于资源的访问基线中设置可访问的进程类型,因此基于终端进程的进程类型,确定资源访问请求是否符合终端进程请求访问的资源的访问基线。
S302、若确定出终端进程的进程类型符合终端进程请求访问的资源的访问基线,则检测结果为不存在远控木马。
需要说明的是,如果确定出终端进程的进程类型符合终端进程请求访问的资源的访问基线,例如,当前终端进程为BS进程,其资源访问请求为请求访问BS资源,则此行为是合理的,那么此时就不会判定当前终端进程为木马进程,因此,检测结果为不存在远控木马。
S303、若确定出终端进程的进程类型不符合终端进程请求访问的资源的访问基线,则检测结果为存在远控木马。
需要说明的是,如果确定出终端进程的进程类型不符合终端进程请求访问的资源的访问基线,例如,当前终端进程为BS进程,其资源访问请求为请求访问CS资源,则此行为是不合理的,那么此时就会判定当前终端进程为木马进程,因此,检测结果为存在远控木马。
本申请实施例提供的一种木马检测的方法中,首先针对每一个资源,确定各个资源的资源类型,并基于资源类型,设置各个资源的访问基线;其中,访问基线用于表征资源可被访问的进程类型。能够自动确定各个资源的资源类型,并形成访问基线,以访问基线作为木马检测的基础,不需要依赖产品特征库/规则库的丰富度。若接收到终端进程的资源访问请求,基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。通过监控终端进程的访问资源的行为,确定是否存在偏离访问基线的情况,若存在偏离访问基线的情况即可判定存在远控木马,以此不仅能够对已知威胁进行防御,也能有效识别未知威胁。解决了现有技术中只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患的问题。
可选的,在本申请的另一实施例中,上述木马检测的方法,还可以包括:
接收到终端进程的资源访问请求时,通过单包授权方式对终端进程的用户进行鉴权。
需要说明的是,在零信任体系下,用户通过终端进程对资源服务器发起的每条资源访问请求都会进行身份信息识别并记录访问行为,称之为单包授权技术。在鉴权时,使用者需要提供完备的身份信息与终端环境信息,终端环境信息通常由SDP客户端进行采集得到,SDP服务端收到访问请求后,将根据配置的动态权限验证方案进行资源访问权限校验;校验通过后,SDP服务端将放行资源访问请求并在当前连接访问结束时记录本次访问的相关审计信息。
对于网络管理员,企业中存在许多的业务服务器,每个业务服务器上还会部署多个应用,单个应用通常占用一个或多个服务器端口并通过这个端口对外提供服务;在这个现状下,管理员无法确定一个服务器地址的某个端口对外提供了何种服务,这种服务又通常可以被怎样的进程进行访问。得益于零信任的单包授权技术以及访问审计机制,对于每个资源访问请求,SDP服务端记录着完整的终端环境信息与身份信息。
可选的,在本申请的另一实施例中,执行上述步骤S203之后,还可以包括:
生成告警信息,并执行预设的风险处置方案。
需要说明的是,如果检测结果为存在远控木马,则立马生成告警信息进行提醒,并执行预设的风险处置方案,例如断开终端互联网连接、断开终端内网连接、锁定用户账号等自动化的处置动作,可以有效防止进一步的攻击和损失。由于零信任SDP产品的每一次网络连接请求都携带有用户身份特征,因此一旦发现某个终端存在浏览器进程被注入,可以立即定位相关用户和终端。不需要像传统远控木马检测产品基于网络IP定位威胁后,仍需要安全专家通过IP反查具体用户和终端,处置时效性不足,进一步加剧了攻防对抗不对等的安全形势。
可选的,在本申请的另一实施例中,上述木马检测的方法,还可以包括:
当未确定进程类型的新进程同时访问不同资源类型的资源时,则生成告警信息。
需要说明的是,对于一个企业而言,企业中员工使用的进程是有限的;在运行一段时间后,几乎所有常用的进程都将被SDP服务端所记录;在终端被远控木马控制后,攻击者可能使用新的进程或直接使用木马程序内外资源服务器发起请求,新的进程将被SDP服务端进行标记;当被标记的进程同时访问不同类型的应用时,SDP将产生告警,及时进行风险提醒。
可选的,在本申请的另一实施例中,上述木马检测的方法,还可以包括:
设置可信进程白名单。
需要说明的是,由于客户业务系统的是复杂的,当一个新的综合类应用(能同时访问BS资源和CS资源)被引入到生产环境中时,可能会产生大量告警信息,此时管理员可以通过设置可信进程白名单,将新进程标记为可信进程,解决错误告警的问题。
本申请另一实施例还提供了一种木马检测的装置,如图4所示,具体包括:
确定单元401,用于针对每一个资源,确定各个资源的资源类型;其中,资源类型包括BS资源、CS资源和混合资源。
设置单元402,用于基于资源类型,设置各个资源的访问基线;其中,访问基线用于表征资源可被访问的进程类型;进程类型包括BS进程和CS进程。
检测单元403,用于若接收到终端进程的资源访问请求,基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
本实施例中,确定单元401、设置单元402以及检测单元403的具体执行过程,可参见对应上述图1的方法实施例内容,此处不再赘述。
本申请实施例提供的一种木马检测的装置中,首先确定单元401针对每一个资源,确定各个资源的资源类型,设置单元402基于资源类型,设置各个资源的访问基线;其中,访问基线用于表征资源可被访问的进程类型。能够自动确定各个资源的资源类型,并形成访问基线,以访问基线作为木马检测的基础,不需要依赖产品特征库/规则库的丰富度。若接收到终端进程的资源访问请求,检测单元403基于终端进程的进程类型和终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。通过监控终端进程的访问资源的行为,确定是否存在偏离访问基线的情况,若存在偏离访问基线的情况即可判定存在远控木马,以此不仅能够对已知威胁进行防御,也能有效识别未知威胁。解决了现有技术中只能检测已知威胁,无法对未知木马进程进行检测,存在较大的安全隐患的问题。
可选的,在本申请的另一实施例中,上述确定单元401的一种实施方式,可以包括:
第一确定子单元,用于针对每一个资源,获取当前资源的历史访问进程类型数据,并基于进程类型数据确定当前资源的资源类型。
本实施例中,第一确定子单元的具体执行过程,可参见对应上述的方法实施例内容,此处不再赘述。
可选的,在本申请的另一实施例中,上述设置单元402的一种实施方式,可以包括:
第一设置子单元,用于针对每一个资源,若当前资源的资源类型为BS资源,则设置当前资源可被访问的进程类型为BS进程。
第二设置子单元,用于若当前资源的资源类型为CS资源,则设置当前资源可被访问的进程类型为CS进程。
第三设置子单元,用于若当前资源的资源类型为混合资源,则设置当前资源可被访问的进程类型为BS进程和CS进程。
本实施例中,第一设置子单元、第二设置子单元、第三设置子单元的具体执行过程,可参见对应上述的方法实施例内容,此处不再赘述。
可选的,在本申请的另一实施例中,上述检测单元403的一种实施方式,可以包括:
第二确定子单元,用于基于终端进程的进程类型,确定资源访问请求是否符合终端进程请求访问的资源的访问基线;
第三确定子单元,用于若确定出终端进程的进程类型符合终端进程请求访问的资源的访问基线,则检测结果为不存在远控木马;
第四确定子单元,用于若确定出终端进程的进程类型不符合终端进程请求访问的资源的访问基线,则检测结果为存在远控木马。
本实施例中,第二确定子单元、第三确定子单元、第四确定子单元的具体执行过程,可参见对应上述图3的方法实施例内容,此处不再赘述。
可选的,在本申请的另一实施例中,上述的装置,还可以包括:
风险处置单元,用于生成告警信息,并执行预设的风险处置方案。
本实施例中,风险处置单元的具体执行过程,可参见对应上述的方法实施例内容,此处不再赘述。
可选的,在本申请的另一实施例中,上述的装置,还可以包括:
鉴权单元,用于接收到终端进程的资源访问请求时,通过单包授权方式对终端进程的用户进行鉴权。
本实施例中,鉴权单元的具体执行过程,可参见对应上述的方法实施例内容,此处不再赘述。
可选的,在本申请的另一实施例中,上述的装置,还可以包括:
告警单元,用于当未确定进程类型的新进程同时访问不同资源类型的资源时,则生成告警信息。
本实施例中,告警单元的具体执行过程,可参见对应上述的方法实施例内容,此处不再赘述。
申请另一实施例还提供了一种电子设备,如图5所示,具体包括:
一个或多个处理器501。
存储装置502,其上存储有一个或多个程序。
当一个或多个程序被一个或多个处理器501执行时,使得一个或多个处理器501实现如上述实施例中任意一项方法。
本申请另一实施例还提供了计算机存储介质,其上存储有计算机程序,其中,计算机程序被处理器执行时实现如上述实施例中任意一项方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (10)

1.一种木马检测的方法,其特征在于,包括:
针对每一个资源,确定各个所述资源的资源类型;其中,所述资源类型包括BS资源、CS资源和混合资源;
基于所述资源类型,设置各个所述资源的访问基线;其中,所述访问基线用于表征资源可被访问的进程类型;所述进程类型包括BS进程和CS进程;
若接收到终端进程的资源访问请求,基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
2.根据权利要求1所述的方法,其特征在于,所述针对每一个资源,确定所述资源的资源类型,包括:
针对每一个资源,获取当前资源的历史访问进程类型数据,并基于所述进程类型数据确定所述当前资源的资源类型。
3.根据权利要求1所述的方法,其特征在于,所述基于所述资源类型,设置各个所述资源的访问基线,包括:
针对每一个资源,若当前资源的资源类型为BS资源,则设置所述当前资源可被访问的进程类型为BS进程;
若所述当前资源的资源类型为CS资源,则设置所述当前资源可被访问的进程类型为CS进程;
若所述当前资源的资源类型为混合资源,则设置所述当前资源可被访问的进程类型为BS进程和CS进程。
4.根据权利要求1所述的方法,其特征在于,所述基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果,包括:
基于所述终端进程的进程类型,确定所述资源访问请求是否符合所述终端进程请求访问的资源的访问基线;
若确定出所述终端进程的进程类型符合所述终端进程请求访问的资源的访问基线,则检测结果为不存在远控木马;
若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线,则检测结果为存在远控木马。
5.根据权利要求4所述的方法,其特征在于,若确定出所述终端进程的进程类型不符合所述终端进程请求访问的资源的访问基线,则检测结果为存在远控木马之后,还包括:
生成告警信息,并执行预设的风险处置方案。
6.根据权利要求1所述的方法,其特征在于,还包括:
接收到终端进程的资源访问请求时,通过单包授权方式对所述终端进程的用户进行鉴权。
7.根据权利要求1所述的方法,其特征在于,还包括:
当未确定进程类型的新进程同时访问不同资源类型的资源时,则生成告警信息。
8.一种木马检测的装置,其特征在于,包括:
确定单元,用于针对每一个资源,确定各个所述资源的资源类型;其中,所述资源类型包括BS资源、CS资源和混合资源;
设置单元,用于基于所述资源类型,设置各个所述资源的访问基线;其中,所述访问基线用于表征资源可被访问的进程类型;所述进程类型包括BS进程和CS进程;
检测单元,用于若接收到终端进程的资源访问请求,基于所述终端进程的进程类型和所述终端进程请求访问的资源的访问基线进行木马检测,得到检测结果。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,其上存储有一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至7中任意一项所述的方法。
10.一种计算机存储介质,其特征在于,其上存储有计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的方法。
CN202410495195.5A 2024-04-23 2024-04-23 木马检测的方法、装置、电子设备及存储介质 Pending CN118368114A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410495195.5A CN118368114A (zh) 2024-04-23 2024-04-23 木马检测的方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410495195.5A CN118368114A (zh) 2024-04-23 2024-04-23 木马检测的方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN118368114A true CN118368114A (zh) 2024-07-19

Family

ID=91887351

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410495195.5A Pending CN118368114A (zh) 2024-04-23 2024-04-23 木马检测的方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN118368114A (zh)

Similar Documents

Publication Publication Date Title
CN112926056B (zh) 基于速度事件检测对于云应用的未授权访问的方法和系统
US11997139B2 (en) Deceiving attackers accessing network data
KR101669694B1 (ko) 네트워크 자원들에 대한 건강 기반 액세스
US11616812B2 (en) Deceiving attackers accessing active directory data
CN111131176B (zh) 资源访问控制方法、装置、设备及存储介质
CN114553540B (zh) 基于零信任的物联网系统、数据访问方法、装置及介质
US11729134B2 (en) In-line detection of algorithmically generated domains
CN112738100B (zh) 数据访问的鉴权方法、装置、鉴权设备和鉴权系统
CN116319024B (zh) 零信任系统的访问控制方法、装置及零信任系统
US20160028771A1 (en) Using events to identify a user and enforce policies
US9075996B2 (en) Evaluating a security stack in response to a request to access a service
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
Deng et al. Lexical analysis for the webshell attacks
Sanfilippo et al. Stride-based threat modeling for mysql databases
US20230069731A1 (en) Automatic network signature generation
US20220150277A1 (en) Malware detonation
CN118368114A (zh) 木马检测的方法、装置、电子设备及存储介质
KR20100067383A (ko) 서버 보안 시스템 및 서버 보안 방법
CN112769731A (zh) 一种进程控制方法、装置、服务器及存储介质
US12132759B2 (en) Inline package name based supply chain attack detection and prevention
US20240354402A1 (en) Anomaly determinations using decoy devices and machine learning models
US20230344866A1 (en) Application identification for phishing detection
US20240283818A1 (en) Using cross workloads signals to remediate password spraying attacks
US20240356971A1 (en) Deceiving attackers accessing network data
US20240039889A1 (en) Cobalt strike beacon http c2 heuristic detection

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination