【技术实现步骤摘要】
远程调用行为识别方法、装置、设备、介质及产品
[0001]本专利技术涉及计算机
,尤其涉及一种远程调用行为识别方法、装置、设备、介质及产品。
技术介绍
[0002]在网络渗透完整攻击链中,内网远程横向渗透阶段是攻击者在一台已被攻陷的机器上去做跳板,通过这个突破口尝试去攻击同一网络里其他机器,获取更多有价值的凭据,更高级的权限,以此扩大攻击面,进而达到控制整个内网网络,最终完成发起高级可持续威胁攻击(advanced persistent threat,APT)的目的。
[0003]通过利用分布式组件对象模型(microsoft distributed component object model,DCOM)进行远程攻击是攻击者在内网横向渗透的一个常用攻击手段。例如,攻击者在攻击一台计算机获取其相应权限后,可以利用所述计算机中DCOM接口中的可执行命令接口进行攻击其他计算机,让其他计算机去下载并执行一个木马,从而可以获取更多的信息和更高权限。由于它是一种利用操作系统自身机制能力进行攻击的手段,传统网络攻击检测手段...
【技术保护点】
【技术特征摘要】
1.一种远程调用行为识别方法,其特征在于,包括:在目标函数被调用的情况下,执行预先设置在所述目标函数处的钩子函数;其中,所述目标函数为DCOM组件中的命令执行函数;通过所述钩子函数监控到基于DCOM的调用行为;获取DCOM数据,根据所述DCOM数据确定所述基于DCOM的调用行为是否为远程调用行为。2.根据权利要求1所述的远程调用行为识别方法,其特征在于,在所述在目标函数被调用的情况下,执行预先设置在所述目标函数处的钩子函数之前,方法还包括:在预设进程被创建并启动的情况下,对所述预设进程中的目标函数设置钩子函数。3.根据权利要求2所述的远程调用行为识别方法,其特征在于,所述在预设进程被创建并启动的情况下,对所述预设进程中的目标函数设置钩子函数,包括:在所述预设进程为文件资源管理器进程的情况下,在DCOM接口的类标识符为{C08AFD90
‑
F2A1
‑
11D1
‑
8455
‑
00A0C91F3880}的DCOM组件中的Document.Application.ShellExecute函数处和类标识符为{9BA05972
‑
F6A8
‑
11CF
‑
A442
‑
00A0C90A8F39}的DCOM组件中的Document.Application.ShellExecute函数处设置钩子函数;在所述预设进程为系统管理程序进程的情况下,在DCOM接口的名称为MMC20.Application的DCOM组件中的Document.ActiveView.ExecuteShellCommand函数处设置钩子函数。4.根据权利...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。