【技术实现步骤摘要】
一种远程调用检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及数字信息传输
,尤其涉及一种远程调用检测方法、装置、电子设备及存储介质。
技术介绍
[0002]信息安全的应用已经涵盖移动通信、物联网、甚至工业控制领域,而恶意代码防护技术是信息安全中的重要分支,其最重要的部分便是高级可持续性威胁(Advanced Persistent Threat,简称APT)。APT攻击是目前攻击类型中最高端的攻击模式,被公认为是一种地下产业链的核心行为。
[0003]目前,APT攻击可通过远程调用实现,即在某个主机已经被攻占的情况下,通过该已被攻占的主机对内网下其他主机进行远程调用操作,从而获取内网下所有主机上的信息,严重影响信息安全。因此,对远程调用操作的精确检测,对信息安全至关重要。而当前只能识别本地机器发起操作,而无法准确检测远程调用操作。
技术实现思路
[0004]本专利技术提供一种远程调用检测方法、装置、电子设备及存储介质,用以解决现有技术中无法精确检测出远程调用操作的缺陷。
[0...
【技术保护点】
【技术特征摘要】
1.一种远程调用检测方法,其特征在于,包括:将Services.exe进程确定为目标进程;在所述目标进程允许注入的情况下,在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数;通过所述钩子函数监测服务启动项操作行为,在监测到服务启动项操作行为的情况下,根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息。2.根据权利要求1所述的远程调用检测方法,其特征在于,所述在所述目标进程的远程过程调用的svcctl服务操作接口中注入用于检测远程调用操作的钩子函数,包括:在以下至少一个svcctl服务操作接口中注入用于检测远程调用操作的钩子函数:RCreateServiceW,RChangeServiceConfigW和RDeleteService。3.根据权利要求1所述的远程调用检测方法,其特征在于,在根据所述服务启动项操作行为的远程过程调用数据确定所述服务启动项操作行为是远程调用操作,并获取发起所述远程调用操作的终端的信息之后,方法还包括:将所述服务启动项操作行为的远程过程调用数据与所述发起所述远程调用操作的终端的信息传输至预设的威胁行为识别引擎,以检测所述远程调用操作是否为远程攻击。4.根据权利要求1至3任一项所述的远程调用检测方法,其特征在于,方法还包括:在所述目标进程不允许注入的情况下,通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传输信息数据;根据所述服务启动项操作行为的参数数据,确定所述服务启动项操作行为是远程调用操作;根据所述网络连接传输信息数据,获取发起所述远程调用操作的终端的信息。5.根据权利要求4所述的远程调用检测方法,其特征在于,所述通过跟踪记录机制记录服务启动项操作行为的参数数据以及网络连接传...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。