【技术实现步骤摘要】
一种基于WMI的攻击行为检测方法及装置
[0001]本专利技术涉网络安全领域,尤其涉及一种基于WMI的攻击行为检测方法及装置。
技术介绍
[0002]随着现代网络尤其是互联网的不断发展和应用,网络已成为人们生活和工作的一部分。与此同时,来自各个层面的网络攻击也与日俱增,层出不穷。比如,攻击者可以通过利用内网已被攻陷的机器作为跳板,通过这个突破口尝试去攻击同一网络里其他机器,获取更多有价值的凭据,更高级的权限,以此扩大攻击面,进而达到控制整个内网网络,最终完成发起APT高级可持续威胁攻击的目的。
[0003]通过利用WMI进行远程攻击是攻击者在内网横向渗透的一个常用攻击手段,利用操作系统自身机制能力进行攻击,传统网络攻击检测手段无法有效精确覆盖检测此类攻击手段。
技术实现思路
[0004]本专利技术提供一种基于WMI的攻击行为检测方法及装置,用以解决现有技术中缺乏基于内网已被攻陷的机器对内网其他机器的发起攻击行为的检测的缺陷,可以阻止攻击者进一步扩大攻击面,提升安全防护能力。
[0005]第一方...
【技术保护点】
【技术特征摘要】
1.一种基于WMI的攻击行为检测方法,其特征在于,包括:通过WMI服务进程中的监控模块对应用程序编程接口进行监控;若监控到所述应用程序编程接口存在对WMI管理服务接口的调用,通过应用程序编程接口预设的第一Hook函数获取所述WMI管理服务接口;若WMI服务操作触发时,通过所述WMI管理服务接口预设的第二Hook函数,获取WMI的远程过程调用协议接口;所述WMI服务操作包括WMI执行操作、WMI查询操作或WMI创建实例操作;若存在所述WMI服务操作时,通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取所述WMI服务操作的行为数据和发起所述WMI服务操作的内网设备的互联网协议地址;将所述WMI服务操作的行为数据和所述内网设备的互联网协议地址发送到威胁行为识别引擎。2.根据权利要求1所述的基于WMI的攻击行为检测方法,其特征在于,所述通过WMI服务进程中的监控模块对应用程序编程接口进行监控,包括:在所述应用程序编程接口预设所述第一Hook函数;基于所述监控模块对所述第一Hook函数的监控,对所述应用程序编程接口进行监控。3.根据权利要求1所述的基于WMI的攻击行为检测方法,其特征在于,所述通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取所述WMI服务操作的行为数据和发起所述WMI服务操作的内网设备的互联网协议地址,包括:通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取所述WMI服务操作的行为数据;通过所述WMI的远程过程调用协议接口预设的第三Hook函数调用应用程序编程接口,获取产生所述WMI服务操作的行为的远程过程调用协议数据;根据所述远程过程调用协议数据,获取所述内网设备的互联网协议地址。4.根据权利要求1至3任一项所述的基于WMI的攻击行为检测方法,其特征在于,所述通过WMI服务进程中的监控模块对应用程序编程接口进行监控之前,还包括:对所述WMI服务进程进行识别;若识别到所述WMI服务进程,在所述WMI服务进程中安装所述监控模块。5.根据权利要求4所述的基于WMI的攻击行为检测方法,其特征在于,所述获取所述WMI管理服务接口之后,还包括:在所述WMI管理服务接口预设所述第二Hook函数;...
【专利技术属性】
技术研发人员:林岳川,孙诚,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。