【技术实现步骤摘要】
无文件攻击检测方法、系统、设备及存储介质
[0001]本申请涉及计算机安全
,尤其涉及一种无文件攻击检测方法、系统、设备及存储介质。
技术介绍
[0002]无文件攻击是利用受系统信任的原生工具进行漏洞攻击,从而完成恶意行为的攻击,在对PowerShell进程根据进行漏洞攻击,由于PowerShell是微软windows系统自带的系统工具,而常规的杀毒引擎通常不会对系统的功能组件进行查杀,进一步地,如果对Powershell发起的脚本代码进行检测,也会因为Powershell支持各种混淆脚本,导致无文件攻击检测的准确性较低。
技术实现思路
[0003]本申请的主要目的在于提供一种无文件攻击检测方法、系统、设备及存储介质,旨在解决现有技术中的无文件攻击检测的准确性较低的技术问题。
[0004]为实现上述目的,本申请提供一种无文件攻击检测方法,所述无文件攻击检测方法包括:
[0005]当检测到进程创建事件时,获取目标进程的进程命令信息,并对所述进程命令信息进行审计检测,获得第一审计结果;
【技术保护点】
【技术特征摘要】
1.一种无文件攻击检测方法,其特征在于,所述无文件攻击检测方法包括:当检测到进程创建事件时,获取目标进程的进程命令信息,并对所述进程命令信息进行审计检测,获得第一审计结果;若根据所述第一审计结果确定允许创建所述目标进程,则获取所述目标进程发起网络连接过程中的进程网络信息;对所述进程网络信息进行审计检测,并根据第二审计结果确定是否放行所述目标进程。2.如权利要求1所述的无文件攻击检测方法,其特征在于,所述当检测到进程创建事件时,获取目标进程的进程命令信息,并对所述进程命令信息进行审计检测,获得第一审计结果的步骤包括:当检测到进程创建事件时,触发预先设置的进程监控驱动模块对应的进程创建回调;基于所述进程创建回调,通过预先设置的应用层检测服务模块扫描所述目标进程的命令行,获得所述进程命令信息;对所述进程命令信息进行审计检测,获得所述第一审计结果。3.如权利要求1所述的无文件攻击检测方法,其特征在于,在所述当检测到进程创建事件时,获取目标进程的进程命令信息,并对所述进程命令信息进行审计检测,获得第一审计结果的步骤之后,所述无文件攻击检测方法还包括:基于所述第一审计结果,判断所述进程命令信息是否存在恶意命令和/或恶意参数;若存在恶意命令和/或恶意参数,则触发拦截机制阻止创建所述目标进程,并生成所述目标进程的审计报告。4.如权利要求1所述的无文件攻击检测方法,其特征在于,所述若根据所述第一审计结果确定允许创建所述目标进程,则获取所述目标进程发起网络连接过程中的进程网络信息的步骤:基于所述第一审计结果,若确定所述进程命令信息不存在恶意命令和/或恶意参数,则允许创建所述目标进程;当检测到所述目标进程发起网络连接时,触发预先设置的网络监控驱动模块对应的网络连接回调;基于所述进程网络连接回调,通过预先设置的应用层检测服务模块扫描所述目标进程对应的进程网络信息。5.如权利要求1所述的无...
【专利技术属性】
技术研发人员:冯振扬,陈桂耀,肖存峰,林俊吉,梁鼎铭,冯志强,
申请(专利权)人:深圳融安网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。