无文件攻击检测方法、系统、设备及存储介质技术方案

本申请公开了一种无文件攻击检测方法、系统、设备及存储介质，所述无文件攻击检测方法包括：当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果，若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息，对所述进程网络信息进行审计检测，并根据第二审计结果确定是否放行所述目标进程。本申请解决了无文件攻击检测的准确性较低的技术问题。决了无文件攻击检测的准确性较低的技术问题。决了无文件攻击检测的准确性较低的技术问题。

【技术实现步骤摘要】
无文件攻击检测方法、系统、设备及存储介质


[0001]本申请涉及计算机安全
，尤其涉及一种无文件攻击检测方法、系统、设备及存储介质。

技术介绍

[0002]无文件攻击是利用受系统信任的原生工具进行漏洞攻击，从而完成恶意行为的攻击，在对PowerShell进程根据进行漏洞攻击，由于PowerShell是微软windows系统自带的系统工具，而常规的杀毒引擎通常不会对系统的功能组件进行查杀，进一步地，如果对Powershell发起的脚本代码进行检测，也会因为Powershell支持各种混淆脚本，导致无文件攻击检测的准确性较低。

技术实现思路

[0003]本申请的主要目的在于提供一种无文件攻击检测方法、系统、设备及存储介质，旨在解决现有技术中的无文件攻击检测的准确性较低的技术问题。
[0004]为实现上述目的，本申请提供一种无文件攻击检测方法，所述无文件攻击检测方法包括：
[0005]当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果；
[0006]若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息；
[0007]对所述进程网络信息进行审计检测，并根据第二审计结果确定是否放行所述目标进程。
[0008]可选地，所述当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果的步骤包括：
[0009]当检测到进程创建事件时，触发预先设置的进程监控驱动模块对应的进程创建回调；
[0010]基于所述进程创建回调，通过预先设置的应用层检测服务模块扫描所述目标进程的命令行，获得所述进程命令信息；
[0011]对所述进程命令信息进行审计检测，获得所述第一审计结果。
[0012]可选地，在所述当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果的步骤之后，所述无文件攻击检测方法还包括：
[0013]基于所述第一审计结果，判断所述进程命令信息是否存在恶意命令和/或恶意参数；
[0014]若存在恶意命令和/或恶意参数，则触发拦截机制阻止创建所述目标进程，并生成所述目标进程的审计报告。
[0015]可选地，所述若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息的步骤：
[0016]基于所述第一审计结果，若确定所述进程命令信息不存在恶意命令和/或恶意参数，则允许创建所述目标进程；
[0017]当检测到所述目标进程发起网络连接时，触发预先设置的网络监控驱动模块对应的网络连接回调；
[0018]基于所述进程网络连接回调，通过预先设置的应用层检测服务模块扫描所述目标进程对应的进程网络信息。
[0019]可选地，所述进程网络信息包括进程加载模块、网络连接地址、进程内存和进程句柄的一种或多种。
[0020]可选地，所述对所述进程网络信息进行审计检测的步骤包括：
[0021]检测所述目标进程的进程加载模块是否存在预设攻击必备模块；
[0022]和/或基于预设的网络连接地址名单，对所述网络连接地址进行匹配审计；
[0023]和/或将所述进程内存和预设恶意脚本内容进行匹配审计；
[0024]和/或将所述进程句柄和预先设置的关键进程句柄进行匹配审计。
[0025]可选地，所述根据第二审计结果确定是否发起所述目标进程的步骤包括：
[0026]若所述第二审计结果是通过审计，则放行所述目标进程；
[0027]若所述第二审计结果是未通过审计，则触发拦截机制阻止执行所述目标进程，并发出警报信息。
[0028]本申请还提供一种无文件攻击检测系统，所述无文件攻击检测系统为虚拟系统，所述无文件攻击检测系统包括：
[0029]第一审计检测模块，用于当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果；
[0030]获取模块，用于若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息；
[0031]第二审计检测模块，用于对所述进程网络信息进行审计检测，并根据第二审计结果确定是否放行所述目标进程。
[0032]本申请还提供一种无文件攻击检测设备，所述无文件攻击检测设备为实体设备，所述无文件攻击检测设备包括：存储器、处理器以及存储在所述存储器上的无文件攻击检测程序，所述无文件攻击检测程序被所述处理器发起实现如上述的无文件攻击检测方法的步骤。
[0033]本申请还提供一种存储介质，所述存储介质为计算机可读存储介质，所述计算机可读存储介质上存储无文件攻击检测程序，所述无文件攻击检测程序被处理器发起实现如上述的无文件攻击检测方法的步骤。
[0034]本申请提供了一种无文件攻击检测方法、系统、设备及存储介质，本申请首先当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果，进而若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息，进一步地，对所述进程网络信息进行审计检测，并根据第二审计结果确定是否放行所述目标进程，实现了在进程创建过程中，对
目标进程的进程命令信息进行审批，从而提供有效的前置检测，并且由于无文件攻击要通过网络连接下载远程恶意文件，因此对目标进程的网络连接阶段的进程网络信息进行审计检测，也即，对目标进程的网络连接进行实时监控拦截，从而实现了从多个维度对无文件攻击进行检测，有效提高检测的准确率。
附图说明
[0035]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。
[0036]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域默认技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0037]图1为本申请无文件攻击检测方法第一实施例的流程示意图；
[0038]图2为本申请无文件攻击检测方法的时序示意图；
[0039]图3为本申请无文件攻击检测方法第二实施例的流程示意图；
[0040]图4为本申请实施例方案涉及的硬件运行环境的无文件攻击检测设备结构示意图；
[0041]图5为本申请无文件攻击检测装置的功能模块示意图。
[0042]本专利技术目的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0043]应当理解，此处所描述的具体实施例仅用以解释本申请，并不用于限定本申请。
[0044]本申请实施例提供一种无文件攻击检测方法，在本申请无文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无文件攻击检测方法，其特征在于，所述无文件攻击检测方法包括：当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果；若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息；对所述进程网络信息进行审计检测，并根据第二审计结果确定是否放行所述目标进程。2.如权利要求1所述的无文件攻击检测方法，其特征在于，所述当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果的步骤包括：当检测到进程创建事件时，触发预先设置的进程监控驱动模块对应的进程创建回调；基于所述进程创建回调，通过预先设置的应用层检测服务模块扫描所述目标进程的命令行，获得所述进程命令信息；对所述进程命令信息进行审计检测，获得所述第一审计结果。3.如权利要求1所述的无文件攻击检测方法，其特征在于，在所述当检测到进程创建事件时，获取目标进程的进程命令信息，并对所述进程命令信息进行审计检测，获得第一审计结果的步骤之后，所述无文件攻击检测方法还包括：基于所述第一审计结果，判断所述进程命令信息是否存在恶意命令和/或恶意参数；若存在恶意命令和/或恶意参数，则触发拦截机制阻止创建所述目标进程，并生成所述目标进程的审计报告。4.如权利要求1所述的无文件攻击检测方法，其特征在于，所述若根据所述第一审计结果确定允许创建所述目标进程，则获取所述目标进程发起网络连接过程中的进程网络信息的步骤：基于所述第一审计结果，若确定所述进程命令信息不存在恶意命令和/或恶意参数，则允许创建所述目标进程；当检测到所述目标进程发起网络连接时，触发预先设置的网络监控驱动模块对应的网络连接回调；基于所述进程网络连接回调，通过预先设置的应用层检测服务模块扫描所述目标进程对应的进程网络信息。5.如权利要求1所述的无...

【专利技术属性】
技术研发人员：冯振扬，陈桂耀，肖存峰，林俊吉，梁鼎铭，冯志强，
申请(专利权)人：深圳融安网络科技有限公司，
类型：发明
国别省市：