本公开提供一种攻击检测方法及装置、存储介质及电子设备,其中,所述攻击检测方法包括:接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。本公开实施例提供的攻击检测方法,由服务器对攻击进行检测,可以避免在终端本地进行检测带来的系统卡顿的问题。并且,本公开实施例的方法,由服务器实时接收终端获取的日志,可以实时监控攻击事件的创建,及时发现攻击行为,避免对终端造成安全危害。安全危害。安全危害。
【技术实现步骤摘要】
攻击检测方法及装置、存储介质及电子设备
[0001]本公开技术方案涉及网络安全
,尤其涉及一种攻击检测方法及装置、存储介质及电子设备。
技术介绍
[0002]WMI(Windows Management Instrumentation,Windows管理规范)是一项核心的Windows管理技术,是远程控制下的一个合法通道。用户可以使用WMI管理本地和远程计算机。例如,系统管理员可以使用WMI在本地和远程计算机上安装程序、部署软件等。
[0003]同时,攻击者也可以利用WMI实施攻击。例如,攻击者可以使用WMI创建事件,并在创建事件的时候,将恶意代码添加进去。现有的对于前述的攻击的检测方法是通过使用一些终端安全软件对WMI创建的事件进行检测,由于终端安全软件在检测时是在本地进行,而对攻击的检测过程又涉及大量的计算,因此会造成系统卡顿,影响计算机的正常使用。并且,终端安全软件也不会实时监控WMI事件的创建,因此,基于终端安全软件的检测不具备实时性,无法及时发现攻击行为。
技术实现思路
[0004]有鉴于此,本公开实施例提供一种攻击检测方法及装置、存储介质及电子设备。
[0005]根据本公开的第一方面,提出了一种攻击检测方法,所述方法包括:
[0006]接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;
[0007]基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;
[0008]对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。
[0009]结合本公开提供的任一实施方式,所述基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码,包括:
[0010]分别获取每个事件日志中的预设字段;
[0011]响应于在预设时间段内接收到连续的三个事件日志,且所述三个事件日志中的所述预设字段相同,由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。
[0012]结合本公开提供的任一实施方式,当所述攻击事件是WINDOWS管理规范WMI事件的情况下;所述三个事件日志,包括:注册WMI事件过滤器日志、注册WMI事件使用者日志、以及事件使用者绑定事件过滤器日志;
[0013]所述由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码,包括:
[0014]由所述注册WMI事件使用者日志中提取所述待检测的执行代码。
[0015]结合本公开提供的任一实施方式,所述由所述注册WMI事件使用者日志中提取所述待检测的执行代码,包括:
[0016]获取所述注册WMI事件使用者日志中的类型字段,和/或,事件使用者绑定事件过
滤器日志中的操作字段;
[0017]响应于所述类型字段为命令行,和/或,所述操作字段为创建,由所述注册WMI事件使用者日志中提取所述待检测的执行代码。
[0018]结合本公开提供的任一实施方式,所述对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件,包括:
[0019]使用预设关键词与所述执行代码进行匹配;所述预设关键词为预设的攻击事件对应的恶意代码的关键词;
[0020]响应于匹配成功,确定所述执行代码中存在攻击事件。
[0021]结合本公开提供的任一实施方式,所述方法还包括:
[0022]响应于匹配失败,将所述执行代码设置在动态沙箱中,并触发执行所述执行代码;
[0023]获取执行所述执行代码时生成的日志;
[0024]响应于获取到的所述日志中的文件与预先设定的恶意代码相对应的文件的特征匹配,确定所述执行代码中存在攻击事件。
[0025]结合本公开提供的任一实施方式,所述事件日志由所述终端的windows系统监视器监视获取、并发送至所述服务器。
[0026]根据本公开的第二方面,提出了一种攻击检测装置,所述装置包括:
[0027]事件日志接收模块,用于接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;
[0028]执行代码提取模块,用于基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;
[0029]执行代码检测模块,用于对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。
[0030]根据本公开的第三方面,提供一种计算机可读存储介质,所述机器可读存储介质存储有机器可读指令,所述机器可读指令在被处理器调用和执行时,促使所述处理器实现本公开任一实施例的攻击检测方法。
[0031]根据本公开的第四方面,提供一种电子设备,包括
[0032]处理器;
[0033]用于存储处理器可执行指令的存储器;
[0034]其中,所述处理器被配置为用于执行本公开任一实施例的攻击检测方法。
[0035]本公开的实施例提供的技术方案可以包括以下有益效果:
[0036]本公开实施例提供的攻击检测方法及装置、存储介质及电子设备,通过接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。本公开实施例提供的攻击检测方法,由服务器对攻击进行检测,可以避免在终端本地进行检测带来的系统卡顿的问题。并且,本公开实施例的方法,由服务器实时接收终端获取的日志,可以实时监控攻击事件的创建,及时发现攻击行为,避免对终端造成安全危害。
[0037]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
[0038]为了更清楚地说明本公开一个或多个实施例或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图:
[0039]图1是本公开根据一示例性实施例示出的一种攻击检测系统的系统架构图;
[0040]图2是本公开根据一示例性实施例示出的一种攻击检测方法的流程图;
[0041]图3是本公开根据一示例性实施例示出的一种攻击检测装置的结构示意图;
[0042]图4是本公开根据一示例性实施例示出的一种电子设备的结构示意图。
具体实施方式
[0043]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。
[0044]在本公开使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种攻击检测方法,其特征在于,所述方法应用于服务器,所述方法包括:接收多个事件日志;所述事件日志由终端实时监控获取、并发送至所述服务器;基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码;对所述执行代码进行检测,确定所述执行代码中是否存在攻击事件。2.根据权利要求1所述的方法,其特征在于,所述基于攻击事件的攻击链信息,由所述多个事件日志中提取待检测的执行代码,包括:分别获取每个事件日志中的预设字段;响应于在预设时间段内接收到连续的三个事件日志,且所述三个事件日志中的所述预设字段相同,由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码。3.根据权利要求2所述的方法,其特征在于,当所述攻击事件是WINDOWS管理规范WMI事件的情况下;所述三个事件日志,包括:注册WMI事件过滤器日志、注册WMI事件使用者日志、以及事件使用者绑定事件过滤器日志;所述由所述三个事件日志中预设位置的事件日志中提取所述待检测的执行代码,包括:由所述注册WMI事件使用者日志中提取所述待检测的执行代码。4.根据权利要求3所述的方法,其特征在于,所述由所述注册WMI事件使用者日志中提取所述待检测的执行代码,包括:获取所述注册WMI事件使用者日志中的类型字段,和/或,事件使用者绑定事件过滤器日志中的操作字段;响应于所述类型字段为命令行,和/或,所述操作字段为创建,由所述注册WMI事件使用者日志中提取所述待检测的执行代码。5.根据权利要求1所...
【专利技术属性】
技术研发人员:刘超,陈勇,于樱鑫,
申请(专利权)人:浙江吉利控股集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。