【技术实现步骤摘要】
本专利技术涉及操作系统中运用远程过程调用协议领域,具体地说,涉及一种状态跟踪方法及系统。
技术介绍
主动防御是基于程序行为自主分析判断的实时防护技术,不以特征码作为判断恶意程序的依据,而是从最原始的定义出发,直接将程序的行为作为判断恶意程序的依据,其中衍生出在本地使用特征库、在本地设置行为阈值以及在本地启发式杀毒的方式来判别、拦截恶意程序的行为,从而一定程度上达到保护用户个人电脑或计算机的目的。现有的主动防御系统包括 l、HIPS(Host_based Intrusion Prevention System,基于主机的入侵防御系统)、沙箱等防御型产品需要对危险操作进行拦截,但是windows操作系统十分灵活,有多种进程间通信(IPC, Inter-Process Communication)机制,一旦恶意代码通过IPC利用系统进程来进行危险操作,那么对这种操作就难以拦截,需要改,而拦截恶意代码是通过IPC向系统服务发出的恶意请求。尤其是RPC (Remote Procedure Call Protocol,远程过程调用协议)方式就是最难以拦截的IPC机制之一。RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。RPC协议假定某些传输协议的存在,如TCP或UDP,为通信程序之间携带信息数据。在OSI网络通信模型中,RPC跨越了传输层和应用层。RPC使得开发包括网络分布式多程序在内的应用程序更加容易。2、Windows操作系统下对RPC拦截需要识别发起请求的目的,即请求的是什么接口(含⑶ID (Global unique iden ...
【技术保护点】
一种状态跟踪方法,用于远程过程调用协议,包括:拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则;当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;根据所述调用规则判断该调用指令所完成的业务行为;其中,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,还包括:拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括:接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。
【技术特征摘要】
1.一种状态跟踪方法,用于远程过程调用协议,包括 拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则; 当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令; 根据所述调用规则判断该调用指令所完成的业务行为; 其中,拦截客户端进程与服务端进程之间相互绑定时交换的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,还包括 拦截客户端进程与服务端进程之间相互绑定时交换的请求和响应的数据包,从所述数据包中获取并保存两个进程相互约定的调用规则,其中所述调用规则包括接口及所配置的接口的代号的对应关系,和/或,所述接口中包括的各应用程序编码接口及所配置的接口标识的对应关系。2.如权利要求1所述的状态跟踪方法,其特征在于,根据所述调用规则判断该调用指令所完成的业务行为,还包括 根据所述调用规则判断该调用指令所完成的业务行为,通过判断所述业务行为是否为恶意来判定所述客户端进程是否为恶意; 如判定所述业务行为为正常,继续监测下一请求或响应的数据包;如判定所述业务行为为恶意,则进而判定所述客户端进程为恶意,拦截该数据包。3.如权利要求1或2所述的状态跟踪方法,其特征在于,当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令,还包括 当监测到客户端进程运用远程过程调用协议,请求服务端进程提供服务的数据包时或响应另一进程的数据包时,解析该数据包并获取该数据包里面含有的调用指令;其中,所述数据包为本地过程调用的请求报文,所述调用指令携带接口的代号和/或接口标识。4.如权利要求3所述的状态跟踪方法,其特征在于,根据所述调用规则判断该调用指令所完成的业务行为,还包括 根据所述调用规则,对该调用指令中携带的接口的代号和/或接口标识进行判断,从而识别出所述客户端所调用的接口和函数。5.如权利要求1至2中任一所述的状态跟踪方法,其特征在于,所述数据包为采用本地过程调用、命名管道、UDP协议网络消息或TCP/IP网络消息的数据包。6.如权利要求1所述的状态跟踪方法,其中, 所述调用规则,包括所述调用指令与业务行为的对应关系; 所述调用指令,包括服务器根据客户端的请求所配置的接口的代号、以及服务器为接口中包含的应用程序编码接口配置的接口标识; 所述业务行为,包括客户端请求的接口、以及客户端请求的接口中包含的应用程序编码接口。7.如权利要求1或2或6所述的状态跟踪方法,其中, 所述接口的代号为表达上...
【专利技术属性】
技术研发人员:潘剑锋,王宇,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。