申请/专利权人:奇安信科技集团股份有限公司;奇安信网神信息技术(北京)股份有限公司
申请日:2021-12-10
公开(公告)日:2024-04-30
公开(公告)号:CN114466074B
主分类号:H04L67/60
分类号:H04L67/60;H04L9/40;H04L61/5007;H04L67/133;H04L69/12
优先权:
专利状态码:有效-授权
法律状态:2024.04.30#授权;2024.03.08#著录事项变更;2022.05.27#实质审查的生效;2022.05.10#公开
摘要:本发明提供的基于WMI的攻击行为检测方法及装置,通过WMI服务进程中的监控模块对应用程序编程接口进行监控;若监控到应用程序编程接口存在对WMI管理服务接口的调用,通过应用程序编程接口预设的第一Hook函数获取WMI管理服务接口;若WMI服务操作触发时,通过WMI管理服务接口预设的第二Hook函数,获取WMI的远程过程调用协议接口;WMI服务操作包括WMI执行操作、WMI查询操作或WMI创建实例操作;若存在WMI服务操作时,通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取WMI服务操作的行为数据和发起WMI服务操作的内网设备的互联网协议地址;将WMI服务操作的行为数据和内网设备的互联网协议地址发送到威胁行为识别引擎。该方法可以提升安全防护能力。
主权项:1.一种基于WMI的攻击行为检测方法,其特征在于,包括:通过WMI服务进程中的监控模块对应用程序编程接口进行监控;若监控到所述应用程序编程接口存在对WMI管理服务接口的调用,通过应用程序编程接口预设的第一Hook函数获取所述WMI管理服务接口;若WMI服务操作触发时,通过所述WMI管理服务接口预设的第二Hook函数,获取WMI的远程过程调用协议接口;所述WMI服务操作包括WMI执行操作、WMI查询操作或WMI创建实例操作;若存在所述WMI服务操作时,通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取所述WMI服务操作的行为数据和发起所述WMI服务操作的内网设备的互联网协议地址;将所述WMI服务操作的行为数据和所述内网设备的互联网协议地址发送到威胁行为识别引擎。
全文数据:
权利要求:
百度查询: 奇安信科技集团股份有限公司;奇安信网神信息技术(北京)股份有限公司 一种基于WMI的攻击行为检测方法及装置
免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。