4.一種基于惡意遠(yuǎn)程過程溯源調(diào)用行為的檢測(cè)方法的檢測(cè)裝置，其特征在于：它包括劫持模塊、解析模塊、構(gòu)造模塊、第一判斷模塊、第二判斷模塊、第三判斷模塊、第四判斷模塊、記錄告警模塊和查詢模塊；

所述劫持模塊用于利用API攔截方法攔截所有RPC調(diào)用請(qǐng)求；所述解析模塊用于解析遠(yuǎn)程過程調(diào)用數(shù)據(jù)包；所述構(gòu)造模塊用于構(gòu)造信息結(jié)構(gòu)體；所述第一判斷模塊用于判斷接口標(biāo)識(shí)是否存在于L0中；所述第二判斷模塊用于在所述第一判斷模塊的判斷為是的基礎(chǔ)上判斷關(guān)系I是否存在于可疑目標(biāo)進(jìn)程信息集合E0中；所述第三判斷模塊用于判斷接口標(biāo)識(shí)是否存在于轉(zhuǎn)發(fā)接口標(biāo)識(shí)列表L1中；所述第四判斷模塊用于在所述第三判斷模塊判斷為是的基礎(chǔ)上判斷是否系I是否存在于可疑目標(biāo)進(jìn)程信息集合E0中；所述記錄告警模塊用于記錄和告警相應(yīng)的請(qǐng)求為惡意的遠(yuǎn)程過程調(diào)用；所述查詢模塊用于搜索相同的服務(wù)端進(jìn)程ID和服務(wù)端線程ID的調(diào)用關(guān)系信息關(guān)系I；具體檢測(cè)流程如下：

初始化可疑目標(biāo)進(jìn)程信息集合E0，根據(jù)API攔截所有RPC調(diào)用請(qǐng)求，獲取待調(diào)用的接口標(biāo)識(shí)、API編號(hào)、需要調(diào)用該接口的具體函數(shù)及調(diào)用請(qǐng)求參數(shù)信息，并建立每次遠(yuǎn)程過程調(diào)用的進(jìn)程間調(diào)用關(guān)系信息；具體包括：

A1、初始化可疑目標(biāo)進(jìn)行信息集合E0，根據(jù)API攔截RPC服務(wù)端調(diào)用響應(yīng)分發(fā)入口函數(shù)，所用RPC調(diào)用請(qǐng)求通過該入口函數(shù)進(jìn)行分發(fā)，攔截所用RPC調(diào)用請(qǐng)求；

A2、對(duì)于單次RPC調(diào)用請(qǐng)求，客戶端向服務(wù)端發(fā)送待調(diào)用的接口標(biāo)識(shí)和API編號(hào)，并告知服務(wù)器需要調(diào)用該接口的具體函數(shù)及調(diào)用請(qǐng)求參數(shù)信息；

A3、根據(jù)A2步驟中獲取的調(diào)用信息建立每次遠(yuǎn)程過程調(diào)用的進(jìn)程間調(diào)用關(guān)系信息；

判斷遠(yuǎn)程過程調(diào)用的接口標(biāo)識(shí)是否存在于預(yù)先配置好的可疑接口標(biāo)志列表L0中，根據(jù)判斷結(jié)果繼續(xù)判斷請(qǐng)求的接口標(biāo)識(shí)是否存在于預(yù)先配置好的轉(zhuǎn)發(fā)接口標(biāo)識(shí)列表L1中，并根據(jù)兩次判斷結(jié)果實(shí)施相應(yīng)操作；具體包括：

判斷所述A2步驟中客戶端遠(yuǎn)程過程調(diào)用的接口標(biāo)識(shí)是否存在于預(yù)先配置好的可疑接口標(biāo)識(shí)列表L0中，當(dāng)不存在于L0中時(shí)，則判斷請(qǐng)求的接口標(biāo)識(shí)是否存在于預(yù)先配置好的轉(zhuǎn)發(fā)接口標(biāo)識(shí)列表L1中，當(dāng)存在于L0中時(shí)，則將進(jìn)程間調(diào)用關(guān)系信息插入到查詢模塊中，表明該次遠(yuǎn)程過程調(diào)用請(qǐng)求為代理轉(zhuǎn)發(fā)過程調(diào)用，并結(jié)束實(shí)施步驟；

當(dāng)A2步驟中的接口標(biāo)識(shí)不存在于L0且同時(shí)不存在于L1時(shí)，判斷進(jìn)程間調(diào)用關(guān)系信息中的客戶端進(jìn)程ID是否存在于集合E0中，如果存在，則將進(jìn)程間調(diào)用關(guān)系信息插入到查詢模塊中并結(jié)束實(shí)施步驟，否則，直接結(jié)束實(shí)施該步驟；

當(dāng)A2步驟中接口標(biāo)識(shí)存在于L0時(shí)，判斷進(jìn)程間調(diào)用關(guān)系信息中的客戶端進(jìn)程ID是否存在于集合E0中，如果集合E0中存在該客戶端進(jìn)程ID，則記錄和告警該次請(qǐng)求為惡意的遠(yuǎn)程過程調(diào)用，并結(jié)束實(shí)施步驟；

如果集合E0不存在該客戶端進(jìn)行ID，則將A3步驟的調(diào)用關(guān)系信息中的客戶端進(jìn)程ID和線程ID作為檢索條件T(P，T)；具體包括：

B1、根據(jù)檢索條件T(P，T)在查詢模塊中搜索相同的服務(wù)端進(jìn)程ID和服務(wù)端線程ID的調(diào)用關(guān)系信息關(guān)系I，如果關(guān)系I為空，則表明該次過程調(diào)用請(qǐng)求為正常調(diào)用，并結(jié)束實(shí)施步驟；

B2、判斷關(guān)系I中的客戶端進(jìn)程ID是否存在于可疑進(jìn)程信息集合E0中，如果集合E0不存在該進(jìn)程ID，則將關(guān)系I的客戶端進(jìn)程ID和線程ID作為檢索條件T(P，T)重復(fù)B1步驟；

B3、如果B2步驟中的集合E0中存在進(jìn)程關(guān)系I的客戶端進(jìn)程ID，則記錄和告警該次請(qǐng)求為惡意的遠(yuǎn)程過程調(diào)用，并結(jié)束實(shí)施步驟；

如果集合E0不存在客戶端進(jìn)程ID，則以T(P，T)為檢索條件搜索相應(yīng)的調(diào)用關(guān)系信息關(guān)系I，判斷I是否存在于集合E0，并根據(jù)判斷結(jié)果實(shí)施相應(yīng)操作。