[發明專利]無文件攻擊檢測方法、系統、設備及存儲介質在審

申請號：	202210141539.3	申請日：	2022-02-16
公開（公告）號：	CN114692143A	公開（公告）日：	2022-07-01
發明（設計）人：	馮振揚;陳桂耀;肖存峰;林俊吉;梁鼎銘;馮志強	申請（專利權）人：	深圳融安網絡科技有限公司
主分類號：	G06F21/55	分類號：	G06F21/55;G06F21/56;G06F21/57
代理公司：	深圳市恒程創新知識產權代理有限公司 44542	代理人：	苗廣冬
地址：	518000 廣東省深圳市南山區粵海街道高新***	國省代碼：	廣東;44
權利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關鍵詞：	文件攻擊檢測方法系統設備存儲介質
鉆瓜網技術展會專利詞庫專利權人專利榜在售專利公布日期熱門專利

【權利要求書】：

1.一種無文件攻擊檢測方法，其特征在于，所述無文件攻擊檢測方法包括：

當檢測到進程創建事件時，獲取目標進程的進程命令信息，并對所述進程命令信息進行審計檢測，獲得第一審計結果；

若根據所述第一審計結果確定允許創建所述目標進程，則獲取所述目標進程發起網絡連接過程中的進程網絡信息；

對所述進程網絡信息進行審計檢測，并根據第二審計結果確定是否放行所述目標進程。

2.如權利要求1所述的無文件攻擊檢測方法，其特征在于，所述當檢測到進程創建事件時，獲取目標進程的進程命令信息，并對所述進程命令信息進行審計檢測，獲得第一審計結果的步驟包括：

當檢測到進程創建事件時，觸發預先設置的進程監控驅動模塊對應的進程創建回調；

基于所述進程創建回調，通過預先設置的應用層檢測服務模塊掃描所述目標進程的命令行，獲得所述進程命令信息；

對所述進程命令信息進行審計檢測，獲得所述第一審計結果。

3.如權利要求1所述的無文件攻擊檢測方法，其特征在于，在所述當檢測到進程創建事件時，獲取目標進程的進程命令信息，并對所述進程命令信息進行審計檢測，獲得第一審計結果的步驟之后，所述無文件攻擊檢測方法還包括：

基于所述第一審計結果，判斷所述進程命令信息是否存在惡意命令和/或惡意參數；

若存在惡意命令和/或惡意參數，則觸發攔截機制阻止創建所述目標進程，并生成所述目標進程的審計報告。

4.如權利要求1所述的無文件攻擊檢測方法，其特征在于，所述若根據所述第一審計結果確定允許創建所述目標進程，則獲取所述目標進程發起網絡連接過程中的進程網絡信息的步驟：

基于所述第一審計結果，若確定所述進程命令信息不存在惡意命令和/或惡意參數，則允許創建所述目標進程；

當檢測到所述目標進程發起網絡連接時，觸發預先設置的網絡監控驅動模塊對應的網絡連接回調；

基于所述進程網絡連接回調，通過預先設置的應用層檢測服務模塊掃描所述目標進程對應的進程網絡信息。

5.如權利要求1所述的無文件攻擊檢測方法，其特征在于，所述進程網絡信息包括進程加載模塊、網絡連接地址、進程內存和進程句柄的一種或多種。

6.如權利要求5所述的無文件攻擊檢測方法，其特征在于，所述對所述進程網絡信息進行審計檢測的步驟包括：

檢測所述目標進程的進程加載模塊是否存在預設攻擊必備模塊；

和/或基于預設的網絡連接地址名單，對所述網絡連接地址進行匹配審計；

和/或將所述進程內存和預設惡意腳本內容進行匹配審計；

和/或將所述進程句柄和預先設置的關鍵進程句柄進行匹配審計。

7.如權利要求6所述的無文件攻擊檢測方法，其特征在于，所述根據第二審計結果確定是否發起所述目標進程的步驟包括：

若所述第二審計結果是通過審計，則放行所述目標進程；

若所述第二審計結果是未通過審計，則觸發攔截機制阻止執行所述目標進程，并發出警報信息以及所述網絡連接地址更新至所述網絡連接地址名單。

8.一種無文件攻擊檢測系統，其特征在于，所述無文件攻擊檢測系統包括：

第一審計檢測模塊，用于當檢測到進程創建事件時，獲取目標進程的進程命令信息，并對所述進程命令信息進行審計檢測，獲得第一審計結果；

獲取模塊，用于若根據所述第一審計結果確定允許創建所述目標進程，則獲取所述目標進程發起網絡連接過程中的進程網絡信息；

第二審計檢測模塊，用于對所述進程網絡信息進行審計檢測，并根據第二審計結果確定是否放行所述目標進程。

9.一種無文件攻擊檢測設備，其特征在于，所述無文件攻擊檢測設備包括：存儲器、處理器以及存儲在存儲器上的無文件攻擊檢測程序，

所述無文件攻擊檢測程序被所述處理器發起實現如權利要求1至7中任一項所述無文件攻擊檢測方法的步驟。

10.一種存儲介質，所述存儲介質為計算機可讀存儲介質，其特征在于，所述計算機可讀存儲介質上存儲有無文件攻擊檢測程序，所述無文件攻擊檢測程序被處理器發起實現如權利要求1至7中任一項所述無文件攻擊檢測方法的步驟。

下載完整專利技術內容需要扣除積分，VIP會員可以免費下載。

免登錄下載普通用戶下載升級VIP會員，免費下載

該專利技術資料僅供研究查看技術是否侵權等信息，商用須獲得專利權人授權。該專利全部權利屬于深圳融安網絡科技有限公司，未經深圳融安網絡科技有限公司許可，擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作，請聯系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/202210141539.3/1.html，轉載請聲明來源鉆瓜專利網。

上一篇：一種酸洗廢水和洗滌廢水能夠同時處理的處理方法
下一篇：一種同時測定CAH六種相關類固醇激素的方法

同類專利

專利分類

G 物理

G06 計算；推算；計數
G06F 電數字數據處理
G06F21-00 防止未授權行為的保護計算機或計算機系統的安全裝置
G06F21-02 .通過保護計算機的特定內部部件
G06F21-04 .通過保護特定的外圍設備，如鍵盤或顯示器
G06F21-06 .通過感知越權操作或外圍侵擾
G06F21-20 .通過限制訪問計算機系統或計算機網絡中的節點
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級VIP會員，免費下載

專利文獻下載

說明：

1、專利原文基于中國國家知識產權局專利說明書；

2、支持發明專利、實用新型專利、外觀設計專利（升級中）；

3、專利數據每周兩次同步更新，支持Adobe PDF格式；

4、內容包括專利技術的結構示意圖、流程工藝圖或技術構造圖；

5、已全新升級為極速版,下載速度顯著提升！歡迎使用！

請您登陸后，進行下載，點擊【登陸】【注冊】

[發明專利]無文件攻擊檢測方法、系統、設備及存儲介質在審

專利文獻下載

[發明專利]無文件攻擊檢測方法、系統、設備及存儲介質在審