【技术实现步骤摘要】
一种恶意远程过程溯源调用行为的检测方法及装置
本专利技术涉及网络监测
,尤其涉及一种恶意远程过程溯源调用行为的检测方法及装置。
技术介绍
随着互联网的高速发展,恶意程序也更加的容易传播出去,并且恶意程序使用的攻击技术也在持续升级,不在局限于恶意程序进程内的行为对抗,而是利用RPC(RemoteProcedureCall)调用,使用系统已经存在的rpc组件进行恶意行为释放;达到绕过沙箱、主防等安全监测系统。同时,在视窗(windows)操作系统上,不止存在直连的rpc服务器,还存在着多级代理的rpc服务器,这个请求会跳转多次,最终请求会到达这个服务所在的进程,在存在多级代理的时候,对rpc进行溯源是必要的,这样才能将这个rpc行为关联到真正的请求发起者,可以有效的避免出现误报和漏洞的情况。另外,在最新版本的视窗(windows)操作系统上面,存在着大量的系统进程,无时无刻的都在创建或者结束进程,大量的系统本身行为,如果不能严格的区分开来,将产生大量的误报;特别是在沙箱的系统中,系统的行为严重的干扰了恶意行为的检测;传统的基于恶意程序所关联的进程链,不足以应对通过RPC来释放行为;而如果以整个系统进程关系链为基础,则会出现许多系统的行为。综述所述,要想准确的检测和溯源恶意远程过程调用的行为,除了有必要的调用接口的GUID和调用函数的索引号,还需要有发起请求的客服端的进程ID、线程ID,这样才能进行准确的检测;对于存在有多级代理的远程过程调用,必须对请求者溯源,才能知道最初发起请求的客户端是哪个进程, ...
【技术保护点】
1.一种恶意远程过程溯源调用行为的检测方法,其特征在于:所述检测方法包括:/n初始化可疑目标进程信息集合E0,根据API拦截所有RPC调用请求,获取待调用的接口标识、API编号、需要调用该接口的具体函数及调用请求参数信息,并建立每次远程过程调用的进程间调用关系信息;/n判断远程过程调用的接口标识是否存在于预先配置好的可疑接口标志列表L0中,根据判断结果继续判断请求的接口标识是否存在于预先配置好的转发接口标识列表L1中,并根据两次判断结果实施相应操作;/n如果集合E0不存在客户端进程ID,则以T(P,T)为检索条件搜索相应的调用关系信息关系I,判断I是否存在于集合E0,并根据判断结果实施相应操作。/n
【技术特征摘要】
1.一种恶意远程过程溯源调用行为的检测方法,其特征在于:所述检测方法包括:
初始化可疑目标进程信息集合E0,根据API拦截所有RPC调用请求,获取待调用的接口标识、API编号、需要调用该接口的具体函数及调用请求参数信息,并建立每次远程过程调用的进程间调用关系信息;
判断远程过程调用的接口标识是否存在于预先配置好的可疑接口标志列表L0中,根据判断结果继续判断请求的接口标识是否存在于预先配置好的转发接口标识列表L1中,并根据两次判断结果实施相应操作;
如果集合E0不存在客户端进程ID,则以T(P,T)为检索条件搜索相应的调用关系信息关系I,判断I是否存在于集合E0,并根据判断结果实施相应操作。
2.根据权利要求1所述的一种恶意远程过程溯源调用行为的检测方法,其特征在于:所述初始化可疑目标进程信息集合E0,根据API拦截所有RPC调用请求,获取待调用的接口标识、API编号、需要调用该接口的具体函数及调用请求参数信息,并建立每次远程过程调用的进程间调用关系信息包括:
A1、初始化可疑目标进行信息集合E0,根据API拦截RPC服务端调用响应分发入口函数,所用RPC调用请求通过该入口函数进行分发,拦截所用RPC调用请求;
A2、对于单次RPC调用请求,客户端向服务端发送待调用的接口标识和API编号,并告知服务器需要调用该接口的具体函数及调用请求参数信息;
A3、根据A2步骤中获取的调用信息建立每次远程过程调用的进程间调用关系信息。
3.根据权利要求2所述的一种恶意远程过程溯源调用行为的检测方法,其特征在于:在所述A2步骤中根据该RPC调用请求信息解析该次RPC调用客户端的进程ID、线程ID、接口标识、请求函数ID及请求函数调用参数列表信息。
4.根据权利要求3所述的一种恶意远程过程溯源调用行为的检测方法,其特征在于:所述A3步骤记录信息中的接口标识,请求函数信息,客户端的进程ID、线程ID、当前请求服务端的进程ID,服务端线程ID作为一个进程间调用关系查询信息结构体。
5.根据权利要求2所述的一种恶意远程过程溯源调用行为的检测方法,其特征在于:所述判断远程过程调用的接口标识是否存在于预先配置好的可疑接口标志列表L0中,根据判断结果继续判断请求的接口标识是否存在于预先配置好的转发接口标识列表L1中,并根据两次判断结果实施相应操作包括:
判断所述A2步骤中客户端远程过程调用的接口标识是否存在于预先配置好的可疑接口标识列表L0中,当不存在于L0中时,则判断请求的接口标识是否存在于预先配置...
【专利技术属性】
技术研发人员:王宗才,胡周,毛春森,张洁,赵键,俞祥基,邓金祥,胡勇,王炜,
申请(专利权)人:成都安思科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。