[发明专利]恶意远程过程调用行为的检测方法和装置

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种恶意远程过程调用(RPC，Remote Procedure Call)行为的检测方法及一种恶意RPC行为的检测装置。

背景技术

RPC协议提供了一种进程间的通信机制，通过这一机制，在一台计算机上运行的程序可以向网络中另一台计算机上的程序请求服务。RPC协议在应用时，采用客户机/服务器模式，请求服务的程序作为一个客户机，提供服务的程序作为一个服务器。

为了区分同一个计算机提供的多个不同的基于RPC协议的服务(以下简称RPC服务)，现有技术通过UUID来唯一地标识同一个服务器上的每个RPC服务。当服务器上的每个PRC服务启动时，会申请获得一个端口号在1024～65525范围内的高位端口，并且根据该PRC服务的UUID对高位端口进行注册，即保存UUID和高位端口号之间的一一映射关系。当客户机向服务器请求一项RPC服务时，需要与服务器上该PRC服务对应的高位端口建立连接，再通过该连接请求服务。具体地：客户机需要首先通过预定查询端口，如135端口与服务器建立连接，依据待请求RPC服务的UUID向服务器查询该RPC服务对应的高位端口号，获得服务器返回的高位端口号后，关闭查询连接；然后，利用获得的待请求RPC服务对应的高位端口号，与服务器建立一个连接请求服务。

由于服务器系统在设计上存在漏洞，客户机可以通过请求某些UUID对应的RPC服务来进行危险操作，例如在请求执行RPC服务时，通过发送格式或参数不正确的数据包来制造缓冲区溢出，从而获得对服务器的完全控制。为了解决该问题，现有技术提出，通过入侵防御系统(IPS，Intrusion PreventionSystem)对RPC调用过程进行检测，如果RPC调用过程所绑定的UUID对应的服务是危险的、存在漏洞、应被禁止调用的、或者所执行的操作是被禁止执行的，则阻断该调用过程。

发明人在实现本发明过程中，发现现有技术至少存在以下缺陷：

当恶意客户机在RPC过程中绑定多个UUID，其中包含恶意RPC服务的UUID、或者企图执行的被禁止的操作时，现有IPS无法有效检测出其中的恶意RPC行为，产生较多漏报，从而无法确保服务器的安全。

发明内容

本发明实施例提供一种恶意RPC行为的检测方法，用以解决现有技术对恶意RPC行为的检测效果不佳，漏报较多的问题。

对应地，本发明实施例还提供了一种恶意RPC行为的检测装置。

本发明实施例提供的技术方案如下：

一种恶意远程过程调用RPC行为的检测方法，包括：

在客户机向服务器查询RPC服务对应的高位端口时，记录该客户机请求的所有RPC服务的UUID；

在RPC过程中，对所述客户机与服务器之间会话连接中所传输的数据包进行解析，获得所述会话连接上承载的RPC流；

根据所述记录的UUID和RPC流，获得与所述RPC过程相关的所有UUID；

判断获得的所有UUID中的每个UUID是否符合策略库中预定的控制策略，以此检测客户机是否执行了恶意RPC行为。

一种恶意RPC行为的检测装置，包括：

记录模块，用于在客户机向服务器查询RPC服务对应的高位端口时，记录该客户机请求的所有RPC服务的UUID；

解析模块，用于在RPC过程中，对所述客户机与服务器之间会话连接中所传输的数据包进行解析，获得所述会话连接上承载的RPC流；

获取模块，用于根据记录模块记录的UUID和解析模块获得的RPC流，获得与所述RPC过程相关的所有UUID；

检测模块，用于判断获取模块获得的所有UUID中的每个UUID是否符合策略库中预定的控制策略，以此检测客户机是否执行了恶意RPC行为。

本发明实施例通过对交互数据包的解析，获得客户机在RPC过程中绑定的所有UUID，并根据策略库中的策略对其中每个UUID的合法性进行检测，以此检测客户机是否执行了恶意RPC行为。避免客户机通过绑定多个UUID逃避防护设备检测，提高了防护设备检测恶意RPC行为的有效性，从而加强了所保护的RPC服务器的安全性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。