[发明专利]一种基于标识文件定位攻击的方法、装置及存储设备有效
| 申请号: | 201910247702.2 | 申请日: | 2019-03-29 |
| 公开(公告)号: | CN111030973B | 公开(公告)日: | 2023-02-24 |
| 发明(设计)人: | 朱晴;李淑慧;康学斌;肖新光 | 申请(专利权)人: | 安天科技集团股份有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150028 黑龙江省哈尔滨市高新技术产*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 标识 文件 定位 攻击 方法 装置 存储 设备 | ||
1.一种基于标识文件定位攻击的方法,其特征在于:
确定标识文件的详细路径;
实时采集系统中的进程活动、网络活动及文件活动;
定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;
若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;
否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
2.如权利要求1所述的方法,其特征在于,实时采集系统中的进程活动、网络活动及文件活动,具体包括:
运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
3.如权利要求1所述的方法,其特征在于,标识文件被进程操作,其中所述操作为读和/或写操作。
4.一种基于标识文件定位攻击靶场的装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
确定标识文件的详细路径;
实时采集系统中的进程活动、网络活动及文件活动;
定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;
若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;
否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯定位攻击IP,生成攻击IP读取标识文件事件,并将所述事件提交给评估系统,进行攻击靶场评估。
5.如权利要求4所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
实时采集系统中的进程活动、网络活动及文件活动,具体包括:
运行的进程、进程的联网活动,进程创建的子进程活动,进程创建的线程活动,进程操作的文件活动。
6.如权利要求4所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
标识文件被进程操作,其中所述操作为读和/或写操作。
7.一种基于标识文件定位攻击的装置,其特征在于,包括:
路径确定模块:用于确定标识文件的详细路径;
采集模块:用于实时采集系统中的进程活动、网络活动及文件活动;
触发模块:用于定位操作标识文件的进程,查看进程是否有联网活动,且是否为对外开放端口的应用服务;若是,则将与所述进程建立链接的远程进程的IP标识为攻击IP;否则,进一步定位创建所述进程的父进程,查看所述父进程是否有联网活动,且是否为对外开放端口的应用服务;
回溯模块:用于回溯定位攻击IP;
事件生成模块:用于生成攻击IP读取标识文件事件,
评估模块:用于将所述事件提交给评估系统,进行攻击靶场评估。
8.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权利要求1-3任一所述的方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安天科技集团股份有限公司,未经安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910247702.2/1.html,转载请声明来源钻瓜专利网。
