[发明专利]一种无文件攻击检测方法、装置、电子设备和介质

说明书

本申请提供一种无文件攻击检测方法，包括：检测到进程创建的情况下，根据进程的进程信息确定进程的进程类型；根据进程类型对应的检测策略对进程进行检测，并根据得到的第一检测结果确定是否执行进程。可见，本申请当检测到进程创建的情况下，通过进程的进程信息确定进程的进程类型，进程类型对应有检测策略，基于检测策略对进程进行检测得到第一检测结果，根据第一检测结果确定进程是否执行，实现了针对多种进程类型的检测，保证了系统的安全性。本申请同时还提供了一种无文件攻击检测装置、电子设备和计算机可读存储介质，均具有上述有益效果。

技术领域

本申请涉及检测技术领域，特别涉及一种无文件攻击检测方法、无文件攻击检测装置、电子设备和计算机可读存储介质。

背景技术

无文件攻击是利用受系统信任的原生工具比如PowerShell WMI wscript或者对正在执行的程序进行漏洞攻击比如浏览器office来完成他们的恶意行为的攻击方式。相关的防护措施采用的安全软件采用暴力阻止系统组件的执行，由于powershell等属于常用的系统运维工具，暴力阻止执行增加了运维成本，且只能防御利用这些系统工具的攻击。其他类型的无文件攻击很难防护。

因此，如何提供一种解决上述技术问题的方案是本领域技术人员目前需要解决的问题。

发明内容

本申请的目的是提供一种无文件攻击检测方法、无文件攻击检测装置、电子设备和计算机可读存储介质，实现了针对多种进程类型的检测，保证了系统的安全。其具体方案如下：

本申请公开了一种无文件攻击检测方法，包括：

检测到进程创建的情况下，根据所述进程的进程信息确定所述进程的进程类型；

根据所述进程类型对应的检测策略对所述进程进行检测，并根据得到的第一检测结果确定是否执行所述进程。

优选地，所述根据所述进程的进程信息确定所述进程的进程类型之后，还包括：

判断所述进程的父进程是否是授信进程；

若所述父进程是所述授信进程，则执行所述根据所述进程类型对应的检测策略对所述进程进行检测的步骤。

优选地，所述进程信息包括文件版本信息、文件签名、文件特征信息、文件哈希值中的任意一项或者多项。

优选地，所述根据所述进程类型对应的检测策略对所述进程进行检测，并根据得到的第一检测结果确定是否执行所述进程，包括：

当所述进程类型是易被利用第三方程序的情况下，基于所述进程的应用情况对所述进程进行检测，并根据得到的所述第一检测结果确定是否执行所述进程。

优选地，所述基于所述进程的应用情况对所述进程进行检测，并根据得到的所述第一检测结果确定是否执行所述进程，包括：

判断所述进程的应用的所述端点设备的所述数量是否大于预设数量；

若所述数量大于所述预设数量，则确定所述第一检测结果是通过检测，并执行所述进程；

若所述数量不大于所述预设数量，则判断所述端点设备的执行频次是否大于预设频次阈值；

若所述执行频次大于所述预设频次阈值，则确定所述第一检测结果是通过检测，并执行所述进程；

若所述执行频次不大于所述预设频次阈值，则确定所述第一检测结果是未通过检测，并阻止执行所述进程；

或，所述基于所述进程的应用情况对所述进程进行检测，并根据得到的所述第一检测结果确定是否执行所述进程，包括：

判断所述进程的应用的所述端点设备的所述数量是否大于所述预设数量；