一种基于WMI的攻击行为检测方法及装置
实质审查的生效
摘要

本发明提供的基于WMI的攻击行为检测方法及装置,通过WMI服务进程中的监控模块对应用程序编程接口进行监控;若监控到应用程序编程接口存在对WMI管理服务接口的调用,通过应用程序编程接口预设的第一Hook函数获取WMI管理服务接口;若WMI服务操作触发时,通过WMI管理服务接口预设的第二Hook函数,获取WMI的远程过程调用协议接口;WMI服务操作包括WMI执行操作、WMI查询操作或WMI创建实例操作;若存在WMI服务操作时,通过所述WMI的远程过程调用协议接口预设的第三Hook函数,获取WMI服务操作的行为数据和发起WMI服务操作的内网设备的互联网协议地址;将WMI服务操作的行为数据和内网设备的互联网协议地址发送到威胁行为识别引擎。该方法可以提升安全防护能力。

基本信息
专利标题 :
一种基于WMI的攻击行为检测方法及装置
专利标题(英):
暂无
公开(公告)号 :
CN114466074A
申请号 :
CN202111510016.3
公开(公告)日 :
2022-05-10
申请日 :
2021-12-10
授权号 :
暂无
授权日 :
暂无
发明人 :
林岳川孙诚
申请人 :
奇安信科技集团股份有限公司;网神信息技术(北京)股份有限公司
申请人地址 :
北京市西城区新街口外大街28号102号楼3层332号
代理机构 :
北京路浩知识产权代理有限公司
代理人 :
王宇杨
优先权 :
CN202111510016.3
主分类号 :
H04L67/60
IPC分类号 :
H04L67/60  H04L9/40  H04L61/5007  H04L67/133  H04L69/12  
法律状态
2022-05-27 :
实质审查的生效
IPC(主分类) : H04L 67/60
申请日 : 20211210
2022-05-10 :
公开
注:本法律状态信息仅供参考,即时准确的法律状态信息须到国家知识产权局办理专利登记簿副本。
文件下载
暂无PDF文件可下载
  • 联系电话
    电话:023-6033-8768
    QQ:1493236332
  • 联系 Q Q
    电话:023-6033-8768
    QQ:1493236332
  • 关注微信
    电话:023-6033-8768
    QQ:1493236332
  • 收藏
    电话:023-6033-8768
    QQ:1493236332