一种无文件攻击的检测方法、装置、设备及存储介质与流程
1.本技术实施例涉及金融科技(fintech)的数据处理技术领域,涉及但不限于一种无文件攻击的检测方法、装置、设备及存储介质。
背景技术:
2.随着计算机计算的发展,越来越多的技术应用在金融领域,传统金融业正在逐步向金融科技(fintech)转变,但由于金融行业的安全性、实时性要求,也对技术提出了更高的要求。
3.金融科技领域下,目前通过监控下载的文件和分析脚本的行为来检测无文件攻击。然而,若是攻击者下载的脚本没有被马上执行,而是被隐藏在某些地方,然后设置持久化后门,在系统指定条件触发时,通过系统白程序调用隐藏在系统中的恶意脚本实施无文件攻击。其中,持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(例如脚本、进程、连接之类),来方便他以后持久性的入侵。由于系统认为这个是已经存在的文件,而不是新下载的文件,从而会认为这是一个正常的文件,绕过相关技术的检测,从而导致无法检测到无文件攻击;可见,目前的无文件攻击检测方式,存在漏检的情况。
技术实现要素:
4.本技术实施例提供一种无文件攻击的检测方法、装置、设备及存储介质,以解决现有的目前的无文件攻击检测方式,存在漏检的情况的问题。
5.本技术实施例的技术方案是这样实现的:
6.本技术实施例提供一种无文件攻击的检测方法,包括:
7.在系统中的目标进程读取外部脚本的情况下,获取所述目标进程的目标唯一标识符;其中,所述目标唯一标识符关联到所述目标进程的父进程;
8.基于所述目标唯一标识符,获取所述目标进程的目标关联信息;
9.对所述目标关联信息包含的父进程及目标进程的各类行为进行分析,得到所述外部脚本的脚本来源;
10.对所述外部脚本的脚本来源进行分析,确定所述系统中是否存在无文件攻击的检测结果。
11.一种无文件攻击的检测装置,所述装置包括:
12.获取模块,用于在系统中的目标进程读取外部脚本的情况下,获取所述目标进程的目标唯一标识符;其中,所述目标唯一标识符关联到所述目标进程的父进程;
13.所述获取模块,用于基于所述目标唯一标识符,获取所述目标进程的目标关联信息;
14.处理模块,用于对所述目标关联信息包含的父进程及目标进程的各类行为进行分析,得到所述外部脚本的脚本来源;
15.所述处理模块,用于对所述外部脚本的脚本来源进行分析,确定所述系统中是否存在无文件攻击的检测结果。
16.一种无文件攻击的检测设备,包括:
17.存储器,用于存储可执行指令;处理器,用于执行所述存储器中存储的可执行指令时,实现上述的方法。
18.一种计算机可读存储介质,存储有可执行指令,用于引起处理器执行时,实现上述的方法。
19.本技术实施例具有以下有益效果:
20.通过在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;其中,目标唯一标识符关联到目标进程的父进程;基于目标唯一标识符,获取目标进程的目标关联信息;对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果;由此可知,在得到外部脚本的脚本来源的情况下,由于生成的进程puid关联到每个进程的父进程,那么,基于进程puid获取到的进程的关联信息不仅包括该进程自身的各类行为,还包括该进程的父进程的各类行为;再结合对进程及其父进程相关行为的联合分析,实现了脚本来源的定位,确保所有文件都可追溯到脚本来源,从而更加精确地确定系统中是否存在无文件攻击的检测结果,避免了网络文件的漏检。
附图说明
21.图1是本技术实施例提供的终端的一个可选的架构示意图;
22.图2是本技术实施例提供的无文件攻击的检测方法的流程示意图一;
23.图3是本技术实施例提供的脚本来源的分析流程示意图;
24.图4是本技术实施例提供的无文件攻击的检测方法的流程示意图二;
25.图5是本技术实施例提供的无文件攻击的检测方法的流程示意图三;
26.图6是本技术实施例提供的无文件攻击的检测方法的流程示意图四;
27.图7是本技术实施例提供的无文件攻击的检测方法的流程示意图五。
具体实施方式
28.为了使本技术的目的、技术方案和优点更加清楚,下面将结合附图对本技术作进一步地详细描述,所描述的实施例不应视为对本技术的限制,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本技术保护的范围。
29.在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。除非另有定义,本技术实施例所使用的所有的技术和科学术语与属于本技术实施例的技术领域的技术人员通常理解的含义相同。本技术实施例所使用的术语只是为了描述本技术实施例的目的,不是旨在限制本技术。
30.下面说明本技术实施例提供的无文件攻击的检测设备的示例性应用,本技术实施例提供的无文件攻击的检测设备可以实施为笔记本电脑,平板电脑,台式计算机,移动设备(例如,移动电话,便携式音乐播放器,个人数字助理,专用消息设备,便携式游戏设备),智
programmable logic device,cpld)、现场可编程门阵列(field-programmable gate array,fpga)或其他电子元件。
40.目前,主要是通过监控从网络中下载的脚本是否执行了可疑操作,并通过行为特征匹配来检测是否存在无文件攻击行为,其中,匹配的对象包括但不限于进程、计划任务、系统服务、网络、注册表、文件、系统插件(windows management instrumentation,wmi)、内存等各个维度的行为。也就是说,目前通过监控下载的文件和分析脚本的行为来检测无文件;然而,这种无文件攻击检测方式,存在漏检的情况。为此,本技术提供了一种无文件攻击的检测方法,该方法是基于脚本来源的检测方法,该方法关注脚本来源,能够更好地对抗各种漏检。
41.下面将结合本技术实施例提供的终端100的示例性应用和实施,说明本技术实施例提供的无文件攻击的检测方法。参见图2,图2是本技术实施例提供的无文件攻击的检测方法的一个可选的流程示意图,将结合图2示出的步骤进行说明,
42.步骤s201,在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符。
43.其中,目标唯一标识符关联到目标进程的父进程。
44.这里,进程指的是程序的一次执行过程,是一个程序与其使用的数据在处理机上顺序执行时发生的活动,是系统进行资源分配和调度的一个独立单位。父进程指已创建一个或多个子进程的进程。
45.目前文件运行过程中,系统进程虽然有进程标识符(process identification,pid),但是当某个文件存储以后,后续再进行检测时,由于文件的进程关闭以后,其pid被系统清除,这个进程的pid会被重新分配,所以在一定时间差内,存在pid重复的情况。然而,本技术实施例中,为进程分配唯一的标识符称为唯一标识符(process unique identification,puid),在一些实施例中,可以利用散列函数(hash)来创建puid,以便于还原进程链,进而还原攻击流程图,提供进行彻底攻击查杀的有利依据。
46.示例性的,系统创建的第一个进程的父进程的puid为默认值,例如为0。
47.这里,脚本指的是使用一种特定的描述性语言,依据一定的格式编写的可执行文件。
48.在一个可实现的场景中,对目标进程读取外部脚本进行举例说明:攻击者诱导用户下载内嵌了恶意代码的办公(office)文档,当用户点击时,主程序例如winword进程会获取并执行docm文件中的脚本,因此,该进程获取了外部脚本执行。本技术实施例中对目标进程读取外部脚本的实现方式不作具体限定。
49.本技术实施例中,计算机程序是指为了得到某种结果而可以由计算机等具有信息处理能力的装置执行的代码化序列或者可以被自动转换成代码化指令序列的符号化指令序列或符号化语句序列。
50.步骤s202,基于目标唯一标识符,获取目标进程的目标关联信息。
51.本技术实施例中,目标关联信息又称为目标进程的相关信息(process_contents)。基于目标puid,获取到的目标进程的process_contents包括:进程名(pname)、进程路径(ppath)、进程的内部名称(process_internalname)、进程的原始名称(process_originalfilename)和目标进程的父进程名(ppname);当然,还可以包括目标进程的父进程
路径(pppath)和目标进程的父进程的puid。其中,目标进程的相关信息可以通过获取字典记录的进程的操作日志得到。
52.示例性的,通过字典的方式生成进程的操作日志的记录如下:
53.其中,进程的相关信息1对应的操作日志记录如下:
54.{“puid”:“000000000000001c”,
[0055]“process_contents”:{
[0056]“pname”:“winword.exe”,
[0057]“ppath”:“d:\office16\winword.exe”,
[0058]“process_originalfilename”:“winword.exe”,
[0059]“process_internalname”:“winword”,
[0060]“ppname”:“explorer.exe”,
[0061]“pppath”:“c:\windows\explorer.exe”,
[0062]“ppuid”:“0000000000000005”}}
[0063]
其中,进程的相关信息2对应的操作日志记录如下:
[0064]
{“puid”:“0000000000000006”,
[0065]“process_contents”:{
[0066]“pname”:“wscript.exe”,
[0067]“ppath”:“c:\windows\system32\wscript.exe”,
[0068]“process_originalfilename”:“wscript.exe”,
[0069]“process_internalname”:“wscript.exe”,
[0070]“ppname”:“explorer.exe”,
[0071]“pppath”:“c:\windows\explorer.exe”,
[0072]“ppuid”:“0000000000000005”}}
[0073]
其中,puid表示进程的puid,process_contents部分是进程的相关信息,pname表示进程名;ppath表示进程文件路径;process_originalfilename表示进程文件的原始名称;process_internalname表示进程文件的内部名称;ppname表示父进程名;pppath表示父进程文件路径;ppuid表示父进程的puid。
[0074]
本技术实施例中,实时监控目标进程的行为信息,包括但不限于进程操作行为、文件行为、网络行为和注册表行为;当目标进程读取外部脚本时,获取目标进程的目标puid;基于目标puid获取目标进程的相关信息。
[0075]
步骤s203,对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源。
[0076]
本技术实施例中,对目标关联信息包含的父进程及目标进程的各类行为进行联合分析,可以确定外部脚本的脚本来源。需要说明的是,本技术通过生成目标进程的目标puid,在记录存储该目标puid时,关联到了目标进程的父进程,之后再分析进程行为的联合行为便可以确定脚本来源,从而实现更全面地检测无文件攻击。
[0077]
这里,进程行为指的是进程运行过程中所做的各种行为,比如创建进程、关闭进程等。
[0078]
进一步地,以进程的行为包括进程操作行为、文件行为、网络行为和注册表行为为
例,对步骤s203中对各类行为进行分析,得到外部脚本的脚本来源的过程作出进一步的说明,在一个可实现的场景中,结合图3所示的分析流程:
[0079]
步骤s301,实时监控进程的行为信息。
[0080]
这里,进程的各类行为包括但不限于进程操作行为、文件行为、网络行为和注册表行为。
[0081]
其中,进程操作行为是指进程还有操作其他进程的行为,比如创建了新进程,结束了某个进程,访问了某个进程。文件行为是指进程操作文件的行为,包括文件的读写。网络行为是指进程连接网络、接收网络数据、发送数据等行为。注册表行为是指进程操作注册表的行为。其中,注册表指的是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着windows的启动、硬件驱动程序的装载以及一些windows应用程序的运行,从而在整个系统中起着核心作用。
[0082]
步骤s302,进程是否读取外部脚本。
[0083]
步骤s303,记录进程的操作信息。
[0084]
这里,在进程读取外部脚本的情况下,获取进程的puid,进一步地,基于puid,获取进程的相关信息,例如基于字典记录的进程的操作日志得到进程的相关信息。进程的操作信息包括但不限于图3中步骤s303列举的5种操作信息。
[0085]
步骤s304,联合分析进程的行为,得到外部脚本的脚本来源。
[0086]
这里,基于读取的外部脚本和进程的相关信息,联合分析进程的行为,便可以得到外部脚本的脚本来源。
[0087]
示例一,读取的外部脚本script1与进程访问网络并获取的脚本script2相同,则确定脚本来源为网络(net)。
[0088]
示例二,读取的外部脚本script1与进程读取磁盘文件并获取的脚本script3相同,则确定脚本来源为文件(file)。
[0089]
示例三,读取的外部脚本script1与进程读取注册表并获取的脚本script4相同,则确定脚本来源为注册表(reg)。
[0090]
示例四,读取的外部脚本script1与进程读取流文件(ads)并获取的脚本script5相同,则确定脚本来源为(ads)。
[0091]
其中,新技术文件系统(new technology file system,ntfs)交换数据流(alternate data streams,简称ads)是ntfs磁盘格式的一个特性。在ntfs文件系统下,每个文件都可以存在多个数据流,意思是除了主文件流之外还可以有许多非主文件流寄宿在主文件流中,这些利用ntfs数据流寄宿并隐藏在系统中的非主文件流我们称之为ads流文件。
[0092]
示例五,进程从未知来源读取并获得脚本script6,则确定脚本来源为其他。
[0093]
上述示例中,示例一至示例四为已知来源的脚本;示例五为未知来源的脚本。
[0094]
步骤s204,对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果。
[0095]
可以理解地,最初“无文件攻击”是指没有持久驻留在内存中的恶意代码的攻击,不过随着攻击技术的迭代,该术语的指代面越来越广了。现在安全行业中,无文件攻击被视为一种攻击策略,其目的是避免恶意文件存放到磁盘中,从而逃避安全软件的检测。本技术
实施例中,无文件攻击指的是无恶意文件攻击,攻击者会在用户主机上留下一些看起来非恶意的文件,或者利用可信二进制文件执行恶意行为来绕过杀毒软件的检测,达到攻击的目的。
[0096]
本技术实施例中,在得到外部脚本的脚本来源的情况下,由于生成的进程puid关联到每个进程的父进程,再结合对进程相关行为的联合分析,实现了脚本来源的定位,确保所有文件都可追溯到脚本来源,从而更加精确地确定系统中是否存在无文件攻击的检测结果,避免了网络文件的漏检。
[0097]
本技术提供的无文件攻击的检测方法,通过在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;其中,目标唯一标识符关联到目标进程的父进程;基于目标唯一标识符,获取目标进程的目标关联信息;对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果;由此可知,在得到外部脚本的脚本来源的情况下,由于生成的进程puid关联到每个进程的父进程,那么,基于进程puid获取到的进程的关联信息不仅包括该进程自身的各类行为,还包括该进程的父进程的各类行为;再结合对进程及其父进程相关行为的联合分析,实现了脚本来源的定位,确保所有文件都可追溯到脚本来源,从而更加精确地确定系统中是否存在无文件攻击的检测结果,避免了网络文件的漏检。
[0098]
在一个可实现的攻击场景中,目前,攻击者越来越多利用系统注册表、流文件等作为载体,来存放恶意脚本,然后通过系统白程序调用执行恶意脚本,从而绕过检测。
[0099]
下面为本技术实施例提供的一个攻击示例:攻击例子1:攻击者将hta脚本作为内容写入office宏代码中,在用户点击office文件时,winword程序将hta脚本同时写入流文件(c:\windows\test.txt:virus.vbs)和图片文件中(c:\users\default\documents\virus.png和c:\users\default\documents\virus.bat),其中流文件的宿主文件为txt文件,并同时在run启动项中写入命令(wscript c:\windows\test.txt:virus.vbs)和runonce中写入要执行的bat文件(c:\users\default\documents\virus.bat),其中,run启动项是调用系统程序wscript执行流文件中的脚本,这样,在每次用户重启系统时,脚本都会自动在后台被调用执行,攻击用户电脑。而runonce启动项的bat脚本则会判断流文件和run启动项是否被清理,如果被清理则调用cscript获取png中的vbs脚本执行(脚本不直接存放在bat中是为了躲避杀毒软件的查杀),png中的脚本实现将恶意脚本隐写到其他地方(比如c:\windows\new.txt:newfile.vbs),然后通过在自启动目录中创建lnk文件(lnk的文件内容为cscript c:\windows\new.png:newfile.vbs)实现开机自启动,从而实现难以彻底清理的无文件攻击木马。其中,隐写术指的是一种将包含恶意有效负载的信息隐藏在其他良性文件如图像中的技术。本技术通过分析脚本来源的可疑度,结合调用脚本的进程的相关信息,来发现系统存在的无文件攻击行为。
[0100]
针对上述攻击例子1,攻击者首先诱导用户下载内嵌了恶意代码的office文档,当用户点击时,winword进程会获取并执行docm文件中的脚本执行,因此该进程获取了外部脚本执行,终端记录进程的操作信息,再通过分析脚本的来源为文件,并记录下脚本来源的文件的相关信息,结果如下:
[0101][0102]
系统重启时,攻击者开始实施攻击,首先通过分析进程行为和文件行为,可知puid为0000000000000006的进程获取了外部脚本,可以通过puid表获取进程信息和父进程的信息,然后分析文件名称,文件名中包含冒号,且不在磁盘中,可说明该文件为ads流文件,因此确定该脚本来源于ads,记录下的脚本来源信息,结果如下:
[0103][0104]
其中,script_id为脚本的id值,用于标识该进程加载的脚本,当同个进程加载多个外部脚本时,脚本id值逐渐递增;src_script为脚本的来源;script_path记录的是流文件的文件路径。不同来源的脚本,src_script和script_path记录方法参见脚本来源的记录表1:
[0105]
脚本来源ads流文件注册表网络本地异类文件src_scriptadsregnetfilescript_path流文件路径注册表项+键网址文件路径
[0106]
脚本来源的记录表1
[0107]
其中,本地异类文件是指脚本存放在与脚本类型不同的文件中,比如hta脚本存放在png文件。需要说明的是,上述自定义的记录表1针对脚本来源和文件路径的相关信息进行记录时,只记录了精炼采集的信息,避免了非必要信息的采集与记录。
[0108]
针对该攻击场景,可以结合图4所示的流程,实现本技术提供的基于脚本来源的无文件攻击检测方法,步骤如下:
[0109]
步骤s401,采集进程的相关信息并记录。
[0110]
这里,实时监控系统中的进程创建事件,进程创建事件用于创建新进程。在进程创建时,系统会为进程分配pid,但在进程创建后,若父进程关闭,则无法通过父进程的pid到进程的路径,使得进程信息缺少,给溯源和还原攻击链带来困难。本技术引入了进程puid号,用于记录每个进程的相关信息。
[0111]
示例性的,puid表的记录格式如下所示:
[0112][0113][0114]
puid表
[0115]
示例性的,在上述puid表中,进程puid号可是16位的id值,保证进程id的唯一性。
[0116]
步骤s402,是否从进程外部获取脚本执行;若是,则执行步骤s403。
[0117]
步骤s403,记录脚本来源。
[0118]
步骤s404,对脚本来源进行分析,可以得到脚本来源可疑矩阵。
[0119]
本技术一些实施例中,在得到脚本来源的情况下,可以对外部脚本的脚本来源进行分析,进一步得到脚本来源可疑矩阵。
[0120]
步骤s405,基于脚本来源可疑矩阵,确定系统中是否存在无文件攻击的检测结果。
[0121]
本技术其他实施例中,步骤s202基于目标唯一标识符,获取目标进程的目标关联信息,可以通过如下步骤实现:在唯一标识符列表中查目标唯一标识符对应的目标关联信息。
[0122]
本技术其他实施例中,在执行上述的在唯一标识符列表中查目标唯一标识符对应的目标关联信息之前,还可以通过如图5中的步骤实现对唯一标识符列表的维护:
[0123]
步骤s501,在监控到进程创建事件的情况下,获取新进程的进程标识符和新进程的前一进程的唯一标识符。
[0124]
这里,可以调用监控函数实时监控进程创建事件;其中,进程创建事件用于创建新进程。
[0125]
进一步地,在监控到进程创建事件的情况下,获取新进程的pid和新进程的前一进程的puid。
[0126]
步骤s502,基于进程标识符获取新进程的新进程路径,并从新进程路径中解析出
新进程名。
[0127]
这里,基于新进程pid,获取新进程路径,并从新进程路径中解析出新进程名。
[0128]
步骤s503,基于新进程路径,读取新进程文件信息,并基于新进程文件信息获取新进程的内部名称和新进程的原始名称。
[0129]
步骤s504,基于前一进程的唯一标识符和第一参数,生成新进程的唯一标识符。
[0130]
这里,第一参数可以根据实际需求灵活设置,例如,第一参数为1。将前一进程的puid值加1作为新进程的puid。
[0131]
步骤s505,基于新进程的唯一标识符,将新进程的进程名、新进程路径、新进程的内部名称、新进程的原始名称和前一进程的唯一标识符,作为新进程的关联信息添加到唯一标识符列表中。
[0132]
基于上述对唯一标识符列表的维护可知,本技术中的唯一标识符列表实现了对脚本来源的记录,唯一标识符列表用于分析溯源,该唯一标识符列表是对信息进行预处理所得到。
[0133]
仍旧以攻击例子1为例,对唯一标识符列表中的记录进行更新的过程举例说明如下:
[0134]
攻击者诱导用户点击下载的office文件,此时explorer.exe进程启动winword进程执行office文件中的宏代码,此时,根据上述的实现方式可得如下的相关信息的记录表1如下:
[0135][0136]
相关信息的记录表1
[0137]
而真正实施攻击是在用户重启后,系统通过explorer.exe读取run启动项中的注册表内容执行命令,命令的功能是启动wscript.exe去执行流文件中的脚本,此时,explorer进程是新生成的,系统中的puid表会刷新,重新开始记录,所以记录更新后得到的相关信息的记录表2如下:
[0138][0139]
相关信息的记录表2
[0140]
本技术其他实施例中,步骤s204对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果,可以通过如图6所示的步骤实现:
[0141]
步骤s2041,获取初始化的脚本来源可疑矩阵。
[0142]
这里,初始化的脚本来源可疑矩阵是利用可疑度分析算法,对样本的脚本来源进行处理所得到的。样本的脚本来源包括正样本进程调用的脚本的脚本来源,以及存在无样本攻击时负样本进程调用的脚本的脚本来源。其中,正样本进程调用的脚本来源包括通过海量终端进程信息及其调用的脚本信息,生成的正常情况下的调用的脚本来源,又称为正常脚本来源。负样本进程调用的脚本来源包括通过运行海量的无文件攻击样本,分析样本实施攻击时调用的脚本来源得到的。
[0143]
步骤s2042,对外部脚本的脚本来源进行分析,得到外部脚本的脚本来源的第一可疑度系数。
[0144]
本技术实施例中,步骤s2042中对外部脚本的脚本来源进行分析,得到外部脚本的脚本来源的第一可疑度系数,可以通过如下步骤实现:首先,从预先存放的各类文件来源的脚本的可疑度矩阵中,查上述外部脚本的脚本来源对应的可疑度;其次,基于查到的可疑度与第一预设参数之间的关系,生成第一可疑度系数。其中,预先存放的各类文件来源的脚本的可疑度矩阵,可以通过对作为样本的脚本来源进行分析得到。
[0145]
步骤s2043,基于初始化的脚本来源可疑矩阵和第一可疑度系数,确定是否存在无文件攻击的检测结果。
[0146]
本技术实施例中,在对外部脚本的脚本来源进行分析,得到外部脚本的脚本来源的第一可疑度系数之后,针对进程链执行的是未知来源/已知来源的样本脚本,选择不同的计算方式,计算出进程链执行样本脚本时对应的样本脚本来源的可疑值。进一步,将进程链执行样本脚本时对应的样本脚本来源的可疑值代入初始化的脚本来源可疑矩阵中,得到外部脚本的脚本来源可疑矩阵。最终,基于外部脚本的脚本来源可疑矩阵,确定是否存在无文件攻击的检测结果。
[0147]
本技术一些实施例中,在确定外部脚本的脚本来源可疑矩阵的情况下,还可以基于预设的脚本来源可疑等级列表,查外部脚本的脚本来源可疑矩阵的可疑值所属的等级范围,快速确定外部脚本的脚本来源的可疑程度。
[0148]
示例性的,预设的脚本来源可疑等级列表如下所示:
[0149]
可疑等级正常低危中危高危δ范围δ《0.10.1《=δ《0.40.4》=δ》0.7δ》=0.7
[0150]
预设的脚本来源可疑等级列表
[0151]
其中,预设的脚本来源可疑等级列表中不同的可疑程度对应于四个可疑值δ范围,当δ≥0.7,可疑程度最大,看作高危等级;当0.4≤δ<0.7,可疑程度降低,看作中危等级;当0.1≤δ<0.4,可疑程度进一步降低,看作低危等级;当δ<0.1,可疑程度最小,看作正常等级。
[0152]
仍旧以攻击例子1为例,攻击例子1在实施攻击时,基于相关信息的记录表2可知,进程链表为explorer.exe-》wscript.exe,脚本来源为ads,通过脚本来源可疑矩阵分析得到对应的δ,假设该δ的值为0.8,则基于预设的脚本来源可疑等级列表,快速确定外部脚本的脚本来源的可疑程度为高危来源,从而确定系统中存在无文件攻击行为。
[0153]
本技术其他实施例中,步骤s2041中的初始化的脚本来源可疑矩阵,可以通过如图7所示的步骤得到:
[0154]
步骤s601,获取作为样本的脚本来源的第二可疑度系数。
[0155]
其中,作为样本的脚本来源包括正样本进程调用的脚本的脚本来源,以及存在无样本攻击时负样本进程调用的脚本的脚本来源。
[0156]
本技术实施例中,步骤s601获取作为样本的脚本来源的第二可疑度系数,可以通过如下步骤实现:
[0157]
a11,获取正样本进程调用的脚本的脚本来源的第二数量、负样本进程调用的脚本的脚本来源的第三数量;
[0158]
a12,基于第二数量和第三数量,确定各类来源的脚本的可疑度;
[0159]
a13,基于各类来源的脚本的可疑度与第一预设参数之间的关系,生成各类来源的第二可疑度系数。
[0160]
进一步地,在执行上述a11-a13的步骤的过程中,关于确定各类来源的脚本的可疑度、生成各类来源的第二可疑度系数的方式,作出进一步的说明:
[0161]
首先,将正样本进程调用的脚本的脚本来源的第二数量、负样本进程调用的脚本的脚本来源的第三数量代入如下计算公式,计算各类来源的脚本的可疑度,可疑度表征为k
type
;
[0162]ktype
=type_file_sum/(type_file_sum+attack_sum);
[0163]
其中,第二数量表征为type_file_sum,第三数量表征为attack_sum。
[0164]
其次,基于k
type
与第一预设参数之间的关系,生成第二可疑度系数。
[0165]
这里,在获取到正样本进程调用的脚本的脚本来源的情况下,计算每个来源的可疑度k
type
,进而基于k
type
与第一预设参数之间的关系,计算指定类型(type)的文件来源的可疑度系数a
type
。
[0166]
其中,第一预设参数可以根据实际需求灵活设置,示例性的,第一预设参数设置为1。将k
type
代入如下计算公式,计算a
type
:a
type
={(k
type
==1)?0,1}。
[0167]
也就是说,当k
type
等于1时,a
type
的值为0,当k
typ
的值为其他值时,a
type
的值为1。
[0168]
本技术一些实施例中,对于文件来源的脚本,可以自动生成1可疑文件来源矩阵,存放各类文件来源的脚本的可疑度k
type
,矩阵k
type
如下所示:
[0169]
脚本来源txtvbsexejs图片
…
k0.400.000.210.811
…
[0170]
矩阵k
type
[0171]
在上述矩阵k
type
中,文件来源的脚本的来源对应的类型type包括txt、vbs、exe、js、图片。示例性的,不同文件来源的脚本的可疑度k
type
分别为k
txt
=0.40、k
vbs
=0.00、k
exe
=0.21、k
js
=0.81、k
图片
=1。可见,通过对作为样本的脚本来源进行分析,可以得到各类文件来源的脚本的可疑度矩阵,并存储该可疑度矩阵,以便在系统中的目标进程读取外部脚本的情况下,快速确定外部脚本的脚本来源的第一可疑度系数。
[0172]
步骤s602,基于第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值。
[0173]
这里,基于可疑度系数,可以确定出各个进程链执行指定类型的脚本时对应的脚本来源的可疑值,其中,可疑值用于初始化脚本来源可疑矩阵。
[0174]
这里,进程链指的是如果某个进程生成了一个子进程,其子进程又生成了一个子进程,直到最后一个子进程不再产生新的子进程,那么这一系列进程被称为进程链。
[0175]
本技术其他实施例中,若各个进程链执行的是已知来源的样本脚本,步骤s602基于第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值,可以通过如下步骤得到:
[0176]
首先,基于各类来源中正样本进程对应的第四数量,以及各类来源的第二可疑系数,确定与正样本进程关联的目标数量;
[0177]
其次,基于目标数量和第三数量,确定样本脚本来源的可疑值。
[0178]
这里,若各个进程链执行的是已知来源的样本脚本,确定出对应的样本脚本来源的可疑值表征为δ1,进一步地,针对基于目标数量和第三数量,确定δ1的方式,作出进一步的说明:
[0179]
δ1的计算公式如下:
[0180]
δ1=attack_sum/(∑(a
type
×
type_file_sum)+attack_sum)。其中,∑(a
type
×
type_file_sum)表征目标数量。
[0181]
本技术实施例中,当脚本来源文件类型足够可疑时,比如从图片文件中读取脚本来执行,k
图片
=1,此时,a
type
=0,那么,对于δ1的计算而言,分母部分越小,则δ1的数值越大,表明脚本来源足够可疑,则不获取其他文件类型的数据作为计算的标准,从而使得该检测更有效,也能对抗攻击事件较大时,比如攻击者大范围实施攻击,该行为太多而在自动更新时误认为该行为为正常行为而绕过该检测。
[0182]
本技术一些实施例中,当(type_file_sum+attack_sum)=0时,k
type
=0.5;也就是说,当脚本来源不确定时,设为灰度,灰度表示不是负样本,也不是正样本。
[0183]
当(∑(a
type
×
type_file_sum)+attack_sum)=0时,δ=0.5;也就是说,当脚本来源文件没出现过时,因为正常的脚本都会来自于常见的文件中,因此默认设置为中危。
[0184]
本技术其他实施例中,若各个进程链执行的是未知来源的样本脚本,步骤s602基于第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值,可以通过如下步骤得到:
[0185]
首先,获取未知来源的样本脚本的调用数量;
[0186]
其次,基于调用数量和第三数量,确定样本脚本来源的可疑值。
[0187]
这里,若各个进程链执行的是未知来源的样本脚本,确定出对应的样本脚本来源的可疑值表征为δ2,进一步地,针对基于调用数量和第三数量,确定δ2的方式,作出进一步的说明:
[0188]
δ2的计算公式如下:
[0189]
δ2=attack_sum/(src_sum+attack_sum);其中,src_sum表征未知来源的样本脚本的调用数量。
[0190]
步骤s603,基于样本脚本来源的可疑值,得到初始化的脚本来源可疑矩阵。
[0191]
这里,给出最终得到的初始化的脚本来源可疑矩阵的示例:
[0192]
进程链表adsregnetfile
…
a-》bδ1δ2δ3δ4,k
type
…
a-》cδ5δ6δ7δ8,k
type
…
a-》dδ9δ
10
δ
11
δ
12
,k
type
…
b-》cδ
13
δ
14
δ
15
δ
16
,k
type
…
[0193]
初始化的脚本来源可疑矩阵
[0194]
其中,初始化的脚本来源可疑矩阵中δi表征各个进程链执行指定类型的脚本时对应的脚本来源的可疑值,i取正整数。上述初始化的脚本来源可疑矩阵涉及如下进程:进程a、进程b、进程c、进程d。
[0195]
这里,对初始化的脚本来源可疑矩阵的内容进行说明:a-》b表示a进程创建了b进程,a为父进程,b为子进程;脚本来源矩阵是基于进程链中的子进程的脚本来源进行记录和更新的,当脚本来源为文件时,不同类型的脚本会对应不同的脚本来源文件类型矩阵k
type
,比如进程a-》b中分别有存在执行了vbs脚本、hta脚本和sct脚本,则此处会存在3个k矩阵,分别为k
vbs
,k
hta
和k
sct
。
[0196]
由此可知,本技术利用可疑度分析算法,对样本的脚本来源进行处理的过程中,通过对负样本和正样本的分析,计算每个来源的可疑度系数,通过可疑度系数和样本数量确定各类可文件的可疑值,并基于可疑值,确定初始化脚本来源可疑矩阵;从而,在后续过程中,若系统中的进程读取到外部脚本,则可以借助初始化脚本来源可疑矩阵,实现了对各类文件来源可疑程度的准确判断,提高检测的准确度。这里,在新的进程链执行脚本的行为产生时,获取可疑值,不仅可以依据初始化脚本来源可疑矩阵,自动化检测无文件攻击行为,而且还可以实时更新初始化脚本来源可疑矩阵,例如更新初始化脚本来源可疑矩阵中脚本来源的可疑值,实现了数据的动态更新,确保了脚本来源的可疑结果动态更新、进一步提升了计算结果的准确性。
[0197]
本技术一些实施例中,在步骤s405中基于脚本来源可疑矩阵,确定系统中存在无文件攻击的检测结果的情况下,还可以联合相关信息的记录表发现攻击链,即还原攻击流程图,提供进行彻底攻击查杀的有利依据。
[0198]
例如,联合相关信息的记录表1发现的攻击链如下所示:
[0199]
office宏代码执行-》新增启动项、创建流文件-》流文件中的脚本在每次系统重启时被调用执行-》实施攻击。
[0200]
示例性的,针对上述攻击例子1,还原攻击流程如下所示:
[0201]
当攻击例子1的第一阶段(run启动项执行流文件中的脚本)的攻击被检测到并清除时,runonce的bat脚本会发现第一阶段的攻击实现而开启第二阶段的攻击,此时cmd程序调用cscript执行png中的脚本;png脚本被读取执行时,本技术获取到cscript中的脚本来自于图片文件,通过k
vbs
矩阵获取进程链为cmd.exe-》cscipt.exe,来源为图片文件的可疑度(如上矩阵所示,可疑度为1),则根据可疑度分析算法进行可疑度计算如下:
[0202]
以下计算针对进程链为cmd.exe-》cscipt.exe的情况,将k
type
等于1代入a
type
的计算公式:
[0203]avbs
={(k
type
==1)?0,1}={(1==1)?0,1}=0;
[0204]
∑(a
type
×
type_file_sum)=∑(0
×
type_file_sum)=0;
[0205]
δ=attack_sum/(∑(a
type
×
type_file_sum)+attack_sum)=attack_sum/attack_sum。
[0206]
结果如下:若attack_sum=0,则δ=0.5,属于中危来源,需要进一步追踪,常出现在检测未知攻击的情况。若attack_sum》0,则δ=1,属于高危来源,该攻击为已知攻击,检出。
[0207]
因此,该进程链获取图片文件中的脚本执行的行为属于执行了中危或高危来源的脚本,从而发现攻击。
[0208]
相应的,完善攻击链如下:
[0209]
第一阶段:office宏代码执行-》新增启动项、创建流文件-》流文件中的脚本在每次系统重启时被调用执行-》实施攻击;
[0210]
第一阶段被清理时,第二阶段实施:bat执行-》cmd创建cscript-》执行png中的脚本代码,将恶意脚本写入新的流文件中,在自启动目录中创建lnk文件实现持久化的无文件攻击。
[0211]
第三阶段:开机自启动-》cscript执行流文件中的脚本-》实施攻击,
[0212]
其中,第一阶段和第二阶段的检测代码都在上述中详细给出,至于第三阶段的检测,由于执行的脚本来源为ads流文件,和第一阶段的检测逻辑相同,本技术同样可以实现检出。然后基于以上的全部检测结果,可以完整地还原攻击流程图,帮助终端和/或分析人员实现彻底的攻击查杀。
[0213]
下面继续说明本技术实施例提供的无文件攻击的检测装置154实施为软件模块的示例性结构,在一些实施例中,如图1所示,存储在存储器150的无文件攻击的检测装置154中的软件模块可以是终端100中的无文件攻击的检测装置,包括:
[0214]
获取模块1541,用于在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;
[0215]
获取模块1541,用于基于目标唯一标识符,获取目标进程的目标关联信息;
[0216]
处理模块1542,用于对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;
[0217]
处理模块1542,用于对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果。
[0218]
在一些实施例中,处理模块1542,用于获取初始化的脚本来源可疑矩阵;对外部脚本的脚本来源进行分析,得到外部脚本的脚本来源的第一可疑度系数;基于初始化的脚本
来源可疑矩阵和第一可疑度系数,确定是否存在无文件攻击的检测结果。
[0219]
在一些实施例中,处理模块1542,用于获取作为样本的脚本来源的第二可疑度系数;其中,作为样本的脚本来源包括正样本进程调用的脚本的脚本来源,以及存在无样本攻击时负样本进程调用的脚本的脚本来源;基于第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值;基于样本脚本来源的可疑值,得到初始化的脚本来源可疑矩阵。
[0220]
在一些实施例中,处理模块1542,用于获取正样本进程调用的脚本的脚本来源的第二数量、负样本进程调用的脚本的脚本来源的第三数量;基于第二数量和第三数量,确定各类来源的脚本的可疑度;基于各类来源的脚本的可疑度与第一预设参数之间的关系,生成各类来源的第二可疑度系数。
[0221]
在一些实施例中,处理模块1542,用于将正样本进程调用的脚本的脚本来源的第二数量、负样本进程调用的脚本的脚本来源的第三数量代入如下计算公式,计算各类来源的脚本的可疑度,可疑度表征为k
type
;k
type
=type_file_sum/(type_file_sum+attack_sum);其中,第二数量表征为type_file_sum,第三数量表征为attack_sum;基于k
type
与第一预设参数之间的关系,生成第二可疑度系数。
[0222]
在一些实施例中,处理模块1542,用于若各个进程链执行的是已知来源的样本脚本,基于各类来源中正样本进程对应的第四数量,以及各类来源的第二可疑系数,确定与正样本进程关联的目标数量;基于目标数量和第三数量,确定样本脚本来源的可疑值。
[0223]
在一些实施例中,处理模块1542,用于若各个进程链执行的是已知来源的样本脚本,对应的样本脚本来源的可疑值表征为δ1,δ1的计算公式如下:
[0224]
δ1=attack_sum/(∑(a
type
×
type_file_sum)+attack_sum)。
[0225]
在一些实施例中,处理模块1542,用于若各个进程链执行的是未知来源的样本脚本,获取未知来源的样本脚本的调用数量;基于调用数量和第三数量,确定样本脚本来源的可疑值。
[0226]
在一些实施例中,处理模块1542,用于若各个进程链执行的是未知来源的样本脚本,对应的样本脚本来源的可疑值表征为δ2,δ2的计算公式如下:
[0227]
δ2=attack_sum/(src_sum+attack_sum);其中,src_sum表征未知来源的脚本的调用数量。
[0228]
在一些实施例中,获取模块1541,用于在唯一标识符列表中查目标唯一标识符对应的目标关联信息。
[0229]
在一些实施例中,处理模块1542,用于在监控到进程创建事件的情况下,获取新进程的进程标识符和新进程的前一进程的唯一标识符;基于进程标识符获取新进程的新进程路径,并从新进程路径中解析出新进程名;基于新进程路径,读取新进程文件信息,并基于新进程文件信息获取新进程的内部名称和新进程的原始名称;基于前一进程的唯一标识符和第一参数,生成新进程的唯一标识符;基于新进程的唯一标识符,将新进程的进程名、新进程路径、新进程的内部名称、新进程的原始名称和前一进程的唯一标识符,作为新进程的关联信息添加到唯一标识符列表中。
[0230]
本技术提供的无文件攻击的检测装置,通过在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;其中,目标唯一标识符关联到目标进程的父进
程;基于目标唯一标识符,获取目标进程的目标关联信息;对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果;由此可知,在得到外部脚本的脚本来源的情况下,由于生成的进程puid关联到每个进程的父进程,那么,基于进程puid获取到的进程的关联信息不仅包括该进程自身的各类行为,还包括该进程的父进程的各类行为;再结合对进程及其父进程相关行为的联合分析,实现了脚本来源的定位,确保所有文件都可追溯到脚本来源,从而更加精确地确定系统中是否存在无文件攻击的检测结果,避免了网络文件的漏检。
[0231]
需要说明的是,本技术实施例装置的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果,因此不做赘述。对于本装置实施例中未披露的技术细节,请参照本技术方法实施例的描述而理解。
[0232]
本技术实施例提供一种存储有可执行指令的存储介质,其中存储有可执行指令,当可执行指令被处理器执行时,将引起处理器执行本技术实施例提供的方法,例如,如图2示出的方法。
[0233]
本技术提供的计算机可读存储介质,通过在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;其中,目标唯一标识符关联到目标进程的父进程;基于目标唯一标识符,获取目标进程的目标关联信息;对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果;由此可知,在得到外部脚本的脚本来源的情况下,由于生成的进程puid关联到每个进程的父进程,那么,基于进程puid获取到的进程的关联信息不仅包括该进程自身的各类行为,还包括该进程的父进程的各类行为;再结合对进程及其父进程相关行为的联合分析,实现了脚本来源的定位,确保所有文件都可追溯到脚本来源,从而更加精确地确定系统中是否存在无文件攻击的检测结果,避免了网络文件的漏检。
[0234]
在一些实施例中,存储介质可以是计算机可读存储介质,例如,铁电存储器(fram,ferromagnetic random access memory)、只读存储器(rom,read only memory)、可编程只读存储器(prom,programmable read only memory)、可擦除可编程只读存储器(eprom,erasable programmable read only memory)、带电可擦可编程只读存储器(eeprom,electrically erasable programmable readonly memory)、闪存、磁表面存储器、光盘、或光盘只读存储器(cd-rom,compact disk-read only memory)等存储器;也可以是包括上述存储器之一或任意组合的各种设备。
[0235]
在一些实施例中,可执行指令可以采用程序、软件、软件模块、脚本或代码的形式,按任意形式的编程语言(包括编译或解释语言,或者声明性或过程性语言)来编写,并且其可按任意形式部署,包括被部署为独立的程序或者被部署为模块、组件、子例程或者适合在计算环境中使用的其它单元。
[0236]
作为示例,可执行指令可以但不一定对应于文件系统中的文件,也可以被存储在保存其它程序或数据的文件的一部分,例如,存储在超文本标记语言(超文本标记语言,hyper text markup language)文档中的一个或多个脚本中,存储在专用于所讨论的程序的单个文件中,或者,存储在多个协同文件(例如,存储一个或多个模块、子程序或代码部分
的文件)中。作为示例,可执行指令可被部署为在一个计算设备上执行,或者在位于一个地点的多个计算设备上执行,又或者,在分布在多个地点且通过通信网络互连的多个计算设备上执行。
[0237]
以上所述,仅为本技术的实施例而已,并非用于限定本技术的保护范围。凡在本技术的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本技术的保护范围之内。
技术特征:
1.一种无文件攻击的检测方法,其特征在于,包括:在系统中的目标进程读取外部脚本的情况下,获取所述目标进程的目标唯一标识符;其中,所述目标唯一标识符关联到所述目标进程的父进程;基于所述目标唯一标识符,获取所述目标进程的目标关联信息;对所述目标关联信息包含的所述父进程及所述目标进程的各类行为进行分析,得到所述外部脚本的脚本来源;对所述外部脚本的脚本来源进行分析,确定所述系统中是否存在无文件攻击的检测结果。2.根据权利要求1中所述的方法,其特征在于,所述对所述外部脚本的脚本来源进行分析,确定所述系统中是否存在无文件攻击的检测结果,包括:获取初始化的脚本来源可疑矩阵;对所述外部脚本的脚本来源进行分析,得到所述外部脚本的脚本来源的第一可疑度系数;基于所述初始化的脚本来源可疑矩阵和所述第一可疑度系数,确定是否存在无文件攻击的检测结果。3.根据权利要求2所述的方法,其特征在于,所述获取初始化的脚本来源可疑矩阵,包括:获取作为样本的脚本来源的第二可疑度系数;其中,所述作为样本的脚本来源包括正样本进程调用的脚本的脚本来源,以及存在无样本攻击时负样本进程调用的脚本的脚本来源;基于所述第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值;基于所述样本脚本来源的可疑值,得到初始化的脚本来源可疑矩阵。4.根据权利要求3所述的方法,其特征在于,所述获取作为样本的脚本来源的第二可疑度系数,包括:获取所述正样本进程调用的脚本的脚本来源的第二数量、所述负样本进程调用的脚本的脚本来源的第三数量;基于所述第二数量和所述第三数量,确定各类来源的脚本的可疑度;基于所述各类来源的脚本的可疑度与第一预设参数之间的关系,生成所述各类来源的第二可疑度系数。5.根据权利要求4所述的方法,其特征在于,所述基于所述第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值,包括:若所述各个进程链执行的是已知来源的样本脚本,基于所述各类来源中所述正样本进程对应的第四数量,以及所述各类来源的第二可疑系数,确定与正样本进程关联的目标数量;基于所述目标数量和所述第三数量,确定所述样本脚本来源的可疑值。6.根据权利要求4中所述的方法,其特征在于,所述基于所述第二可疑度系数,确定各个进程链执行样本脚本时对应的样本脚本来源的可疑值,包括:若所述各个进程链执行的是未知来源的样本脚本,获取所述未知来源的样本脚本的调
用数量;基于所述调用数量和所述第三数量,确定所述样本脚本来源的可疑值。7.根据权利要求1至6中任一项所述的方法,其特征在于,所述基于所述目标唯一标识符,获取所述目标进程的目标关联信息,包括:在唯一标识符列表中查所述目标唯一标识符对应的所述目标关联信息。8.根据权利要求7所述的方法,其特征在于,所述在唯一标识符列表中查所述目标唯一标识符对应的所述目标关联信息之前,所述方法还包括:在监控到进程创建事件的情况下,获取新进程的进程标识符和所述新进程的前一进程的唯一标识符;基于所述进程标识符获取所述新进程的新进程路径,并从所述新进程路径中解析出新进程名;基于所述新进程路径,读取新进程文件信息,并基于所述新进程文件信息获取所述新进程的内部名称和所述新进程的原始名称;基于所述前一进程的唯一标识符和第一参数,生成所述新进程的唯一标识符;基于所述新进程的唯一标识符,将所述新进程的进程名、新进程路径、所述新进程的内部名称、所述新进程的原始名称和所述前一进程的唯一标识符,作为所述新进程的关联信息添加到唯一标识符列表中。9.一种无文件攻击的检测装置,其特征在于,所述装置,包括:获取模块,用于在系统中的目标进程读取外部脚本的情况下,获取所述目标进程的目标唯一标识符;其中,所述目标唯一标识符关联到所述目标进程的父进程;所述获取模块,用于基于所述目标唯一标识符,获取所述目标进程的目标关联信息;处理模块,用于对所述目标关联信息包含的父进程及目标进程的各类行为进行分析,得到所述外部脚本的脚本来源;所述处理模块,用于对所述外部脚本的脚本来源进行分析,确定所述系统中是否存在无文件攻击的检测结果。10.一种无文件攻击的检测设备,其特征在于,包括:存储器,用于存储可执行指令;处理器,用于执行所述存储器中存储的可执行指令时,实现权利要求1至8任一项所述的方法。11.一种计算机可读存储介质,其特征在于,存储有可执行指令,用于引起处理器执行时,实现权利要求1至8任一项所述的方法。
技术总结
本申请提供一种无文件攻击的检测方法、装置、设备及存储介质,其中,方法包括:在系统中的目标进程读取外部脚本的情况下,获取目标进程的目标唯一标识符;其中,目标唯一标识符关联到目标进程的父进程;基于目标唯一标识符,获取目标进程的目标关联信息;对目标关联信息包含的父进程及目标进程的各类行为进行分析,得到外部脚本的脚本来源;对外部脚本的脚本来源进行分析,确定系统中是否存在无文件攻击的检测结果。检测结果。检测结果。
