技術(shù)特征：

1.一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，所述通過代理掃描計(jì)算機(jī)存活進(jìn)程，識(shí)別其中的網(wǎng)絡(luò)服務(wù)進(jìn)程并生成網(wǎng)絡(luò)服務(wù)進(jìn)程列表的步驟包括：

3.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，所述實(shí)時(shí)監(jiān)控進(jìn)程的創(chuàng)建與銷毀，并更新網(wǎng)絡(luò)服務(wù)進(jìn)程列表的步驟包括：

4.根據(jù)權(quán)利要求2或3所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，所述計(jì)算所述網(wǎng)絡(luò)服務(wù)進(jìn)程所屬網(wǎng)絡(luò)服務(wù)的id的步驟包括：

5.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，還包括：

6.根據(jù)權(quán)利要求5所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，所述對所述命令行參數(shù)進(jìn)行解析，獲得命令、子命令、選項(xiàng)、選項(xiàng)的值和作用對象的步驟包括：

7.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，還包括：

8.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，所述判斷新創(chuàng)建進(jìn)程是否為所述網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程的步驟包括：

9.根據(jù)權(quán)利要求1所述的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，其特征在于，還包括：

10.一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測裝置，其特征在于，包括：

技術(shù)總結(jié)
本發(fā)明公開了一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法及裝置，涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，方法包括：掃描計(jì)算機(jī)存活進(jìn)程生成網(wǎng)絡(luò)服務(wù)進(jìn)程列表；實(shí)時(shí)監(jiān)控進(jìn)程的創(chuàng)建與銷毀；新創(chuàng)建的進(jìn)程為網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程，則識(shí)別該子進(jìn)程行為模式；學(xué)習(xí)模式時(shí)，將不存在已知行為模式中的子進(jìn)程的行為模式添加到該網(wǎng)絡(luò)服務(wù)的已知行為模式中；檢測模式時(shí)，子進(jìn)程行為模式不在已知行為模式中，但在已有告警的行為模式中，則在相同行為模式的告警詳請中附加新的子進(jìn)程記錄，不在已有告警的行為模式中則產(chǎn)生新告警。本發(fā)明克服了傳統(tǒng)方法粒度過粗容易繞過和粒度過細(xì)容易誤報(bào)的問題，不具有侵入性，只產(chǎn)生少量告警，避免了真實(shí)攻擊告警淹沒在大量告警中。

技術(shù)研發(fā)人員：王寧,朱文雷,崔勤
受保護(hù)的技術(shù)使用者：北京長亭科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/9