[发明专利]渗透攻击的识别方法及装置、系统、存储介质、电子装置

说明书

本发明提供了一种渗透攻击的识别方法及装置、系统、存储介质、电子装置，其中，该方法包括：监测所述第一设备向第二设备发起的远程管理行为；获取所述远程管理行为的进程链信息；向服务器发送所述进程链信息，其中，所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。通过本发明，解决了相关技术中无法识别渗透攻击的技术问题。可以避免利用弱口令、口令泄露或口令被爆破等创建的非法远程管理，提高了远程管理的安全性。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种渗透攻击的识别方法及装置、系统、存储介质、电子装置。

背景技术

相关技术中，业务系统管理人员在对服务器或者远程设备进行管理时，通常都采用远程登录管理模式，并根据业务的不同采用不同的远程管理方法。比如：针对服务器Windows操作系统的管理时，通常采用C/S模式，在终端通过客户端程序连接到被管理服务器端的服务端程序，进行管理。而针对网站、邮件、论坛、OA(办公自动化，OfficeAutomation)系统等Web服务系统进行管理时，通常采用B/S模式，在终端使用浏览器通过相应Web服务提供的管理页面进行登录管理。

至今为止，仍有大量“逍遥法外”的境外黑客通过工具破解服务器系统密码，使用远程协助的攻击手段进行“手动投毒”，并危害着网民的服务器系统安全。与显性攻击相比，针对企业服务器的精准攻击是隐性的。由于服务器使用弱口令和存在严重系统漏洞，导致被黑客入侵远程攻击是最为常见的两个原因。相关技术中的远程连接方式存在严重的安全缺陷。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

发明内容

本发明实施例提供了一种渗透攻击的识别方法及装置、系统、存储介质、电子装置。

根据本发明的一个实施例，提供了一种渗透攻击的识别方法，应用在第一设备，包括：监测所述第一设备向第二设备发起的远程管理行为；获取所述远程管理行为的进程链信息；向服务器发送所述进程链信息，其中，所述进程链信息用于第二设备对所述第一设备发起的远程管理行为进行渗透攻击识别。

可选的，获取所述远程管理行为的进程链信息包括：通过文件驱动识别所述远程管理行为的操作进程；追溯所述操作进程的上级进程，直到所述操作进程根节点的父进程；将所述根节点的父进程至所述操作进程的所有进程，确定为所述远程管理行为的进程链信息。

可选的，监测所述第一设备向第二设备发起的远程管理行为包括：监测所述第一设备执行的操作行为；通过网络驱动识别所述操作行为为针对所述第二设备的Windows管理规范WMI远程管理行为。

根据本发明的一个实施例，提供了另一种渗透攻击的识别方法，应用在第二设备，包括：监测来自第一设备的远程管理行为；从服务器获取进程链信息；根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为。

可选的，根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为包括：读取所述远程管理行为的可信进程链列表；判断所述进程链信息是否与所述可信进程链列表匹配；在所述进程链信息与所述可信进程链列表不匹配时，确定所述远程管理行为为渗透攻击行为；在所述进程链信息与所述可信进程链列表匹配时，确定所述远程管理行为为合法行为。

可选的，根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为包括：识别所述进程链信息的上传设备；判断所述上传设备是否与所述第一设备匹配；在所述上传设备与所述第一设备不匹配时，确定所述远程管理行为为渗透攻击行为；在所述上传设备与所述第一设备不匹配时，确定所述远程管理行为为合法行为。

可选的，在根据所述进程链信息识别所述远程管理行为是否为渗透攻击行为之后，所述方法还包括：在所述远程管理行为为渗透攻击行为，阻断或者告警所述远程管理行为；在所述远程管理行为为合法行为时，允许所述第一设备远程接入所述第二设备。