[发明专利]计划任务内网远程横向渗透监测方法及装置

说明书

本发明实施例提供一种计划任务内网远程横向渗透监测方法及装置。其中监测方法应用于内网中的设备，包括：响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务，获取计划任务的创建数据；基于所获取的计划任务的创建数据，若确定计划任务的创建类型为远程调用类型，则获取发起计划任务创建的所述内网中的目标设备的地址；将所获取的内网中的目标设备的地址和计划任务的创建数据，发送至威胁行为识别引擎，以监测创建计划任务的操作是否包含横向渗透行为。本发明实施例可以解决对网络攻击的监测缺乏有效精确的识别内网远程创建计划任务的行为，提高设备对安全威胁的检测能力。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种计划任务内网远程横向渗透监测方法及装置。

背景技术

在网络渗透完整攻击链中，内网远程横向渗透阶段是攻击者在一台已经被攻陷的设备上，以这台设备作为跳板，尝试去攻击同一网络内的其他设备，获取更多有价值的凭据，更高级的权限，以此扩大攻击面，进而达到控制整个内网网络。

计划任务是系统常见的功能，利用任务计划功能，可以将任何脚本、程序或文档安排在某个最方便的时间运行。当我们需要定时执行一些重复性的事件时，可以通过计划任务程序来运行准备好的脚本、批处理文件夹、程序或命令，在某个特定的时间运行。通过计划任务进行远程攻击是攻击者进行内网横向渗透的一个常用攻击手段，它是一种利用操作系统自身机制的能力。

现有的计划任务监测方法，只能识别本地发起的计划任务操作，对于攻击者利用内网已经被攻陷的设备作为跳板，对内网的其他设备发起远程创建计划任务的行为，缺乏有效精确识别的防护机制，使得作为防御方的设备处于监测失效状态，现有的网络攻击检测手段也无法有效精确的覆盖此类攻击手段。

发明内容

针对现有技术中的问题，本发明实施例提供一种计划任务内网远程横向渗透监测方法及装置。

具体地，本发明实施例提供了以下技术方案：

第一方面，本发明实施例提供了一种计划任务内网远程横向渗透监测方法，应用于内网中的设备，包括：

响应于操作系统的计划任务服务进程调用计划任务创建函数创建计划任务，获取所述计划任务的创建数据；

基于所获取的所述计划任务的创建数据，若确定所述计划任务的创建类型为远程调用类型，则获取发起所述计划任务创建的所述内网中的目标设备的地址；

将所获取的所述内网中的目标设备的地址和所述计划任务的创建数据，发送至威胁行为识别引擎，以监测创建所述计划任务的操作是否包含横向渗透行为。

进一步地，所述监测方法由在所述内网中的设备的所述计划任务创建函数中设置HOOK函数执行；

在所述计划任务创建函数中设置所述HOOK函数，包括：

查找所述操作系统的所述计划任务服务进程，在所述计划任务服务进程中安装监控模块；

通过所述监控模块在所述计划任务服务进程的所述计划任务创建函数中设置所述HOOK函数。

进一步地，在所述计划任务服务进程的计划任务创建函数中设置所述HOOK函数，包括：

确定所述计划任务服务进程调用的计划任务核心功能文件；

基于计划任务服务接口的标识符，在所述计划任务核心功能文件中确定所述计划任务服务接口；

在所确定的计划任务服务接口的所述计划任务创建函数中设置所述HOOK函数。

进一步地，所述基于计划任务服务接口的标识符，在所述计划任务核心功能文件中确定所述计划任务服务接口的地址，包括：

基于所述操作系统的版本信息，确定所述计划任务服务接口的标识符；