(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111506608.8 (22)申请日 2021.12.10 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/10(2022.01) (54)发明名称 基于WinRM服务的防护方法及装置 (57)摘要 本发明实施例提供一种基于WinRM服务的防 护方法及装置。 其中， 该方法包括： 在WinRM服务 进程中安装监控模块， 监控模块用于监测进程是 否加载目标模块； 通过监控模块， 在目标模块上 设置Hook函数， Hook函数用于获取通过目标模 块 的数据， 数据包括目标模块的执行参数和IP地 址； 判断数据的格式是否为目标格式， 若是， 则将 数据解析， 将解析后的执行参数通过预设规则匹 配， 根据匹配结果对进程的操作执行拦截， 并根 据解析后的IP地址对与所述IP地址对应的电脑 进行安全响应。 该方法解决了网络攻击监测缺乏 有效精确识别 内网远程WinRM执行命令的行为， 提高安全威胁 检测的效果。 权利要求书2页 说明书9页 附图4页 CN 114363006 A 2022.04.15 CN 114363006 A 1.一种基于W inRM服务的防护方法， 其特 征在于， 所述方法包括： 响应于检测到WinRM服务的进程， 在所述进程中安装监控模块， 所述监控模块用于监测 所述进程是否加载目标模块； 若已加载目标模块， 则通过所述监控模块， 在所述目标模块上设置Hook函数， 所述Hook 函数用于获取通过所述目标模块的数据， 所述数据包括所述目标模块的执行参数和IP地 址； 判断所述数据的格式是否为目标格 式， 若是， 则将所述数据解析， 得到解析后的执行参 数和解析后的IP地址， 将所述解析后的执行参数通过预设规则匹配， 根据匹配结果对所述 进程的操作执行拦截， 并根据所述解析后的IP地址对与所述IP地址对应的远程电脑进 行安 全响应。 2.根据权利要求1所述的基于WinRM服务的防护方法， 其特征在于， 所述目标模块包括 WsmSvc.dll模块。 3.根据权利要求1 ‑2任一所述的基于WinRM服务的防护方法， 其特征在于， 所述目标模 块中包括至少一个目标函数； 以及 所述若已加载目标模块， 则通过所述监控模块， 在所述目标模块上设置Hook函数， 所述 Hook函数用于获取通过所述目标模块的数据， 所述数据包括所述目标模块的执行参数和IP 地址， 包括： 若已加载目标模块， 则通过所述监控模块， 对所述目标模块中的所述至少一个目标函 数分别设置对应的Hook函数， 所述Hook函数用于获取通过对应的目标函数的数据， 通过对 应至少一个目标函数的至少一个Hook函数获取的数据包括对应所述进程的执行参数和IP 地址。 4.根据权利要求3所述的基于WinRM服务的防护方法， 其特征在于， 所述至少一个目标 函数包括httpapi.dll.HttpReceiveHttpRequest函数、 httpapi.dll.HttpReceiveReques tEntityBody函数和s spicli.dll.DecryptMes sage函数。 5.根据权利要求3所述的基于WinRM服务的防护方法， 其特征在于， 所述判断所述数据 的格式是否为目标格式， 包括： 根据对应所述至少一个目标函数的至少一个Hook函数， 获取通过所述至少一个的目标 函数的数据， 将通过所述至少一个的目标函数 的数据整合后， 判断整合后的数据的格式是 否为目标格式。 6.根据权利要求1所述的基于WinRM服务的防护方法， 其特征在于， 所述目标格式包括 XML格式。 7.根据权利要求1所述的基于WinRM服务的防护方法， 其特征在于， 所述将解析后的执 行参数通过 预设规则匹配， 根据匹配结果对进程的操作执 行拦截， 包括： 将解析后的执行参数抛到威胁行为引擎中进行预设规则匹配， 根据匹配结果对所述进 程的操作执 行拦截。 8.一种基于W inRM服务的防护装置， 其特 征在于， 所述方法包括： 第一处理模块， 用于响应于检测到WinRM服务的进程， 在所述进程中安装监控模块， 所 述监控模块用于监测所述进程是否加载目标模块； 第二处理模块， 用于若已加载目标模块， 则通过所述监控模块， 在所述目标模块上设置权　利　要　求　书 1/2 页 2 CN 114363006 A 2Hook函数， 所述Hook函数用于获取通过所述目标模块的数据， 所述数据包括所述目标模块 的执行参数和IP地址； 第三处理模块， 用于判断所述数据的格式是否为目标格式， 若是， 则将所述数据解析， 得到解析后的执行参数和解析后的IP地址， 将所述解析后的执行参数通过预设规则匹配， 根据匹配结果对 所述进程的操作执行拦截， 并根据所述解析后的IP地址对与所述IP地址对 应的远程电脑进行安全响应。 9.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所 述的基于W inRM服务的防护方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求 1至7任一项所述的基于Win RM服务的防护方法的步 骤。 11.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1至7中任一项所述基于W inRM服务的防护方法的步骤。权　利　要　求　书 2/2 页 3 CN 114363006 A 3