(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111509963.0 (22)申请日 2021.12.10 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/025(2022.01) H04L 67/125(2022.01) H04L 69/22(2022.01) (54)发明名称 远程操作行为识别方法、 装置、 电子设备及 存储介质 (57)摘要 本发明提供一种远程操作行为识别方法、 装 置、 电子设备及存储介质， 在对新创建进程的监 控进程中， 确定PsExec所创建的目标服务进程； 为所述目标服务进程中的指定函数设置钩子函 数； 其中， 所述指定函数用于实现基于PIPE管道 的通信； 在所述目标服务进程的通信过程中， 通 过所述钩子函数获取并解析远程通信的PsExec 协议数据； 根据所述远程通信的PsExec协议数据 的解析结果， 获取远程操作行为的数据。 本发明 通过在目标服务进 程里设置钩子函数， 监控PIPE 管道通讯函数， 精确识别区分来自内网远程 PsEexc命令的操作行为， 进一步提升了安全监控 防护能力。 权利要求书2页 说明书11页 附图2页 CN 114465753 A 2022.05.10 CN 114465753 A 1.一种远程操作行为识别方法， 其特 征在于， 包括： 在对新创建进程的监控进程中， 确定PsExec所创建的目标服 务进程； 为所述目标服务进程中的指定函数设置钩子函数； 其中， 所述指定函数用于实现基于 PIPE管道的通信； 在所述目标服务进程的通信过程中， 通过所述钩子函数获取并解析远程通信的P sExec 协议数据； 根据所述远程 通信的PsExec协议数据的解析 结果， 获取远程操作行为的数据。 2.根据权利要求1所述的远程操作 行为识别方法， 其特征在于， 所述在对新创建进程的 监控过程中， 确定PsExec所创建的目标服 务进程， 包括： 监控新创建的进程； 判断新创建的进程的名称是否为PSEXESVC .exe， 在新创建的进程的名称为 PSEXESVC.exe的情况 下， 确定所述 新创建的进程 为PsExec所创建的目标服 务进程； 在新创建的进程的名称不是PSEXESVC.exe的情况下， 检测所述新创建的进程的原始名 称是否为PSEXESVC.exe， 在所述新创建的进程的原始名称为PSEXESVC.exe的情况下， 确定 所述新创建的进程 为PsExec所创建的目标服 务进程。 3.根据权利要求1所述的远程操作 行为识别方法， 其特征在于， 所述为所述目标服务进 程中的指定函数设置钩子函数， 包括： 为所述目标服务进程中的CreateNamedPipeW函数设置第一钩子函数； 其中， 所述第一 钩子函数用于记录创建PIPE管道的名称和句柄数据； 在PsExec支 持交互模式的情况下， 为所述目标服务进程 中的ReadFile函数设置第二钩 子函数； 其中， 所述第二钩子函数用于获取并解析远程 通信的PsExec协议数据； 在PsExec支持非交互模式的情况下， 为所述目标服务进程中的CryptDecrypt函数设置 第二钩子函数。 4.根据权利要求3所述的远程操作 行为识别方法， 其特征在于， 所述在所述目标服务进 程的通信过程中， 通过 所述钩子函数获取并解析远程 通信的PsExec协议数据， 包括： 在所述目标服务进程启动后， 通过所述第一钩子函数记录创建PIPE管道的名称和句柄 数据； 根据所创建的PIPE管道的名称和句柄数据， 通过所述第二钩子函数获取通过所述PIPE 通道传输的远程 通信的PsExec协议数据； 通过所述第二钩子函数解析 所述远程 通信的PsExec协议数据。 5.根据权利要求1所述的远程操作 行为识别方法， 其特征在于， 所述根据 所述远程通信 的PsExec协议数据的解析 结果， 获取远程操作行为的数据， 包括： 根据所述远程通信的PsExec协议数据的解析结果， 获取远程操作行为的命令数据、 参 数数据以及远程终端的地址信息 。 6.根据权利要求1至5任一项所述的远程操作行为识别方法， 其特征在于， 在获取远程 操作行为的数据之后， 方法还 包括： 根据所述远程操作行为的数据， 对所述远程操作行为进行安全检测。 7.根据权利要求6所述的远程操作 行为识别方法， 其特征在于， 所述根据 所述远程操作 行为的数据， 对所述远程操作行为进行安全检测， 包括：权　利　要　求　书 1/2 页 2 CN 114465753 A 2将所述远程操作行为的数据传输 至威胁行为识别引擎， 得到安全检测结果。 8.根据权利要求7所述的远程操作 行为识别方法， 其特征在于， 所述根据 所述远程操作 行为的数据， 对所述远程操作行为进行安全检测， 还 包括： 根据所述远程操作行为的安全检测结果， 对所述远程操作行为进行防护拦截。 9.一种远程操作行为识别装置， 其特征在于， 包括： 确定模块、 函数设置模块、 解析模 块、 获取模块， 其中： 确定模块， 用于在对新创建进程的监控进程中， 确定PsExec所创建的目标服 务进程； 函数设置模块， 用于为所述目标服务进程中的指定函数设置钩子函数； 其中， 所述指定 函数用于实现基于PIPE管道的通信； 解析模块， 用于在所述目标服务进程的通信过程中， 通过所述钩子函数获取并解析远 程通信的PsExec协议数据； 获取模块， 用于根据所述远程通信的PsExec协议数据的解析结果， 获取远程操作行为 的数据。 10.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至8任一项所 述一种远程操作行为识别方法的步骤。 11.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1至8任一项所述一种远程操作行为识别方法的步 骤。 12.一种计算机程序产品， 包括计算机程序， 其特征在于， 所述计算机程序被处理器执 行时实现如权利要求1至8任一项所述 一种远程操作行为识别方法的步骤。权　利　要　求　书 2/2 页 3 CN 114465753 A 3