基于WinRM服务的防护方法及装置

专利内容

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 114363006 A (43)申请公布日 2022.04.15 (21)申请号 202111506608.8 (22)申请日 2021.12.10 (71)申请人 奇安信科技集团股份有限公司 地址 100088 北京市西城区新街口外大街 28号102号楼3层332号 申请人 网神信息技术（北京）股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理机构 北京路浩知识产权代理有限 公司 11002 代理人 王宇杨 (51)Int.Cl. H04L 9/40 (2022.01) H04L 61/10 (2022.01) 权利要求书2页 说明书9页 附图4页 (54)发明名称 基于WinRM服务的防护方法及装置 (57)摘要 本发明实施例提供一种基于WinRM服务的防 护方法及装置。其中，该方法包括：在WinRM服务 进程中安装监控模块，监控模块用于监测进程是 否加载目标模块；通过监控模块，在目标模块上 设置Hook函数，Hook函数用于获取通过目标模块 的数据，数据包括目标模块的执行参数和IP地 址；判断数据的格式是否为目标格式，若是，则将 数据解析，将解析后的执行参数通过预设规则匹 配，根据匹配结果对进程的操作执行拦截，并根 据解析后的IP地址对与所述IP地址对应的电脑 进行安全响应。该方法解决了网络攻击监测缺乏 有效精确识别内网远程WinRM执行命令的行为， A 提高安全威胁检测的效果