[发明专利]一种用于识别基于管道进行风险操作的方法以及装置

说明书

本申请实施例提供一种用于识别基于管道进行风险操作的方法以及装置，该方法应用于第一设备，所述第一设备的内核中被配置为具有至少一条管道，所述方法包括：获取写入所述至少一个管道的多条目标消息，其中，所述多条目标消息是基于同一目标协议的消息，所述目标协议包括用于实现过程调用的协议；根据所述多条目标消息得到目标命令，其中，所述目标命令用于指示所述第一设备执行目标操作；确定所述目标操作是否属于风险操作。采用本申请实施例的监控方式，可以拦截通过管道读写方式发送的敏感请求(例如，RPC敏感请求)。

技术领域

本申请涉及安全监控领域，具体而言本申请实施例涉及一种用于识别基于管道进行风险操作的方法以及装置。

背景技术

每个进程各自有不同的用户地址空间，因此任何一个进程的全局变量在另一个进程中都看不到，所以进程之间要交换数据必须通过内核。在内核中开辟一块缓冲区，进程A把数据从用户空间拷到内核缓冲区，进程B再从内核缓冲区把数据读走，则内核提供的这种机制称为进程间通信。不同进程间的通信本质在于不同进程之间可以看到一份公共资源，而提供这份资源的形式或者提供者不同，造成了通信方式不同，而管道pipe就是提供这份公共资源的一种形式。

现有技术在使用本地过程调用协议(例如，LPC、ALPC或者RPC协议)通讯时，通过监控相关操作的API(如NtAlpcSendWaitReceivePort、NtRequestWaitReplyPort、NtRequestPort等)对通讯进行监控，识别潜在的风险操作。需要说明的是，恶意软件除了可以通过API调用发送恶意请求外，还可以通过管道来发送恶意请求，而采用现有技术中的方法仅能对API调用过程中的风险进行监控，而无法识别通过管道操作带来的风险。

因此本申请的发明人发现如何识别恶意软件通过管道发送的相关请求成了亟待解决的技术问题。

发明内容

本申请实施例的目的在于提供一种用于识别基于管道进行风险操作的方法以及装置，采用本申请实施例的监控方式，可以拦截通过管道读写方式发送的敏感请求(例如，RPC敏感请求)，即通过识别这些敏感请求对应的敏感操作(例如，这些敏感操作包括对敏感文件、敏感进程、敏感线程、或者注册表等的操作)来确定是否执行相应的操作或者敏感请求。

第一方面，本申请的一些实施例提供一种用于识别基于管道进行风险操作的方法，应用于第一设备，所述第一设备的内核中被配置为具有至少一条管道，所述方法包括：获取写入所述至少一个管道的多条目标消息，其中，所述多条目标消息是基于同一目标协议的消息，所述目标协议包括用于实现过程调用的协议；根据所述多条目标消息得到目标命令，其中，所述目标命令用于指示所述第一设备执行目标操作；确定所述目标操作是否属于风险操作。

与现有技术在采用目标协议(例如，RPC协议)进行通讯时，仅能通过监控与该协议对应操作的相关API，因而无法监控恶意软件通过管道发送基于该目标协议请求的行为，采用本申请的实施例可以尽早发现管道中与目标协议相关的安全隐患，提升设备的安全性。

在本申请的一些实施例中，所述至少一个管道包括多个管道，其中，所述获取写入所述至少一个管道的多条目标消息，包括：筛选出写入所述多个管道中各管道的目标类型的消息，得到所述目标消息，其中，所述目标类型的消息是采用所述目标协议传输的消息。

本申请的一些实施例通过确定各管道的消息是否属于采用目标协议的消息即可筛选出所有的目标消息。