(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111510016.3 (22)申请日 2021.12.10 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 67/60(2022.01) H04L 9/40(2022.01) H04L 61/5007(2022.01) H04L 67/133(2022.01)H04L 69/12(2022.01) (54)发明名称 一种基于WMI的攻击行为检测方法及装置 (57)摘要 本发明提供的基于WMI的攻击行为检测方法 及装置， 通过WMI服务进程中的监控模块对应用 程序编程接口进行监控； 若监控到应用程序编程 接口存在对WMI管理服务接口的调用， 通过应用 程序编程接口预设的第一Hook函数 获取WMI管理 服务接口； 若WMI服务操作触发时， 通过WMI管理 服务接口预设的第二Hook函数， 获取WMI的远程 过程调用协议接口； WMI服务操作包括WMI执行操 作、 WMI查询操作或WMI创建实例操作； 若存在WMI 服务操作时， 通过所述WMI的远程过程调用协议 接口预设的第三Hook函数， 获取WMI服务操作的 行为数据和发起WMI服务操作的内网设备的互联 网协议地址； 将WMI服务操作的行为数据和内网 设备的互联网协议地址发送到威胁行为识别引 擎。 该方法可以提升安全防护能力。 权利要求书2页 说明书9页 附图5页 CN 114466074 A 2022.05.10 CN 114466074 A 1.一种基于WMI的攻击行为检测方法， 其特 征在于， 包括： 通过WMI服务进程中的监控 模块对应用程序编程接口进行监控； 若监控到所述应用程序编程接口存在对WMI管理服务接口的调用， 通过应用程序编程 接口预设的第一Ho ok函数获取 所述WMI管理服 务接口； 若WMI服务操作触发时， 通过所述WMI管理服务接口预设的第二Hook函数， 获取WMI的远 程过程调用协议接口； 所述WMI服务操作包括WMI执行操作、 WMI查询操作或WMI创建实例操 作； 若存在所述WMI服务操作时， 通过所述WMI的远程过程调用协议接口预设的第三Hook函 数， 获取所述WMI服务操作的行为数据和发起所述WMI服务操作的内网设备的互联网协议地 址； 将所述WMI服务操作的行为数据和所述内网设备的互联网协议地址发送到威胁行为识 别引擎。 2.根据权利 要求1所述的基于WMI的攻击行为检测方法， 其特征在于， 所述通过WMI服务 进程中的监控 模块对应用程序编程接口进行监控， 包括： 在所述应用程序编程接口预设所述第一Ho ok函数； 基于所述 监控模块对所述第一Ho ok函数的监控， 对所述应用程序编程接口进行监控。 3.根据权利 要求1所述的基于WMI的攻击行为检测方法， 其特征在于， 所述通过所述WMI 的远程过程调用协议接口预设的第三Hook函数， 获取所述WMI服务操作的行为数据和发起 所述WMI服务操作的内网设备的互联网协议 地址， 包括： 通过所述WMI的远程过程调用协议接口预设的第三Hook函数， 获取所述WMI服务操作的 行为数据； 通过所述WMI的远程过程调用协议接口预设的第三Hook函数调用应用程序编程接口， 获取产生所述 WMI服务操作的行为的远程过程调用协议数据； 根据所述远程过程调用协议数据， 获取 所述内网设备的互联网协议 地址。 4.根据权利要求1至3任一项所述的基于WMI的攻击行为检测方法， 其特征在于， 所述通 过WMI服务进程中的监控 模块对应用程序编程接口进行监控之前， 还 包括： 对所述WMI服务进程进行识别； 若识别到所述 WMI服务进程， 在所述 WMI服务进程中安装所述 监控模块。 5.根据权利 要求4所述的基于WMI的攻击行为检测方法， 其特征在于， 所述获取所述WMI 管理服务接口之后， 还 包括： 在所述WMI管理服 务接口预设所述第二Ho ok函数； 和/或， 所述获取WMI的远程过程调用协议接口之后， 还 包括： 在所述WMI的远程过程调用协议接口预设所述第三Ho ok函数。 6.一种基于WMI的攻击行为检测装置， 其特 征在于， 包括： 第一监控模块， 用于通过WMI 服务进程中的监控 模块对应用程序编程接口进行监控； 第一获取模块， 用于若监控到所述应用程序编程接口存在对WMI管理服务接口的调用， 通过应用程序编程接口预设的第一Ho ok函数获取 所述WMI管理服 务接口； 第二获取模块， 用于若WMI服务操作触发时， 通过所述WMI管理服务接口预设的第二 Hook函数， 获取WMI的远程过程调用协议接口； 所述服务操作包括WMI执行操作、 WMI查询操权　利　要　求　书 1/2 页 2 CN 114466074 A 2作或WMI创建实例操作； 第三获取模块， 用于若存在所述WMI服务操作 时， 通过所述WMI的远程过程调用协议接 口预设的第三Hook函数， 获取所述WMI服务操作的行为数据和发起所述WMI服务操作的内网 设备的互联网协议 地址； 发送模块， 用于将所述WMI服务操作的行为数据和所述内网设备的互联网协议地址发 送到攻击行为行为识别引擎。 7.根据权利要求6所述的基于WMI的攻击行为检测装置， 其特征在于， 所述第三获取模 块， 包括： 第一获取单元， 用于通过所述WMI的远程过程调用协议接口预设的第三Hook函数， 获取 所述WMI服务操作的行为数据； 第二获取单元， 用于通过所述WMI的远程过程调用协议接口预设的第三Hook函数调用 应用程序编程接口， 获取产生所述 WMI服务操作的行为的远程过程调用协议数据； 第三获取单元， 用于根据所述远程过程调用协议数据， 获取所述内网设备的互联网协 议地址。 8.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1～5任一项所 述的基于WMI的攻击行为检测方法的步骤。 9.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机 程序被处理器执行时实现如权利要求 1～5任一项 所述的基于WMI的攻击行为检测方法的步 骤。 10.一种计算机程序产品， 其上存储有可执行指令， 其特征在于， 该指令被处理器执行 时使处理器实现如权利要求1～5任一项所述的基于WMI的攻击行为检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114466074 A 3