| 发明名称 |
恶意远程过程调用行为的检测方法和装置 |
| 摘要 |
本发明公开了一种恶意远程过程调用行为的检测方法和装置,用以解决现有技术对恶意RPC行为的检测效果不佳,漏报较多的问题。该方法包括:在客户机向服务器查询RPC服务对应的高位端口时,记录该客户机请求的所有RPC服务的UUID;在RPC过程中,对所述客户机与服务器之间会话连接中所传输的数据包进行解析,获得所述会话连接上承载的RPC流;根据所述记录的UUID和RPC流,获得与所述RPC过程相关的所有UUID;判断获得的所有UUID中的每个UUID是否符合策略库中预定的控制策略,以此检测客户机是否执行了恶意RPC行为。提高了防护设备检测恶意RPC行为的有效性,加强了所保护的RPC服务器的安全性。 |
| 申请公布号 |
CN102438023B |
申请公布日期 |
2014.08.20 |
| 申请号 |
CN201110449688.8 |
申请日期 |
2011.12.29 |
| 申请人 |
华为数字技术(成都)有限公司 |
发明人 |
蒋武;周莹莹 |
| 分类号 |
H04L29/06(2006.01)I;H04L12/26(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种恶意远程过程调用RPC行为的检测方法,其特征在于,包括:在客户机向服务器查询RPC服务对应的高位端口时,记录该客户机请求的所有RPC服务的UUID;在RPC过程中,对所述客户机与服务器之间会话连接中所传输的数据包进行解析,获得所述会话连接上承载的RPC流;根据所述记录的UUID和RPC流,获得与所述RPC过程相关的所有UUID;判断获得的所有UUID中的每个UUID是否符合策略库中预定的控制策略,以此检测客户机是否执行了恶意RPC行为。 |
| 地址 |
611731 四川省成都市高新区西部园区清水河片区天辰路88号电子科技大学高新科技园5号楼D区 |
