(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111520818.2 (22)申请日 2021.12.13 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 专利代理师 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 计划任务内网远程横向渗透监测方法及装 置 (57)摘要 本发明实施例提供一种计划任务内网远程 横向渗透监测方法及装置。 其中监测方法应用于 内网中的设备， 包括： 响应于操作系统的计划任 务服务进程调用计划任务创建函数创建计划任 务， 获取计划任务的创建数据； 基于所获取的计 划任务的创建数据， 若确定计划任务的创建类型 为远程调用类型， 则获取发起计划任务创建的所 述内网中的目标设备的地址； 将所 获取的内网中 的目标设备的地址和计划任务的创建数据， 发送 至威胁行为识别引擎， 以监测创建计划任务的操 作是否包含横向渗透行为。 本发 明实施例可以解 决对网络攻击的监测缺乏有效精确的识别内网 远程创建计划任务的行为， 提高设备对安全威胁 的检测能力。 权利要求书2页 说明书11页 附图6页 CN 114499929 A 2022.05.13 CN 114499929 A 1.一种计划任务内网远程横向渗透监测方法， 其特征在于， 应用于内网中的设备， 包 括： 响应于操作系统 的计划任务服务进程调用计划任务创建函数创建计划任务， 获取所述 计划任务的创建数据； 基于所获取的所述计划任务的创建数据， 若确定所述计划任务的创建类型为远程调用 类型， 则获取发起所述计划任务创建的所述内网中的目标设备的地址； 将所获取的所述内网中的目标设备的地址和所述计划任务的创建数据， 发送至威胁行 为识别引擎， 以监测创建所述计划任务的操作是否包 含横向渗透行为。 2.根据权利要求1所述的计划任务内网远程横向渗透监测方法， 其特征在于， 所述监测 方法由在所述内网中的设备的所述计划任务创建函数中设置 HOOK函数执行； 在所述计划任务创建函数中设置所述HO OK函数， 包括： 查找所述操作系统 的所述计划任务服务进程， 在所述计划任务服务进程中安装监控模 块； 通过所述监控模块在所述计划任务服务进程的所述计划任务创建函数中设置所述 HOOK函数。 3.根据权利要求2所述的计划任务内网远程横向渗透监测方法， 其特征在于， 在所述计 划任务服务进程的计划任务创建函数中设置所述HO OK函数， 包括： 确定所述计划任务 服务进程调用的计划任务核心 功能文件； 基于计划任务服务接口的标识符， 在所述计划任务核心功能文件中确定所述计划任务 服务接口； 在所确定的计划任务 服务接口的所述计划任务创建函数中设置所述HO OK函数。 4.根据权利要求3所述的计划任务内网远程横向渗透监测方法， 其特征在于， 所述基于 计划任务服务接口的标识符， 在所述计划任务核心功能文件中确定所述计划任务服务接口 的地址， 包括： 基于所述操作系统的版本信息， 确定所述计划任务 服务接口的标识符； 基于所确定的所述计划任务服务接口的标识符， 在所述计划任务核心功能文件中确定 所述计划任务 服务接口。 5.根据权利要求4所述的计划任务内网远程横向渗透监测方法， 其特征在于， 所述确定 所述计划任务 服务进程调用的计划任务核心 功能文件， 包括： 确定所述计划任务 服务进程调用的Sc hedsvc.dl l或者Taskcomp.dl l文件的内存地址 。 6.根据权利要求5所述的计划任务内网远程横向渗透监测方法， 其特征在于， 所述基于 所述操作系统的版本信息， 确定所述计划任务 服务接口的标识符， 包括： 判断所述操作系统的版本信息是否为 Windows 7以上的版本； 若所述操作系统的版本信息为Windows  7以上的版本， 则确定所述计划任务服务接口 的标识符为第一标识符； 否则， 判断所述操作系统的版本信息是否为 Windows XP； 若所述操作系统的版本信息为Windows  XP， 则确定所述计划任务服务接口的标识符为 第二标识符； 所述基于所确定的所述计划任务服务接口的标识符， 在所述计划任务核心功能文件中权　利　要　求　书 1/2 页 2 CN 114499929 A 2确定所述计划任务 服务接口， 包括： 基于所述第一标识符， 在所述计划任务核心功能文件中确定ITaskSchedulerService 接口的内存地址； 或者， 基于所述第二标识符， 在所述计划任务核心 功能文件中确定IA tSvc接口的内存地址； 所述在所确定的计划任务服务接口的所述计划任务创建函数中设置所述HOOK函数， 包 括： 基于所述ITaskSchedulerService接口的内存地址， 在所述ITaskSchedulerService接 口的SchRpcRegisterTask 函数中设置所述HO OK函数； 或者， 基于所述IAtSvc接口的内存地址， 在所述IAtSvc接口的NetrJobAdd函数中设置所述 HOOK函数。 7.根据权利要求1至6任一项所述的计划任务内网远程横向渗透监测方法， 其特征在 于， 获取所述计划任务的创建数据， 包括： 调用应用程序接口函数获取创建所述计划任务的返回数据； 所述基于所获取的所述计划任务的创建数据， 若确定所述计划任务的创建类型为远程 调用类型， 则获取发起所述计划任务创建的所述内网中的目标设备的地址， 包括： 从所获取的创建所述计划任务的返回数据中， 获取 所述计划任务的创建类型； 判断所获取的所述计划任务的创建类型 是否为远程调用类型； 若所获取的所述计划任务的创建类型为远程调用类型， 则从所获取的创建所述计划任 务的返回数据中， 获取发起所述计划任务创建的所述内网中的目标设备的地址 。 8.一种计划任务内网远程横向渗透监测装置， 其特征在于， 应用于内网中的设备， 包 括： 数据获取模块， 用于响应于操作系统 的计划任务服务进程调用计划任务创建函数创建 计划任务， 获取 所述计划任务的创建数据； 地址获取模块， 用于基于所获取的所述计划任务的创建数据， 若确定所述计划任务的 创建类型为远程调用类型， 则获取发起所述计划任务创建的所述内网中的目标设备的地 址； 信息发送模块， 用于将所获取的所述内网中的目标设备的地址和所述计划任务的创建 数据， 发送至威胁行为识别引擎， 以监测创建所述计划任务的操作是否包 含横向渗透行为。 9.一种电子设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所述计划任 务内网远程横向渗透监测方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 该计算机 程序被处理器执行时实现如权利要求1至7任一项所述计划任务内网远程横向渗透监测方 法的步骤。权　利　要　求　书 2/2 页 3 CN 114499929 A 3