(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111440208.1 (22)申请日 2021.11.30 (71)申请人 奇安信科技 集团股份有限公司 地址 100088 北京市西城区新 街口外大街 28号102号楼3层3 32号 申请人 网神信息技 术 （北京） 股份有限公司 (72)发明人 林岳川　孙诚　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 王宇杨 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/06(2022.01) (54)发明名称 SMB远程传输文 件检测方法及装置 (57)摘要 本发明提供一种SMB远程传输文件检测方法 及装置， 所述方法包括： 根据第一跟踪记录数据 确定目标文件是基于SMB协议传输并创建的， 记 录目标文件的创建时间； 根据第二跟踪记录数据 确定网络连接 行为是基于SMB协议的网络连接行 为， 记录网络连接行为的发生时间； 在目标文件 是基于SMB协议传输并创建的、 网络连接行为是 基于SMB协议的网络连接行为、 目标文件的创建 时间与网络连接行为的发生时间在同一时间区 间内、 且目标文件来源于远程终端的情况下， 确 定目标文件为SMB远程传输文件。 本发明实施例 提供的SMB远程传输文件检测方法及装置， 实现 了对目标文 件的快速有序的检测。 权利要求书2页 说明书10页 附图3页 CN 114401103 A 2022.04.26 CN 114401103 A 1.一种SMB远程传输文件检测方法， 其特 征在于， 包括： 基于文件创建监控事件的监 听回调函数获取目标文件创建行为的第 一跟踪记录数据， 并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创建的， 记录所述 目标文件的创建时间； 基于网络信 息连接监控事件的监 听回调函数获取网络连接行为的第 二跟踪记录数据， 并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网络连接行为， 记 录所述网络连接行为的发生时间； 在所述目标文件是基于SMB协议传输并创建的、 所述网络连接行为是基于SMB协议的网 络连接行为、 所述目标文件的创建时间与所述网络连接行为的发生时间在同一时间区间 内、 且所述目标文件来源于远程终端的情况 下， 确定所述目标文件为SMB远程传输文件。 2.根据权利要求1所述的SMB远程传输文件检测方法， 其特征在于， 所述第一跟踪记录 数据包括： 第一进程信息、 操作文件信息以及堆栈跟踪记录信息； 相应的， 所述根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输并创 建的， 包括： 根据所述第一进程信息判断所述目标文件创建行为的来源进程是否为系统进程； 根据所述 堆栈跟踪记录信息判断是否存在SMB驱动模块； 根据操作文件信息判断所述目标文件创建行为的操作对象是否为文件； 在所述目标文件创建行为的来源进程是系统进程、 所述堆栈信 息中存在SMB驱动模块、 所述目标文件创建行为的操作对象是文件的情况下， 确定所述 目标文件是基于SMB协议传 输并创建的。 3.根据权利要求1所述的SMB远程传输文件检测方法， 其特征在于， 所述第二跟踪记录 数据包括： 第二进程信息、 端口连接信息以及网络连接行为类型信息； 相应的， 所述根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议的网 络连接行为， 包括： 根据所述第二进程信息判断所述网络连接行为的来源进程是否为系统进程； 根据所述端口连接信息判断所述网络连接行为是否通过4 45端口进行通讯连接； 根据所述网络连接行为类型信息判断所述网络连接行为的类型是否属于TCP的 Connection或Received； 在所述网络连接行为的来源进程是系统进程、 所述网络连接行为通过445端口进行通 讯连接以及所述网络连接行为的类型是TCP的Connection或Received的情况下， 确定所述 网络连接行为是基于SMB协议的网络连接行为。 4.根据权利要求1所述的SMB远程传输文件检测方法， 其特征在于， 在所述基于文件创 建监控事件的监听回调函数获取目标文件创建行为的第一跟踪记录数据之前， 方法还包 括： 开启文件创建监控 事件的监听 回调函数与网络信息连接监控 事件的监听 回调函数； 为所述文件创建监控事件设置属性信 息， 以使得所述文件创建监控事件的监 听回调函 数所获取的目标文件创建行为的第一跟踪记录数据中包 含有堆栈跟踪记录信息 。 5.根据权利要求4所述的SMB远程传输文件检测方法， 其特征在于， 所述开启文件创建 监控事件的监听 回调函数与网络信息连接监控 事件的监听 回调函数， 包括：权　利　要　求　书 1/2 页 2 CN 114401103 A 2调用Win32API的StartTrace创建事件会话,并调用Win32API  EnableTraceEx开启预设 Microsoft ‑Windows ‑Kernel‑File的文件创建监控事件的监听回调函数， 以及开启 Microsoft ‑Windows‑Kernel‑Network网络信息连接监控 事件的监听 回调函数。 6.根据权利要求4所述的SMB远程传输文件检测方法， 其特征在于， 所述为所述文件创 建监控事件设置属性信息， 包括： 为所述文件创建监控 事件设置EVENT_ENABLE_PROPERTY_STACK_TRAC E属性。 7.根据权利要求1至6任一项所述的SMB远程传输文件检测方法， 其特征在于， 在所述确 定所述目标文件为SMB远程传输文件之后， 方法还 包括： 将所述目标文件和/或所述目标文件的传输行为数据传送至杀毒引擎， 以对所述目标 文件进行安全鉴定 。 8.一种SMB远程传输文件检测装置， 其特 征在于， 包括： 第一跟踪模块， 用于基于文件创建监控事件的监 听回调函数获取目标文件创建行为的 第一跟踪记录数据， 并根据所述第一跟踪记录数据确定所述目标文件是基于SMB协议传输 并创建的， 记录所述目标文件的创建时间； 第二跟踪模块， 用于基于网络信 息连接监控事件的监 听回调函数获取网络连接行为的 第二跟踪记录数据， 并根据所述第二跟踪记录数据确定所述网络连接行为是基于SMB协议 的网络连接行为， 记录所述网络连接行为的发生时间； 确定模块， 用于在所述目标文件是基于SMB协议传输并创建的、 所述网络连接行为是基 于SMB协议的网络连接行为、 所述目标文件的创建时间与所述网络连接行为的发生时间在 同一时间区间内、 且所述目标文件来源于远程 终端的情况下， 确定所述目标文件为S MB远程 传输文件。 9.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所 述SMB远程传输文件检测方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处理器执行时实现如权利要求1至7任一项所述SMB远程传输文件检测方法的步 骤。 11.一种计算机程序产品， 所计算机程序产品包括有计算机程序， 其特征在于， 该计算 机程序被处理器执行时实现根据权利要求 1至7任一项 所述的SMB远程传输文件检测方法的 步骤。权　利　要　求　书 2/2 页 3 CN 114401103 A 3