(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111372923.6 (22)申请日 2021.11.18 (71)申请人 安天科技 集团股份有限公司 地址 150028 黑龙江省哈尔滨市高新 技术 产业开发区科技创新城创新创业广场 7号楼 （世坤路838号） (72)发明人 韩文奇　宋成伟　 (74)专利代理 机构 北京科衡知识产权代理有限 公司 11928 代理人 王淑静 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种恶意攻击的防御方法、 装置、 电子设备 及存储介质 (57)摘要 本发明实施例公开一种恶意攻击的防御方 法、 装置、 电子设备及存储介质， 涉及网络安全技 术领域。 为解决无法防御无文件攻击的问题而发 明。 所述恶 意攻击的防御方法， 包括： 监视对预定 文件的下载操作； 确定当前下载文件中是否有脚 本执行可疑操作； 若当前下载文件中有脚本执行 可疑操作， 则确定当前系统遭受无文件攻击； 针 对当前下载文件中的脚本执行的可疑操作， 执行 相应的无文件攻击防御策略。 适用于可能遭受恶 意攻击的应用场景。 权利要求书3页 说明书8页 附图2页 CN 114095249 A 2022.02.25 CN 114095249 A 1.一种恶意 攻击的防御方法， 其特 征在于， 包括： 监视对预定文件的下 载操作； 确定当前 下载文件中是否有脚本执 行可疑操作； 若当前下载文件中有脚本执 行可疑操作， 则确定当前系统遭受无文件攻击； 针对当前 下载文件中的脚本执 行的可疑操作， 执 行相应的无文件攻击防御策略。 2.根据权利要求1所述的恶意攻击的防御 方法， 其特征在于， 所述监视对预定文件的下 载操作， 包括： 监视对预定格式的图片文件的下 载操作； 和/或 监视对of fice激活工具的下 载操作； 和/或 监视对of fice文件的下 载操作； 和/或 监视对破解版软件的下 载操作。 3.根据权利要求1所述的恶意攻击的防御 方法， 其特征在于， 所述确定当前下载文件中 是否有脚本执 行可疑操作， 包括： 确定当前下载文件中是否有脚本与远程服务器建立连接， 并从所述远程服务器下载数 据， 或向所述远程 服务器上传本地数据。 4.根据权利要求3所述的恶意攻击的防御 方法， 其特征在于， 所述确定当前下载文件中 是否有脚本与远程 服务器建立连接， 包括： 确定当前 执行的进程中， 是否有指向远程 服务器的命令和/或参数； 若当前执行的进程中， 有指向远程服务器的命令和/或参数， 则确定当前下载文件中有 脚本与远程 服务器建立连接 。 5.根据权利要求3所述的恶意攻击的防御 方法， 其特征在于， 所述确定当前下载文件中 是否有脚本执 行可疑操作， 还 包括： 确定当前 下载文件中是否有脚本执 行如下至少一种操作： 对所述脚本 本身进行加密和/或解密操作； 对本地文件进行加密操作； 对所述脚本 本身进行复制或删除操作； 修改系统注 册表； 修改系统计划任务。 6.根据权利要求1所述的恶意攻击的防御 方法， 其特征在于， 所述针对当前下载文件中 的脚本执 行的可疑操作， 执 行相应的无文件攻击防御策略， 包括： 针对当前下载文件中脚本执行的可疑操作， 执行如下无文件攻击防御 策略中的至少一 种： 执行文档安全防护策略； 执行系统脚本加固策略； 执行操作系统内置程序防护策略； 执行内存防护策略。 7.一种恶意 攻击的防御装置， 其特 征在于， 包括： 下载监视模块， 用于监视对预定文件的下 载操作； 可疑操作确定模块， 用于确定当前 下载文件中是否有脚本执 行可疑操作；权　利　要　求　书 1/3 页 2 CN 114095249 A 2无文件攻击确定模块， 用于若当前下载文件中有脚本执行可疑操作， 则确定当前系统 遭受无文件攻击； 防御模块， 用于针对当前下载文件中的脚本执行的可疑操作， 执行相应的无文件攻击 防御策略。 8.根据权利要求7所述的恶意攻击的防御装置， 其特征在于， 所述下载监视模块， 具体 用于： 监视对预定格式的图片文件的下 载操作； 和/或 监视对of fice激活工具的下 载操作； 和/或 监视对of fice文件的下 载操作； 和/或 监视破解版 软件的下 载操作。 9.根据权利要求7所述的恶意攻击的防御装置， 其特征在于， 所述可疑操作确定模块， 包括： 远程连接确定子模块， 用于确定当前下载文件中是否有脚本与远程服务器建立连接， 并从所述远程 服务器下载数据， 或向所述远程 服务器上传本地数据。 10.根据权利要求9所述的恶意攻击的防御装置， 其特征在于， 所述远程连接确定子模 块， 具体用于： 确定当前 执行的进程中， 是否有指向远程 服务器的命令和/或参数； 若当前执行的进程中， 有指向远程服务器的命令和/或参数， 则确定当前下载文件中有 脚本与远程 服务器建立连接 。 11.根据权利要求9所述的恶意攻击的防御装置， 其特征在于， 所述可疑操作确定模块， 还包括如下至少一种子模块： 加解密确定子模块， 用于确定对所述脚本本身有加密和/或解密操作； 和/或确定对本 地文件有加密操作； 脚本复制或删除子模块， 用于确定对所述脚本 本身有复制或删除操作； 注册表修改确定 子模块， 用于确定有修改系统注 册表操作； 计划任务确定 子模块， 用于确定有修改系统计划任务操作。 12.根据权利要求7所述的恶意攻击的防御装置， 其特征在于， 所述防御模块， 具体用 于： 针对当前下载文件中的脚本执行的可疑操作， 执行如下无文件攻击防御策略中的至少 一种： 执行文档安全防护策略； 执行系统脚本加固策略； 执行操作系统内置程序防护策略； 执行内存防护策略。 13.一种电子设备， 其特征在于， 包括： 壳体、 处理器、 存储器、 电路板和电源电路， 其中， 电路板安置在壳体围成的空间内部， 处理器和存储器 设置在电路板上， 电源电路， 用于为上 述电子设备 的各个电路或器件供电； 存储器用于存储可执行程序代码； 处理器通过读取存 储器中存储的可执行程序 代码来运行与可执行程序 代码对应的程序， 用于执行权利要求 1‑ 6中任一项所述的恶意 攻击的防御方法。权　利　要　求　书 2/3 页 3 CN 114095249 A 3