(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211189833.8 (22)申请日 2022.09.28 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 闫海姣　范鸿雷　晏尉　 (74)专利代理 机构 北京金信知识产权代理有限 公司 11225 专利代理师 喻嵘 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 远程控制异常的确定方法、 装置、 存储介质 及电子设备 (57)摘要 本申请提供了一种远程控制异常的确定方 法、 装置、 存储介质及电子设备， 异常确定方法包 括： 获取内网资产传输的数据报文； 在数据报文 存在安全威胁的情况下， 通过安全引擎提取数据 报文对应的安全信息； 基于安全信息和实时更新 的远程控制记录表， 确定内网资产是否存在远程 控制异常。 本申请通过 实时更新的远程控制记录 表以及安全信息来确定内网资产是否存在远程 控制异常， 能够避免未被网关设备阻断的漏洞控 制内网资产进行异常行为， 大大提高了异常检测 的准确性和全面 性。 权利要求书2页 说明书9页 附图2页 CN 115550029 A 2022.12.30 CN 115550029 A 1.一种远程控制异常的确定方法， 其特 征在于， 包括： 获取内网资产传输的数据报文； 在所述数据报文存在安全威胁的情况下， 通过安全引擎提取所述数据报文对应的安全 信息； 基于所述安全信 息和实时更新的远程控制记录表， 确定所述内网资产 是否存在远程控 制异常。 2.根据权利要求1所述的确定方法， 其特 征在于， 还 包括： 从所述数据报文中提取所述数据报文的属性信息， 其中， 所述属性信息至少包括所述 数据报文的源地址和目的地址以及所述数据报文对应的应用协议； 基于所述属性信息， 对所述数据报文 进行验证。 3.根据权利要求2所述的确定方法， 其特征在于， 基于所述属性信息， 对所述数据报文 进行验证， 包括： 确定所述数据报文的源地址和目的地址是否属于 外网地址； 若否， 则确定所述数据报文对应的应用协议是否属于远程控制协议； 若是， 则确定所述数据报文对应的应用协议是否登录成功； 若登录成功， 则确定所述数据报文通过验证。 4.根据权利要求2所述的确定方法， 其特征在于， 所述验证通过的情况下远程控制记录 表的更新方式， 包括： 确定远程控制记录表中是否存在所述数据报文的源地址和目的地址以及所述数据报 文对应的应用协议； 若存在， 利用所述内网资产的登录时间更新远程控制记录表； 若未存在， 利用所述源地址、 所述目的地址、 所述应用协议以及所述登录时间更新所述 远程控制记录表。 5.根据权利要求1所述的确定方法， 其特征在于， 在所述数据报文存在安全威胁的情况 下， 通过安全引擎 提取所述数据报文对应的安全信息， 包括： 通过所述安全引擎对所述数据报文 进行检测， 确定所述数据报文是否存在安全威胁； 在所述数据报文存在安全威胁的情况下， 提取所述数据报文对应的威胁源地址、 威胁 目的地址以及威胁等级。 6.根据权利要求1所述的确定方法， 其特征在于， 基于所述安全信 息和实时更新的远程 控制记录表， 确定所述内网资产是否存在远程控制异常， 包括： 确定所述安全信 息包括的威胁源地址或威胁目的地址， 是否存在于当前的远程控制记 录表中； 若存在， 确定所述内网资产存在远程控制异常。 7.一种远程控制异常的确定装置， 其特 征在于， 包括： 获取模块， 其配置为获取内网资产传输的数据报文； 提取模块， 其配置为在所述数据报文存在安全威胁的情况下， 通过安全引擎提取所述 数据报文对应的安全信息； 确定模块， 其配置为基于所述安全信息和实时更新的远程控制记录表， 确定所述内网 资产是否存在远程控制异常。权　利　要　求　书 1/2 页 2 CN 115550029 A 28.根据权利要求7 所述的确定装置， 其特 征在于， 还 包括验证模块， 其配置为： 从所述数据报文中提取所述数据报文的属性信息， 其中， 所述属性信息至少包括所述 数据报文的源地址和目的地址以及所述数据报文对应的应用协议； 基于所述属性信息， 对所述数据报文 进行验证。 9.一种存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程序， 该计算机 程序被处 理器运行时执 行如下步骤： 获取内网资产传输的数据报文； 在所述数据报文存在安全威胁的情况下， 通过安全引擎提取所述数据报文对应的安全 信息； 基于所述安全信 息和实时更新的远程控制记录表， 确定所述内网资产 是否存在远程控 制异常。 10.一种电子设备， 其特征在于， 包括： 处理器和存储器， 所述存储器存储有所述处理器 可执行的机器可读指 令， 当电子 设备运行时， 所述处理器与所述存储器之 间通过总线通信， 所述机器可读指令被所述处 理器执行时执行如下步骤： 获取内网资产传输的数据报文； 在所述数据报文存在安全威胁的情况下， 通过安全引擎提取所述数据报文对应的安全 信息； 基于所述安全信 息和实时更新的远程控制记录表， 确定所述内网资产 是否存在远程控 制异常。权　利　要　求　书 2/2 页 3 CN 115550029 A 3