本发明专利技术公开了一种命令检测方法、装置、计算机设备以及存储介质,属于网络技术领域。本发明专利技术实施例通过基于已知混淆命令所得到的第一特征和基于正常业务命令的第二特征,进行静态的特征匹配和筛选,从而显著降低了数据分析的规模,从而使得实时的命令检测成为可能,并通过获取命令的运行态文本,实现了一定程度的去混淆功能,避免了由于语义分析而造成的计算困难和耗时,再通过采用命令和运行态文本来确定可疑程度信息的方式,来作为最终确定命令是否为混淆命令的参考,大大提高了检测准确性。
Command detection methods, devices, computer devices and storage media
【技术实现步骤摘要】
命令检测方法、装置、计算机设备以及存储介质
本专利技术涉及网络
,特别涉及一种命令检测方法、装置、计算机设备以及存储介质。
技术介绍
互联网应用与人们的生活正变得密不可分,而支撑每一款网络应用的背后,是数以万计的服务器。用户的个人数据、业务的商业数据也存储于这些服务器中。如何保障服务器的运行安全,对于每一家互联网公司来说,都变得尤为重要。攻击者的入侵渠道不胜枚举,但不管如何,一旦完成渗透,则一定会执行相应操作,从而达到入侵的目的。这类操作可以通过下发恶意命令来实现。现有的防御手段,往往会在对服务器所上报的命令进行检测,例如,将上报的命令与已知的恶意命令集合进行匹配,以获知哪些命令是恶意命令。但是,由于恶意命令集合也很容易被攻击者获知,攻击者往往会利用操作系统下默认允许的语法功能,如变量替换、字符倒序、通配符、各种编码格式等,对实际运行的命令进行语法变形,从而达到常人直观无法阅读和理解的效果。上述技术,这里称之为命令混淆。命令混淆的使用,会导致已有的防护检测手段彻底失效,攻击者借助混淆变形,可以肆无忌惮地对服务器下达任何恶意命令。为此,亟需一种能够提高检测准确率的命令检测方法。
技术实现思路
本专利技术实施例提供了一种命令检测方法、装置、计算机设备以及可读存储介质,能够在实现实时检测的同时,提高命令检测的准确性。该技术方案如下:一方面,提供了一种命令检测方法,所述方法包括:基于已知混淆命令的多个第一特征和正常业务命令的多个第二特征,对多个待检测的命令进行检测,确定多个目标命令,每个目标命令均具有一个或多个第一特征但不具有任一第二特征的命令;获取所述多个目标命令的运行态文本;基于所述多个目标命令以及对应的运行态文本,获取所述多个目标命令的可疑程度信息,其中,所述可疑程度信息用于表示命令为混淆命令的可能性;当任一个目标命令的可疑程度信息符合目标条件,将所述目标命令确定为混淆命令。一方面,提供了一种命令检测装置,所述装置包括:检测模块,用于基于已知混淆命令的多个第一特征和正常业务命令的多个第二特征,对多个待检测的命令进行检测,确定多个目标命令,每个目标命令均具有一个或多个第一特征但不具有任一第二特征的命令;文本格式获取模块,用于获取所述多个目标命令的运行态文本;可疑程度信息获取模块,用于基于所述多个目标命令以及对应的运行态文本,获取所述多个目标命令的可疑程度信息,其中,所述可疑程度信息用于表示命令为混淆命令的可能性;命令确定模块,用于当任一个目标命令的可疑程度信息符合目标条件,将所述目标命令确定为混淆命令。在一种可能实现方式中,所述检测模块包括:第一特征匹配单元,用于基于所述多个第一特征,对所述多个待检测的命令进行特征匹配,确定与所述多个第一特征中任一个特征匹配成功的第一命令;第二特征确定单元,用于根据每个第一命令所匹配的第一特征,确定所述每个第一命令的目标第二特征,所述目标第二特征是指所述第一特征对应的至少一个第二特征;目标命令确定单元,用于根据所述每个第一命令的目标第二特征,对所述多个第一命令进行特征匹配,确定所述多个目标命令。在一种可能实现方式中,该目标命令确定单元,用于根据所述每个第一命令的目标第二特征,对所述多个第一命令进行特征匹配,确定所述多个第二命令,所述第二命令为具有任一目标第二特征的第一命令;从所述多个第一命令中过滤掉所述多个第二命令,得到所述多个目标命令。在一种可能实现方式中,所述文本格式获取模块,用于将所述多个目标命令导入沙箱调试程序,通过所述沙箱调试程序执行所述多个目标命令,记录脚本调试执行过程中的运行态文本。在一种可能实现方式中,所述装置还包括:存储模块,用于将所述多个目标命令存储至目标数据库,所述目标数据库用于存储所述目标命令以及对应的运行态文本;该存储模块还用于当获取到第一目标命令的运行态文本时,将所述运行态文本存储至所述第一目标命令在所述目标数据库中的存储位置。在一种可能实现方式中,所述沙箱调试程序执行任一个目标命令的执行时间小于目标时长;或,对调用所述沙箱调试程序的代码进行更改,使得所述代码不执行任一个目标命令。在一种可能实现方式中,所述装置还包括:删除模块,用于当第二目标命令被确定为混淆命令或非混淆命令时,从所述目标数据库中删除所述第二目标命令。在一种可能实现方式中,所述可疑程度信息获取模块用于根据下述一项信息或任意两项信息的组合,获取所述多个目标命令的可疑程度信息:所述多个目标命令所匹配的第一特征;所述多个目标命令以及对应的运行态文本之间的文本差异;所述多个目标命令的运行态文本和预设命令之间的匹配信息。在一种可能实现方式中,所述可疑程度信息获取模块包括第一获取单元,该第一获取单元用于获取所述多个目标命令所匹配的第一特征的可疑程度信息;对于任一个目标命令,对所述任一目标命令的第一特征的可疑程度信息进行累计,得到所述任一个目标命令的可疑程度信息。在一种可能实现方式中,所述可疑程度信息获取模块包括第二获取单元,该第二获取单元用于获取所述多个目标命令与对应的运行态文本之间的文本差异;根据所述多个目标命令的文本差异和文本差异阈值,确定所述多个目标命令的可疑程度信息。在一种可能实现方式中,所述可疑程度信息获取模块包括第三获取单元该第三获取单元用于基于所述多个目标命令的运行态文本与预设命令进行匹配,当第三目标命令的运行态文本与所述预设命令中的一个或多个的组合匹配成功时,根据所述第三目标命令的匹配情况,获取所述第三目标命令的可疑程度信息。在一种可能实现方式中,所述装置还包括:告警模块,用于对所述目标命令的来源服务器进行告警。一方面,提供了一种计算机设备,所述计算机设备包括处理器和存储器,所述存储器中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如上述的命令检测方法所执行的操作。一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令,所述指令由所述处理器加载并执行以实现如上述的命令检测方法所执行的操作。本专利技术实施例提供的技术方案带来的有益效果至少包括:通过基于已知混淆命令所得到的第一特征和基于正常业务命令的第二特征,进行静态的特征匹配和筛选,从而显著降低了数据分析的规模,从而使得实时的命令检测成为可能,并通过获取命令的运行态文本,实现了一定程度的去混淆功能,避免了由于语义分析而造成的计算困难和耗时,再通过采用命令和运行态文本来确定可疑程度信息的方式,来作为最终确定命令是否为混淆命令的参考,大大提高了检测准确性。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术实施例提供的命令检测方法的实施环境示意图;图2是本专利技术实施例提供的一种命令检测方法的流程图;图3是本专利技术实施例提供的一种命令检测方法的流程图;图4是本专利技术实施例提供的一种获取可疑程度信息的示例图;图5是本专利技术实施例提供的一种获取可疑程度信息的示例图;图6是本专利技术实施例提供的一种检测过程中的数据流向的示例图;图7是本专利技术实施例提供的一种命令检测装置的结构示意图;图8是本专利技术实施例提供的一种计本文档来自技高网...
【技术保护点】
1.一种命令检测方法,其特征在于,所述方法包括:基于已知混淆命令的多个第一特征和正常业务命令的多个第二特征,对多个待检测的命令进行检测,确定多个目标命令,每个目标命令均具有一个或多个第一特征但不具有任一第二特征的命令;获取所述多个目标命令的运行态文本;基于所述多个目标命令以及对应的运行态文本,获取所述多个目标命令的可疑程度信息,其中,所述可疑程度信息用于表示命令为混淆命令的可能性;当任一个目标命令的可疑程度信息符合目标条件,将所述目标命令确定为混淆命令。
【技术特征摘要】
1.一种命令检测方法,其特征在于,所述方法包括:基于已知混淆命令的多个第一特征和正常业务命令的多个第二特征,对多个待检测的命令进行检测,确定多个目标命令,每个目标命令均具有一个或多个第一特征但不具有任一第二特征的命令;获取所述多个目标命令的运行态文本;基于所述多个目标命令以及对应的运行态文本,获取所述多个目标命令的可疑程度信息,其中,所述可疑程度信息用于表示命令为混淆命令的可能性;当任一个目标命令的可疑程度信息符合目标条件,将所述目标命令确定为混淆命令。2.根据权利要求1所述的方法,其特征在于,所述基于混淆命令的多个第一特征和正常业务命令的多个第二特征,对多个待检测的命令进行检测,确定多个目标命令包括:基于所述多个第一特征,对所述多个待检测的命令进行特征匹配,确定与所述多个第一特征中任一个特征匹配成功的第一命令;根据每个第一命令所匹配的第一特征,确定所述每个第一命令的目标第二特征,所述目标第二特征是指所述第一特征对应的至少一个第二特征;根据所述每个第一命令的目标第二特征,对所述多个第一命令进行特征匹配,确定所述多个目标命令。3.根据权利要求2所述的方法,其特征在于,所述根据所述每个第一命令的目标第二特征,对所述多个第一命令进行特征匹配,确定所述多个目标命令包括:根据所述每个第一命令的目标第二特征,对所述多个第一命令进行特征匹配,确定所述多个第二命令,所述第二命令为具有任一目标第二特征的第一命令;从所述多个第一命令中过滤掉所述多个第二命令,得到所述多个目标命令。4.根据权利要求1所述的方法,其特征在于,所述获取所述多个目标命令的运行态文本包括:将所述多个目标命令导入沙箱调试程序,通过所述沙箱调试程序执行所述多个目标命令,记录脚本调试执行过程中的运行态文本。5.根据权利要求4所述的方法,其特征在于,所述将所述多个目标命令导入沙箱调试程序之前,所述方法还包括:将所述多个目标命令存储至目标数据库,所述目标数据库用于存储所述目标命令以及对应的运行态文本。6.根据权利要求5所述的方法,其特征在于,所述记录脚本调试执行过程中的运行态文本之后,所述方法还包括:当获取到第一目标命令的运行态文本时,将所述运行态文本存储至所述第一目标命令在所述目标数据库中的存储位置。7.根据权利要求4所述的方法,其特征在于,所述沙箱调试程序执行任一个目标命令的执行时间小于目标时长;或,对调用所述沙箱调试程序的代码进行更改,使得所述代码不执行任一个目标命令。8.根据权利要求4所述的方法,其特征在于,所述方法还包括:当第二目标命令被确定为混淆命令或非混淆命令时,从所述目标数据库中删除所述第二目标命令。9.根据权利要求4所述的方法,其特征在于,所述基于...
【专利技术属性】
技术研发人员:张尧,
申请(专利权)人:深圳市腾讯计算机系统有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。