本发明专利技术公开了一种docker容器内反弹shell的检测方法和系统,其中docker容器内反弹shell进程检测的方法包括:开启内核审计组件服务,内核审计组件服务用于记录审计记录;在审计记录中查找shell进程;判断审计记录中是否存在shell进程的重定向连接,若是,则确定shell进程为反弹shell进程;判断反弹shell进程是否为docker容器内进程,若是,则确定反弹shell进程为docker容器内反弹shell进程。本发明专利技术实现一种更彻底、更准确、更实时的docker容器内反弹shel检测机制。
Detection method and system of rebound shell in docker container
【技术实现步骤摘要】
docker容器内反弹shell的检测方法和系统
本专利技术涉及互联网安全
,尤其涉及一种docker容器内反弹shell的检测方法和系统、电子设备以及存储介质。
技术介绍
目前互联网环境下,容器已经渐渐成为主流趋势,针对docker(一种系统容器)容器的攻击也层出不穷。目前市场上的安全产品中,对于docker容器内的反弹shell(操作系统最外面的一层命令行程序)检测还存在一定的难度,现有的检测方案也存在漏报及误报的情况。一个是无法实时获取bash(由GUN(目标是创建一套完全自由的操作系统)开发的shell)进程的启动,另一个是无法得到底层的进程调用,使用hook(钩子函数)方式对系统侵入太高,在实际场景中不太适用。目前市面上的开源产品ossec(一种入侵检测系统)、以及商业产品HIDS(基于主机型入侵检测系统),均不能较好的实现docker容器内攻击的检测,尤其在反弹shell检测这一部分。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中docker容器内的反弹shell检测效果不好的缺陷,提供一种docker容器内反弹shell的检测方法和系统、电子设备以及存储介质。本专利技术是通过下述技术方案来解决上述技术问题:一种docker容器内反弹shell的检测方法,所述docker容器内反弹shell进程检测的方法包括:开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;在所述审计记录中查找shell进程;判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。优选地,所述docker容器内反弹shell进程检测的方法还包括:当判断所述审计记录中是否存在所述shell进程的重定向连接的判断结果为否时,判断所述shell进程的父进程是否存在重定向连接,若是,则确定所述shell进程为反弹shell进程。优选地,所述审计记录记录有docker容器内进程树,所述判断所述反弹shell进程是否为docker容器内进程的步骤包括:判断所述反弹shell进程是否在所述docker容器内进程树中;和/或,确定所述反弹shell进程为所述docker容器内反弹shell进程的步骤之后还包括:根据所述docker容器内反弹shell进程生成反弹报警事件。优选地,在所述审计记录中查找shell进程的步骤包括:在所述审计记录中查找bashshell进程;所述判断所述审计记录中是否存在所述shell进程的重定向连接的步骤包括:判断所述审计记录中是否存在所述bashshell进程的重定向连接。一种docker容器内反弹shell的检测系统,所述docker容器内反弹shell进程检测的系统包括开启模块、查找模块、重定向模块和确定模块;所述开启模块用于开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;所述查找模块用于在所述审计记录中查找shell进程;所述重定向模块用于判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;所述确定模块用于判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。优选地,所述docker容器内反弹shell进程检测系统还包括:所述重定向模块还用于当判断所述审计记录中是否存在所述shell进程的重定向连接的判断结果为否时,判断所述shell进程的父进程是否存在重定向连接,若是,则确定所述shell进程为反弹shell进程。优选地,所述审计记录记录有docker容器内进程树,所述确定模块还用于判断所述反弹shell进程是否在所述docker容器内进程树中;和/或,所述docker容器内反弹shell进程检测的系统还包括报警模块,所述报警模块用于根据所述docker容器内反弹shell进程生成反弹报警事件。优选地,所述查找模块还用于在所述审计记录中查找bashshell进程;所述重定向模块还用于判断所述审计记录中是否存在所述bashshell进程的重定向连接。一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述的docker容器内反弹shell的检测方法。一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的docker容器内反弹shell的检测方法的步骤。本专利技术的积极进步效果在于:本专利技术通过使用aduitd内核审计机制,实现了对系统调用的监控,结合反弹shell攻击过程中获取shell进程和重定向连接这两种行为特征,分析auditd产生的审计记录,成功的覆盖了docker容器内部反弹shell的攻击行为,实现一种更彻底、更准确、更实时的反弹shell检测机制。附图说明图1为本专利技术的实施例1的docker容器内反弹shell的检测方法的流程图。图2为本专利技术的实施例2的docker容器内反弹shell的检测系统的模块示意图。图3为本专利技术的实施例3提供的一种电子设备的结构示意图。具体实施方式下面通过实施例的方式进一步说明本专利技术,但并不因此将本专利技术限制在所述的实施例范围之中。实施例1本实施例提供一种docker容器内反弹shell的检测方法,如图1所示。docker容器内反弹shell进程检测的方法包括:步骤11、开启内核审计组件服务,内核审计组件服务用于记录审计记录。auditd(内核审计组件服务)是Linux(一种操作系统)系统中重要的内核审计组件,其负责将审计记录写入磁盘。使用auditd可以实现如下场景的审计监控:(1)监控文件访问(2)监控系统调用(3)记录用户命令执行(4)记录安全事件(5)执行审计搜索(6)统计概要报表(7)监控网络访问在本实施例中主要应用了auditd机制的监控系统调用功能和记录用户命令执行功能。在Linux系统中以root(Linux系统中的超级管理员用户帐户)身份执行一条auditctl(用于管理用户定义的审计规则)规则,可实现对执行系统命令这一个系统调用行为的监控审计。系统记录到的日志事件将存储在系统上的/var/log/audit/aduit.log日志文件内,即审计记录。步骤12、在审计记录中查找shell进程。以shell进程为bashshell(一种命令行外壳)进程为例,其他类型sh本文档来自技高网...
【技术保护点】
1.一种docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法包括:/n开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;/n在所述审计记录中查找shell进程;/n判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;/n判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。/n
【技术特征摘要】
1.一种docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法包括:
开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;
在所述审计记录中查找shell进程;
判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;
判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。
2.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法还包括:
当判断所述审计记录中是否存在所述shell进程的重定向连接的判断结果为否时,判断所述shell进程的父进程是否存在重定向连接,若是,则确定所述shell进程为反弹shell进程。
3.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,所述审计记录记录有docker容器内进程树,所述判断所述反弹shell进程是否为docker容器内进程的步骤包括:
判断所述反弹shell进程是否在所述docker容器内进程树中;
和/或,
确定所述反弹shell进程为所述docker容器内反弹shell进程的步骤之后还包括:
根据所述docker容器内反弹shell进程生成反弹报警事件。
4.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,在所述审计记录中查找shell进程的步骤包括:
在所述审计记录中查找bashshell进程;
所述判断所述审计记录中是否存在所述shell进程的重定向连接的步骤包括:
判断所述审计记录中是否存在所述bashshell进程的重定向连接。
5.一种docker容器内反弹shell的检测系统,其特征在于,所述docker容器内反弹shell进程检测的系统包括开启模块、查找模块、重定向模块和确定模块;
所述开启模...
【专利技术属性】
技术研发人员:李昕,陶青云,章锦成,闵杰,
申请(专利权)人:上海携程商务有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。