【技术实现步骤摘要】
docker容器内反弹shell的检测方法和系统
本专利技术涉及互联网安全
,尤其涉及一种docker容器内反弹shell的检测方法和系统、电子设备以及存储介质。
技术介绍
目前互联网环境下,容器已经渐渐成为主流趋势,针对docker(一种系统容器)容器的攻击也层出不穷。目前市场上的安全产品中,对于docker容器内的反弹shell(操作系统最外面的一层命令行程序)检测还存在一定的难度,现有的检测方案也存在漏报及误报的情况。一个是无法实时获取bash(由GUN(目标是创建一套完全自由的操作系统)开发的shell)进程的启动,另一个是无法得到底层的进程调用,使用hook(钩子函数)方式对系统侵入太高,在实际场景中不太适用。目前市面上的开源产品ossec(一种入侵检测系统)、以及商业产品HIDS(基于主机型入侵检测系统),均不能较好的实现docker容器内攻击的检测,尤其在反弹shell检测这一部分。
技术实现思路
本专利技术要解决的技术问题是为了克服现有技术中docker容器内的反弹s...
【技术保护点】
1.一种docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法包括:/n开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;/n在所述审计记录中查找shell进程;/n判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;/n判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。/n
【技术特征摘要】
1.一种docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法包括:
开启内核审计组件服务,所述内核审计组件服务用于记录审计记录;
在所述审计记录中查找shell进程;
判断所述审计记录中是否存在所述shell进程的重定向连接,若是,则确定所述shell进程为反弹shell进程;
判断所述反弹shell进程是否为docker容器内进程,若是,则确定所述反弹shell进程为所述docker容器内反弹shell进程。
2.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,所述docker容器内反弹shell进程检测的方法还包括:
当判断所述审计记录中是否存在所述shell进程的重定向连接的判断结果为否时,判断所述shell进程的父进程是否存在重定向连接,若是,则确定所述shell进程为反弹shell进程。
3.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,所述审计记录记录有docker容器内进程树,所述判断所述反弹shell进程是否为docker容器内进程的步骤包括:
判断所述反弹shell进程是否在所述docker容器内进程树中;
和/或,
确定所述反弹shell进程为所述docker容器内反弹shell进程的步骤之后还包括:
根据所述docker容器内反弹shell进程生成反弹报警事件。
4.如权利要求1所述的docker容器内反弹shell的检测方法,其特征在于,在所述审计记录中查找shell进程的步骤包括:
在所述审计记录中查找bashshell进程;
所述判断所述审计记录中是否存在所述shell进程的重定向连接的步骤包括:
判断所述审计记录中是否存在所述bashshell进程的重定向连接。
5.一种docker容器内反弹shell的检测系统,其特征在于,所述docker容器内反弹shell进程检测的系统包括开启模块、查找模块、重定向模块和确定模块;
所述开启模...
【专利技术属性】
技术研发人员:李昕,陶青云,章锦成,闵杰,
申请(专利权)人:上海携程商务有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。