【技术实现步骤摘要】
一种检测和阻断反弹shell攻击的方法及相关设备
本专利技术涉及入侵检测
,特别是一种检测和阻断反弹shell攻击的方法及相关设备。
技术介绍
反弹shell攻击是指控制端监听在某个端口,被控端主动发起连接请求到该端口,并将其命令行的输入、输出转到控制端。通俗讲,反弹shell就是一种入侵行为,主要表现为本地主机主动连接远端的攻击者,这样远端攻击者会获得本地主机的执行环境,可以任意执行命令。当前不少研究人员研究了如何检测反弹shell,但都不具备普遍性,存在较多的漏报情况,并且即使检测到反弹shell,也并未给出有效的阻断方法。现有技术中,存在技术方案通过监听bash进程的创建,判断bash进程对应的重定向文件是否为套接字文件以及套接字文件描述符是否存在网络连接,若条件满足则认为服务器存在反弹shell攻击,并进行阻止。但此方法判断反弹shell的方式过于单一,只能检测并阻止基于bash进程的反弹shell。另外一种技术方案通过捕获执行shell程序的动作,判断检测shell程序进程是否带终端属...
【技术保护点】
1.一种检测和阻断反弹shell攻击的方法,其特征在于,所述方法包括以下操作:/n构造反弹shell攻击特征库,包括反弹shell攻击方式和特征;/n捕获当前主机的进程,并提取当前进程的特征,将当前进程的特征与反弹shell攻击特征库中的规则进行匹配,如特征全部匹配或攻击方式匹配,则为反弹shell攻击;/n当判断出现反弹shell攻击时,向用户提供反弹shell相关信息,根据提供的反弹shell信息,向建立对外网络连接的进程发送终止信号并将远端攻击者的IP加入黑名单。/n
【技术特征摘要】
1.一种检测和阻断反弹shell攻击的方法,其特征在于,所述方法包括以下操作:
构造反弹shell攻击特征库,包括反弹shell攻击方式和特征;
捕获当前主机的进程,并提取当前进程的特征,将当前进程的特征与反弹shell攻击特征库中的规则进行匹配,如特征全部匹配或攻击方式匹配,则为反弹shell攻击;
当判断出现反弹shell攻击时,向用户提供反弹shell相关信息,根据提供的反弹shell信息,向建立对外网络连接的进程发送终止信号并将远端攻击者的IP加入黑名单。
2.根据权利要求1所述的一种检测和阻断反弹shell攻击的方法,其特征在于,所述特征库的规则分为两类,一类为大多数反弹shell攻击方式所具备的统一的进程的特征,包括进程的标准输入和标准输出的指向、进程的终端属性以及socket连接的建立情况;另一类为与普通进程无明显差别的反弹shell攻击方式,包括基于awk的攻击。
3.根据权利要求1所述的一种检测和阻断反弹shell攻击的方法,其特征在于,所述反弹shell相关信息包括本地主机中建立对外网络连接的进程以及相关四元组信息、本地主机执行连接远端攻击者的命令。
4.一种检测和阻断反弹shell攻击的系统,其特征在于,所述系统包括:
规则库建立模块,用于构造反弹shell攻击特征库,包括反弹shell攻击方式和特征;
攻击检测模块,用于捕获当前主机的进程,并...
【专利技术属性】
技术研发人员:王勇,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。