【技术实现步骤摘要】
一种检测反弹程序的方法、系统、终端及存储介质
本专利技术涉及网络安全防护
,具体涉及一种检测反弹程序的方法、系统、终端及存储介质。
技术介绍
反弹shell(反弹程序)是一种伪shell,是被控端主动发起的与控制端的连接,本质上是被控端将标准输入输出主动发送给控制端,这样控制端可以与主动开启连接的被控端的当前登录用户拥有相同的权限并在被控端的计算机上执行任何命令。反弹shell通常是通过TCP协议建立连接,也有少数通过ICMP协议来建立连接,由于它可以使用任何端口来建立连接,比如80和443端口,这两个端口默认是开放的,使得防火墙和其它网络安全解决方案很难检测到反弹shell行为。当前有不少的研究人员对反弹shell进行了相关研究,例如:(1)通过检测shell进程是否带终端属性,如果shell进程不带终端属性,说明这是一个反弹shell。但根据此方法,如果对shell进行重新编译或者重命名,则无法对反弹shell进行有效检测;(2)通过监听bash进程的创建,若bash进程对应的重定向文件为套接字文件并且套接...
【技术保护点】
1.一种检测反弹程序的方法,其特征在于,包括:/n在内核中捕获程序进程;/n获取所述程序进程的标准输入文件符和标准输出文件描述符的重定向信息;/n根据所述重定向信息判断所述程序进程是否重定向到通信通道:/n若是,则判定所述程序进程为反弹程序的进程,并获取所述程序进程的重定向通信通道的四元组信息。/n
【技术特征摘要】
1.一种检测反弹程序的方法,其特征在于,包括:
在内核中捕获程序进程;
获取所述程序进程的标准输入文件符和标准输出文件描述符的重定向信息;
根据所述重定向信息判断所述程序进程是否重定向到通信通道:
若是,则判定所述程序进程为反弹程序的进程,并获取所述程序进程的重定向通信通道的四元组信息。
2.根据权利要求1所述的方法,其特征在于,所述通信通道包括:
套接字连接通道和管道连接通道。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若未捕获到所述程序进程或所述程序进程没有重定向到通信通道,则捕获子进程;
获取所述子进程的标准输入文件符和标准输出文件描述符的子进程重定向信息;
根据所述子进程重定向信息判断所述子进程是否重定向到通信通道:
若是,则判定所述子进程所属的程序进程为反弹程序的进程。
4.根据权利要求3所述的方法,其特征在于,在判定所述程序进程为反弹程序的进程之后,所述方法还包括:
从子进程开始反向查询各级进程的通信通道连接状态,获取通信通道的四元组信息。
5.一种检测反弹程序的系统,其特征在于,包括:
进程捕获单元,配置用于在内核中捕获程序进程;
信息获取单元,配置用于获取所述程序进程的标准输入文件符和标准输出文件描述符的重定向信息;
定向判断单元,配置用于根据所述重定向信息判断所...
【专利技术属性】
技术研发人员:王勇,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。