【技术实现步骤摘要】
一种反弹shell进程的检测方法、装置、设备和介质
[0001]本申请涉及计算机
,尤其涉及信息安全
,具体涉及一种反弹shell进程的检测方法、装置、设备和介质。
技术介绍
[0002]黑客利用漏洞入侵主机时,通过反弹shell进程来控制被入侵主机是一种十分常见的手段,因此反弹shell进程检测模块被看作入侵检测系统中比较重要的一个模块。Shell进程提供了用户与linux操作系统之间进行即时交互的一个接口,一般默认shell进程从键盘接收命令输入,然后将命令执行的结果输出到屏幕上。但是一些黑客利用shell进程的输入输出重定向功能,将shell进程的输入输出文件句柄重定向至套接字(socket)类型或者管道(pipe)类型的文件上,该socket类型或者pipe类型文件最终与远程入侵主机上的一个服务进行关联,这样远程入侵主机就可以通过该重定向了的反弹shell进程来控制被入侵主机,从而获取企业机密数据或者破坏主机上的文件。
[0003]目前,最常用的反弹shell进程的检测方法是基于Shell进程的标...
【技术保护点】
【技术特征摘要】
1.一种反弹shell进程的检测方法,其特征在于,包括:监测当前主机上产生的进程创建事件;获取目标进程在启动时执行的命令行;所述目标进程是监测到的进程创建事件所对应的进程;根据所述命令行确定所述目标进程是否是反弹shell进程。2.根据权利要求1所述的方法,其特征在于,根据所述命令行确定所述目标进程是否是反弹shell进程,包括:根据所述命令行和/或所述目标进程的预设环境变量,判断所述目标进程是否是反弹进程;根据所述命令行判断所述目标进程是否是shell进程;在判断所述目标进程是反弹进程和shell进程时,确定所述目标进程是反弹shell进程。3.根据权利要求2所述的方法,其特征在于,根据所述命令行和/或所述目标进程的预设环境变量,判断所述目标进程是否是反弹进程,包括:将所述命令行与预先设置的反弹进程命令行特征规则进行匹配;若匹配成功,则确定所述目标进程是反弹进程;若匹配失败,则判断所述目标进程的预设环境变量是否为空,若是,则确定所述目标进程是反弹进程,否则,确定所述目标进程不是反弹进程。4.根据权利要求3所述的方法,其特征在于,在将所述命令行与预先设置的反弹进程命令行特征规则进行匹配并且匹配失败之后、判断所述目标进程的预设环境变量是否为空之前,所述方法还包括:获取所述目标进程的父进程在启动时执行的命令行,将所述父进程在启动时执行的命令行与所述反弹进程命令行特征规则进行匹配;若匹配成功,则确定所述目标进程是反弹进程;若匹配失败,则触发执行判断所述目标进程的预设环境变量是否为空的操作。5.根据权利要求2所述的方法,其特征在于,根据所述命令行判断所述目标进程是否是shell进程,包括:根据所述命令行判断所述目标进程是否是由bash进程启动的,若是,则确定所述目标进程是shell进程。6.根据权利要求5所述的方法,其特征在于,根据所述命令行判断所述目标进程是否是由bash进程启动的,包括:判断所述命令行是否以预设字符串开头,根据判断结果确定所述目标进程是否是由bash进程启动的。7.根据权利要求1所述的方法,其特征在于,监测当前主机上产生的进程创建事件,包括:通过与当前主机的系统内核进行通信,获取系统内核中产生的进程创建事件;其中,所述进程创建事件包括:进程创建成功事件和/或进程创建失败事件。8.根据权利要求7所述的方法,其特征在于,采用NetLink机制,与当前主机的系统内核进行通信。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:获取所述目标进程对应的漏洞核查参考信息,并将所述漏洞核查参考信息进行记录;所述漏洞核查参考信息包括所述目标进程所属进程组的标识信息、所述目标进程被启动的路径信息、以及所述目标进程的进程链信息中的至少一个。10.根据权利要求1-9任一所述的方法,其特征在于,所述预设环境变量包括:发起SSH连接的变量、身份验证变量和图形显示变量。11.一种反弹shell进程的检测装置,其特征在于,包括:事件监测模块,用于监测当前主机上产生的进程创建事件;命令行获取模块,用于获取目标进程在启动时执行的命令行;所述目标进程是监测到的进程创建事...
【专利技术属性】
技术研发人员:付春桃,赵中树,谢奕智,
申请(专利权)人:百度在线网络技术北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。