本发明专利技术实施例公开了一种失陷主机恶意回连命令的检测方法及其系统。方法包括:对主机进行进程操作域学习;实时获取所执行的命令信息;对命令信息进行特征提取,以得到命令特征;根据命令特征进行失陷主机恶意回连命令的特征的匹配;根据命令信息提取父进程;将父进程以及对应的操作域与学习结果进行匹配;确定命令信息对应的风险值;根据风险值判断命令信息是否是失陷主机恶意回连命令;若是,则对命令信息进行异常告警。通过实施本发明专利技术实施例的方法可以解决传统失陷主机恶意回连命令检测识别基于已知恶意特征库,无法有效识别多变的失陷主机恶意回连命令的问题。陷主机恶意回连命令的问题。陷主机恶意回连命令的问题。
【技术实现步骤摘要】
一种失陷主机恶意回连命令的检测方法及其系统
[0001]本专利技术涉及信息安全
,更具体地说是指一种失陷主机恶意回连命令的检测方法及其系统。
技术介绍
[0002]在黑客攻入到服务器的第一步往往是获取到一个可执行系统命令的shell,通过该shell可以执行shell权限内的任意系统命令,便于黑客进一步攻击内网网络。获取shell的方法往往通过利用各类漏洞执行失陷主机恶意回连命令。目前传统的检测失陷主机恶意回连命令的方式是通过失陷主机恶意回连命令恶意特征库,恶意特征库的内部包含已知的常见失陷主机恶意回连命令特征,当黑客执行的命令匹配到该失陷主机恶意回连命令的恶意特征库时,则进行拦截,通过这种方式往往会造成漏报,当黑客针对性的修改失陷主机恶意回连命令的特征时,而该特征库并不在失陷主机恶意回连命令的恶意特征库中时,即可绕过传统的防御方法,造成严重的危害,因此,当前的失陷主机恶意回连命令检测识别方法无法有效识别多变的失陷主机恶意回连命令。
[0003]因此,有必要设计一种新的方法,以解决传统失陷主机恶意回连命令检测识别基于已知恶意特征库,无法有效识别多变的失陷主机恶意回连命令的问题。
技术实现思路
[0004]本专利技术的目的在于克服现有技术的缺陷,提供一种失陷主机恶意回连命令的检测方法及其系统。
[0005]为实现上述目的,本专利技术采用以下技术方案:一种失陷主机恶意回连命令的检测方法,包括:
[0006]对主机进行进程操作域学习,以形成学习结果;
[0007]对主机所有执行的命令进行实时监控,实时获取所执行的命令信息;
[0008]对所述命令信息进行特征提取,以得到命令特征;
[0009]根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果;
[0010]根据所述命令信息提取父进程;
[0011]将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果;
[0012]根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值;
[0013]根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令;
[0014]若所述命令信息是失陷主机恶意回连命令,则对所述命令信息进行异常告警。
[0015]其进一步技术方案为:所述对主机进行进程操作域学习,以形成学习结果,包括:
[0016]在服务器主机正常运行的情况下学习,获取服务器主机正常执行的进程操作域,
分析服务器主机正常运行期间的命令特征,生成命令进程操作域以及对应的白名单,以得到学习结果。
[0017]其进一步技术方案为:所述命令特征包括命令的父进程名、进程名以及命令参数。
[0018]其进一步技术方案为:所述根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果,包括:
[0019]采用匹配IP的正则表达式将所述命令特征进行存在服务器IP的匹配,以得到服务器IP匹配结果;
[0020]确定所述命令特征的进程名是否在已知的常见失陷主机恶意回连命令的恶意子进程集合内,以得到子进程匹配结果;
[0021]其中,所述特征匹配结果包括服务器IP匹配结果以及子进程匹配结果。
[0022]其进一步技术方案为:所述将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果,包括:
[0023]确定所述父进程名是否在所述白名单内,以得到名称匹配结果;
[0024]确定所述父进程对应的操作域是否在所述命令进程操作域内,以得到操作域匹配结果;
[0025]其中,所述父进程匹配结果包括名称匹配结果和操作域匹配结果。
[0026]其进一步技术方案为:所述根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值,包括:
[0027]对所述特征匹配结果以及所述父进程匹配结果采用权重打分方式确定加权值,以得到所述命令信息对应的风险值。
[0028]其进一步技术方案为:所述对所述命令信息进行异常告警,包括:
[0029]对所述命令信息进行告警或者拦截。
[0030]其进一步技术方案为:所述根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令之后,还包括:
[0031]若所述命令信息不是失陷主机恶意回连命令,则进入结束步骤。
[0032]本专利技术还提供了一种失陷主机恶意回连命令的检测系统,包括:
[0033]学习单元,用于对主机进行进程操作域学习,以形成学习结果;
[0034]实时监控单元,用于对主机所有执行的命令进行实时监控,实时获取所执行的命令信息;
[0035]特征提取单元,用于对所述命令信息进行特征提取,以得到命令特征;
[0036]特征匹配单元,用于根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果;
[0037]父进程提取单元,用于根据所述命令信息提取父进程;
[0038]父进程匹配单元,用于将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果;
[0039]风险值计算单元,用于根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值;
[0040]判断单元,用于根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令;
[0041]告警单元,用于若所述命令信息是失陷主机恶意回连命令,则对所述命令信息进行异常告警。
[0042]其进一步技术方案为:所述学习单元,用于在服务器主机正常运行的情况下学习,获取服务器主机正常执行的进程操作域,分析服务器主机正常运行期间的命令特征,生成命令进程操作域以及对应的白名单,以得到学习结果。
[0043]本专利技术与现有技术相比的有益效果是:本专利技术通过对正常服务器上面运行进程进行学习获取正常操作域,并对任何执行的命令进行实时监控,提取命令相关的特征,与已知的失陷主机恶意回连命令特征库匹配、进程操作域异常判定,以解决传统失陷主机恶意回连命令检测识别基于已知恶意特征库,无法有效识别多变的失陷主机恶意回连命令的问题。
[0044]下面结合附图和具体实施例对本专利技术作进一步描述。
附图说明
[0045]为了更清楚地说明本专利技术实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0046]图1为本专利技术实施例提供的一种失陷主机恶意回连命令的检测方法的应用场景示意图;
[0047]图2为本专利技术实施例提供的一种失陷主机恶意回连命令的检测方法的流程示意图;
[0048]图3为本专利技术实施例提供的一种失陷主机恶意回连命令的检测方法的子流程示意图;
[0049]图4为本专利技术实施例提供的一种失陷主机恶意回连命令的检测方法的子流程示意图;<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种失陷主机恶意回连命令的检测方法,其特征在于,包括:对主机进行进程操作域学习,以形成学习结果;对主机所有执行的命令进行实时监控,实时获取所执行的命令信息;对所述命令信息进行特征提取,以得到命令特征;根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果;根据所述命令信息提取父进程;将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果;根据所述特征匹配结果以及所述父进程匹配结果确定所述命令信息对应的风险值;根据所述风险值判断所述命令信息是否是失陷主机恶意回连命令;若所述命令信息是失陷主机恶意回连命令,则对所述命令信息进行异常告警。2.根据权利要求1所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述对主机进行进程操作域学习,以形成学习结果,包括:在服务器主机正常运行的情况下学习,获取服务器主机正常执行的进程操作域,分析服务器主机正常运行期间的命令特征,生成命令进程操作域以及对应的白名单,以得到学习结果。3.根据权利要求2所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述命令特征包括命令的父进程名、进程名以及命令参数。4.根据权利要求3所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述根据所述命令特征进行失陷主机恶意回连命令的特征的匹配,以得到特征匹配结果,包括:采用匹配IP的正则表达式将所述命令特征进行存在服务器IP的匹配,以得到服务器IP匹配结果;确定所述命令特征的进程名是否在已知的常见失陷主机恶意回连命令的恶意子进程集合内,以得到子进程匹配结果;其中,所述特征匹配结果包括服务器IP匹配结果以及子进程匹配结果。5.根据权利要求4所述的一种失陷主机恶意回连命令的检测方法,其特征在于,所述将所述父进程以及对应的操作域与所述学习结果进行匹配,以得到父进程匹配结果,包括:确定所述父进程名是否在所述白名单内,以得到名称匹配结果;确定所述父进程对应的操作域是否在所述命令进程操作域内,以得到操作域匹...
【专利技术属性】
技术研发人员:王月兵,刘隽良,毛菲,柳遵梁,覃锦端,
申请(专利权)人:杭州美创科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。