本申请实施例提供了一种远程控制程序的检测方法及装置,该方法包括:从系统内核监控待检测程序运行时的进程,从进程中读取对应有远程网络连接的目标进程的进程标识符,根据进程标识符对应的进程文件内容获取目标进程的第一文件描述符,将第一文件描述符与预设的远程控制程序的第二文件描述符进行比对,在第一文件描述符处于第二文件描述符对应的范围内的情况下,确定待检测程序为远程控制程序。确定待检测程序为远程控制程序。确定待检测程序为远程控制程序。
【技术实现步骤摘要】
远程控制程序的检测方法及装置
[0001]本专利技术涉及互联网
,尤其涉及一种远程控制程序的检测方法及装置。
技术介绍
[0002]在网络攻击入侵事件中,网络入侵者会通过在主机上植入远程控制程序实现对主机的持续化远程控制,及时发现主机上的远程控制程序在网络入侵防御中尤为重要,安全研究人员不断研究出针对远程控制程序的检测方法,通过对常见的远程控制程序的网络传输、进程和文件读取特征进行检测以识别出远程控制程序。
[0003]在一些场景下,随着安全攻防对抗形式的日益加剧,网络入侵者为了避免远程控制程序被检测出来,采用了多种变异方式修改程序的行为特征,从而规避远程控制程序通过网络传输、进程和文件读取特征被安全软件发现,远程控制程序的检测可靠性较低。因此,如何进一步的对远程控制程序进行检测,从而及时发现主机上的远程控制程序是本领域技术人员需要解决的技术问题。
技术实现思路
[0004]本申请实施例的目的是提供一种远程控制程序的检测方法及装置,以解决对远程控制程序进行检测,以及时发现主机上的远程控制程序的问题。
[0005]为了解决上述技术问题,本申请实施例是这样实现的:
[0006]第一方面,本申请实施例提供了一种远程控制程序的检测方法,包括:从系统内核监控待检测程序运行时的进程;从所述进程中读取对应有远程网络连接的目标进程的进程标识符;根据所述进程标识符对应的进程文件内容获取所述目标进程的第一文件描述符;将所述第一文件描述符与远程控制程序的第二文件描述符进行比对;在所述第一文件描述符处于所述第二文件描述符对应的范围内的情况下,确定所述待检测程序为所述远程控制程序。
[0007]第二方面,本申请实施例提供了一种远程控制程序的检测装置,监控模块,用于从系统内核层监控待检测程序运行时的进程;读取模块,用于从所述进程中读取对应有远程网络连接的目标进程的进程标识符;获取模块,用于根据所述进程标识符对应的进程文件内容获取所述目标进程的第一文件描述符;比对模块,用于将所述第一文件描述符与远程控制程序的第二文件描述符进行比对;确定模块,用于在所述第一文件描述符处于所述第二文件描述符对应的范围内的情况下,确定所述待检测程序为所述远程控制程序。
[0008]第三方面,本申请实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线;其中,处理器、通信接口以及存储器通过总线完成相互间的通信;存储器,用于存放计算机程序;处理器,用于执行存储器上所存放的程序,实现如第一方面的步骤。
[0009]第四方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时,实现如第一方面的方法步骤。
[0010]第五方面,本申请实施例提供了一种芯片,芯片包括处理器和通信接口,通信接口
和处理器耦合,处理器用于运行程序或指令,实现如第一方面的方法步骤。
[0011]由以上本申请实施例提供的技术方案可见,通过从系统内核监控待检测程序运行时的进程,从进程中读取对应有远程网络连接的目标进程的进程标识符,根据进程标识符对应的进程文件内容获取目标进程的第一文件描述符,将第一文件描述符与预设的远程控制程序的第二文件描述符进行比对,在第一文件描述符处于第二文件描述符对应的范围内的情况下,确定待检测程序为远程控制程序,能够从系统内核对待检测程序的进程进行监控,避免了目前存在的通过修改远程网络程序的应用层特征就可以绕过安全检测的局限性,提高了远程控制程序的检测可靠性。
附图说明
[0012]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0013]图1为本申请实施例提供的远程控制程序的检测方法的流程示意图;
[0014]图2为本申请实施例提供的远程控制程序的检测装置的功能模块示意图;
[0015]图3为本申请实施例提供的电子设备的结构示意图。
具体实施方式
[0016]本申请实施例的目的是提供一种远程控制程序的检测方法及装置,可以对远程控制程序进行检测,以及时发现主机上的远程控制程序。
[0017]为了使本
的人员更好地理解本专利技术中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本专利技术保护的范围。
[0018]如图1所示,本申请实施例提供一种远程控制程序的检测方法,该方法的执行主体可以为服务器,其中,该服务器可以是独立的服务器,也可以是由多个服务器组成的服务器集群。该远程控制程序的检测方法具体可以包括以下步骤S101
‑
S109:
[0019]在步骤S101中,从系统内核监控待检测程序运行时的进程。
[0020]具体来讲,待检测程序指的是已经启动运行的程序,待检测程序启动并运行时会产生进程,其中,进程包括但不限于:新生成的进程(sys_fork)、正在执行的进程(sys_exec)和退出的进程(sys_exit),系统内核是操作系统的内核,系统内核中进程是最小的管理单位。
[0021]在系统内核监控待检测程序运行时的进程可以通过进程监控接口访问系统内核的进程连接器,通过进程监控接口接收进程连接器发送的进程的信息数据包,根据信息数据包监控待检测程序运行时的进程。进程监控接口通过调用netlink实现系统的用户态与系统内核态的通信,从而访问系统内核的进程连接器PROCESS CONNECTOR,调用netlink接口创建socket套接字,通信地址绑定到指定的接口建立socket监听,从而与系统内核的进
程连接器PROCESS CONNECTOR进行传输数据。在进程监控接口与进程连接器传输数据时,进程监控接口通过接收进程连接器PROCESS CONNECTOR发送的信息数据包来监控待检测程序运行时的进程,其中,信息数据包包括但不限于新的进程(sys_fork)的信息数据包proc_fork_connector、正在执行的进程(sys_exec)的信息数据包proc_exec_connector和退出的进程(sys_exit)的信息数据包proc_exit_connector。
[0022]示例性的,进程监控接口通过调用netlink实现系统的用户态与系统内核态的通信可以是:建立socket套接字结构,套接字的协议簇为AF_NETLINK,协议簇的地址为系统内核地址,并绑定到进程标识符上,将所发送的消息数据封装到消息结构体中,最后将netlink消息发送给系统内核的进程连接器PROCESS CONNECTOR。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种远程控制程序的检测方法,其特征在于,包括:从系统内核监控待检测程序运行时的进程;从所述进程中读取对应有远程网络连接的目标进程的进程标识符;根据所述进程标识符对应的进程文件内容获取所述目标进程的第一文件描述符;将所述第一文件描述符与预设的远程控制程序的第二文件描述符进行比对;在所述第一文件描述符处于所述第二文件描述符对应的范围内的情况下,确定所述待检测程序为远程控制程序。2.根据权利要求1所述的远程控制程序的检测方法,其特征在于,在所述第一文件描述符处于所述第二文件描述符对应的范围内的情况下,确定所述待检测程序为远程控制程序之后,所述方法还包括:通过伪文件系统从系统内核中读取所述远程控制程序的程序信息,所述伪文件系统用于为访问系统内核的数据的操作提供接口,所述程序信息包括所述远程控制程序的路径、文件描述符和进程标识符中的至少一者。3.根据权利要求1所述的远程控制程序的检测方法,其特征在于,所述从系统内核监控待检测程序运行时的进程包括:通过进程监控接口访问系统内核的进程连接器;通过所述进程监控接口接收所述进程连接器发送的所述进程的信息数据包;根据所述信息数据包监控所述待检测程序运行时的进程。4.根据权利要求3所述的远程控制程序的检测方法,其特征在于,所述进程包括:新生成的进程、正在执行的进程和退出的进程。5.根据权利要求1所述的远程控制程序的检测方法,其特征在于,所述从所述进程中读取对应有远程网络连接的目标进程的进程标识符包括:通过网络连接读取与所述进程对应的当前网络的连接状态,所述连接状态包括远端网络地址、网络连接状态和进程标识符;将所述远端网络地址非本地网络地址、且所述网络连接状态是已建立远程网络连接的进程作为目标进程,读...
【专利技术属性】
技术研发人员:张天顺,邱春武,康宇,
申请(专利权)人:新浪技术中国有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。