【技术实现步骤摘要】
本申请涉及计算机领域,具体而言,涉及一种反弹shell进程的检测方法、装置和存储介质及电子设备。
技术介绍
1、shell是linux操作系统上的一个程序,它提供了一个界面,让用户可以用文本交互的方式来操作计算机。
2、在现有技术中,对于反弹shell进程的检测,往往是根据反弹shell进程id去查询进程的文件描述符,再根据文件描述符去寻找伪终端文件,以相应逻辑判断是否为反弹shell进程。
3、然而,上述方法对于某些复杂反弹shell进程存在无法检出的问题,例如,对于只有单进程的反弹shell进程,上述方法只能获取到伪终端文件的一端,条件不足自然无法进行检出;再例如,对于使用延时手段的变性反弹shell进程,上述方法的逻辑判断是一次性行为,无法应对延时情况。也即,现有技术中存在由于某些复杂反弹shell进程无法检出,导致的反弹shell进程的检测准确性较低的技术问题。
技术实现思路
1、本申请的主要目的在于提供一种反弹shell进程的检测方法、装置和存储介质及电子设备,以解决相关技术中聚类的准确性较低的问题。
2、为了实现上述目的,根据本申请的一个方面,提供了一种反弹shell进程的检测方法。该方法包括:获取待检测的可疑进程,其中,可疑进程为触发可疑事件的进程;对可疑进程在触发可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,其中,在第一检测结果指示通过的情况下,可疑进程不为反弹shell进程;在第一检测结果指示未通过的情况下,基于可
3、为了实现上述目的,根据本申请的另一方面,提供了一种反弹shell进程的检测装置。该装置包括:获取单元,用于获取待检测的可疑进程,其中,可疑进程为触发可疑事件的进程;第一检测单元,用于对可疑进程在触发可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,其中,在第一检测结果指示通过的情况下,可疑进程不为反弹shell进程;第二检测单元,用于在第一检测结果指示未通过的情况下,基于可疑进程在触发过的其他可疑事件中所产生的第二信息进行第二检测处理,得到第二检测结果,其中,在第二检测结果指示通过的情况下,可疑进程不为反弹shell进程;确定单元,用于在第二检测结果指示未通过的情况下,确定可疑进程为反弹shell进程。
4、为了实现上述目的,根据本申请的另一方面,提供了一种反弹shell进程的处理器,上述处理器用于运行程序,其中,所述程序运行时执行上述反弹shell进程的检测方法。
5、为了实现上述目的,根据本申请的另一方面,提供了一种计算机可读的存储介质,其上存储有程序,该程序被处理器执行时实现上述反弹shell进程的检测方法。
6、为了实现上述目的,根据本申请的另一方面,提供了一种反弹shell进程的电子设备,上述电子设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现上述反弹shell进程的检测方法。
7、通过本申请提供的实施例,通过对可疑进程事件自身的第一信息进行检测处理,并结合可疑进程所触发过的其他可疑事件的第二信息的检测处理,得到可疑进程是否为反弹shell进程的检测结果。使用该反弹shell进程检测框架,不仅综合了多种正触发和已触发的行为事件信息进行判断,以提高反弹shell进程的检出率,且即使多种行为事件之间存在一定时间间隔的延时性,也能够实现检测,避免了对于特定复杂反弹shell进程无法检出的缺陷,从而实现了提高反弹shell检测的准确性的技术效果,解决了现有技术中存在的反弹shell进程的检测准确性较低的技术问题。
本文档来自技高网...【技术保护点】
1.一种反弹shell进程的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取待检测的可疑进程包括以下至少之一:
3.根据权利要求2所述的方法,其特征在于,在所述获取待检测的第一可疑进程之后,所述对所述可疑进程在触发所述可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述在所述第一检测结果指示未通过的情况下,基于所述可疑进程在触发过的其他可疑事件中所产生的第二信息进行第二检测处理,得到第二检测结果,包括:
5.根据权利要求2所述的方法,其特征在于,在所述获取待检测的第二可疑进程之后,所述对所述可疑进程在触发所述可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述在所述第一检测结果指示未通过的情况下,基于所述可疑进程在触发过的其他可疑事件中所产生的第二信息进行第二检测处理,得到第二检测结果,包括:
7.根据权利要求1至6任一项所述的方法,其特征在于,在所述对所
8.一种反弹shell进程的检测装置,其特征在于,包括:
9.一种计算机可读的存储介质,其特征在于,其上存储有程序,所述程序被处理器执行时实现权利要求1至7中任意一项所述的方法。
10.一种电子设备,其特征在于,包括一个或多个处理器和存储器,所述存储器用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至7中任意一项所述的方法。
...【技术特征摘要】
1.一种反弹shell进程的检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述获取待检测的可疑进程包括以下至少之一:
3.根据权利要求2所述的方法,其特征在于,在所述获取待检测的第一可疑进程之后,所述对所述可疑进程在触发所述可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,包括:
4.根据权利要求3所述的方法,其特征在于,所述在所述第一检测结果指示未通过的情况下,基于所述可疑进程在触发过的其他可疑事件中所产生的第二信息进行第二检测处理,得到第二检测结果,包括:
5.根据权利要求2所述的方法,其特征在于,在所述获取待检测的第二可疑进程之后,所述对所述可疑进程在触发所述可疑事件所产生的第一信息进行第一检测处理,得到第一检测结果,包括:
6.根据权利要求5所...
【专利技术属性】
技术研发人员:邓琛川,叶文军,郭睿,姜晓松,付祥生,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。