[发明专利]数据攻击检测方法及装置

说明书

本发明公开了一种数据攻击检测方法及装置。其中，该方法包括：对攻击对象向远程主机建立的数据连接进行检测；在检测到数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下，对数据连接的流量进行关键字检测；在检测到流量的关键字为数据攻击的攻击关键字的情况下，确定数据连接为数据攻击连接，数据连接的流量为数据攻击流量。本发明解决了相关技术中的反弹shell攻击的检测，存在局限性，准确率较低的技术问题。

技术领域

本发明涉及数据安全领域，具体而言，涉及一种数据攻击检测方法及装置。

背景技术

当客户机被攻击者攻陷后，一般由于防火墙的存在，攻击者无法直接连接受害者。此时攻击者就可以使用反弹shell攻击让受害者主动向远程发起连接。反弹shell攻击是指攻击者监听某个端口，受害者主动向攻击者建立TCP/UDP连接，将其命令行的输入输出重定向到远程攻击者，这样远程攻击者就拿到了客户机的执行环境，可以更加方便地进行攻击了，上述TCP，即Transmission Control Protocol，传输控制协议，上述UDP，即UserDatagram Protocol，用户数据报协议。

当前技术中对于反弹shell检测的实现大多基于监听本地主机的相关进程，例如监听bash进程是否创建，检测shell程序进程是否带有终端属性。

与本申请相关的现有技术一，提供了一种通过监听bash(Bourne-Again Shell，一种命令处理器)进程创建事件的方法，当监听到bash进程创建时，判断bash进程对应的重定向文件是否为套接字文件，若是，则确定bash进程为反弹shell进程，进而根据套接字文件描述符判断是否存在反弹shell网络连接，若存在，则可以判定服务器受到反弹shell攻击。监听bash进程是否创建只可以检测到使用bash进程的反弹shell，现有的反弹shell方式诸多，不仅仅包括bash、shell进程，还包括ksh(Kom shell，可用作交互式登录的shell及脚本编写的一种命令解释器)、zsh(Z-Shell，可用作交互式登录的shell及脚本编写的一种命令解释器)进程等等。但是基于此方法判断反弹shell显得过于单一，容易造成较多漏报的情况。

与本申请相关的现有技术二，提供一种检测shell程序进程是否带有终端属性的方法，通过此方法可以首先捕获执行shell程序的动作，然后检测shell程序进程是否带终端属性，如果shell程序进程不带终端属性，说明这是一个反弹shell。根据此方法，如果对shell进行重新编译或者重命名，则无法对反弹shell进行有效检测。此外，由于基于awk(一种用于处理文本的编程语言工具)的反弹shell是具有终端属性的，因此对基于awk的反弹shell是无法进行检测的。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种数据攻击检测方法及装置，以至少解决相关技术中的反弹shell攻击的检测，存在局限性，准确率较低的技术问题。

根据本发明实施例的一个方面，提供了一种数据攻击检测方法，包括：对攻击对象向远程主机建立的数据连接进行检测；在检测到所述数据连接的通信协议类型属于数据攻击对应的通信协议类型的情况下，对所述数据连接的流量进行关键字检测；在检测到所述流量的关键字为所述数据攻击的攻击关键字的情况下，确定所述数据连接为数据攻击连接，所述数据连接的所述流量为数据攻击流量。

可选的，对所述数据连接的流量进行关键字检测包括：获取所述流量的搭载信息，其中，所述搭载信息为所述流量传输的信息字段；对所述搭载信息进行关键字检测，确定所述搭载信息的多个关键字；将所述关键字与预设的攻击关键字库进行匹配和查找，其中，所述攻击关键字库包括所述数据攻击采用的多个关键字；在多个关键字的命中率达到预设比例的情况下，确定所述流量的关键字为所述数据攻击的攻击关键字。