[发明专利]一种检测反弹Shell进程的方法、系统及设备

说明书

本发明实施例提供了一种检测反弹Shell进程的方法、系统及设备，获取待检测进程后，对待检测进程进行分类检测，弥补了现有反弹Shell进程检测手段的常见缺陷，不仅对新建的进程进行检测，也对主机中已有的进程进行检测，同时总结了多种可能出现的反弹Shell进程，适时地结合多种检测方式，对反弹Shell进程类型进行细分检测，比现有的检测方法更为完善，准确率更高、漏报率更低，能够更好地保障主机的安全。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种检测反弹Shell进程的方法、系统及设备。

背景技术

Shell是一个执行命令的宏处理器。Shell可以以交互或非交互方式使用。在交互模式下，它们接受从键盘输入的输入；以非交互方式执行时，Shell执行从文件中读取的命令。

通常来说，反弹Shell进程是指一个反向连接的Shell进程，攻击者在攻击机中监听某个TCP/UDP端口作为服务端；受害者主机主动发起请求连接到服务端，并将其命令行的标准输入、输出重定向到服务端。黑客可以借助反弹Shell进程来突破防火墙等进而控制受害者主机，因此对主机系统安全性的威胁极大。

然而现有的检测反弹Shell进程的手段过于单一，漏报率较高，极易被攻击者绕过，对主机的保护能力有限。

发明内容

为此，本发明实施例提供一种检测反弹Shell进程的方法、系统及设备，以解决现有技术对反弹Shell进程检测手段过于单一，漏报率较高，极易被攻击者绕过等技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种检测反弹Shell进程的方法，所述方法包括：

获取待检测进程；

对待检测进程进行分类；

根据分类类别分别检测所述待检测进程是否为反弹Shell进程；

如果所述待检测进程为反弹Shell进程，则判断是否为重复出现的反弹Shell进程；

如果检测出的反弹Shell进程为重复出现的反弹Shell进程，则对重复出现的反弹Shell进程进行过滤；

如果检测出的反弹Shell进程为非重复出现的反弹Shell进程，则上报非重复出现的反弹Shell进程。

进一步地，获取待检测进程，包括：

扫描已存在进程，将所述已存在进程作为待检测进程，并获取所述已存在进程的相关信息；

实时监测OP_ADD事件和OP_MOD事件的触发，当存在所述OP_MOD事件被触发时或所述OP_ADD事件的累计触发次数达到四次时，则确定出现新创建进程，将所述新创建进程作为待检测进程，并获取所述新创建进程的相关信息；

其中，所述已存在进程或所述新创建进程的相关信息包括：进程名称、进程执行路径、执行进程的完整命令、进程开始时间、进程ID、父进程ID、进程用户信息、父进程用户信息以及进程标准输入、输出信息。

进一步地，对待检测进程进行分类，包括：

将所述待检测进程分为交互式Shell进程和非交互式Shell进程；

当所述待检测进程为交互式Shell进程时，根据所述进程标准输入、输出信息将所述交互式Shell进程分为第一交互式Shell进程、第二交互式Shell进程、第三交互式Shell进程、第四交互式Shell进程；