[发明专利]基于反弹shell行为分析的漏洞攻击检测方法及系统

权利要求书

1.一种基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：包括以下步骤：

步骤一、数据预处理：收集原始流量，对收集的原始流量进行解析，然后按照五元组源IP，源端口，目的IP，目的端口，协议将TCP数据双向流合并为一次完整通信会话，并过滤出TCP连接建立阶段的第一个SYN报文及其他传输层有效载荷长度大于0的报文，用于特征提取；

步骤二、特征提取：提取经过数据预处理的会话中每个数据包的五元组、时间戳、包载荷长度传输层信息，并将其存储为.csv文件；然后从时间和空间两个维度对提取的侧信道特征进行信息融合，将最终融合后得到的特征向量作为模型输入；

步骤三、异常检测：将融合后的特征输入训练好的模型识别反弹shell流量，记录会话相关信息；分析shellcode投递阶段和shellcode执行阶段会话的时空关联性，并在shellcode执行阶段反弹shell流量特征分析的基础上根据时空关联特征初步过滤出可疑shellcode投递阶段流量，根据shellcode投递阶段会话特征检测漏洞攻击流量。

2.根据权利要求书1所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：数据预处理包括数据包重组、数据包解析和数据包过滤；其中数据包重组是按照五元组源IP，源端口，目的IP，目的端口，协议将TCP数据双向流合并为一次完整通信会话；数据包解析则是使用Python编程语言的数据包解析工具Scapy库解析并提取数据包五元组、时间戳、传输层载荷长度字段信息，用于后续特征提取；数据包过滤则是根据TCP报文的SYN、ACK等标志位和载荷长度，过滤掉有效载荷为空的ACK报文，只保留TCP“三次握手”建立连接的第一个SYN报文和其他有效载荷长度大于0的报文。

3.根据权利要求书2所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：数据包重组通过流量分割工具SplitCap.exe完成。

4.根据权利要求书1所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：步骤二中只提取会话中的有效数据包信息，根据有效数据包的五元组、时间戳、传输层载荷长度，计算得到包时延序列、包方向序列、包长度序列三个基本会话特征；然后基于延迟包从时间和空间两个维度上对基本会话特征进行信息融合；所述延迟包为一个会话中某个数据包时延与整个会话持续时间比值大于0的数据包。

5.根据权利要求书1所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：步骤三中将融合后的特征输入训练好的决策树模型识别反弹shell流量。

6.根据权利要求书1所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：步骤三还包括采用基于二分K-means算法的流量分层方法，对漏洞攻击流量进行分簇，将攻击过程可视化处理，以增强模型可解释性。

7.根据权利要求书1所述的基于反弹shell行为分析的漏洞攻击检测方法，其特征在于：步骤三中分别从TCP会话连接建立方向、数据流向、响应数据包个数、数据包长度分布四个方面分析shellcode投递阶段会话特征从而进一步区分shellcode投递流量和正常上网流量。