[发明专利]基于反弹shell行为分析的漏洞攻击检测方法及系统

说明书

本发明属于漏洞攻击检测技术领域，具体涉及一种基于反弹shell行为分析的漏洞攻击检测方法。该方法基于漏洞攻击与反弹shell行为的关联性，首先根据融合信息特征向量检测反弹shell流量；然后根据两阶段会话关系特征回溯漏洞攻击流量。另外，本发明还提出了一种基于二分K‑means算法的流量分层方法，可将漏洞利用不同阶段流量进行可视化，从而有效提升该方法的可解释性。在十次漏洞攻击反弹shell实验中，该方法检测出其中九次漏洞攻击，与使用循环神经网络检测早期漏洞攻击流量的方法Blatta相比，检测率提升50%，且检测效果不受漏洞具体类型和流量加密方式影响。

技术领域

本发明属于漏洞攻击检测技术领域，具体涉及一种基于反弹shell行为分析的漏洞攻击检测方法及系统。

背景技术

随着软件功能不断丰富、代码规模不断增长，安全漏洞数量与日俱增。作为网络杀伤链中最重要的一环，漏洞攻击常用于获取系统的控制权限，给网络安全造成重大威胁。攻击者利用漏洞可以窃取信息、提升权限甚至直接控制操作系统，给网络安全造成了极大威胁。因此，如何及时发现漏洞攻击行为成为亟待解决的问题。

为了发现漏洞攻击行为，研究者提出了一系列针对漏洞攻击的检测方法。目前针对漏洞攻击检测技术主要分为两类：基于主机的检测方法和基于流量的检测方法。基于主机的检测方法常需要将检测工具部署到主机系统中，并且需要较高系统权限。相较而言，基于流量的检测方法具有数据量大、信息丰富、便于操作的优点，能够通过端口镜像等方式进行旁路部署，只需要分析流量即可完成检测。早在2007年，Polychronakis等就提出了一种启发性检测方法，通过在网络入侵检测系统(Network Intrusion Detection System，NIDS)端使用一个完整的处理器模拟器检测多态shellcode，但是不能检测未知shellcode。Borders等提出了一种流量载荷分析引擎Spector，利用符号执行技术提取shellcode中有意义的API调用并生成底层反汇编代码。2019年，Kanemoto等提出一种基于代码仿真技术的攻击检测方法，结合IDS规则检测远程shellcode攻击是否成功。2020年，Pratomo等提出了一种使用循环神经网络检测早期漏洞攻击流量的方法Blatta，主要思想是检测应用层前400字节内容，根据shellcode特征字节识别漏洞攻击流量。此外，Pratomo等提出了一种基于细粒度网络情报分析的低速率攻击检测方法，通过对应用层信息进行无监督学习检测攻击。

然而，上述基于流量的漏洞攻击检测技术大多基于载荷特征模式匹配思想，利用流量中的shellcode特征码检测漏洞攻击，易被规避，且无法检测加密流量。

发明内容

针对当前基于流量检测的漏洞攻击发现方法通常基于载荷特征模式匹配的思想，易被规避，且无法检测加密流量的缺陷和问题，本发明提供一种基于反弹shell行为分析的漏洞攻击检测方法。

本发明解决其技术问题所采用的方案是：一种基于反弹shell行为分析的漏洞攻击检测方法，包括以下步骤：

步骤一、数据预处理：收集原始流量，对收集的原始流量进行解析，然后按照五元组源IP，源端口，目的IP，目的端口，协议将TCP数据双向流合并为一次完整通信会话，并过滤出TCP连接建立阶段的第一个SYN报文及其他传输层有效载荷长度大于0的报文，用于特征提取；

步骤二、特征提取：提取经过数据预处理的会话中每个数据包的五元组、时间戳、包载荷长度传输层信息，并将其存储为.csv文件；然后从时间和空间两个维度对提取的侧信道特征进行信息融合，将最终融合后得到的特征向量作为模型输入；

步骤三、异常检测：将融合后的特征输入训练好的模型识别反弹shell流量，记录会话相关信息；分析shellcode投递阶段和shellcode执行阶段会话的时空关联性，并在shellcode执行阶段反弹shell流量特征分析的基础上根据时空关联特征初步过滤出可疑shellcode投递阶段流量，根据shellcode投递阶段会话特征检测漏洞攻击流量。