[发明专利]一种基于行为检测的反弹shell的检测方法

说明书

本发明公开了一种基于行为检测的反弹shell的检测方法，它涉及信息安全技术领域。它的步骤为：(1)获取shell进程创建的时机；(2)检查shell进程的网络连接状态；(3)综合判断网络连接是否属于反弹和进程是否属于shell进程。本发明能够在准确度和实时性上达到更高的程度，减少判断环节，速度快，准确率高，可靠性好，可用性高。

技术领域

本发明涉及的是信息安全技术领域，具体涉及一种基于行为检测的反弹shell的检测方法。

背景技术

反弹shell技术是反弹木马的一种，但是存在着重大的差别，区别是攻击者不需要在内网安装特别的木马程序就可以利用漏洞启动系统上的shell程序来对内网机器进行操纵的方法。反弹木马中的木马是一个特定的程序，但是反弹shell对应的程序是一个可以执行脚本的正常程序，攻击者利用的是脚本来攻击，攻击者使用反弹shell来从外部顺利进入到系统内部，并执行各种操作；由于反弹shell的网络动作上的反弹特点和脚本性质使之无法归结于恶意软件和病毒来处理，历来一直很少有针对这种行为的检测。在网络攻击方面，反弹shell的方法大量使用，是攻击者手中一个比较重要的武器，在系统攻击行为中具有普遍性。系统的安全取决于攻击行为能否早期发现，对于反弹木马，目前已经有很多检测方法可以来发现和阻止，大多数的检测对象是利用网络特征进行的。

在反弹木马查杀方面，相关的专利和申请有：中国发明专利申请号201110429663.1公开的一种反弹式木马的检测方法和系统，中国发明专利申请号201210562997.0公开的一种反弹式木马的检测方法，中国发明专利申请号201310408125.3公开的反弹木马控制端网络行为功能重建的方法及系统，201510172291.7公开的基于反弹端口木马的互联审计方法，“201510585555.1公开的一种针对内网端口反弹型木马的防范方法；上述方法的特点是针对木马程序本身或者反弹的网络连接进行判断，判断有网络连接的程序是否合法。

在反弹shell检测方面，相关的专利申请有：中国发明专利申请号201710540141.6公开的一种检测和防范反弹shell的方法和系统，此发明的特点是不对网络链接和程序本身做任何判断，直接判断程序的终端属性进行检测。

总而言之，目前反弹木马查杀使用的方法可以归类为两种类型，一种是基于对木马文件进行检测的技术，或者使用病毒检测，或者使用黑白名单等等；另外一种方法是针对网络链接进行安全属性上的判断。这两种方法的特点都是需要有学习的过程，或者需要大量的安全数据作为后端的支持，如果需要安全数据的支持，就无法抵御零日漏洞和攻击。而目前的反弹shell检测方法也存在比较大的问题，判断程序的终端属性通常只能用于特定的场景下，比如webshell检测，如果在其他环境下，终端属性的判断方法就会面临正常程序和行为的程序的终端属性符合异常判断的条件，导致误报，误报多而无法处理，最后失去可用性。基于此，设计一种基于行为检测的反弹shell的检测方法尤为必要。

发明内容

针对现有技术上存在的不足，本发明目的是在于提供一种基于行为检测的反弹shell的检测方法，能够在准确度和实时性上达到更高的程度，可用性高，易于推广使用。

为了实现上述目的，本发明是通过如下的技术方案来实现：一种基于行为检测的反弹shell的检测方法，其步骤为：

(1)获取shell进程创建的时机：

在进程产生时，从系统内核获得通知，在Windows系统下利用驱动从内核获得通知，系统的进程创建通知中带有基本的属性，利用进程的标识符PID，确定系统上的一个进程；获取进程对应的文件路径，利用文件路径判断文件的类型；

(2)检查shell进程的网络连接状态：