[发明专利]docker容器内反弹shell的检测方法和系统

说明书

本发明公开了一种docker容器内反弹shell的检测方法和系统，其中docker容器内反弹shell进程检测的方法包括：开启内核审计组件服务，内核审计组件服务用于记录审计记录；在审计记录中查找shell进程；判断审计记录中是否存在shell进程的重定向连接，若是，则确定shell进程为反弹shell进程；判断反弹shell进程是否为docker容器内进程，若是，则确定反弹shell进程为docker容器内反弹shell进程。本发明实现一种更彻底、更准确、更实时的docker容器内反弹shel检测机制。

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种docker容器内反弹shell的检测方法和系统、电子设备以及存储介质。

背景技术

目前互联网环境下，容器已经渐渐成为主流趋势，针对docker(一种系统容器)容器的攻击也层出不穷。

目前市场上的安全产品中，对于docker容器内的反弹shell(操作系统最外面的一层命令行程序)检测还存在一定的难度，现有的检测方案也存在漏报及误报的情况。一个是无法实时获取bash(由GUN(目标是创建一套完全自由的操作系统)开发的shell)进程的启动，另一个是无法得到底层的进程调用，使用hook(钩子函数)方式对系统侵入太高，在实际场景中不太适用。

目前市面上的开源产品ossec(一种入侵检测系统)、以及商业产品HIDS(基于主机型入侵检测系统)，均不能较好的实现docker容器内攻击的检测，尤其在反弹shell检测这一部分。

发明内容

本发明要解决的技术问题是为了克服现有技术中docker容器内的反弹shell检测效果不好的缺陷，提供一种docker容器内反弹shell的检测方法和系统、电子设备以及存储介质。

本发明是通过下述技术方案来解决上述技术问题：

一种docker容器内反弹shell的检测方法，所述docker容器内反弹shell进程检测的方法包括：

开启内核审计组件服务，所述内核审计组件服务用于记录审计记录；

在所述审计记录中查找shell进程；

判断所述审计记录中是否存在所述shell进程的重定向连接，若是，则确定所述shell进程为反弹shell进程；

判断所述反弹shell进程是否为docker容器内进程，若是，则确定所述反弹shell进程为所述docker容器内反弹shell进程。

优选地，所述docker容器内反弹shell进程检测的方法还包括：

当判断所述审计记录中是否存在所述shell进程的重定向连接的判断结果为否时，判断所述shell进程的父进程是否存在重定向连接，若是，则确定所述shell进程为反弹shell进程。

优选地，所述审计记录记录有docker容器内进程树，所述判断所述反弹shell进程是否为docker容器内进程的步骤包括：

判断所述反弹shell进程是否在所述docker容器内进程树中；

和/或，

确定所述反弹shell进程为所述docker容器内反弹shell进程的步骤之后还包括：

根据所述docker容器内反弹shell进程生成反弹报警事件。

优选地，在所述审计记录中查找shell进程的步骤包括：

在所述审计记录中查找bash shell进程；

所述判断所述审计记录中是否存在所述shell进程的重定向连接的步骤包括：