[发明专利]一种反弹shell风险判定方法、装置和系统

说明书

本申请公开了一种反弹shell风险判定方法，包括：接收防护中心下发的反弹shell程序，并运行反弹shell程序；利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护，生成防护结果信息；根据防护结果信息，得到风险信息。该方法利用本地预先存储的防护程序对反弹shell程序进行防护，并能够生成防护结果信息，进而可以根据该防护结果信息得到风险信息，可以实现对反弹shell的防护效果进行判定，也可以判定反弹shell是否会对防护系统造成风险，能够提高系统的防护能力。本申请同时还提供了一种反弹shell风险判定装置、系统、防护终端和计算机可读存储介质，具有上述有益效果。

技术领域

本申请涉及计算机技术领域，特别涉及一种反弹shell风险判定方法、装置、系统、防护终端和计算机可读存储介质。

背景技术

反弹shell指的是控制端监听在某TCP/UDP端口，被控端发起请求到该端口，并将其命令行的输入输出转到控制端，控制端由此可以在本地执行远程被控端的shell指令。

相关技术中有很多针对反弹shell进行防御的技术手段，但是没有对防御反弹shell的防护效果进行判定，因此也就无法判定反弹shell是否会对防护系统造成风险。

发明内容

本申请的目的是提供一种反弹shell风险判定方法，实现对反弹shell的防护效果进行判定，也可以判定反弹shell是否会对防护系统造成风险，能够提高系统的防护能力。其具体方案如下：

第一方面，本申请公开了一种反弹shell风险判定方法，包括：

接收防护中心下发的反弹shell程序，并运行所述反弹shell程序；

利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护，生成防护结果信息；

根据所述防护结果信息，得到风险信息。

可选的，所述利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护，生成防护结果信息，包括：

利用本地预先存储的所述防护程序，拦截所述反弹shell程序的运行进程的启动，生成启动结果信息；

根据所述启动结果信息，得到所述防护结果信息。

可选的，根据所述启动结果信息，得到所述防护结果信息，包括：

当所述启动结果信息为启动成功信息时，利用所述防护程序，阻断所述反弹shell程序的运行进程与所述防护中心建立连接，生成连接结果信息；

根据所述连接结果信息，得到所述防护结果信息。

可选的，根据所述连接结果信息，得到所述防护结果信息，包括：

当所述连接结果信息为连接成功信息时，利用所述防护程序，阻断所述反弹shell程序执行所述防护中心下发的shell命令，生成执行结果信息；

根据所述执行结果信息，得到所述防护结果信息。

可选的，在根据所述防护结果信息，得到风险信息之后，还包括：

当所述风险信息包含存在风险的信息时，生成风险告警信息，并将所述风险告警信息发送至所述防护中心，以使所述防护中心根据所述风险告警信息进行防护补充。

可选的，当所述风险信息包含存在风险的信息时，生成风险告警信息，包括：

当所述风险信息包含存在风险的信息时，确定所述防护程序进行防护的防护过程信息；

将所述防护过程信息和所述反弹shell程序作为风险告警信息。

第二方面，本申请公开了一种反弹shell风险判定装置，包括：