[发明专利]一种检测反弹Shell进程的方法、系统及设备

权利要求书

1.一种检测反弹Shell进程的方法，其特征在于，所述方法包括：

扫描已存在进程，将所述已存在进程作为待检测进程，并获取所述已存在进程的相关信息，实时监测OP_ADD事件和OP_MOD事件的触发，当存在所述OP_MOD事件被触发时或所述OP_ADD事件的累计触发次数达到四次时，则确定出现新创建进程，将所述新创建进程作为待检测进程，并获取所述新创建进程的相关信息；

判断所述待检测进程的进程执行路径是否能与第一预设正则表达式匹配，将所述待检测进程分为交互式Shell进程和非交互式Shell进程；

根据分类类别分别检测所述待检测进程是否为反弹Shell进程，具体为当所述待检测进程为交互式Shell进程，其标准输入、输出均为网络连接对象时，判断网络连接对象是否为通过本地套接字实现的；

当所述待检测进程为交互式Shell进程，其标准输入、输出均为字符设备时，判断所述待检测进程的标准输入、输出是否为同一个字符设备，且该字符设备是否为从伪终端；

当所述待检测进程为交互式Shell进程，其标准输入为管道连接对象时，判断待检测进程的父进程有至少两个子进程；

当所述待检测进程的标准输入、输出为除上述交互式Shell进程之外的情况，或所述待检测进程为非交互式Shell进程时，判断所述待检测进程的进程命令是否能与第二预设正则表达式匹配；

如果所述待检测进程为反弹Shell进程，则判断是否为重复出现的反弹Shell进程；

如果检测出的反弹Shell进程为重复出现的反弹Shell进程，则对重复出现的反弹Shell进程进行过滤；

如果检测出的反弹Shell进程为非重复出现的反弹Shell进程，则上报非重复出现的反弹Shell进程。

2.如权利要求1所述的一种检测反弹Shell进程的方法，其特征在于，

所述已存在进程或所述新创建进程的相关信息包括：进程名称、进程执行路径、执行进程的完整命令、进程开始时间、进程ID、父进程ID、进程用户信息、父进程用户信息以及进程标准输入、输出信息。

3.如权利要求2所述的一种检测反弹Shell进程的方法，其特征在于，对待检测进程进行分类，包括：

当所述待检测进程为交互式Shell进程时，根据所述进程标准输入、输出信息将所述交互式Shell进程分为第一交互式Shell进程、第二交互式Shell进程、第三交互式Shell进程、第四交互式Shell进程；

其中，第一交互式Shell进程的标准输入、输出均为网络连接对象，第二交互式Shell进程的标准输入、输出均为字符设备，第三交互式Shell进程的标准输入为管道连接对象，第四交互式Shell进程的标准输入、输出为除所述第一交互式Shell进程、所述第二交互式Shell进程、所述第三交互式Shell进程之外的情况。

4.如权利要求1所述的一种检测反弹Shell进程的方法，其特征在于，

如果所述待检测进程的进程执行路径未能与第一预设正则表达式匹配，则所述待检测进程为非交互式Shell进程；

如果所述待检测进程的进程执行路径能与第一预设正则表达式匹配，则判断所述待检测进程的执行参数中是否有“-c”；

如果所述待检测进程的执行参数中有“-c”，则所述待检测进程为非交互式Shell进程；

如果所述待检测进程的执行参数中没有“-c”，则判断所述待检测进程的执行参数中是否有以“.sh”结尾的参数；

如果所述待检测进程的执行参数中有以“.sh”结尾的参数，则所述待检测进程为非交互式Shell进程；

如果所述待检测进程的执行参数中没有以“.sh”结尾的参数，则判断所述待检测进程的不以“-”开头的参数的进程执行路径是否为磁盘文件路径；

如果所述待检测进程的不以“-”开头的参数的进程执行路径为磁盘文件路径，则所述待检测进程为非交互式Shell进程；

如果所述待检测进程的不以“-”开头的参数的进程执行路径不是磁盘文件路径，则所述待检测进程为交互式Shell进程。