[发明专利]一种基于行为检测的反弹shell的检测方法在审
| 申请号: | 201810336200.2 | 申请日: | 2018-04-16 |
| 公开(公告)号: | CN110381009A | 公开(公告)日: | 2019-10-25 |
| 发明(设计)人: | 唐仕强;程度;张福 | 申请(专利权)人: | 北京升鑫网络科技有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 100044 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于行为检测的反弹shell的检测方法,它涉及信息安全技术领域。它的步骤为:(1)获取shell进程创建的时机;(2)检查shell进程的网络连接状态;(3)综合判断网络连接是否属于反弹和进程是否属于shell进程。本发明能够在准确度和实时性上达到更高的程度,减少判断环节,速度快,准确率高,可靠性好,可用性高。 | ||
| 搜索关键词: | 行为检测 反弹 网络连接状态 信息安全技术 可用性 准确度 进程创建 网络连接 综合判断 进程 实时性 检测 准确率 时机 环节 检查 | ||
【主权项】:
1.一种基于行为检测的反弹shell的检测方法,其特征在于,其步骤为:(1)获取shell进程创建的时机:在进程产生时,从系统内核获得通知,在Windows系统下利用驱动从内核获得通知,系统的进程创建通知中带有基本的属性,利用进程的标识符PID,确定系统上的一个进程;获取进程对应的文件路径,利用文件路径判断文件的类型;(2)检查shell进程的网络连接状态:获取一个系统上对外的网络连接通知,网络连接的通知在两个防御的地方得到通知:一个是本机内核系统的通知,本机内核的网络连接通知是利用操心系统内核的功能来实现的;另一个是防火墙的通知,防火墙的通知是利用防火墙的流量过滤机制获得通知;(3)综合判断网络连接是否属于反弹和进程是否属于shell进程:在获取了创建的进程和发生的对外连接的行为后,对该进程和网络连接进行分析,方法是先建立网络连接和进程之间的对应关系,找到进程,然后判断进程是否是Shell进程;如果是Shell进程,则获取进程的标准输入输出的特性,看它们能否和目前的网络连接建立联系,如果能,则说明是反弹Shell。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京升鑫网络科技有限公司,未经北京升鑫网络科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201810336200.2/,转载请声明来源钻瓜专利网。
