CN113139193A - 一种反弹shell风险判定方法、装置和*** - Google Patents
一种反弹shell风险判定方法、装置和*** Download PDFInfo
- Publication number
- CN113139193A CN113139193A CN202110441328.7A CN202110441328A CN113139193A CN 113139193 A CN113139193 A CN 113139193A CN 202110441328 A CN202110441328 A CN 202110441328A CN 113139193 A CN113139193 A CN 113139193A
- Authority
- CN
- China
- Prior art keywords
- protection
- risk
- shell
- information
- program
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种反弹shell风险判定方法,包括:接收防护中心下发的反弹shell程序,并运行反弹shell程序;利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,生成防护结果信息;根据防护结果信息,得到风险信息。该方法利用本地预先存储的防护程序对反弹shell程序进行防护,并能够生成防护结果信息,进而可以根据该防护结果信息得到风险信息,可以实现对反弹shell的防护效果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力。本申请同时还提供了一种反弹shell风险判定装置、***、防护终端和计算机可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及计算机技术领域,特别涉及一种反弹shell风险判定方法、装置、***、防护终端和计算机可读存储介质。
背景技术
反弹shell指的是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,控制端由此可以在本地执行远程被控端的shell指令。
相关技术中有很多针对反弹shell进行防御的技术手段,但是没有对防御反弹shell的防护效果进行判定,因此也就无法判定反弹shell是否会对防护***造成风险。
发明内容
本申请的目的是提供一种反弹shell风险判定方法,实现对反弹shell的防护效果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力。其具体方案如下:
第一方面,本申请公开了一种反弹shell风险判定方法,包括:
接收防护中心下发的反弹shell程序,并运行所述反弹shell程序;
利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息;
根据所述防护结果信息,得到风险信息。
可选的,所述利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息,包括:
利用本地预先存储的所述防护程序,拦截所述反弹shell程序的运行进程的启动,生成启动结果信息;
根据所述启动结果信息,得到所述防护结果信息。
可选的,根据所述启动结果信息,得到所述防护结果信息,包括:
当所述启动结果信息为启动成功信息时,利用所述防护程序,阻断所述反弹shell程序的运行进程与所述防护中心建立连接,生成连接结果信息;
根据所述连接结果信息,得到所述防护结果信息。
可选的,根据所述连接结果信息,得到所述防护结果信息,包括:
当所述连接结果信息为连接成功信息时,利用所述防护程序,阻断所述反弹shell程序执行所述防护中心下发的shell命令,生成执行结果信息;
根据所述执行结果信息,得到所述防护结果信息。
可选的,在根据所述防护结果信息,得到风险信息之后,还包括:
当所述风险信息包含存在风险的信息时,生成风险告警信息,并将所述风险告警信息发送至所述防护中心,以使所述防护中心根据所述风险告警信息进行防护补充。
可选的,当所述风险信息包含存在风险的信息时,生成风险告警信息,包括:
当所述风险信息包含存在风险的信息时,确定所述防护程序进行防护的防护过程信息;
将所述防护过程信息和所述反弹shell程序作为风险告警信息。
第二方面,本申请公开了一种反弹shell风险判定装置,包括:
运行模块,用于接收防护中心下发的反弹shell程序,并运行所述反弹shell程序;
生成模块,用于利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息;
风险信息模块,用于根据所述防护结果信息,得到风险信息。
第三方面,本申请公开了一种反弹shell风险判定***,包括:
防护中心,用于发送反弹shell程序至防护终端;
所述防护终端,用于执行如上述反弹shell风险判定方法的步骤。
第四方面,本申请公开了一种防护终端,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述反弹shell风险判定方法的步骤。
第五方面,本申请公开了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述反弹shell风险判定方法的步骤。
本申请提供一种反弹shell风险判定方法,包括:接收防护中心下发的反弹shell程序,并运行所述反弹shell程序;利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息;根据所述防护结果信息,得到风险信息。
可见,本申请能够利用本地预先存储的防护程序对反弹shell程序进行防护,并能够生成防护结果信息,进而可以根据该防护结果信息得到风险信息,即本申请能够实现对防御反弹shell的防护结果进行判定,避免了相关技术中无法对反弹shell的防护效果进行判定,也无法判定反弹shell是否会对防护***造成风险的缺点,本申请可以实现对反弹shell的防护效果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力。本申请同时还提供了一种反弹shell风险判定装置、***、防护终端和计算机可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例所提供的一种反弹shell风险判定方法的流程图;
图2为本申请实施例所提供的另一种反弹shell风险判定方法的流程图;
图3为本申请实施例所提供的防护中心内部模块示意图;
图4为本申请实施例所提供的防护终端内部模块示意图;
图5为本申请实施例所提供的防护中心内部模块与防护终端的信息交互示意图;
图6为本申请实施例所提供的反弹shell攻击模块、风险检测模块与防护中心的信息交互示意图;
图7为本申请实施例所提供的风险检测模块检测反弹shell的运行进程的流程示意图;
图8为本申请实施例所提供的风险告警模块与防护中心的信息交互示意图;
图9为本申请实施例提供的一种反弹shell风险判定装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
反弹shell指的是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端,控制端由此可以在本地执行远程被控端的shell指令。例如,被控端通过Java进程创建powershell的反弹shell进程,控制端执行ipconfig的命令,控制端可显示被控端IP信息。相关技术中存在很多对反弹shell进行防御的技术手段,但是没有对反弹shell防护效果进行判定的方法,而且反弹shell的防护手段有很多,有的是在反弹shell进程启动阶段进行检测并阻断,效果就是反弹shell进程启动失败;有的就是反弹shell和远程控制终端进行连接的时候,进行检测并阻断,效果就是反弹shell与控制端进行网络连接失败;还有的就是在反弹shell执行shell命令的时候进行检测和阻断,效果就是反弹shell所执行的命令执行失败。
基于上述技术问题,本实施例提供一种反弹shell风险判定方法,可以实现对反弹shell的防护效果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力,具体请参考图1,图1为本申请实施例所提供的一种反弹shell风险判定方法的流程图,具体包括:
S101、接收防护中心下发的反弹shell程序,并运行反弹shell程序。
本实施例并不限定执行主体的具体对象,可以是计算机,可以是服务器,也可以是防护终端。可以理解的是,本实施例中的反弹shell程序即为反弹shell的代码程序,运行该反弹shell程序就会执行对应的反弹shell事件。本实施例并不限定防护中心所在的位置,可以是防护中心与本实施例的执行主体处于同一设备,也可以是分别处于两个不同的设备。
S102、利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,生成防护结果信息。
可以理解的是,本实施例的防护程序是用于防护反弹shell的代码。本实施例利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,可以理解的是,当运行反弹shell程序后,即可进入反弹shell程序的运行进程,也就是执行shell的事件。本实施例并不限定反弹shell程序运行进程的具体状态,可以是启动状态,可以是与防护中心建立连接的状态,还可以是执行shell命令的状态。相应的,本实施例并不限定进行防护的具体操作,可以是对启动反弹shell程序运行进程时进行防护,可以是与防护中心建立连接时进行防护,也可以是执行shell命令时进行防护。本实施例并不限定生成的防护结果信息的具体内容,可以是不同的防护操作的防护成功消息,也可以是不同的防护操作的防护不成功消息。
本实施例并不限定进行防护的具体过程。在一种具体的实施例中,利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,生成防护结果信息,可以包括:
利用本地预先存储的防护程序,拦截反弹shell程序的运行进程的启动,生成启动结果信息;
根据启动结果信息,得到防护结果信息。
即本实施例中是利用防护程序对启动反弹shell程序的运行进程进行拦截的防护操作,生成启动结果信息。本实施例并不限定启动结果信息的具体内容,可以包括启动成功信息或启动失败消息,还可以包括本实施例进行防护的具体操作即拦截反弹shell运行进程启动的信息。当生成启动结果信息后,即可根据启动结果信息,得到防护结果信息。本实施例并不限定根据启动结果信息得到防护结果信息的具体过程,例如,可以是当启动结果信息为反弹shell的运行进程的启动成功信息时,防护结果信息为防护失败信息;当启动结果信息为反弹shell的运行进程的启动未成功信息时,防护结果信息为防护成功信息。
本实施例并不限定当防护未成功后的后续操作。在一种具体的实施例中,根据启动结果信息,得到防护结果信息,可以包括:
当启动结果信息为启动成功信息时,利用防护程序,阻断反弹shell程序的运行进程与防护中心建立连接,生成连接结果信息;
根据连接结果信息,得到防护结果信息。
当对反弹shell的运行进程的启动防护未成功时,也就是启动结果信息为启动成功信息时,本实施例中再利用防护程序来阻断反弹shell程序的运行进程与防护中心建立连接。也就是说本实施例在针对反弹shell的运行进程启动未防护成功的情况下,又对反弹shell程序的运行进程与防护中心建立连接的过程进行防护即阻断,得到连接结果信息。本实施例并不限定连接成果信息的具体内容,可以包括连接成功信息或连接失败消息,还可以包括本实施例进行阻断与防护中心建立连接的信息。本实施例并不限定根据连接结果信息得到防护结果信息的具体过程,例如,可以是当连接结果信息为阻断与防护中心建立连接的连接成功信息时,防护结果信息为防护失败信息;当连接结果信息为阻断与防护中心建立连接的连接未成功信息时,防护结果信息为防护成功信息。
本实施例并不限定当防护未成功后的后续操作。在一种具体的实施例中,根据连接结果信息,得到防护结果信息,可以包括:
当连接结果信息为连接成功信息时,利用防护程序,阻断反弹shell程序执行防护中心下发的shell命令,生成执行结果信息;
根据执行结果信息,得到防护结果信息。
当阻断反弹shell的运行进程与防护中心建立连接的防护未成功时,也就是连接结果信息为连接成功信息时,本实施例中再利用防护程序来阻断反弹shell程序执行防护中心下发的shell命令。也就是说本实施例在针对反弹shell的运行进程启动未防护成功,且对反弹shell程序的运行进程与防护中心建立连接进行阻断未防护成功的情况下,又对反弹shell程序执行防护中心下发的shell命令进行防护即阻断,得到执行结果信息。本实施例并不限定执行成果信息的具体内容,可以包括执行成功信息或执行失败消息,还可以包括本实施例进行阻断反弹shell程序执行shell命令的信息。本实施例并不限定根据执行结果信息得到防护结果信息的具体过程,例如,可以是当执行结果信息为阻断反弹shell程序执行shell命令的执行成功信息时,防护结果信息为防护失败信息;当执行结果信息为阻断反弹shell程序执行shell命令的执行未成功信息时,防护结果信息为防护成功信息。
S103、根据防护结果信息,得到风险信息。
本实施例并不限定风险信息的具体内容,可以包含存在风险的消息和不存在风险的消息,还可以包括对应的防护操作,还可以包括其他内容。例如,可以是当防护结果信息为防护未成功消息时,风险信息可以是阻断反弹shell程序执行防护中心下发的shell命令未成功,存在风险的消息;还可以是当防护结果信息为防护成功消息时,风险信息可以是阻断反弹shell程序执行防护中心下发的shell命令成功,不存在风险的消息。
基于上述技术方案,本实施例利用本地预先存储的防护程序对反弹shell程序进行防护,并能够生成防护结果信息,进而可以根据该防护结果信息得到风险信息,即本申请能够实现对防御反弹shell的防护结果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力。
基于上述实施例,为了能够有效的提高***的防护能力,本实施例提供一种反弹shell风险判定方法,具体请参考图2,图2为本申请实施例所提供的另一种反弹shell风险判定方法的流程图,包括:
S201、接收防护中心下发的反弹shell程序,并运行反弹shell程序。
S202、利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,生成防护结果信息。
S203、根据防护结果信息,得到风险信息。
步骤S201至S203可参考上述实施例,本实施例不再进行赘述。
S204、当风险信息包含存在风险的信息时,生成风险告警信息,并将风险告警信息发送至防护中心,以使防护中心根据风险告警信息进行防护补充。
本实施例在风险信息为包含风险的消息时,生成了风险告警信息。本实施例并不限定风险告警信息的具体内容,可以包含对应的反弹shell程序,可以包含进行防护的过程操作信息即防护过程信息。当生成风险告警信息后,还将该风险告警信息发送到防护中心,防护中心可以根据风险告警信息的内容进行防护补充。
本实施例并不限定生成风险告警信息的具体过程。在一种具体的实施例中,当风险信息包含存在风险的信息时,生成风险告警信息,可以包括:
当风险信息包含存在风险的信息时,确定防护程序进行防护的防护过程信息;
将防护过程信息和反弹shell程序作为风险告警信息。
本实施例中在风险信息包含存在风险的信息时,确定了防护程序进行防护的防护过程信息。可以理解的是,防护过程信息即为利用防护程序阻断反弹shell程序的运行进程的操作。例如,可以是对启动反弹shell程序的运行进程进行阻断;当未阻断成功时,再对反弹shell程序的运行进程与防护中心建立连接的过程进行阻断;当未阻断成功时,再对反弹shell程序执行shell命令进行阻断。本实施例并不限定防护过程信息的具体内容,根据实际的防护操作而定。本实施例中将防护过程信息和反弹shell程序作为风险告警信息,防护中心可根据风险告警信息的具体内容进行防护补充,能够有效的提高***的防护能力。
基于上述技术方案,本实施例利用本地预先存储的防护程序对反弹shell程序进行防护,并能够生成防护结果信息,进而可以根据该防护结果信息得到风险信息,可以实现对反弹shell的防护效果进行判定,也可以判定反弹shell是否会对防护***造成风险,能够提高***的防护能力,进一步还可以根据风险告警信息,对无法防护的反弹shell进行防护补充。
下面提供一种反弹shell风险判定方法及***的具体实施例。包括两个部分,一个是防护中心,包含反弹shell配置模块、反弹shell控制模块、告警展示模块,如图3所示;一个是防护终端,包含反弹shell攻击模块,风险检测模块,风险告警模块,如图4所示。
1、防护中心
反弹shell配置模块,用于配置进行攻击测试的反弹shell程序,并下发给防护终端;
反弹shell控制模块,用于创建反弹shell的远程控制服务,对反弹shell的运行进程是否连接到该控制服务进行监控,并可以通过反弹shell所建立的通道下发用于测试的shell命令;
告警展示模块,用于接收防护终端所检测出无法防护的反弹shell程序的风险告警信息,如图5所示。
2、防护终端
反弹shell攻击模块,用于接受防护中心所配置进行攻击测试的反弹shell程序,并运行该反弹shell程序,同时通知风险检测模块对该反弹shell程序进行检测,如图6所示;
风险检测模块,用于对运行的反弹shell程序进行监控,首先监控反弹shell程序的运行进程是否启动成功。如果启动失败,则表示本地存储的防护程序对该类反弹shell即反弹shell程序防护有效,反弹shell的运行进程已经被防护程序终止运行,无风险。如果运行进程启动成功,那么再请求防护中心的反弹shell控制模块,确认防护中心的反弹shell控制服务是否与该反弹shell的运行进程建立了连接。如果建立连接失败,则表示防护程序对该类反弹shell防护有效,反弹shell的远程连接创建被防护程序阻断,无风险。如果连接建立成功,那么在防护中心控制服务发起执行shell命令,观测shell命令结果是否执行成功。如果执行失败,则表示防护程序对该类反弹shell防护有效,反弹shell的执行命令的行为被防护程序阻断,无风险;如果执行成功,则代表防护程序对该类反弹shell防护无效,存在风险,如图7所示。
其中,Shell命令的执行结果是否成功判定说明可以是,比如下发一个创建文件的shell命令,那么观测文件是否创建成功,文件创建成功则代表shell命令执行成功,反之则shell命令执行失败。
风险告警模块,用于将无法防护的反弹shell程序以及完整的检测流程即防护过程信息发送给防护中心,如图8所示。
下面对本申请实施例提供的一种反弹shell风险判定装置进行介绍,下文描述的反弹shell风险判定装置与上文描述的反弹shell风险判定方法可相互对应参照,相关模块均设置于中,参考图9,图9为本申请实施例所提供的一种反弹shell风险判定装置的结构示意图,包括:
在一些具体的实施例中,具体包括:
运行模块901,用于接收防护中心下发的反弹shell程序,并运行反弹shell程序;
生成模块902,用于利用本地预先存储的防护程序对反弹shell程序的运行进程进行防护,生成防护结果信息;
风险信息模块903,用于根据防护结果信息,得到风险信息。
在一些具体的实施例中,生成模块902,包括:
拦截子模块,用于利用本地预先存储的防护程序,拦截反弹shell程序的运行进程的启动,生成启动结果信息;
防护结果信息子模块,用于根据启动结果信息,得到防护结果信息。
在一些具体的实施例中,防护结果信息子模块,包括:
阻断单元,用于当启动结果信息为启动成功信息时,利用防护程序,阻断反弹shell程序的运行进程与防护中心建立连接,生成连接结果信息;
防护结果信息单元,用于根据连接结果信息,得到防护结果信息。
在一些具体的实施例中,防护结果信息单元,包括:
阻断子单元,用于当连接结果信息为连接成功信息时,利用防护程序,阻断反弹shell程序执行防护中心下发的shell命令,生成执行结果信息;
防护结果信息子单元,用于根据执行结果信息,得到防护结果信息。
在一些具体的实施例中,还包括:
风险告警信息模块,用于当风险信息包含存在风险的信息时,生成风险告警信息,并将风险告警信息发送至防护中心,以使防护中心根据风险告警信息进行防护补充。
在一些具体的实施例中,风险告警信息模块,包括:
确定单元,用于当风险信息包含存在风险的信息时,确定防护程序进行防护的防护过程信息;
风险告警信息单元,用于将防护过程信息和反弹shell程序作为风险告警信息。
由于反弹shell风险判定装置部分的实施例与反弹shell风险判定方法部分的实施例相互对应,因此反弹shell风险判定装置部分的实施例请参见反弹shell风险判定方法部分的实施例的描述,这里暂不赘述。
本申请还公开一种反弹shell风险判定***,包括:
防护中心,用于发送反弹shell程序至防护终端;
防护终端,用于执行如上述反弹shell风险判定方法的步骤。
由于反弹shell风险判定***部分的实施例与反弹shell风险判定方法部分的实施例相互对应,因此反弹shell风险判定***部分的实施例请参见反弹shell风险判定方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种防护终端进行介绍,下文描述的防护终端与上文描述的方法可相互对应参照。
本申请还公开一种防护终端,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述反弹shell风险判定方法的步骤。
由于防护终端部分的实施例与方法部分的实施例相互对应,因此防护终端部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
下面对本申请实施例提供的一种计算机可读存储介质进行介绍,下文描述的计算机可读存储介质与上文描述的反弹shell风险判定方法可相互对应参照。
本申请还公开一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述反弹shell风险判定方法的步骤。
由于计算机可读存储介质部分的实施例与反弹shell风险判定方法部分的实施例相互对应,因此计算机可读存储介质部分的实施例请参见反弹shell风险判定方法部分的实施例的描述,这里暂不赘述。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本申请所提供的一种反弹shell风险判定方法、装置、***、防护终端及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
Claims (10)
1.一种反弹shell风险判定方法,其特征在于,包括:
接收防护中心下发的反弹shell程序,并运行所述反弹shell程序;
利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息;
根据所述防护结果信息,得到风险信息。
2.根据权利要求1所述的反弹shell风险判定方法,其特征在于,所述利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息,包括:
利用本地预先存储的所述防护程序,拦截所述反弹shell程序的运行进程的启动,生成启动结果信息;
根据所述启动结果信息,得到所述防护结果信息。
3.根据权利要求2所述的反弹shell风险判定方法,其特征在于,根据所述启动结果信息,得到所述防护结果信息,包括:
当所述启动结果信息为启动成功信息时,利用所述防护程序,阻断所述反弹shell程序的运行进程与所述防护中心建立连接,生成连接结果信息;
根据所述连接结果信息,得到所述防护结果信息。
4.根据权利要求3所述的反弹shell风险判定方法,其特征在于,根据所述连接结果信息,得到所述防护结果信息,包括:
当所述连接结果信息为连接成功信息时,利用所述防护程序,阻断所述反弹shell程序执行所述防护中心下发的shell命令,生成执行结果信息;
根据所述执行结果信息,得到所述防护结果信息。
5.根据权利要求1至4任一项所述的反弹shell风险判定方法,其特征在于,在根据所述防护结果信息,得到风险信息之后,还包括:
当所述风险信息包含存在风险的信息时,生成风险告警信息,并将所述风险告警信息发送至所述防护中心,以使所述防护中心根据所述风险告警信息进行防护补充。
6.根据权利要求5所述的反弹shell风险判定方法,其特征在于,当所述风险信息包含存在风险的信息时,生成风险告警信息,包括:
当所述风险信息包含存在风险的信息时,确定所述防护程序进行防护的防护过程信息;
将所述防护过程信息和所述反弹shell程序作为风险告警信息。
7.一种反弹shell风险判定装置,其特征在于,包括:
运行模块,用于接收防护中心下发的反弹shell程序,并运行所述反弹shell程序;
生成模块,用于利用本地预先存储的防护程序对所述反弹shell程序的运行进程进行防护,生成防护结果信息;
风险信息模块,用于根据所述防护结果信息,得到风险信息。
8.一种反弹shell风险判定***,其特征在于,包括:
防护中心,用于发送反弹shell程序至防护终端;
所述防护终端,用于执行如权利要求1至6任一项所述反弹shell风险判定方法的步骤。
9.一种防护终端,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至6任一项所述反弹shell风险判定方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述反弹shell风险判定方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110441328.7A CN113139193A (zh) | 2021-04-23 | 2021-04-23 | 一种反弹shell风险判定方法、装置和*** |
| PCT/CN2021/100292 WO2022222255A1 (zh) | 2021-04-23 | 2021-06-16 | 一种反弹shell风险判定方法、装置和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110441328.7A CN113139193A (zh) | 2021-04-23 | 2021-04-23 | 一种反弹shell风险判定方法、装置和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113139193A true CN113139193A (zh) | 2021-07-20 |
Family
ID=76812472
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110441328.7A Pending CN113139193A (zh) | 2021-04-23 | 2021-04-23 | 一种反弹shell风险判定方法、装置和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113139193A (zh) |
| WO (1) | WO2022222255A1 (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001009792A2 (en) * | 1999-07-30 | 2001-02-08 | Accenture Llp | A system, method and article of manufacture for an e-commerce based user framework design for maintaining user preferences, roles and details |
| CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
| CN110166420A (zh) * | 2019-03-28 | 2019-08-23 | 江苏通付盾信息安全技术有限公司 | 反弹shell阻断方法及装置 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN111049782A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 反弹式网络攻击的防护方法、装置、设备、*** |
| CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和*** |
| CN111988302A (zh) * | 2020-08-14 | 2020-11-24 | 苏州浪潮智能科技有限公司 | 一种检测反弹程序的方法、***、终端及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8819655B1 (en) * | 2007-09-17 | 2014-08-26 | Symantec Corporation | Systems and methods for computer program update protection |
| CN107423622B (zh) * | 2017-07-04 | 2020-04-28 | 上海高重信息科技有限公司 | 一种检测和防范反弹shell的方法和*** |
| CN110138727A (zh) * | 2019-03-28 | 2019-08-16 | 江苏通付盾信息安全技术有限公司 | 反弹shell网络连接的信息查找方法及装置 |
| CN109995794B (zh) * | 2019-04-15 | 2021-09-17 | 深信服科技股份有限公司 | 一种安全防护***、方法、设备及存储介质 |
-
2021
- 2021-04-23 CN CN202110441328.7A patent/CN113139193A/zh active Pending
- 2021-06-16 WO PCT/CN2021/100292 patent/WO2022222255A1/zh active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001009792A2 (en) * | 1999-07-30 | 2001-02-08 | Accenture Llp | A system, method and article of manufacture for an e-commerce based user framework design for maintaining user preferences, roles and details |
| CN104796405A (zh) * | 2015-03-18 | 2015-07-22 | 深信服网络科技(深圳)有限公司 | 反弹连接检测方法和装置 |
| CN110381009A (zh) * | 2018-04-16 | 2019-10-25 | 北京升鑫网络科技有限公司 | 一种基于行为检测的反弹shell的检测方法 |
| CN111049782A (zh) * | 2018-10-12 | 2020-04-21 | 北京奇虎科技有限公司 | 反弹式网络攻击的防护方法、装置、设备、*** |
| CN110166420A (zh) * | 2019-03-28 | 2019-08-23 | 江苏通付盾信息安全技术有限公司 | 反弹shell阻断方法及装置 |
| CN111651754A (zh) * | 2020-04-13 | 2020-09-11 | 北京奇艺世纪科技有限公司 | 入侵的检测方法和装置、存储介质、电子装置 |
| CN111988302A (zh) * | 2020-08-14 | 2020-11-24 | 苏州浪潮智能科技有限公司 | 一种检测反弹程序的方法、***、终端及存储介质 |
| CN111931166A (zh) * | 2020-09-24 | 2020-11-13 | 中国人民解放军国防科技大学 | 基于代码注入和行为分析的应用程序防攻击方法和*** |
Non-Patent Citations (1)
| Title |
|---|
| 张昊: "基于语义分析和神经网络的WebShell检测方法", 《网络空间安全》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2022222255A1 (zh) | 2022-10-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639712B (zh) | 一种防护ddos攻击的方法及*** | |
| CN107395632B (zh) | SYN Flood防护方法、装置、清洗设备及介质 | |
| CN110247897B (zh) | 一种***登录方法、设备、网关及计算机可读存储介质 | |
| CN102882676A (zh) | 物联网设备端安全接入方法及*** | |
| CN107666470B (zh) | 一种验证信息的处理方法及装置 | |
| CN114422139B (zh) | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 | |
| CN115147956B (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN112187533A (zh) | 一种虚拟网络设备防御方法、装置、电子设备和介质 | |
| CN108667826B (zh) | 一种基于四模异构冗余处理器的调度装置和调度方法 | |
| CN110740163A (zh) | 幂等性控制方法、装置、电子设备及可读存储介质 | |
| CN110309645A (zh) | 一种对api进行安全防护的方法、设备和*** | |
| CN113139193A (zh) | 一种反弹shell风险判定方法、装置和*** | |
| CN105574410A (zh) | 一种应用程序的安全检测方法及装置 | |
| JP2019152912A (ja) | 不正通信対処システム及び方法 | |
| CN109842587B (zh) | 监测***安全的方法和装置 | |
| KR20180028246A (ko) | 스미싱 메시지 검출 방법 및 이를 수행하는 단말과 검증 서버 | |
| CN111400706B (zh) | 一种病毒防御方法、装置、设备及存储介质 | |
| CN108989298A (zh) | 一种设备安全监控方法和装置 | |
| CN104580135A (zh) | 一种基于uefi的终端实时控制***和方法 | |
| CN113412603B (zh) | 隐私合规检测方法及相关产品 | |
| CN110995756A (zh) | 调用服务的方法和装置 | |
| CN109617893A (zh) | 一种僵尸网络DDoS攻击的防护方法、装置及存储介质 | |
| CN114640525B (zh) | 针对WEB服务的DDoS攻击的保护方法、装置和设备 | |
| CN108540440A (zh) | Ddos攻击解决方法、服务器及计算机可读存储介质 | |
| CN113794674B (zh) | 用于检测邮件的方法、装置和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210720 |