[发明专利]一种检测和防范反弹shell的方法和系统

说明书

本发明涉及一种检测和防范反弹shell的方法，具体包括如下步骤：步骤1，捕获执行shell程序的动作；步骤2，检测shell程序进程是否带终端属性；如果shell程序进程不带终端属性，说明这是一个反弹shell；判定是反弹shell后，向反弹shell进程发出终止信号，杀死进程；步骤3，直至终止反弹shell。本发明不进行后门程序文件本体的查杀，也不使用识别webshell和反弹木马的技术。因此，没有变形脚本和木马的干扰，也不用担心因未能将它们与系统和正常程序行为区分开来而导致误报误杀。

技术领域

本发明涉及互联网安全技术领域，尤其涉及一种检测和防范反弹shell的方法和系统。

背景技术

webshell是黑客入侵网站服务器的常用手段。在使用webshell对Linux网站服务器进行入侵提权的过程中，如果直接在webshell中执行漏洞利用程序，由于缺少可交互的环境，不能连续执行命令，即使提权成功也无法利用。因此，黑客首先要反弹一个shell命令行窗口，从而获得一个类似于合法登录的交互操作终端，然后在shell终端下执行漏洞利用程序进行提权，将自己的权限从普通用户权限提升到超级特权用户权限。提权成功后，以超级特权用户的身份，继续在shell终端下执行后继攻击命令。

现有的安全技术方案中，关注点主要集中在对后门程序文件本体的查杀，即对webshell的查杀，和对反弹木马的查杀。防御的思路是发现并清除webshell和反弹木马，使黑客不能够再通过webshell和反弹木马实施攻击。

在webshell查杀方面，相关的专利及申请有“201210498079.6一种基于页面关系检测webshell的方法及系统”(已授权)，“201310423483.1一种WebShell的检测方法及系统”，“201310691213.9一种本地模拟请求辅助查找webshell的方法及系统”，“201410107975.4一句话脚本后门和PHP变量函数后门免疫安全服务”，“201410780733.1一种基于强制访问控制机制的webshell防范方法”，“201410781906.1一种基于域内页面关联关系检测webshell页面的方法及装置”，“201410844124.8一种WebShell检测方法及电子设备”，“201510213186.3一种用于Webshell的检测方法”，“201510305411.6一种Web服务器中的WebShell文件的检测方法”，“201510496802.0一种webshell检测方法及装置”，“201610531622.6一种webshell的检测方法和检测系统”等。

正如“201510528712.5webshell变形的静态检测方法和装置”的标题所表达的，webshell具有易变形难检测的特点。“201510363767.5基于云的webshell攻击检测方法、装置及网关”提出了基于云的检测方法。“201310638232.5脚本行为关联防御系统”提出了在webshell执行过程中，记录脚本行为和线程关联信息，并判断其过程是否正常的原则，但难点恰恰是该如何判断正常还是异常。

在反弹木马查杀方面，相关的专利及申请有“200910086193.6一种基于网络的反弹端口型木马的检测方法”(已授权)，“201110429663.1一种反弹式木马的检测方法和系统”(已授权)，“201210562997.0一种反弹式木马的检测方法”(已授权)，“201310408125.3反弹木马控制端网络行为功能重建的方法及系统”(已授权)，“201510119824.5反弹连接检测方法和装置”、“201510172291.7基于反弹端口木马的互联审计方法”、“201510585555.1一种针对内网端口反弹型木马的防范方法”等。它们意图通过跟踪和建立网络会话的行为特征，来区分正常的连接和反弹的连接，进而定位反弹木马。

webshell查杀和反弹木马查杀的难点，在于识别变形的脚本和木马，以及如何将它们与类似的系统和正常程序行为区分开来。

发明内容