反向shell进程检测方法及装置、电子设备、计算机存储介质和程序产品制造方法及图纸

本发明专利技术提出了一种反向shell进程检测方法及装置、电子设备、计算机存储介质和程序产品，该方法包括：获取目标进程的进程信息；基于所述进程信息和初始化图结构，生成目标有向图；确定所述目标有向图中的目标环路的状态；根据所述目标环路的状态，确定所述目标进程是否为反向shell进程。通过本发明专利技术的技术方案，有助于快速识别和检测大量的反向shell进程，提升了反向shell进程的检测效率和准确性。反向shell进程的检测效率和准确性。反向shell进程的检测效率和准确性。

【技术实现步骤摘要】
反向shell进程检测方法及装置、电子设备、计算机存储介质和程序产品


[0001]本专利技术涉及计算机
，尤其涉及一种反向shell进程检测方法及装置、电子设备、计算机存储介质和程序产品。

技术介绍

[0002]随着科技发展，计算机的安全隐患频出，反向shell也成为其中之一。反向shell的工作方式是远程计算机将自己的shell发送给特定的用户，而这一特点往往被非法对象用作对计算机的入侵。对此，相关技术中可通过采集目标进程的特征来判断其是否为反向shell进程，但这种判断方式依据单一，检测的准确性低下。
[0003]因此，如何准确可靠地检测出反向shell进程，成为目前亟待解决的技术问题。

技术实现思路

[0004]本专利技术实施例提供了一种反向shell进程检测方法及装置、电子设备、计算机存储介质和程序产品，旨在解决相关技术中反向shell进程检测准确性不足的技术问题。
[0005]第一方面，本专利技术实施例提供了一种反向shell进程检测方法，包括：获取目标进程的进程信息；基于所述进程信息和初始化图结构，生成目标有向图；确定所述目标有向图中的目标环路的状态；根据所述目标环路的状态，确定所述目标进程是否为反向shell进程。
[0006]在本专利技术上述实施例中，可选地，所述目标环路的状态包括：存在目标环路和不存在目标环路；所述根据所述目标环路的状态，确定所述目标进程是否为反向shell进程的步骤，包括：若所述目标有向图中存在目标环路，则判断所述目标环路的名称是否与指定的shell名称相关；若相关，确定所述目标进程为反向shell进程。
[0007]在本专利技术上述实施例中，可选地，所述基于所述进程信息和初始化图结构，生成目标有向图的步骤，包括：将所述进程信息添加至所述初始化图结构中，得到中间图结构；按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图。
[0008]在本专利技术上述实施例中，可选地，所述将所述进程信息添加至所述初始化图结构中，得到中间图结构的步骤，包括：对于每个所述目标进程，若所述目标进程中所述文件描述符的指向文件的模式值为管道类型或socket类型，则以所述目标进程作为所述初始化图结构的一个节点，将所述目标进程的所述进程信息设置为所述节点的节点属性信息，得到所述中间图结构。
[0009]在本专利技术上述实施例中，可选地，所述目标进程的进程信息包括：所述目标进程的进程标识符、所述目标进程中文件描述符的值、所述文件描述符的指向文件的索引节点号以及所述文件描述符的指向文件的模式值。
[0010]在本专利技术上述实施例中，可选地，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：基于所述中间图结构中每个节点的所
述节点属性信息以及所述预设规则，在所述中间图结构中选择目标节点，并将所述目标节点进行有向连接处理，得到所述目标有向图。
[0011]在本专利技术上述实施例中，可选地，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符不同，在所述第一节点的文件描述符为标准输入，所述第二节点的文件描述符非标准输入，且所述第一节点和所述第二节点中所述文件描述符的指向文件的索引节点号相同时，为所述第一节点和所述第二节点建边；在所述第一节点的文件描述符为标准输出或标准错误，所述第一节点和所述第二节点中所述文件描述符的指向文件的索引节点号相同，且所述第二节点的文件描述符非标准输出和非标准错误时，为所述第一节点和所述第二节点建边；其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输入的一个节点指向所述文件描述符的值为标准输入的另一个节点。
[0012]在本专利技术上述实施例中，可选地，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符相同，在所述第一节点的文件描述符为标准输入，且所述第二节点的文件描述符非标准输入的情况下，为所述第一节点和所述第二节点建边，其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输入的一个节点指向所述文件描述符的值为标准输入的另一个节点。
[0013]在本专利技术上述实施例中，可选地，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符相同，在所述第一节点的文件描述符为标准输出或标准错误，且所述第二节点的文件描述符非标准输出和非标准错误的情况下，为所述第一节点和所述第二节点建边，其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输出和非标准错误的一个节点指向所述文件描述符的值为标准输出或标准错误的另一个节点。
[0014]第二方面，本专利技术实施例提供了一种反向shell进程检测装置，包括：进程信息获取单元，用于获取目标进程的进程信息；目标有向图生成单元，用于基于所述进程信息和初始化图结构，生成目标有向图；环路状态确定单元，用于确定所述目标有向图中的目标环路的状态；反向shell确定单元，用于根据所述目标环路的状态，确定所述目标进程是否为反向shell进程。
[0015]在本专利技术上述实施例中，可选地，所述目标环路的状态包括：存在目标环路和不存在目标环路；所述反向shell确定单元用于：若所述目标有向图中存在目标环路，则判断所述目标环路的名称是否与指定的shell名称相关，若相关，确定所述目标进程为反向shell进程。
[0016]在本专利技术上述实施例中，可选地，所述目标有向图生成单元包括：中间图结构生成单元，用于将所述进程信息添加至所述初始化图结构中，得到中间图结构；节点连接单元，用于按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图。
[0017]在本专利技术上述实施例中，可选地，所述中间图结构生成单元用于：对于每个所述目标进程，若所述目标进程中所述文件描述符的指向文件的模式值为管道类型或socket类
型，则以所述目标进程作为所述初始化图结构的一个节点，将所述目标进程的所述进程信息设置为所述节点的节点属性信息，得到所述中间图结构。
[0018]在本专利技术上述实施例中，可选地，所述目标进程的进程信息包括：所述目标进程的进程标识符、所述目标进程中文件描述符的值、所述文件描述符的指向文件的索引节点号以及所述文件描述符的指向文件的模式值。
[0019]在本专利技术上述实施例中，可选地，所述节点连接单元用于：基于所述中间图结构中每个节点的所述节点属性信息以及所述预设规则，在所述中间图结构中选择目标节点，并将所述目标节点进行有向连接处理，得到所述目标有向图。
[0020]在本专利技术上述实施例中，可选地，所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种反向shell进程检测方法，其特征在于，包括：获取目标进程的进程信息；基于所述进程信息和初始化图结构，生成目标有向图；确定所述目标有向图中的目标环路的状态；根据所述目标环路的状态，确定所述目标进程是否为反向shell进程。2.根据权利要求1所述的方法，其特征在于，所述目标环路的状态包括：存在目标环路和不存在目标环路；所述根据所述目标环路的状态，确定所述目标进程是否为反向shell进程的步骤，包括：若所述目标有向图中存在目标环路，则判断所述目标环路的名称是否与指定的shell名称相关；若相关，确定所述目标进程为反向shell进程。3.根据权利要求1或2所述的方法，其特征在于，所述基于所述进程信息和初始化图结构，生成目标有向图的步骤，包括：将所述进程信息添加至所述初始化图结构中，得到中间图结构；按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图。4.根据权利要求3所述的方法，其特征在于，所述将所述进程信息添加至所述初始化图结构中，得到中间图结构的步骤，包括：对于每个所述目标进程，若所述目标进程中所述文件描述符的指向文件的模式值为管道类型或socket类型，则以所述目标进程作为所述初始化图结构的一个节点，将所述目标进程的所述进程信息设置为所述节点的节点属性信息，得到所述中间图结构。5.根据权利要求4所述的方法，其特征在于，所述目标进程的进程信息包括：所述目标进程的进程标识符、所述目标进程中文件描述符的值、所述文件描述符的指向文件的索引节点号以及所述文件描述符的指向文件的模式值。6.根据权利要求5所述的方法，其特征在于，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：基于所述中间图结构中每个节点的所述节点属性信息以及所述预设规则，在所述中间图结构中选择目标节点，并将所述目标节点进行有向连接处理，得到所述目标有向图。7.根据权利要求6所述的方法，其特征在于，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符不同，在所述第一节点的文件描述符为标准输入，所述第二节点的文件描述符非标准输入，且所述第一节点和所述第二节点中所述文件描述符的指向文件的索引节点号相同时，为所述第一节点和所述第二节点建边；在所述第一节点的文件描述符为标准输出或标准错误，所述第一节点和所述第二节点中所述文件描述符的指向文件的索引节点号相同，且所述第二节点的文件描述符非标准输出和非标准错误时，为所述第一节点和所述第二节点建边；
其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输入的一个节点指向所述文件描述符的值为标准输入的另一个节点。8.根据权利要求6所述的方法，其特征在于，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符相同，在所述第一节点的文件描述符为标准输入，且所述第二节点的文件描述符非标准输入的情况下，为所述第一节点和所述第二节点建边，其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输入的一个节点指向所述文件描述符的值为标准输入的另一个节点。9.根据权利要求6所述的方法，其特征在于，所述按照预设规则对所述中间图结构的节点进行有向连接处理，得到所述目标有向图的步骤，包括：对于所述中间图结构中任意的第一节点和第二节点，若所述第一节点和所述第二节点的进程标识符相同，在所述第一节点的文件描述符为标准输出或标准错误，且所述第二节点的文件描述符非标准输出和非标准错误的情况下，为所述第一节点和所述第二节点建边，其中，所述边的指向为由所述第一节点和所述第二节点中所述文件描述符的值非标准输出和非标准错误的一个节点指向所述文件描述符的值为标准输出或标准错误的另一个节点。10.一种反向shell进程检测装置，其特征在于，包括：进程信息获取单元，用于获取目标进程的进程信息；目标有向图生成单元，用于基于所述进...

【专利技术属性】
技术研发人员：王贺，刘博彦，盛颖，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：