CN106685970A - 反向连接后门的检测方法及装置 - Google Patents
反向连接后门的检测方法及装置 Download PDFInfo
- Publication number
- CN106685970A CN106685970A CN201611254049.5A CN201611254049A CN106685970A CN 106685970 A CN106685970 A CN 106685970A CN 201611254049 A CN201611254049 A CN 201611254049A CN 106685970 A CN106685970 A CN 106685970A
- Authority
- CN
- China
- Prior art keywords
- port
- opposite direction
- process identifier
- direction connection
- order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Abstract
本发明公开了一种反向连接后门的检测方法及装置,涉及信息技术领域,解决了当黑客利用反弹回连姿势攻击服务器的情况下,采用持继监控判断是否有回连外网IP,导致较大的误报比率,无法准确定位的问题。本发明的方法包括:获取当前服务器各个端口的端口信息;遍历所述端口运行程序中进程的进程标识符;判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;若匹配,则将所述端口确定为当前服务器存在反向连接后门。本发明主要用于反向连接后门的检测。
Description
技术领域
本发明涉及一种信息技术领域,特别是涉及一种反向连接后门的检测方法及装置。
背景技术
随着信息技术的不断发展,信息的安全也逐渐引起人们的注意。针对黑客侵入服务器中窃取信息,技术人员可以通过受攻服务器和攻击溯源工具查找黑客的服务器,从而确定黑客的信息。其中,为了确定当前服务是否存在黑客侵入,需要检测当前服务器中是否存在不是当前服务器主动执行的任务。
目前,现有的确定黑客是否侵入是使用反弹回连姿势,通过调用BASH脚本进行回连,来确定是否存在通过外网进行输入的任务。但是这种方法只适用于持继监控的情况,且存在较大的误报比率,无法准确定位,因此,通过检测反向连接后门确定是否存在黑客攻击服务器的情况变成亟待解决的问题。
发明内容
有鉴于此,本发明提供一种反向连接后门的检测方法及装置,主要目的在于解决了当黑客利用反弹回连姿势攻击服务器的情况下,采用持继监控判断是否有回连外网IP,导致较大的误报比率,无法准确定位的问题。
依据本发明一个方面,提供了一种反向连接后门的检测方法,包括:
获取当前服务器各个端口的端口信息;
遍历所述端口运行程序中进程的进程标识符;
判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
若匹配,则将所述端口确定为当前服务器存在反向连接后门。
依据本发明一个方面,提供了一种反向连接后门的检测装置,包括:
获取单元,用于获取当前服务器各个端口的端口信息;
遍历单元,用于遍历所述端口运行程序中进程的进程标识符;
第一判断单元,用于判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
确定单元,用于若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明实施例提供的一种反向连接后门的检测方法及装置,首先获取当前服务器各个端口的端口信息,然后遍历所述端口运行程序中进程的进程标识符,再判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配,若匹配,则将所述端口确定为当前服务器存在反向连接后门。与现有的当黑客利用反弹回连姿势攻击服务器的情况下,采用持继监控判断是否有回连外网IP相比,本发明实施例通过对服务器中各个端口运行程序的进程标识符进行遍历,将进程标识符对应的命令与预设的反向连接调用命令进行对比得到相同的结果,则确定存在反向连接后门,即黑客通过反向连接后门进行入侵,实现通过检测反向连接后门的方法确定是否存在黑客攻击服务器,提高检测黑客攻击检测的准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种反向连接后门的检测方法流程图;
图2示出了本发明实施例提供的另一种反向连接后门的检测方法流程图;
图3示出了本发明实施例提供的一种反向连接后门的检测装置结构示意图;
图4示出了本发明实施例提供的另一种反向连接后门的检测装置结构示意图;
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种反向连接后门的检测方法,如图1所示,所述方法包括:
101、获取当前服务器各个端口的端口信息。
其中,所述端口为设备与外界通讯交互的出口,包括虚拟端口和物理端口,当前服务器在运行交互程序过程中是通过虚拟端口进行的,所述端口信息包括端口对应的进程标识符PID(process ID)、端口连接状态、端口标识、端口说明等,本发明实施例不做具体限定,所述端口连接状态为端口处于外链接状态或内连接状态。
需要说明的是,服务器可以通过服务器的不同端口进行不同程序的运行,例如,当前的服务器可以为LINUX,服务器执行的程序脚本可以为bash、exec,对应的进程可以执行exec、bin、sh,对应的,每个程序则需要绑定一个对应的端口,以便查找每个程序是否通过反向连接后门执行的程序。
102、遍历所述端口运行程序中进程的进程标识符。
其中,所述进程标识符用于区分不同进程代码的标识,也为大部分操作系统的内核用于唯一标识进程的一个数值,技术人员可以通过任务管理器中得到。
需要说明的是,遍历即是指按照特定的顺序访问所有进程标识符对应的程序。
103、判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配。
其中,所述进程标识符对应的命令为在遍历所有进程标识符对应的程序时,程序执行的命令,所述预设的反向连接调用命令为技术人员通过分析黑客攻击服务器需要执行的命令,预先在当前服务器中设置的命令,这种命令可以通过反向连接方式进行运行。
需要说明的是,一般的,各种系统版本下运行的反向连接脚本,都会具有共同特点,即调用的命令可以包括bin、sh、bash,则预设的反向连接调用命令可以包括bin、sh、bash。
104、若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。
其中,所述匹配为进程标识符对应的命令与预设的反向连接调用命令相同,所述后门是指是绕过安全性控制,获取对程序或系统访问权的方法。
需要说明的是,反向连接是反向连接是指受控端主动连接控制端,在受控端和控制端之间建立一个远程连接,通过这个连接,控制端可以主动的向受控端发送一些请求,即黑客可以通过反向连接后门来攻击服务器。
本发明实施例提供的一种反向连接后门的检测方法,与现有的当黑客利用反弹回连姿势攻击服务器的情况下,采用持继监控判断是否有回连外网IP相比,本发明实施例通过对服务器中各个端口运行程序的进程标识符进行遍历,将进程标识符对应的命令与预设的反向连接调用命令进行对比得到相同的结果,则确定存在反向连接后门,即黑客通过反向连接后门进行入侵,实现通过检测反向连接后门的方法确定是否存在黑客攻击服务器,提高检测黑客攻击检测的准确性。
本发明实施例提供了另一种反向连接后门的检测方法,如图2所示,所述方法包括:
201、获取当前服务器各个端口的端口信息。
本步骤与图1所述步骤101所述的方法相同,这里不再赘述。
对于本发明实施例,步骤201之前还包括:为当前服务器执行的不同程序配置不同的端口。
其中,所述程序配置端口是指将执行不同指令的程序绑定一个对应的端口,每个端口对应一个PID。通过将程序绑定于对应的端口上,以便通过PID找到程序执行的命令,从而确定当前端口是否为反向连接后门。
202、提取所述端口信息中的连接状态。
其中,所述连接状态包括端口建立外网连接、端口建立内网连接等,本发明实施例不做具体限定。通过提取连接状态,以便针对建立外网连接的端口进行遍历,减少端口遍历的数量。
需要说明的是,黑客端服务器通过自身的端口与受攻服务器建立连接,实现通过将建立连接的端口对受攻服务器进行入侵操作。
203、判断所述连接状态是否为建立外网连接。
需要说明的是,一般的,在黑客进攻服务器时,黑客入侵属于外网入侵,所以只要检测建立外网链接的端口对应的PID即可。通过判断是否为建立外网链接,可以排除内网连接对应的端口,减少遍历数量,提高遍历速度。
204、若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
本步骤与图1所述步骤102所述的方法相同,这里不再赘述。
205、解析所述进程标识符执行的命令。
其中,所示命令是指根据进程标识符访问进程标识符对应的执行程序得到的程序命令。
对于本发明实施例,步骤205具体可以为:调用所述进程标识符;通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
其中,预设的系统跟踪命令为可以执行进程标识符对应的程序的命令,如strace,strace的最简单的用法就是执行一个指定的命令,在指定的命令结束之后它也就退出了,在命令执行的过程中,strace会记录和解析命令进程的所有系统调用以及这个进程所接收到的所有的信号值。
206、判断所述命令是否与预设的反向连接调用命令相同。
本步骤与图1所述步骤103所述的方法相同,这里不再赘述。
207、若所述命令与预设的反向连接调用命令相同,则将所述端口确定为当前服务器存在反向连接后门。
本步骤与图1所述步骤104所述的方法相同,这里不再赘述。
208、按照预设时间间隔更新所述预设的反向连接调用命令。
其中,所示预设时间间隔可以为1天或半个月,具体可以根据技术人员对黑客执行的侵入命令解析的结果更新的时间进行设置,本发明实施例不做具体限定,所述更新可以为添加、删除、替换,本发明实施例不做具体限定。通过更新预设的反向的连接调用指令,可以及时的识别出是否存在反向连接后门,避免黑客入侵执行的命令不存在与预设的反向连接调用命令中。
209、输出存在黑客入侵告警信息。
其中,所述告警信息的形式可以为声音、图像或对话框,本发明实施例不做具体限定,通过输出告警信息,以便技术人员对受攻服务器采取相应措施。
对于本发明实施例,具体的应用场景可以如下所示,但不限于此,包括:获取当前服务器中端口1,端口2,端口3的端口信息分,从各个端口信息中提取连接状态,分别为:建立外网连接,建立外网连接,建立内网连接,判断端口1和端口2处于建立外网连接状态,则遍历端口1和端口2中进程标识符5416和4563,解析出进程标识符4563对应的命令为“更新sda文件”,预设的反向连接调用命令中包括更新sda文件,则确定存在反向连接后门,向技术人员发出黑客入侵告警信息。
本发明实施例提供的另一种反向连接后门的检测方法,本发明实施例通过对服务器中各个端口的连接状态进程判断,对建立外网连接的端口对应的运行程序的进程标识符进行遍历,将进程标识符对应的命令与预设的反向连接调用命令进行对比得到相同的结果,则确定存在反向连接后门,即黑客通过反向连接后门进行入侵,避免对所有安全的端口进行遍历,减少检测时间,再及时对预设的反向连接调用命令进行更新,实现及时对黑客潜在的入侵命令进行设置,提高检测黑客攻击检测的准确性。
进一步的,作为对上述图1所示方法的实现,本发明实施例提供了一种反向连接后门的检测装置,如图3所示,该装置包括:获取单元31、遍历单元32、第一判断单元33、确定单元34。
获取单元31,用于获取当前服务器各个端口的端口信息;获取单元31为反向连接后门的检测装置执行获取当前服务器各个端口的端口信息的功能模块。
遍历单元32,用于遍历所述端口运行程序中进程的进程标识符;遍历单元32为反向连接后门的检测装置执行遍历所述端口运行程序中进程的进程标识符的功能模块。
第一判断单元33,用于判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;第一判断单元33为反向连接后门的检测装置执行判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配的功能模块。
确定单元34,用于若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。确定单元34为反向连接后门的检测装置执行将所述端口确定为当前服务器存在反向连接后门的功能模块。
本发明实施例提供的一种反向连接后门的检测装置,包括:获取单元、遍历单元、第一判断单元、确定单元。与现有的利用反弹回连姿势检测黑客攻击服务器相比,本发明实施例通过对服务器中各个端口运行程序的进程标识符进行遍历,将进程标识符对应的命令与预设的反向连接调用命令进行对比得到相同的结果,则确定存在反向连接后门,即黑客通过反向连接后门进行入侵,实现通过检测反向连接后门的方法确定是否存在黑客攻击服务器,提高检测黑客攻击检测的准确性。
进一步的,作为对上述图2所示方法的实现,本发明实施例提供了另一种反向连接后门的检测装置,如图4所示,该装置包括:获取单元41、遍历单元42、第一判断单元43、确定单元44、提取单元45、第二判断单元46、配置单元47、更新单元48、输出单元49。
获取单元41,用于获取当前服务器各个端口的端口信息;
遍历单元42,用于遍历所述端口运行程序中进程的进程标识符;
第一判断单元43,用于判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
确定单元44,用于若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。
进一步地,通过提取连接状态,以便针对建立外网连接的端口进行遍历,减少端口遍历的数量。所述装置还包括:提取单元45、第二判断单元46,
所述提取单元45,用于提取所述端口信息中的连接状态;
所述第二判断单元46,用于判断所述连接状态是否为建立外网连接;
所述遍历单元42,具体用于若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
具体地,所述第一判断单元43包括:
解析模块4301,用于解析所述进程标识符执行的命令;
判断模块4302,用于判断所述命令是否与预设的反向连接调用命令相同。
进一步地,具体地,所述解析模块4301包括:
调用子模块430101,用于调用所述进程标识符;
跟踪子模块430102,用于通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
进一步地,通过将程序绑定于对应的端口上,以便通过PID找到程序执行的命令,从而确定当前端口是否为反向连接后门。所述装置还包括:
配置单元47,用于为当前服务器执行的不同程序配置不同的端口。
进一步地,通过更新预设的反向的连接调用指令,可以及时的识别出是否存在反向连接后门,避免黑客入侵执行的命令不存在与预设的反向连接调用命令中。所述装置还包括:
更新单元48,用于按照预设时间间隔更新所述预设的反向连接调用命令。
进一步地,通过输出告警信息,以便技术人员对受攻服务器采取相应措施。所述装置还包括:
输出单元49,用于输出存在黑客入侵告警信息。
本发明实施例提供的另一种反向连接后门的检测装置,本发明实施例通过对服务器中各个端口的连接状态进程判断,对建立外网连接的端口对应的运行程序的进程标识符进行遍历,将进程标识符对应的命令与预设的反向连接调用命令进行对比得到相同的结果,则确定存在反向连接后门,即黑客通过反向连接后门进行入侵,避免对所有安全的端口进行遍历,减少检测时间,再及时对预设的反向连接调用命令进行更新,实现及时对黑客潜在的入侵命令进行设置,提高检测黑客攻击检测的准确性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的反向连接后门的检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明还提供了如下技术方案:
A1、一种反向连接后门的检测方法,包括:
获取当前服务器各个端口的端口信息;
遍历所述端口运行程序中进程的进程标识符;
判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
若匹配,则将所述端口确定为当前服务器存在反向连接后门。
A2、根据权利要求A1所述的方法,所述遍历所述端口执行进程的进程标识符之前,所述方法还包括:
提取所述端口信息中的连接状态;
判断所述连接状态是否为建立外网连接;
所述遍历所述端口运行程序中进程的进程标识符包括:
若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
A3、根据权利要求A1所述的方法,所述判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配包括:
解析所述进程标识符执行的命令;
判断所述命令是否与预设的反向连接调用命令相同。
A4、根据权利要求A3所述的方法,所述解析所述进程标识符执行的命令包括:
调用所述进程标识符;
通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
A5、根据权利要求A1所述的方法,所述获取当前服务器各个端口的端口信息之前,所述方法还包括:
为当前服务器执行的不同程序配置不同的端口。
A6、根据权利要求A1-A5任一项所述的方法,所述确定当前服务器存在反向连接后门之后,所述方法还包括:
按照预设时间间隔更新所述预设的反向连接调用命令。
A7、根据权利要求A1-A5任一项所述的方法,所述确定当前服务器存在反向连接后门之后,所述方法还包括:
输出存在黑客入侵告警信息。
A8、一种反向连接后门的检测装置,包括:
获取单元,用于获取当前服务器各个端口的端口信息;
遍历单元,用于遍历所述端口运行程序中进程的进程标识符;
第一判断单元,用于判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
确定单元,用于若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。
A9、根据权利要求A8所述的装置,所述装置还包括:提取单元、第二判断单元,
所述提取单元,用于提取所述端口信息中的连接状态;
所述判断单元,用于判断所述连接状态是否为建立外网连接;
所述遍历单元,具体用于若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
A10、根据权利要求A8所述的装置,所述第一判断单元包括:
解析模块,用于解析所述进程标识符执行的命令;
判断模块,用于判断所述命令是否与预设的反向连接调用命令相同。
A11、根据权利要求A10所述的装置,所述解析模块包括:
调用子模块,用于调用所述进程标识符;
跟踪子模块,用于通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
A12、根据权利要求A8所述的装置,所述装置还包括:
配置单元,用于为当前服务器执行的不同程序配置不同的端口。
A13、根据权利要求A8-A12任一项所述的装置,所述装置还包括:
更新单元,用于按照预设时间间隔更新所述预设的反向连接调用命令。
A14、根据权利要求A8-A12任一项所述的装置,所述装置还包括:
输出单元,用于输出存在黑客入侵告警信息。
Claims (10)
1.一种反向连接后门的检测方法,其特征在于,包括:
获取当前服务器各个端口的端口信息;
遍历所述端口运行程序中进程的进程标识符;
判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
若匹配,则将所述端口确定为当前服务器存在反向连接后门。
2.根据权利要求1所述的方法,其特征在于,所述遍历所述端口执行进程的进程标识符之前,所述方法还包括:
提取所述端口信息中的连接状态;
判断所述连接状态是否为建立外网连接;
所述遍历所述端口运行程序中进程的进程标识符包括:
若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
3.根据权利要求1所述的方法,其特征在于,所述判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配包括:
解析所述进程标识符执行的命令;
判断所述命令是否与预设的反向连接调用命令相同。
4.根据权利要求3所述的方法,其特征在于,所述解析所述进程标识符执行的命令包括:
调用所述进程标识符;
通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
5.根据权利要求1所述的方法,其特征在于,所述获取当前服务器各个端口的端口信息之前,所述方法还包括:
为当前服务器执行的不同程序配置不同的端口。
6.一种反向连接后门的检测装置,其特征在于,包括:
获取单元,用于获取当前服务器各个端口的端口信息;
遍历单元,用于遍历所述端口运行程序中进程的进程标识符;
第一判断单元,用于判断所述进程标识符对应的命令是否与预设的反向连接调用命令匹配;
确定单元,用于若所述进程标识符对应的命令与预设的反向连接调用命令匹配,则将所述端口确定为当前服务器存在反向连接后门。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:提取单元、第二判断单元,
所述提取单元,用于提取所述端口信息中的连接状态;
所述第二判断单元,用于判断所述连接状态是否为建立外网连接;
所述遍历单元,具体用于若为建立外网连接,则遍历所述端口运行程序中进程的进程标识符。
8.根据权利要求6所述的装置,其特征在于,所述第一判断单元包括:
解析模块,用于解析所述进程标识符执行的命令;
判断模块,用于判断所述命令是否与预设的反向连接调用命令相同。
9.根据权利要求8所述的装置,其特征在于,所述解析模块包括:
调用子模块,用于调用所述进程标识符;
跟踪子模块,用于通过预设的系统跟踪命令跟踪所述进程标识符执行的命令。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
配置单元,用于为当前服务器执行的不同程序配置不同的端口。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611254049.5A CN106685970B (zh) | 2016-12-29 | 2016-12-29 | 反向连接后门的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611254049.5A CN106685970B (zh) | 2016-12-29 | 2016-12-29 | 反向连接后门的检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106685970A true CN106685970A (zh) | 2017-05-17 |
| CN106685970B CN106685970B (zh) | 2020-11-17 |
Family
ID=58872287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611254049.5A Active CN106685970B (zh) | 2016-12-29 | 2016-12-29 | 反向连接后门的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106685970B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446806A (zh) * | 2018-09-17 | 2019-03-08 | 平安科技(深圳)有限公司 | 绑定端口型后门检测方法、装置、计算机设备和存储介质 |
| CN115001761A (zh) * | 2022-05-20 | 2022-09-02 | 裴志宏 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103400074A (zh) * | 2013-07-09 | 2013-11-20 | 青岛海信传媒网络技术有限公司 | 一种隐藏进程的检测方法及装置 |
| US8683576B1 (en) * | 2009-09-30 | 2014-03-25 | Symantec Corporation | Systems and methods for detecting a process to establish a backdoor connection with a computing device |
-
2016
- 2016-12-29 CN CN201611254049.5A patent/CN106685970B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8683576B1 (en) * | 2009-09-30 | 2014-03-25 | Symantec Corporation | Systems and methods for detecting a process to establish a backdoor connection with a computing device |
| CN102426634A (zh) * | 2011-10-26 | 2012-04-25 | 中国信息安全测评中心 | 源代码后门发现方法 |
| CN102647421A (zh) * | 2012-04-09 | 2012-08-22 | 北京百度网讯科技有限公司 | 基于行为特征的web后门检测方法和装置 |
| CN103400074A (zh) * | 2013-07-09 | 2013-11-20 | 青岛海信传媒网络技术有限公司 | 一种隐藏进程的检测方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| MBJMBJ18364660: "各种后门的检测与清除法", 《HTTPS://WENKU.BAIDU.COM/VIEW/88D72333A32D7375A41780F9.HTML》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446806A (zh) * | 2018-09-17 | 2019-03-08 | 平安科技(深圳)有限公司 | 绑定端口型后门检测方法、装置、计算机设备和存储介质 |
| CN115001761A (zh) * | 2022-05-20 | 2022-09-02 | 裴志宏 | 基于dns解析的实时感知计算机被黑客远程控制的监测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106685970B (zh) | 2020-11-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101964036B (zh) | 漏洞检测方法及装置 | |
| US8584101B2 (en) | Apparatus and method for automatically analyzing program for detecting malicious codes triggered under specific event/context | |
| CN105516321B (zh) | 一种数据采集方法和装置 | |
| CN114374565A (zh) | 车辆can网络的入侵检测方法、装置、电子设备和介质 | |
| CN106681923B (zh) | 一种软件测评方法及装置 | |
| CN104732152A (zh) | 基于符号执行路径剪枝的缓冲区溢出漏洞自动检测方法 | |
| IL265518B2 (en) | Management of security vulnerabilities | |
| CN106559431A (zh) | 一种用于汽车安全检测的可视化分析方法和装置 | |
| CN105515909B (zh) | 一种数据采集测试方法和装置 | |
| CN109255240B (zh) | 一种漏洞处理方法和装置 | |
| CN113158197B (zh) | 一种基于主动iast的sql注入漏洞检测方法、系统 | |
| CN107315961A (zh) | 程序漏洞检测方法及装置、计算设备、存储介质 | |
| CN104462985A (zh) | bat漏洞的检测方法以及装置 | |
| CN105577472A (zh) | 一种数据采集测试方法和装置 | |
| CN105204985A (zh) | 漏洞检测方法及装置 | |
| CN105574150A (zh) | 一种数据处理方法和装置 | |
| Wang et al. | {MetaSymploit}:{Day-One} Defense against Script-based Attacks with {Security-Enhanced} Symbolic Analysis | |
| CN111859380A (zh) | Android App漏洞的零误报检测方法 | |
| CN109670316A (zh) | 一种基于Java异常的漏洞检测方法和装置 | |
| CN106685970A (zh) | 反向连接后门的检测方法及装置 | |
| CN109508296A (zh) | 数据检测方法、装置及电子设备 | |
| CN102446253B (zh) | 一种网页木马检测方法及系统 | |
| CN106650439A (zh) | 检测可疑应用程序的方法及装置 | |
| Brito et al. | Study of JavaScript Static Analysis Tools for Vulnerability Detection in Node. js Packages | |
| CN106156630A (zh) | 一种应用程序安装包的漏洞检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |