CN114039787B - 一种linux系统中反弹shell检测方法、终端设备及存储介质 - Google Patents

一种linux系统中反弹shell检测方法、终端设备及存储介质 Download PDF

Info

Publication number
CN114039787B
CN114039787B CN202111345740.5A CN202111345740A CN114039787B CN 114039787 B CN114039787 B CN 114039787B CN 202111345740 A CN202111345740 A CN 202111345740A CN 114039787 B CN114039787 B CN 114039787B
Authority
CN
China
Prior art keywords
network connection
rebound shell
shell
captured
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111345740.5A
Other languages
English (en)
Other versions
CN114039787A (zh
Inventor
江孝涛
陈奋
陈荣有
龚利军
孙晓波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Fuyun Information Technology Co ltd
Original Assignee
Xiamen Fuyun Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Fuyun Information Technology Co ltd filed Critical Xiamen Fuyun Information Technology Co ltd
Priority to CN202111345740.5A priority Critical patent/CN114039787B/zh
Publication of CN114039787A publication Critical patent/CN114039787A/zh
Application granted granted Critical
Publication of CN114039787B publication Critical patent/CN114039787B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种linux系统中反弹shell检测方法、终端设备及存储介质,该方法中包括:S1:根据网络连接可信任对象的网络连接信息和进程可信任对象的进程信息构建信任库;S2:捕获系统中新建立的外出网络连接;S3:进行第一次信任库检查,如果检查合格,则判定合法,结束;否则,进入S4;S4:将捕获到的外出网络连接关联到进程;S5:对关联到的进程的特征信息进行反弹shell检查,如果检查条件均满足,则判定为反弹shell进程,结束;否则,进入S6;S6:进行第二次信任库检查,如果检查合格,则判定合法,结束;否则,判定为反弹shell进程,结束。本发明以反弹shell的外连行为为基础、信任库为辅助,结合反弹shell进程基本特征信息可以提高反弹shell检查的命中率及准确性。

Description

一种linux系统中反弹shell检测方法、终端设备及存储介质
技术领域
本发明涉及网络安全领域,尤其涉及一种linux系统中反弹shell检测方法、终端设备及存储介质。
背景技术
反弹shell是黑客入侵各类主机和服务器的常用手段,在利用反弹shell入侵主机和服务器的过程中,攻击者利用系统或者软件漏洞向被攻击主机或服务器植入一些危险的shell脚本或者病毒程序,之后攻击者打开一个或者多个网络监听端口,当shell脚本或病毒程序执行时会主动访问这些网络监听端口,与攻击者建立网络会话,攻击者发送一些危险命令让被攻击的主机或者服务器执行,或者利用系统漏洞将病毒进程的权限从普通用户权限提升到超级特权用户权限,继续攻击服务器系统,窃取涉密数据甚至破坏服务器系统。
现有反弹shell检查方法,主要是要通过监视系统进程启动,然后对进程的一些行为特征进行检查来识别反弹shell进程,检查进程特征信息主要包括以下内容:
(1)检查进程运行的参数是否存在异常;
(2)检查进程对应的输入、输出或者错误输出描述字是否被重定向到网络套接字或者管道;
(3)检查进程的网络套接字是否存在外连行为,如果进程本身没有文件描述字重定向网络套接字则与该进程管道关联的进程是否存在网络外连行为。
现有检查方法可以有效检查出一些原生shell命令的反弹行为,如linux系统下的bash、tcsh、sh和dash等,但存在以下问题:
(1)对于黑客自编译的反弹shell程序则束手无策,此类程序不会重定向文件描述字到网络套接字,而只是创建到攻击者的正常网络会话,达到反弹的目的;
(2)反弹shell进程的外出网络会话可以延迟建立,检查系统在识别启动进程特征时由于进程没有网络外连行为则跳过检查,通过此手段,病毒进程可以绕过反弹shell检查系统;
(3)由于现有检查方法中进程特征信息的普遍性,也容易导致检查结果的不准确性。
发明内容
为了解决上述问题,本发明提出了一种linux系统中反弹shell检测方法、终端设备及存储介质。
具体方案如下:
一种linux系统中反弹shell检测方法,包括以下步骤:
S1:根据网络连接可信任对象的网络连接信息和进程可信任对象的进程信息构建信任库;
S2:捕获系统中新建立的外出网络连接;
S3:基于信任库中的网络连接信息,对捕获到的外出网络连接进行第一次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,进入S4;
S4:将捕获到的外出网络连接关联到进程;
S5:对关联到的进程的特征信息进行反弹shell检查,判断是否均满足反弹shell的检查条件,如果检查条件均满足,则判定捕获到的外出网络连接为反弹shell进程,结束;否则,进入S6;
S6:基于信任库中的进程信息,对捕获到的外出网络连接进行第二次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,判定捕获到的外出网络连接为反弹shell进程,结束。
进一步的,网络连接信息包括:连接的协议、远端地址和远端端口。
进一步的,进程信息包括:进程名、进程路径、进程可执行文件的MD5校验码。
进一步的,步骤S2中捕获系统中新建立的外出网络连接的方法可以通过下述方法中的任一种:
(1)建立原始套接字,在原始套接字上设置bpf过滤器规则,以捕获特定的外出网络数据包;
(2)利用linux系统的nflog功能,配置特定的防火墙规则捕获外出网络数据包;
(3)利用linux系统的连接跟踪机制捕获新建立的外出网络连接。
进一步的,步骤S4中将捕获到的外出网络连接关联到进程的过程包括以下步骤:
S401:从/proc/net目录下读取所有网络连接信息;
S402:将捕获到的外出网络连接的网络连接信息与系统中所有的网络连接的网络连接信息进行逐条比对,找到完全符合的条目后,提取该条目对应的inode值;
S403:从/proc目录中查询各个进程的网络套接字inode值,与步骤S402中得到的inode值进行比对,如果两者相同,则表明捕获到的外出网络连接为该进程创建,记录该进程的进程信息。
进一步的,步骤S5中对关联到的进程的特征信息进行反弹shell检查的内容包括以下三项:
(1)检查进程是否为原生shell命令;
(2)检查进程运行的参数是否存在异常;
(3)检查进程对应的输入、输出或者错误输出描述字是否被重定向到网络套接字。
一种linux系统中反弹shell检测终端设备,包括处理器、存储器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例上述的方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述的方法的步骤。
本发明采用如上技术方案,以反弹shell的外连行为作为基础,信任库作为辅助,结合反弹shell进程基本特征信息鉴别可以提高反弹shell检查的命中率以及准确性。
附图说明
图1所示为本发明实施例一的流程图。
具体实施方式
为进一步说明各实施例,本发明提供有附图。这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。
现结合附图和具体实施方式对本发明进一步说明。
实施例一:
本发明实施例提供了一种linux系统中反弹shell检测方法,如图1所示,所述方法包括以下步骤:
S1:根据网络连接可信任对象的网络连接信息和进程可信任对象的进程信息构建信任库。
该实施例中网络连接信息包括:连接的协议、远端地址(可以是单个地址、网段或者地址范围)、远端端口等信息;进程信息包括:进程名、进程路径、进程可执行文件的MD5校验码等信息。需要说明的是,由于大部分反弹shell攻击是利用系统原生shell命令进行的,因此进程可信任对象应不包含bash、tcsh、sh和dash等系统原生shell命令。
S2:捕获系统中新建立的外出网络连接。
捕获可以采用一些常用的抓包手段进行,该实施例中捕获的过程可以通过下述方法中的任一种:
(1)建立原始套接字,在原始套接字上设置bpf过滤器规则,以捕获特定的外出网络数据包;
(2)利用linux系统的nflog功能,配置特定的防火墙规则捕获外出网络数据包;
(3)利用linux系统的连接跟踪机制捕获新建立的外出网络连接。
S3:基于信任库中的网络连接信息,对捕获到的外出网络连接进行第一次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,进入S4。
第一次信任库检查即将捕获到的外出网络连接的网络连接信息与信任库中的网络连接信息进行逐条比对,如果能找到匹配项,则表示检查合格;如果找不到匹配项,则表示检查不合格。
S4:将捕获到的外出网络连接关联到进程。
该实施例中将捕获到的外出网络连接关联到进程的过程包括以下步骤:
S401:从/proc/net目录下读取所有网络连接信息;
S402:将捕获到的外出网络连接的网络连接信息与系统中所有的网络连接的网络连接信息进行逐条比对,找到完全符合的条目后,提取该条目对应的inode(索引节点)值;
S403:从/proc目录中查询各个进程的网络套接字inode值,与步骤S402中得到的inode值进行比对,如果两者相同,则表明捕获到的外出网络连接为该进程创建,记录该进程的进程信息,进程关联完成。
S5:对关联到的进程的特征信息进行反弹shell检查,判断是否均满足反弹shell的检查条件,如果检查条件均满足,则判定捕获到的外出网络连接为反弹shell进程,结束;否则,进入S6。
该实施例中对关联到的进程的特征信息进行反弹shell检查的检查条件的内容主要包括以下三项:
(1)检查进程是否为原生shell命令;
(2)检查进程运行的参数是否存在异常;
(3)检查进程对应的输入、输出或者错误输出描述字是否被重定向到网络套接字。
只有当上述三项条件均满足时,才能确定为反弹shell进程。
S6:基于信任库中的进程信息,对捕获到的外出网络连接进行第二次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,判定捕获到的外出网络连接为反弹shell进程,结束。
第二次信任库检查即将捕获到的外出网络连接所关联到的进程的进程信息与信任库中各进程可信任对象的进程信息进行逐条比对,如果能找到匹配项,则表示检查合格;如果找不到匹配项,则表示检查不合格。
进一步的,当判定捕获到的外出网络连接为反弹shell进程时,可以进行如下的防御措施:
(1)直接杀死或者暂停反弹shell进程;
(2)为系统设置网络防火墙规则,阻断反弹shell进程外连行为;
(3)隔离反弹shell进程可执行文件。
本实施例方法具有以下有益效果:
(1)无论是系统原生shell命令还是自编译反弹shell程序均能被识别到;
(2)能够检查出延迟建立网络会话的反弹shell;
(3)结合信任库提高检查结果的准确性。
采用本发明实施例方法后,可以避免过多的关注进程本身的特征信息,降低检查流程的复杂度,降低由于进程特征信息的普遍性导致检查不准确的问题,对于一些自编译或者特殊处理过的反弹shell程序也能够被检查出来。
实施例二:
本发明还提供一种linux系统中反弹shell检测终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现本发明实施例一的上述方法实施例中的步骤。
进一步地,作为一个可执行方案,所述linux系统中反弹shell检测终端设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述linux系统中反弹shell检测终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,上述linux系统中反弹shell检测终端设备的组成结构仅仅是linux系统中反弹shell检测终端设备的示例,并不构成对linux系统中反弹shell检测终端设备的限定,可以包括比上述更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述linux系统中反弹shell检测终端设备还可以包括输入输出设备、网络接入设备、总线等,本发明实施例对此不做限定。
进一步地,作为一个可执行方案,所称处理器可以是中央处理单元(CentralProcessing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述linux系统中反弹shell检测终端设备的控制中心,利用各种接口和线路连接整个linux系统中反弹shell检测终端设备的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述linux系统中反弹shell检测终端设备的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据手机的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现本发明实施例上述方法的步骤。
所述linux系统中反弹shell检测终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)以及软件分发介质等。
尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可以对本发明做出各种变化,均为本发明的保护范围。

Claims (7)

1.一种linux系统中反弹shell检测方法,其特征在于,包括以下步骤:
S1:根据网络连接可信任对象的网络连接信息和进程可信任对象的进程信息构建信任库;
S2:捕获系统中新建立的外出网络连接;
S3:基于信任库中的网络连接信息,对捕获到的外出网络连接进行第一次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,进入S4;
S4:将捕获到的外出网络连接关联到进程;
S5:对关联到的进程的特征信息进行反弹shell检查,判断是否均满足反弹shell的检查条件,如果检查条件均满足,则判定捕获到的外出网络连接为反弹shell进程,结束;否则,进入S6;检查条件的内容包括以下三项:
(1)检查进程是否为原生shell命令;
(2)检查进程运行的参数是否存在异常;
(3)检查进程对应的输入、输出或者错误输出描述字是否被重定向到网络套接字;
S6:基于信任库中的进程信息,对捕获到的外出网络连接进行第二次信任库检查,如果检查合格,则判定捕获到的外出网络连接合法,结束;否则,判定捕获到的外出网络连接为反弹shell进程,结束。
2.根据权利要求1所述的linux系统中反弹shell检测方法,其特征在于:网络连接信息包括:连接的协议、远端地址和远端端口。
3.根据权利要求1所述的linux系统中反弹shell检测方法,其特征在于:进程信息包括:进程名、进程路径、进程可执行文件的MD5校验码。
4.根据权利要求1所述的linux系统中反弹shell检测方法,其特征在于:步骤S2中捕获系统中新建立的外出网络连接的方法可以通过下述方法中的任一种:
(1)建立原始套接字,在原始套接字上设置bpf过滤器规则,以捕获特定的外出网络数据包;
(2)利用linux系统的nflog功能,配置特定的防火墙规则捕获外出网络数据包;
(3)利用linux系统的连接跟踪机制捕获新建立的外出网络连接。
5.根据权利要求1所述的linux系统中反弹shell检测方法,其特征在于:步骤S4中将捕获到的外出网络连接关联到进程的过程包括以下步骤:
S401:从/proc/net目录下读取所有网络连接信息;
S402:将捕获到的外出网络连接的网络连接信息与系统中所有的网络连接的网络连接信息进行逐条比对,找到完全符合的条目后,提取该条目对应的inode值;
S403:从/proc目录中查询各个进程的网络套接字inode值,与步骤S402中得到的inode值进行比对,如果两者相同,则表明捕获到的外出网络连接为该进程创建,记录该进程的进程信息。
6.一种linux系统中反弹shell检测终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~5中任一所述方法的步骤。
7.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~5中任一所述方法的步骤。
CN202111345740.5A 2021-11-15 2021-11-15 一种linux系统中反弹shell检测方法、终端设备及存储介质 Active CN114039787B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111345740.5A CN114039787B (zh) 2021-11-15 2021-11-15 一种linux系统中反弹shell检测方法、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111345740.5A CN114039787B (zh) 2021-11-15 2021-11-15 一种linux系统中反弹shell检测方法、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN114039787A CN114039787A (zh) 2022-02-11
CN114039787B true CN114039787B (zh) 2023-12-22

Family

ID=80144292

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111345740.5A Active CN114039787B (zh) 2021-11-15 2021-11-15 一种linux系统中反弹shell检测方法、终端设备及存储介质

Country Status (1)

Country Link
CN (1) CN114039787B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
CN103283202A (zh) * 2010-07-28 2013-09-04 麦克菲公司 用于针对恶意软件的网络级保护的系统和方法
CN110138727A (zh) * 2019-03-28 2019-08-16 江苏通付盾信息安全技术有限公司 反弹shell网络连接的信息查找方法及装置
CN111027074A (zh) * 2019-12-05 2020-04-17 国网浙江省电力有限公司电力科学研究院 一种漏洞自动化利用方法以及系统
CN111988302A (zh) * 2020-08-14 2020-11-24 苏州浪潮智能科技有限公司 一种检测反弹程序的方法、系统、终端及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
KR100522138B1 (ko) * 2003-12-31 2005-10-18 주식회사 잉카인터넷 신뢰할 수 있는 프로세스를 허용하는 유연화된 네트워크보안 시스템 및 그 방법
US7930734B2 (en) * 2006-04-28 2011-04-19 Cisco Technology, Inc. Method and system for creating and tracking network sessions

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103283202A (zh) * 2010-07-28 2013-09-04 麦克菲公司 用于针对恶意软件的网络级保护的系统和方法
US8516586B1 (en) * 2011-09-20 2013-08-20 Trend Micro Incorporated Classification of unknown computer network traffic
CN110138727A (zh) * 2019-03-28 2019-08-16 江苏通付盾信息安全技术有限公司 反弹shell网络连接的信息查找方法及装置
CN111027074A (zh) * 2019-12-05 2020-04-17 国网浙江省电力有限公司电力科学研究院 一种漏洞自动化利用方法以及系统
CN111988302A (zh) * 2020-08-14 2020-11-24 苏州浪潮智能科技有限公司 一种检测反弹程序的方法、系统、终端及存储介质

Also Published As

Publication number Publication date
CN114039787A (zh) 2022-02-11

Similar Documents

Publication Publication Date Title
US11829473B2 (en) System and method for detecting malicious files by a user computer
US9954873B2 (en) Mobile device-based intrusion prevention system
US9749341B2 (en) Method, device and system for recognizing network behavior of program
US7596809B2 (en) System security approaches using multiple processing units
US8479292B1 (en) Disabling malware that infects boot drivers
US10313370B2 (en) Generating malware signatures based on developer fingerprints in debug information
US10558801B2 (en) System and method for detection of anomalous events based on popularity of their convolutions
CN110839017B (zh) 代理ip地址识别方法、装置、电子设备及存储介质
US9491190B2 (en) Dynamic selection of network traffic for file extraction shellcode detection
CN110119619B (zh) 创建防病毒记录的系统和方法
US8091115B2 (en) Device-side inline pattern matching and policy enforcement
CN111953770B (zh) 一种路由转发方法、装置、路由设备及可读存储介质
CN105959294B (zh) 一种恶意域名鉴别方法及装置
KR20170122548A (ko) 비정상 프로세스의 연관 데이터 분석을 이용한 apt 공격 인지 방법 및 장치
CN111241546B (zh) 一种恶意软件行为检测方法和装置
CN113542292A (zh) 基于dns和ip信誉数据的内网安全防护方法及系统
CN111062040A (zh) 一种确定未知漏洞的方法、服务器及计算机可读存储介质
CN114039787B (zh) 一种linux系统中反弹shell检测方法、终端设备及存储介质
US8874925B1 (en) Systems and methods to scan memory for a threat
US10819683B2 (en) Inspection context caching for deep packet inspection
CN114003907A (zh) 恶意文件检测方法、装置、计算设备及存储介质
US11886584B2 (en) System and method for detecting potentially malicious changes in applications
CN114722396B (zh) 一种检测反弹Shell进程的方法、系统及设备
WO2024113953A1 (zh) C2服务器识别方法、装置、电子设备及可读存储介质
CN107070928B (zh) 一种应用层防火墙及其处理方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant