(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111345740.5 (22)申请日 2021.11.15 (71)申请人 厦门服云信息科技有限公司 地址 361000 福建省厦门市软件园二期观 日路12号 403单元 (72)发明人 江孝涛　陈奋　陈荣有　龚利军　 孙晓波　 (74)专利代理 机构 厦门市精诚新创知识产权代 理有限公司 3 5218 代理人 赵薇 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/57(2013.01) (54)发明名称 一种linux系统中反弹sh ell检测方法、 终端 设备及存 储介质 (57)摘要 本发明涉及一种linux系统中反弹shell检 测方法、 终端设备及存储介质， 该方法中包括： S1： 根据网络连接可信任对象的网络连接信息和 进程可信任对象的进程信息构建信任库； S2： 捕 获系统中新建立的外出网络连接； S3： 进行第一 次信任库检查， 如果检查合格， 则判定合法， 结 束； 否则， 进入S4； S4： 将捕获到的外出网络连接 关联到进程； S5： 对关联到的进程的特征信息进 行反弹sh ell检查， 如果检查条件均满足， 则判定 为反弹shell进程， 结束； 否则， 进入S6； S6： 进行 第二次信任库检查， 如果检查合格， 则判定合法， 结束； 否则， 判定为反弹sh ell进程， 结束。 本发明 以反弹sh ell的外连行为为基础、 信任库为辅助， 结合反弹shell进程基本 特征信息 可以提高反弹 shell检查的命中率及准确性。 权利要求书2页 说明书5页 附图1页 CN 114039787 A 2022.02.11 CN 114039787 A 1.一种linux系统中反弹shel l检测方法， 其特 征在于， 包括以下步骤： S1： 根据网络连接可信任对象的网络连接信 息和进程可信任对象的进程信息构建信任 库； S2： 捕获系统中新建立的外出网络连接； S3： 基于信任库中的网络连接信息， 对捕获到的外出网络连接进行第一次信任库检查， 如果检查 合格， 则判定捕获到的外出网络连接合法， 结束； 否则， 进入S4； S4： 将捕获到的外出网络连接关联到进程； S5： 对关联到 的进程的特征信息进行反弹shell检查， 判断是否均满足反弹shell的检 查条件， 如果检查条件均满足， 则判定捕获到的外出网络连接为反弹shell进程， 结束； 否 则， 进入S6； S6： 基于信任库中的进程信息， 对捕获到的外出网络连接进行第二次信任库检查， 如果 检查合格， 则判定捕获到的外出网络连接合法， 结束； 否则， 判定捕获到的外出网络连接为 反弹shel l进程， 结束。 2.根据权利要求1所述的linux系统中反弹shell检测方法， 其特征在于： 网络连接信息 包括： 连接的协议、 远端地址和远端 端口。 3.根据权利要求1所述的linux系统中反弹shell检测方法， 其特征在于： 进程信息包 括： 进程名、 进程路径、 进程可 执行文件的MD5校验码。 4.根据权利 要求1所述的linux系统中反弹shell检测方法， 其特征在于： 步骤S2中捕获 系统中新建立的外出网络连接的方法可以通过 下述方法中的任一种： (1)建立原始套接字， 在原始套接字上设置bpf过滤器规则， 以捕获特定的外出网络数 据包； (2)利用l inux系统的nfl og功能， 配置特定的防火墙规则捕获外出网络数据包； (3)利用l inux系统的连接跟踪机制捕获新建立的外出网络连接 。 5.根据权利 要求1所述的linux系统中反弹shell检测方法， 其特征在于： 步骤S4中将捕 获到的外出网络连接关联到进程的过程包括以下步骤： S401： 从/proc /net目录下读取 所有网络连接信息； S402： 将捕获到的外出网络连接的网络连接信息与系统中所有的网络连接的网络连接 信息进行 逐条比对， 找到 完全符合的条目后， 提取 该条目对应的i node值； S403： 从/proc目录中查询各个进程的网络套接字inode值， 与步骤S402中得到的inode 值进行比对， 如果两者相同， 则表明捕获到的外出网络连接为该进程创建， 记录该进程的进 程信息。 6.根据权利 要求1所述的linux系统中反弹shell检测方法， 其特征在于： 步骤S5中对关 联到的进程的特 征信息进行反弹shel l检查的检查条件的内容包括以下三项： (1)检查进程是否为原生shel l命令； (2)检查进程 运行的参数 是否存在异常； (3)检查进程对应的输入、 输出或者 错误输出描述字是否被重 定向到网络套接 字。 7.一种linux系统中反弹shell检测终端设备， 其特征在于： 包括处理器、 存储器以及存 储在所述存储器中并在所述处理器上运行的计算机程序， 所述处理器执行所述计算机程序 时实现如权利要求1～6中任一所述方法的步骤。权　利　要　求　书 1/2 页 2 CN 114039787 A 28.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于： 所述计算机程序被处 理器执行时实现如权利要求1～6中任一所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114039787 A 3