本發(fā)明涉及計(jì)算機(jī)安全，特別涉及一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法及裝置。

背景技術(shù)：

1、隨著信息技術(shù)的快速發(fā)展，計(jì)算機(jī)系統(tǒng)的信息安全問題日益凸顯，尤其是遠(yuǎn)程命令執(zhí)行漏洞的利用行為，給企業(yè)帶來了巨大的安全風(fēng)險(xiǎn)。遠(yuǎn)程命令執(zhí)行漏洞是指攻擊者利用網(wǎng)絡(luò)服務(wù)的編碼缺陷，通過網(wǎng)絡(luò)發(fā)送精心構(gòu)造的數(shù)據(jù)包，令網(wǎng)絡(luò)服務(wù)執(zhí)行命令的漏洞。利用遠(yuǎn)程命令執(zhí)行漏洞，攻擊者可在目標(biāo)計(jì)算機(jī)上執(zhí)行任意命令，往往能控制目標(biāo)計(jì)算機(jī)，危害極大。

2、現(xiàn)有主機(jī)側(cè)安全產(chǎn)品對遠(yuǎn)程命令執(zhí)行漏洞利用行為具有一定檢測能力，但存在一些缺陷，例如，傳統(tǒng)hids通過檢測網(wǎng)絡(luò)服務(wù)創(chuàng)建的子進(jìn)程是否是常見惡意命令等方式進(jìn)行檢測，很多攻擊者經(jīng)常執(zhí)行的惡意命令和網(wǎng)絡(luò)服務(wù)出于業(yè)務(wù)需求會執(zhí)行的系統(tǒng)命令相同，這種檢測方式往往誤報(bào)很多，另一方面，實(shí)現(xiàn)效果相同的可執(zhí)行命令非常多，如讀文件可以執(zhí)行命令“cat?/etc/passwd”，也可以執(zhí)行“head?/etc/passwd”和“echo?$(<?/etc/passwd)”等，惡意命令檢測規(guī)則難以全面覆蓋，這種檢測方式往往很容易繞過；或者，基于學(xué)習(xí)的白名單檢測，先以學(xué)習(xí)模式運(yùn)行，學(xué)習(xí)一段時間網(wǎng)絡(luò)服務(wù)會創(chuàng)建的子進(jìn)程，記錄形成白名單，然后進(jìn)入檢測模式，監(jiān)控到網(wǎng)絡(luò)服務(wù)創(chuàng)建了不在白名單中的子進(jìn)程，則認(rèn)為檢測到了遠(yuǎn)程命令執(zhí)行漏洞的利用行為，其中，白名單的具體內(nèi)容通常由兩種實(shí)現(xiàn)方式，一種是記錄進(jìn)程可執(zhí)行文件路徑，這種實(shí)現(xiàn)方式粒度過粗，容易繞過，另一種是記錄進(jìn)程命令行參數(shù)，這種實(shí)現(xiàn)方式粒度過細(xì)，容易誤報(bào)；再如，rasp類產(chǎn)品通過分析系統(tǒng)命令執(zhí)行函數(shù)的調(diào)用棧等方式進(jìn)行檢測，然而，一般僅適用于java語言編寫的網(wǎng)絡(luò)服務(wù)，使用范圍較窄，且具有侵入性，會對網(wǎng)絡(luò)服務(wù)的穩(wěn)定性帶來負(fù)面影響。

技術(shù)實(shí)現(xiàn)思路

1、鑒于現(xiàn)有技術(shù)中的上述缺陷或不足，本發(fā)明提供了一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法及裝置，綜合進(jìn)程的多個字段歸納總結(jié)為行為模式，再基于行為模式學(xué)習(xí)來檢測遠(yuǎn)程命令執(zhí)行漏洞，以解決現(xiàn)有技術(shù)檢測遠(yuǎn)程命令執(zhí)行漏洞利用行為的誤報(bào)率高，或容易繞過，或適用范圍窄、具有侵入性等問題。

2、本發(fā)明的一個方面，提供了一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法，包括：

3、通過代理掃描計(jì)算機(jī)存活進(jìn)程，識別其中的網(wǎng)絡(luò)服務(wù)進(jìn)程并生成網(wǎng)絡(luò)服務(wù)進(jìn)程列表，實(shí)時監(jiān)控進(jìn)程的創(chuàng)建與銷毀，并更新網(wǎng)絡(luò)服務(wù)進(jìn)程列表；

4、判斷新創(chuàng)建進(jìn)程是否為所述網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程，是則獲取所述子進(jìn)程的信息以識別所述子進(jìn)程的行為模式，否則忽略所述新創(chuàng)建進(jìn)程；

5、網(wǎng)絡(luò)服務(wù)為學(xué)習(xí)模式時，判斷所述網(wǎng)絡(luò)服務(wù)的已知行為模式中是否存在和所述子進(jìn)程相同的行為模式，若不存在則將所述子進(jìn)程的行為模式添加到該網(wǎng)絡(luò)服務(wù)的已知行為模式中；

6、網(wǎng)絡(luò)服務(wù)為檢測模式時，判斷所述網(wǎng)絡(luò)服務(wù)的已知行為模式中是否存在和所述子進(jìn)程相同的行為模式，是則判定所述子進(jìn)程正常，不產(chǎn)生告警；否則進(jìn)一步判斷所述網(wǎng)絡(luò)服務(wù)已有告警的行為模式中，是否存在和所述子進(jìn)程相同的行為模式，是則在相同行為模式的告警詳請中附加一條新的子進(jìn)程記錄，否則產(chǎn)生一條新告警。

7、進(jìn)一步的，所述通過代理掃描計(jì)算機(jī)存活進(jìn)程，識別其中的網(wǎng)絡(luò)服務(wù)進(jìn)程并生成網(wǎng)絡(luò)服務(wù)進(jìn)程列表的步驟包括：

8、遍歷存活的每個進(jìn)程，檢查每個進(jìn)程是否監(jiān)聽了端口，是則判斷所述進(jìn)程為網(wǎng)絡(luò)服務(wù)進(jìn)程，計(jì)算所述網(wǎng)絡(luò)服務(wù)進(jìn)程所屬網(wǎng)絡(luò)服務(wù)的id并添加到所述網(wǎng)絡(luò)服務(wù)進(jìn)程列表中。

9、進(jìn)一步的，所述實(shí)時監(jiān)控進(jìn)程的創(chuàng)建與銷毀，并更新網(wǎng)絡(luò)服務(wù)進(jìn)程列表的步驟包括：

10、監(jiān)控到進(jìn)程銷毀事件時，檢查所述進(jìn)程是否在網(wǎng)絡(luò)服務(wù)進(jìn)程列表中，在則從表中刪除所述進(jìn)程；

11、監(jiān)控到進(jìn)程創(chuàng)建事件時，檢查所述進(jìn)程是否為網(wǎng)絡(luò)服務(wù)進(jìn)程，是則計(jì)算所述網(wǎng)絡(luò)服務(wù)進(jìn)程所屬網(wǎng)絡(luò)服務(wù)的id，并添加至網(wǎng)絡(luò)服務(wù)進(jìn)程列表中。

12、進(jìn)一步的，所述計(jì)算所述網(wǎng)絡(luò)服務(wù)進(jìn)程所屬網(wǎng)絡(luò)服務(wù)的id的步驟包括：

13、將所述網(wǎng)絡(luò)服務(wù)進(jìn)程的信息字段拼接為字符串，計(jì)算所述字符串的哈希值作為所述網(wǎng)絡(luò)服務(wù)進(jìn)程所屬網(wǎng)絡(luò)服務(wù)的id；

14、若所述網(wǎng)絡(luò)服務(wù)進(jìn)程的父進(jìn)程也為網(wǎng)絡(luò)服務(wù)進(jìn)程，且該網(wǎng)絡(luò)服務(wù)進(jìn)程的可執(zhí)行文件路徑和父進(jìn)程的完全相同，則該網(wǎng)絡(luò)服務(wù)進(jìn)程與其父進(jìn)程的網(wǎng)絡(luò)服務(wù)id相同。

15、進(jìn)一步的，還包括：

16、監(jiān)控到網(wǎng)絡(luò)服務(wù)產(chǎn)生的子進(jìn)程后，提取所述子進(jìn)程的字段，包括：用戶名、可執(zhí)行路徑、當(dāng)前工作目錄和命令行參數(shù)；

17、對所述命令行參數(shù)進(jìn)行解析，獲得命令、子命令、選項(xiàng)、選項(xiàng)的值和作用對象；

18、將用戶名、可執(zhí)行文件路徑、當(dāng)前工作目錄、命令、子命令、所有選項(xiàng)的鍵作為行為模式；所述所有選項(xiàng)的鍵按順序排列；

19、將重復(fù)執(zhí)行的命令行參數(shù)有所不同的相似命令歸類為同一行為模式。

20、進(jìn)一步的，所述對所述命令行參數(shù)進(jìn)行解析，獲得命令、子命令、選項(xiàng)、選項(xiàng)的值和作用對象的步驟包括：

21、遍歷命令行參數(shù)的字符串?dāng)?shù)組的每一項(xiàng)；

22、若當(dāng)前項(xiàng)為所述字符串?dāng)?shù)組的第一項(xiàng)，則判斷當(dāng)前項(xiàng)是否為文件路徑，是則只保留文件路徑中的文件部分，令命令等于第一項(xiàng)；

23、若當(dāng)前項(xiàng)以半角減號開頭，則判定當(dāng)前項(xiàng)為選項(xiàng)，將所述選項(xiàng)的鍵和值添加到選項(xiàng)數(shù)組中；

24、若當(dāng)前項(xiàng)不是第一項(xiàng)，也不以半角減號開頭，則做如下判斷：若所述命令不在無子命令的命令列表中，且子命令未賦值，且當(dāng)前項(xiàng)是以字母開頭，且當(dāng)前項(xiàng)為包括字母、數(shù)字、減號中的至少一項(xiàng)的字符串，則認(rèn)為當(dāng)前項(xiàng)是子命令，否則認(rèn)為當(dāng)前項(xiàng)是作用對象，將其添加至作用對象列表中。

25、進(jìn)一步的，還包括：識別到新的網(wǎng)絡(luò)服務(wù)時，所述新的網(wǎng)絡(luò)服務(wù)默認(rèn)處于學(xué)習(xí)模式，當(dāng)滿足模式轉(zhuǎn)換條件時，由學(xué)習(xí)模式轉(zhuǎn)換為檢測模式；

26、其中，所述模式轉(zhuǎn)換條件為：當(dāng)前時間與網(wǎng)絡(luò)服務(wù)發(fā)現(xiàn)時間的差超過預(yù)設(shè)的最短學(xué)習(xí)時長，且最后一個新的行為模式的學(xué)習(xí)時間距離當(dāng)前時間超過所述最短學(xué)習(xí)時長的三分之一。

27、進(jìn)一步的，所述判斷新創(chuàng)建進(jìn)程是否為所述網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程的步驟包括：

28、獲取所述新創(chuàng)建進(jìn)程的父進(jìn)程信息，若所述父進(jìn)程為shell進(jìn)程，繼續(xù)獲取所述父進(jìn)程的父進(jìn)程信息，直至最新獲取的父進(jìn)程不是shell進(jìn)程，查詢網(wǎng)絡(luò)服務(wù)進(jìn)程列表，判斷所述最新獲取的父進(jìn)程是否為網(wǎng)絡(luò)服務(wù)進(jìn)程，是則判定所述新創(chuàng)建進(jìn)程為網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程。

29、進(jìn)一步的，還包括：

30、檢測模式下，對于網(wǎng)絡(luò)服務(wù)新產(chǎn)生的子進(jìn)程，若所述網(wǎng)絡(luò)服務(wù)從未創(chuàng)建過與之具有相同行為模式的子進(jìn)程，則將產(chǎn)生一條告警，若該告警為誤報(bào)，則將所述新產(chǎn)生的子進(jìn)程的行為模式添加到所述網(wǎng)絡(luò)服務(wù)的已知行為模式中，避免后續(xù)再次產(chǎn)生相同誤報(bào)。

31、本發(fā)明的另一方面，提供了一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測裝置，包括：

32、第一模塊，用于通過代理掃描計(jì)算機(jī)存活進(jìn)程，識別其中的網(wǎng)絡(luò)服務(wù)進(jìn)程并生成網(wǎng)絡(luò)服務(wù)進(jìn)程列表，實(shí)時監(jiān)控進(jìn)程的創(chuàng)建與銷毀，并更新網(wǎng)絡(luò)服務(wù)進(jìn)程列表；

33、第二模塊，用于判斷新創(chuàng)建進(jìn)程是否為所述網(wǎng)絡(luò)服務(wù)進(jìn)程的子進(jìn)程，是則獲取所述子進(jìn)程的信息以識別所述子進(jìn)程的行為模式，否則忽略所述新創(chuàng)建進(jìn)程；

34、第三模塊，用于網(wǎng)絡(luò)服務(wù)為學(xué)習(xí)模式時，判斷所述網(wǎng)絡(luò)服務(wù)的已知行為模式中是否存在和所述子進(jìn)程相同的行為模式，若不存在則將所述子進(jìn)程的行為模式添加到該網(wǎng)絡(luò)服務(wù)的已知行為模式中；

35、第四模塊，用于網(wǎng)絡(luò)服務(wù)為檢測模式時，判斷所述網(wǎng)絡(luò)服務(wù)的已知行為模式中是否存在和所述子進(jìn)程相同的行為模式，是則判定所述子進(jìn)程正常，不產(chǎn)生告警；否則進(jìn)一步判斷所述網(wǎng)絡(luò)服務(wù)已有告警的行為模式中，是否存在和所述子進(jìn)程相同的行為模式，是則在相同行為模式的告警詳請中附加一條新的子進(jìn)程記錄，否則產(chǎn)生一條新告警。

36、本發(fā)明提供的一種遠(yuǎn)程命令執(zhí)行漏洞利用行為的檢測方法及裝置，具有如下有益效果：

37、（1）?本發(fā)明通過學(xué)習(xí)網(wǎng)絡(luò)服務(wù)正常創(chuàng)建子進(jìn)程的行為，歸納為行為模式，再進(jìn)入檢測模式，可以有效檢測遠(yuǎn)程命令執(zhí)行漏洞利用行為等攻擊行為產(chǎn)生的異常子進(jìn)程；本發(fā)明既不簡單學(xué)習(xí)粒度過粗的進(jìn)程可執(zhí)行文件路徑，也不簡單學(xué)習(xí)粒度過細(xì)的進(jìn)程命令行參數(shù)，而是綜合進(jìn)程的多個字段，歸納總結(jié)，學(xué)習(xí)行為模式，克服了傳統(tǒng)方法粒度過粗容易繞過和粒度過細(xì)容易誤報(bào)的問題。

38、（2）?本發(fā)明檢測到異常子進(jìn)程時，不會立即產(chǎn)生告警，而是判斷該子進(jìn)程是否和某個已有告警的行為模式相同，如果相同，會把該子進(jìn)程添加到已有告警的詳情中，只有該子進(jìn)程和任何已有告警的行為模式均不同，才產(chǎn)生新的告警，本發(fā)明只產(chǎn)生少量告警，避免了真實(shí)攻擊告警淹沒在海量誤報(bào)、大量告警中使安全運(yùn)維人員無法處理的情況；

39、（3）?本發(fā)明不依賴惡意命令檢測規(guī)則，不存在檢測規(guī)則誤報(bào)多、易繞過的問題；本發(fā)明僅利用操作系統(tǒng)提供的機(jī)制監(jiān)控進(jìn)程，不具有侵入性、不會對網(wǎng)絡(luò)服務(wù)穩(wěn)定性帶來負(fù)面影響。