本發(fā)明涉及一種信息技術(shù)領(lǐng)域，特別是涉及一種反向連接后門的檢測方法及裝置。

背景技術(shù)：

隨著信息技術(shù)的不斷發(fā)展，信息的安全也逐漸引起人們的注意。針對黑客侵入服務(wù)器中竊取信息，技術(shù)人員可以通過受攻服務(wù)器和攻擊溯源工具查找黑客的服務(wù)器，從而確定黑客的信息。其中，為了確定當(dāng)前服務(wù)是否存在黑客侵入，需要檢測當(dāng)前服務(wù)器中是否存在不是當(dāng)前服務(wù)器主動執(zhí)行的任務(wù)。

目前，現(xiàn)有的確定黑客是否侵入是使用反彈回連姿勢，通過調(diào)用BASH腳本進行回連，來確定是否存在通過外網(wǎng)進行輸入的任務(wù)。但是這種方法只適用于持繼監(jiān)控的情況，且存在較大的誤報比率，無法準確定位，因此，通過檢測反向連接后門確定是否存在黑客攻擊服務(wù)器的情況變成亟待解決的問題。

技術(shù)實現(xiàn)要素：

有鑒于此，本發(fā)明提供一種反向連接后門的檢測方法及裝置，主要目的在于解決了當(dāng)黑客利用反彈回連姿勢攻擊服務(wù)器的情況下，采用持繼監(jiān)控判斷是否有回連外網(wǎng)IP，導(dǎo)致較大的誤報比率，無法準確定位的問題。

依據(jù)本發(fā)明一個方面，提供了一種反向連接后門的檢測方法，包括：

獲取當(dāng)前服務(wù)器各個端口的端口信息；

遍歷所述端口運行程序中進程的進程標識符；

判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；

若匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

依據(jù)本發(fā)明一個方面，提供了一種反向連接后門的檢測裝置，包括：

獲取單元，用于獲取當(dāng)前服務(wù)器各個端口的端口信息；

遍歷單元，用于遍歷所述端口運行程序中進程的進程標識符；

第一判斷單元，用于判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；

確定單元，用于若所述進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

借由上述技術(shù)方案，本發(fā)明實施例提供的技術(shù)方案至少具有下列優(yōu)點：

本發(fā)明實施例提供的一種反向連接后門的檢測方法及裝置，首先獲取當(dāng)前服務(wù)器各個端口的端口信息，然后遍歷所述端口運行程序中進程的進程標識符，再判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配，若匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。與現(xiàn)有的當(dāng)黑客利用反彈回連姿勢攻擊服務(wù)器的情況下，采用持繼監(jiān)控判斷是否有回連外網(wǎng)IP相比，本發(fā)明實施例通過對服務(wù)器中各個端口運行程序的進程標識符進行遍歷，將進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令進行對比得到相同的結(jié)果，則確定存在反向連接后門，即黑客通過反向連接后門進行入侵，實現(xiàn)通過檢測反向連接后門的方法確定是否存在黑客攻擊服務(wù)器，提高檢測黑客攻擊檢測的準確性。

上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂，以下特舉本發(fā)明的具體實施方式。

附圖說明

通過閱讀下文優(yōu)選實施方式的詳細描述，各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的，而并不認為是對本發(fā)明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中：

圖1示出了本發(fā)明實施例提供的一種反向連接后門的檢測方法流程圖；

圖2示出了本發(fā)明實施例提供的另一種反向連接后門的檢測方法流程圖；

圖3示出了本發(fā)明實施例提供的一種反向連接后門的檢測裝置結(jié)構(gòu)示意圖；

圖4示出了本發(fā)明實施例提供的另一種反向連接后門的檢測裝置結(jié)構(gòu)示意圖；

具體實施方式

下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應(yīng)當(dāng)理解，可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達給本領(lǐng)域的技術(shù)人員。

本發(fā)明實施例提供了一種反向連接后門的檢測方法，如圖1所示，所述方法包括：

101、獲取當(dāng)前服務(wù)器各個端口的端口信息。

其中，所述端口為設(shè)備與外界通訊交互的出口，包括虛擬端口和物理端口，當(dāng)前服務(wù)器在運行交互程序過程中是通過虛擬端口進行的，所述端口信息包括端口對應(yīng)的進程標識符PID(process ID)、端口連接狀態(tài)、端口標識、端口說明等，本發(fā)明實施例不做具體限定，所述端口連接狀態(tài)為端口處于外鏈接狀態(tài)或內(nèi)連接狀態(tài)。

需要說明的是，服務(wù)器可以通過服務(wù)器的不同端口進行不同程序的運行，例如，當(dāng)前的服務(wù)器可以為LINUX，服務(wù)器執(zhí)行的程序腳本可以為bash、exec，對應(yīng)的進程可以執(zhí)行exec、bin、sh，對應(yīng)的，每個程序則需要綁定一個對應(yīng)的端口，以便查找每個程序是否通過反向連接后門執(zhí)行的程序。

102、遍歷所述端口運行程序中進程的進程標識符。

其中，所述進程標識符用于區(qū)分不同進程代碼的標識，也為大部分操作系統(tǒng)的內(nèi)核用于唯一標識進程的一個數(shù)值，技術(shù)人員可以通過任務(wù)管理器中得到。

需要說明的是，遍歷即是指按照特定的順序訪問所有進程標識符對應(yīng)的程序。

103、判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配。

其中，所述進程標識符對應(yīng)的命令為在遍歷所有進程標識符對應(yīng)的程序時，程序執(zhí)行的命令，所述預(yù)設(shè)的反向連接調(diào)用命令為技術(shù)人員通過分析黑客攻擊服務(wù)器需要執(zhí)行的命令，預(yù)先在當(dāng)前服務(wù)器中設(shè)置的命令，這種命令可以通過反向連接方式進行運行。

需要說明的是，一般的，各種系統(tǒng)版本下運行的反向連接腳本，都會具有共同特點，即調(diào)用的命令可以包括bin、sh、bash，則預(yù)設(shè)的反向連接調(diào)用命令可以包括bin、sh、bash。

104、若所述進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

其中，所述匹配為進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令相同，所述后門是指是繞過安全性控制，獲取對程序或系統(tǒng)訪問權(quán)的方法。

需要說明的是，反向連接是反向連接是指受控端主動連接控制端，在受控端和控制端之間建立一個遠程連接，通過這個連接，控制端可以主動的向受控端發(fā)送一些請求，即黑客可以通過反向連接后門來攻擊服務(wù)器。

本發(fā)明實施例提供的一種反向連接后門的檢測方法，與現(xiàn)有的當(dāng)黑客利用反彈回連姿勢攻擊服務(wù)器的情況下，采用持繼監(jiān)控判斷是否有回連外網(wǎng)IP相比，本發(fā)明實施例通過對服務(wù)器中各個端口運行程序的進程標識符進行遍歷，將進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令進行對比得到相同的結(jié)果，則確定存在反向連接后門，即黑客通過反向連接后門進行入侵，實現(xiàn)通過檢測反向連接后門的方法確定是否存在黑客攻擊服務(wù)器，提高檢測黑客攻擊檢測的準確性。

本發(fā)明實施例提供了另一種反向連接后門的檢測方法，如圖2所示，所述方法包括：

201、獲取當(dāng)前服務(wù)器各個端口的端口信息。

本步驟與圖1所述步驟101所述的方法相同，這里不再贅述。

對于本發(fā)明實施例，步驟201之前還包括：為當(dāng)前服務(wù)器執(zhí)行的不同程序配置不同的端口。

其中，所述程序配置端口是指將執(zhí)行不同指令的程序綁定一個對應(yīng)的端口，每個端口對應(yīng)一個PID。通過將程序綁定于對應(yīng)的端口上，以便通過PID找到程序執(zhí)行的命令，從而確定當(dāng)前端口是否為反向連接后門。

202、提取所述端口信息中的連接狀態(tài)。

其中，所述連接狀態(tài)包括端口建立外網(wǎng)連接、端口建立內(nèi)網(wǎng)連接等，本發(fā)明實施例不做具體限定。通過提取連接狀態(tài)，以便針對建立外網(wǎng)連接的端口進行遍歷，減少端口遍歷的數(shù)量。

需要說明的是，黑客端服務(wù)器通過自身的端口與受攻服務(wù)器建立連接，實現(xiàn)通過將建立連接的端口對受攻服務(wù)器進行入侵操作。

203、判斷所述連接狀態(tài)是否為建立外網(wǎng)連接。

需要說明的是，一般的，在黑客進攻服務(wù)器時，黑客入侵屬于外網(wǎng)入侵，所以只要檢測建立外網(wǎng)鏈接的端口對應(yīng)的PID即可。通過判斷是否為建立外網(wǎng)鏈接，可以排除內(nèi)網(wǎng)連接對應(yīng)的端口，減少遍歷數(shù)量，提高遍歷速度。

204、若為建立外網(wǎng)連接，則遍歷所述端口運行程序中進程的進程標識符。

本步驟與圖1所述步驟102所述的方法相同，這里不再贅述。

205、解析所述進程標識符執(zhí)行的命令。

其中，所示命令是指根據(jù)進程標識符訪問進程標識符對應(yīng)的執(zhí)行程序得到的程序命令。

對于本發(fā)明實施例，步驟205具體可以為：調(diào)用所述進程標識符；通過預(yù)設(shè)的系統(tǒng)跟蹤命令跟蹤所述進程標識符執(zhí)行的命令。

其中，預(yù)設(shè)的系統(tǒng)跟蹤命令為可以執(zhí)行進程標識符對應(yīng)的程序的命令，如strace，strace的最簡單的用法就是執(zhí)行一個指定的命令，在指定的命令結(jié)束之后它也就退出了，在命令執(zhí)行的過程中，strace會記錄和解析命令進程的所有系統(tǒng)調(diào)用以及這個進程所接收到的所有的信號值。

206、判斷所述命令是否與預(yù)設(shè)的反向連接調(diào)用命令相同。

本步驟與圖1所述步驟103所述的方法相同，這里不再贅述。

207、若所述命令與預(yù)設(shè)的反向連接調(diào)用命令相同，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

本步驟與圖1所述步驟104所述的方法相同，這里不再贅述。

208、按照預(yù)設(shè)時間間隔更新所述預(yù)設(shè)的反向連接調(diào)用命令。

其中，所示預(yù)設(shè)時間間隔可以為1天或半個月，具體可以根據(jù)技術(shù)人員對黑客執(zhí)行的侵入命令解析的結(jié)果更新的時間進行設(shè)置，本發(fā)明實施例不做具體限定，所述更新可以為添加、刪除、替換，本發(fā)明實施例不做具體限定。通過更新預(yù)設(shè)的反向的連接調(diào)用指令，可以及時的識別出是否存在反向連接后門，避免黑客入侵執(zhí)行的命令不存在與預(yù)設(shè)的反向連接調(diào)用命令中。

209、輸出存在黑客入侵告警信息。

其中，所述告警信息的形式可以為聲音、圖像或?qū)υ捒?，本發(fā)明實施例不做具體限定，通過輸出告警信息，以便技術(shù)人員對受攻服務(wù)器采取相應(yīng)措施。

對于本發(fā)明實施例，具體的應(yīng)用場景可以如下所示，但不限于此，包括：獲取當(dāng)前服務(wù)器中端口1，端口2，端口3的端口信息分，從各個端口信息中提取連接狀態(tài)，分別為：建立外網(wǎng)連接，建立外網(wǎng)連接，建立內(nèi)網(wǎng)連接，判斷端口1和端口2處于建立外網(wǎng)連接狀態(tài)，則遍歷端口1和端口2中進程標識符5416和4563，解析出進程標識符4563對應(yīng)的命令為“更新sda文件”，預(yù)設(shè)的反向連接調(diào)用命令中包括更新sda文件，則確定存在反向連接后門，向技術(shù)人員發(fā)出黑客入侵告警信息。

本發(fā)明實施例提供的另一種反向連接后門的檢測方法，本發(fā)明實施例通過對服務(wù)器中各個端口的連接狀態(tài)進程判斷，對建立外網(wǎng)連接的端口對應(yīng)的運行程序的進程標識符進行遍歷，將進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令進行對比得到相同的結(jié)果，則確定存在反向連接后門，即黑客通過反向連接后門進行入侵，避免對所有安全的端口進行遍歷，減少檢測時間，再及時對預(yù)設(shè)的反向連接調(diào)用命令進行更新，實現(xiàn)及時對黑客潛在的入侵命令進行設(shè)置，提高檢測黑客攻擊檢測的準確性。

進一步的，作為對上述圖1所示方法的實現(xiàn)，本發(fā)明實施例提供了一種反向連接后門的檢測裝置，如圖3所示，該裝置包括：獲取單元31、遍歷單元32、第一判斷單元33、確定單元34。

獲取單元31，用于獲取當(dāng)前服務(wù)器各個端口的端口信息；獲取單元31為反向連接后門的檢測裝置執(zhí)行獲取當(dāng)前服務(wù)器各個端口的端口信息的功能模塊。

遍歷單元32，用于遍歷所述端口運行程序中進程的進程標識符；遍歷單元32為反向連接后門的檢測裝置執(zhí)行遍歷所述端口運行程序中進程的進程標識符的功能模塊。

第一判斷單元33，用于判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；第一判斷單元33為反向連接后門的檢測裝置執(zhí)行判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配的功能模塊。

確定單元34，用于若所述進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。確定單元34為反向連接后門的檢測裝置執(zhí)行將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門的功能模塊。

本發(fā)明實施例提供的一種反向連接后門的檢測裝置，包括：獲取單元、遍歷單元、第一判斷單元、確定單元。與現(xiàn)有的利用反彈回連姿勢檢測黑客攻擊服務(wù)器相比，本發(fā)明實施例通過對服務(wù)器中各個端口運行程序的進程標識符進行遍歷，將進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令進行對比得到相同的結(jié)果，則確定存在反向連接后門，即黑客通過反向連接后門進行入侵，實現(xiàn)通過檢測反向連接后門的方法確定是否存在黑客攻擊服務(wù)器，提高檢測黑客攻擊檢測的準確性。

進一步的，作為對上述圖2所示方法的實現(xiàn)，本發(fā)明實施例提供了另一種反向連接后門的檢測裝置，如圖4所示，該裝置包括：獲取單元41、遍歷單元42、第一判斷單元43、確定單元44、提取單元45、第二判斷單元46、配置單元47、更新單元48、輸出單元49。

獲取單元41，用于獲取當(dāng)前服務(wù)器各個端口的端口信息；

遍歷單元42，用于遍歷所述端口運行程序中進程的進程標識符；

第一判斷單元43，用于判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；

確定單元44，用于若所述進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

進一步地，通過提取連接狀態(tài)，以便針對建立外網(wǎng)連接的端口進行遍歷，減少端口遍歷的數(shù)量。所述裝置還包括：提取單元45、第二判斷單元46，

所述提取單元45，用于提取所述端口信息中的連接狀態(tài)；

所述第二判斷單元46，用于判斷所述連接狀態(tài)是否為建立外網(wǎng)連接；

所述遍歷單元42，具體用于若為建立外網(wǎng)連接，則遍歷所述端口運行程序中進程的進程標識符。

具體地，所述第一判斷單元43包括：

解析模塊4301，用于解析所述進程標識符執(zhí)行的命令；

判斷模塊4302，用于判斷所述命令是否與預(yù)設(shè)的反向連接調(diào)用命令相同。

進一步地，具體地，所述解析模塊4301包括：

調(diào)用子模塊430101，用于調(diào)用所述進程標識符；

跟蹤子模塊430102，用于通過預(yù)設(shè)的系統(tǒng)跟蹤命令跟蹤所述進程標識符執(zhí)行的命令。

進一步地，通過將程序綁定于對應(yīng)的端口上，以便通過PID找到程序執(zhí)行的命令，從而確定當(dāng)前端口是否為反向連接后門。所述裝置還包括：

配置單元47，用于為當(dāng)前服務(wù)器執(zhí)行的不同程序配置不同的端口。

進一步地，通過更新預(yù)設(shè)的反向的連接調(diào)用指令，可以及時的識別出是否存在反向連接后門，避免黑客入侵執(zhí)行的命令不存在與預(yù)設(shè)的反向連接調(diào)用命令中。所述裝置還包括：

更新單元48，用于按照預(yù)設(shè)時間間隔更新所述預(yù)設(shè)的反向連接調(diào)用命令。

進一步地，通過輸出告警信息，以便技術(shù)人員對受攻服務(wù)器采取相應(yīng)措施。所述裝置還包括：

輸出單元49，用于輸出存在黑客入侵告警信息。

本發(fā)明實施例提供的另一種反向連接后門的檢測裝置，本發(fā)明實施例通過對服務(wù)器中各個端口的連接狀態(tài)進程判斷，對建立外網(wǎng)連接的端口對應(yīng)的運行程序的進程標識符進行遍歷，將進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令進行對比得到相同的結(jié)果，則確定存在反向連接后門，即黑客通過反向連接后門進行入侵，避免對所有安全的端口進行遍歷，減少檢測時間，再及時對預(yù)設(shè)的反向連接調(diào)用命令進行更新，實現(xiàn)及時對黑客潛在的入侵命令進行設(shè)置，提高檢測黑客攻擊檢測的準確性。

在上述實施例中，對各個實施例的描述都各有側(cè)重，某個實施例中沒有詳述的部分，可以參見其他實施例的相關(guān)描述。

可以理解的是，上述方法及裝置中的相關(guān)特征可以相互參考。另外，上述實施例中的“第一”、“第二”等是用于區(qū)分各實施例，而并不代表各實施例的優(yōu)劣。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在此提供的算法和顯示不與任何特定計算機、虛擬系統(tǒng)或者其它設(shè)備固有相關(guān)。各種通用系統(tǒng)也可以與基于在此的示教一起使用。根據(jù)上面的描述，構(gòu)造這類系統(tǒng)所要求的結(jié)構(gòu)是顯而易見的。此外，本發(fā)明也不針對任何特定編程語言。應(yīng)當(dāng)明白，可以利用各種編程語言實現(xiàn)在此描述的本發(fā)明的內(nèi)容，并且上面對特定語言所做的描述是為了披露本發(fā)明的最佳實施方式。

在此處所提供的說明書中，說明了大量具體細節(jié)。然而，能夠理解，本發(fā)明的實施例可以在沒有這些具體細節(jié)的情況下實踐。在一些實例中，并未詳細示出公知的方法、結(jié)構(gòu)和技術(shù)，以便不模糊對本說明書的理解。

類似地，應(yīng)當(dāng)理解，為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個，在上面對本發(fā)明的示例性實施例的描述中，本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而，并不應(yīng)將該公開的方法解釋成反映如下意圖：即所要求保護的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說，如下面的權(quán)利要求書所反映的那樣，發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此，遵循具體實施方式的權(quán)利要求書由此明確地并入該具體實施方式，其中每個權(quán)利要求本身都作為本發(fā)明的單獨實施例。

本領(lǐng)域那些技術(shù)人員可以理解，可以對實施例中的設(shè)備中的模塊進行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件，以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外，可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進行組合。除非另外明確陳述，本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。

此外，本領(lǐng)域的技術(shù)人員能夠理解，盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征，但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如，在下面的權(quán)利要求書中，所要求保護的實施例的任意之一都可以以任意的組合方式來使用。

本發(fā)明的各個部件實施例可以以硬件實現(xiàn)，或者以在一個或者多個處理器上運行的軟件模塊實現(xiàn)，或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解，可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的反向連接后門的檢測方法及裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如，計算機程序和計算機程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機可讀介質(zhì)上，或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到，或者在載體信號上提供，或者以任何其他形式提供。

應(yīng)該注意的是上述實施例對本發(fā)明進行說明而不是對本發(fā)明進行限制，并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中，不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中，這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序?？蓪⑦@些單詞解釋為名稱。

本發(fā)明還提供了如下技術(shù)方案：

A1、一種反向連接后門的檢測方法，包括：

獲取當(dāng)前服務(wù)器各個端口的端口信息；

遍歷所述端口運行程序中進程的進程標識符；

判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；

若匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

A2、根據(jù)權(quán)利要求A1所述的方法，所述遍歷所述端口執(zhí)行進程的進程標識符之前，所述方法還包括：

提取所述端口信息中的連接狀態(tài)；

判斷所述連接狀態(tài)是否為建立外網(wǎng)連接；

所述遍歷所述端口運行程序中進程的進程標識符包括：

若為建立外網(wǎng)連接，則遍歷所述端口運行程序中進程的進程標識符。

A3、根據(jù)權(quán)利要求A1所述的方法，所述判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配包括：

解析所述進程標識符執(zhí)行的命令；

判斷所述命令是否與預(yù)設(shè)的反向連接調(diào)用命令相同。

A4、根據(jù)權(quán)利要求A3所述的方法，所述解析所述進程標識符執(zhí)行的命令包括：

調(diào)用所述進程標識符；

通過預(yù)設(shè)的系統(tǒng)跟蹤命令跟蹤所述進程標識符執(zhí)行的命令。

A5、根據(jù)權(quán)利要求A1所述的方法，所述獲取當(dāng)前服務(wù)器各個端口的端口信息之前，所述方法還包括：

為當(dāng)前服務(wù)器執(zhí)行的不同程序配置不同的端口。

A6、根據(jù)權(quán)利要求A1-A5任一項所述的方法，所述確定當(dāng)前服務(wù)器存在反向連接后門之后，所述方法還包括：

按照預(yù)設(shè)時間間隔更新所述預(yù)設(shè)的反向連接調(diào)用命令。

A7、根據(jù)權(quán)利要求A1-A5任一項所述的方法，所述確定當(dāng)前服務(wù)器存在反向連接后門之后，所述方法還包括：

輸出存在黑客入侵告警信息。

A8、一種反向連接后門的檢測裝置，包括：

獲取單元，用于獲取當(dāng)前服務(wù)器各個端口的端口信息；

遍歷單元，用于遍歷所述端口運行程序中進程的進程標識符；

第一判斷單元，用于判斷所述進程標識符對應(yīng)的命令是否與預(yù)設(shè)的反向連接調(diào)用命令匹配；

確定單元，用于若所述進程標識符對應(yīng)的命令與預(yù)設(shè)的反向連接調(diào)用命令匹配，則將所述端口確定為當(dāng)前服務(wù)器存在反向連接后門。

A9、根據(jù)權(quán)利要求A8所述的裝置，所述裝置還包括：提取單元、第二判斷單元，

所述提取單元，用于提取所述端口信息中的連接狀態(tài)；

所述判斷單元，用于判斷所述連接狀態(tài)是否為建立外網(wǎng)連接；

所述遍歷單元，具體用于若為建立外網(wǎng)連接，則遍歷所述端口運行程序中進程的進程標識符。

A10、根據(jù)權(quán)利要求A8所述的裝置，所述第一判斷單元包括：

解析模塊，用于解析所述進程標識符執(zhí)行的命令；

判斷模塊，用于判斷所述命令是否與預(yù)設(shè)的反向連接調(diào)用命令相同。

A11、根據(jù)權(quán)利要求A10所述的裝置，所述解析模塊包括：

調(diào)用子模塊，用于調(diào)用所述進程標識符；

跟蹤子模塊，用于通過預(yù)設(shè)的系統(tǒng)跟蹤命令跟蹤所述進程標識符執(zhí)行的命令。

A12、根據(jù)權(quán)利要求A8所述的裝置，所述裝置還包括：

配置單元，用于為當(dāng)前服務(wù)器執(zhí)行的不同程序配置不同的端口。

A13、根據(jù)權(quán)利要求A8-A12任一項所述的裝置，所述裝置還包括：

更新單元，用于按照預(yù)設(shè)時間間隔更新所述預(yù)設(shè)的反向連接調(diào)用命令。

A14、根據(jù)權(quán)利要求A8-A12任一項所述的裝置，所述裝置還包括：

輸出單元，用于輸出存在黑客入侵告警信息。