技术总结
本发明公开了一种docker容器内反弹shell的检测方法和系统,其中docker容器内反弹shell进程检测的方法包括:开启内核审计组件服务,内核审计组件服务用于记录审计记录;在审计记录中查找shell进程;判断审计记录中是否存在shell进程的重定向连接,若是,则确定shell进程为反弹shell进程;判断反弹shell进程是否为docker容器内进程,若是,则确定反弹shell进程为docker容器内反弹shell进程。本发明实现一种更彻底、更准确、更实时的docker容器内反弹shel检测机制。
技术研发人员:李昕;陶青云;章锦成;闵杰
受保护的技术使用者:上海携程商务有限公司
技术研发日:2019.11.14
技术公布日:2020.03.24