反连检测

背景：

黑客入侵完成后为了方便下次“关顾”一般都会留下后门程序，此时断绝黑客的“后路”就显得尤为重要了

目的：

通过多种维度组成多种方案来帮助管理员尽可能快的发现恶意网络连接

注意：

多种方案可叠加使用，方案与方案之间无互斥关系，多种方案混合使用可提高检测率。如是多种方案叠加使用的话需对结果进行去重处理。

思路1（基于威胁情报检测）：

此种方法简单有效，可以对网内主机出向流量进行归类统计，唯一的缺点是好用的威胁情报平台需要付费方可使用。

1、镜像网络出口流量

2、提取DNS请求数据包中的请求域名，送往威胁情报平台对其画像。

3、提取目的IP地址，送往威胁情报平台对其画像。以下列举了威胁情报可对IP进行的一部分分类：

思路2（基于agent）：

此种方法基于agent收集主机网络连接信息(netstat)，可以有效检测将系统shell反弹出去的场景

1、部署agent

2、周期性收集主机网络连接信息，如发现bash、sh、ksh、tcsh、csh、zsh等系统shell程序开启侦听端口或者已经建立TCP连接，则视为存在返连行为。（正常ssh登陆系统获取到shell时，通过netstat可以看到与之建立连接的程序为sshd）