1.一种反向Shell的监测方法,其特征在于,包括:获取目标主机接收到的通信数据;当所述通信数据中包含有表征传输密钥行为的数据时,确定发送所述通信数据的控制主机;获取所述目标主机与所述控制主机通信所采用的通信密钥;利用所述通信密钥解密所述控制主机发送至所述目标主机的请求数据以便进行验证;其中,所述传输密钥行为具体为传输所述控制主机的公钥;所述获取所述目标主机与所述控制主机通信所采用的通信密钥包括:断开所述目标主机与所述控制主机的网络连接;分别与所述目标主机和控制主机建立网络连接;向所述目标主机发送第一公钥;获取所述目标主机发送的加密数据,其中,所述加密数据为通过所述第一公钥将所述通信密钥加密的数据;利用与所述第一公钥对应的私钥解密所述加密数据以得到所述通信密钥;向所述控制主机发送获取公钥的请求;获取所述控制主机发送的第二公钥;利用所述第二公钥将所述通信密钥加密,并发送至所述控制主机,以便所述控制主机利用与所述第二公钥对应的私钥解密以得到所述通信密钥。
2.根据权利要求1所述的监测方法,其特征在于,所述通信密钥为对称加密算法的密钥。
3.根据权利要求2所述的监测方法,其特征在于,还包括:接收所述目标主机发送至所述控制主机的响应数据;通过所述通信密钥解密所述响应数据,并存储解密后的响应数据;将解密后的响应数据通过所述通信密钥再次加密,并发送至所述控制主机。
4.根据权利要求1所述的监测方法,其特征在于,当所述通信数据中包含有表征传输密钥行为的数据时,还包括:存储表征所述传输密钥行为的数据。
5.根据权利要求1所述的监测方法,其特征在于,所述利用所述通信密钥解密所述控制主机发送至所述目标主机的请求数据以便进行验证包括:接收所述控制主机发送至所述目标主机的请求数据;通过所述通信密钥解密所述请求数据,并存储解密后的请求数据;当所述请求数据为表征动态链接库文件的数据,且所述动态链接库文件的特征符合反向Shell的特征时,确定存在反向Shell;将解密后的请求数据通过所述通信密钥再次加密,并发送至所述目标主机。
6.根据权利要求5所述的监测方法,其特征在于,当确定存在反向Shell后,还包括:将所述动态链接库文件存储;确定所述动态链接库文件的攻击属性。
7.根据权利要求1所述的监测方法,其特征在于,所述确定发送所述通信数据的控制主机包括:通过五元组参数确定发送所述通信数据的控制主机。
8.一种反向Shell的监测装置,其特征在于,包括:第一获取模块,用于获取目标主机接收到的通信数据;记录模块,用于当所述通信数据中包含有表征传输密钥行为的数据时,确定发送所述通信数据的控制主机;第二获取模块,用于获取所述目标主机与所述控制主机通信所采用的通信密钥;监测模块,用于利用所述通信密钥解密所述控制主机发送至所述目标主机的请求数据以便进行验证;其中,所述传输密钥行为具体为传输所述控制主机的公钥;所述第二获取模块具体用于:断开所述目标主机与所述控制主机的网络连接;分别与所述目标主机和控制主机建立网络连接;向所述目标主机发送第一公钥;获取所述目标主机发送的加密数据,其中,所述加密数据为通过所述第一公钥将所述通信密钥加密的数据;利用与所述第一公钥对应的私钥解密所述加密数据以得到所述通信密钥;向所述控制主机发送获取公钥的请求;获取所述控制主机发送的第二公钥。
9.一种终端设备,其特征在于,包括存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的反向Shell的监测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的反向Shell的监测方法的步骤。
