[发明专利]计算环境中的特权提升路径的专家系统分析与图形显示

说明书

背景

计算机和计算机网络是复杂的系统。安全环境正不断地随着新软件程序的安装而改变，每个软件程序都会将新的变量和关系引入到系统中。这些系统具有一定程度的共享、互相依赖性、以及交互性，这使得整个计算机或网络易受该系统的任一部分中引入的缺陷的攻击。

计算机系统中的特定风险与特权提升相关联。当在系统上表示身份的概念的任何时候，存在那些身份的意外相交的可能性。在计算机上执行的进程各自都有一个相关联的身份和特权。类似地，对文件和资源的访问也可能只授予某些身份或特权。特权用来指定特定进程或用户帐户可用的文件或资源。

当各实体与不同特权的其他实体交互时可能会引起一些问题。这些问题被称为特权提升缺陷。在一个这样的例子中，第一帐户可以对第二帐户执行的或具有读访问权的文件具有写访问权。这可能会潜在地允许第一帐户作为第二帐户来执行代码，因为第一帐户可以更改或改变第二帐户运行的可执行码。多个特权跳跃或提升可被连结成提升链。通过跟随特权提升路径或链，黑客或恶意用户可以潜在地获得对计算机系统的资源和帐户的完全访问，并可能访问网络上的其他计算机。

虽然与特权提升缺陷相关联的问题是已知的，但是很难定位或诊断这些问题。现代操作系统提供各种特权和访问控制功能，但是它们不提供关于那些特权和访问控制功能如何被有效使用的反馈。因为各计算机进程以各种方式彼此交互并与计算机操作系统交互，所以随着每个新软件的安装或帐户的创建，可能会向系统引入潜在的新特权缺陷。

概述

在目标系统上执行一数据收集应用程序。收集指示特权提升路径的各种数据，包括用户帐户数据、文件许可数据、以及系统注册表数据。根据试探法分析所收集的数据。系统帐户在一图上被显示为节点。所检测到的各帐户之间的特权提升被显示为其相应帐户之间的边。用户可以定制所显示的图以集中在特定目标帐户、以及特权提升类别上。

附图简述

图1是示出根据本发明的特权提升检测的示例性方法的流程图；

图2a是示出根据本发明由示例性特权提升检测系统检测到的特权提升路径的屏幕截图；

图2b是示出根据本发明由示例性特权提升检测系统检测到的特权提升路径的屏幕截图；

图3是示出根据本发明的用于特权提升图生成的示例性方法的流程图；

图4是根据本发明的来自示例性特权提升图生成系统的图；

图5是示出根据本发明的特权提升图生成的示例性方法的流程图；

图6是根据本发明由示例性特权提升图生成系统生成的图；

图7是根据本发明由示例性特权提升图生成系统生成的图；以及

图8是示出其中可实现本发明的各方面的示例性计算环境的框图。

详细描述

图1是示出特权提升分析的示例性方法的图示。执行一数据收集程序。该数据收集程序收集从包括网络资源的各种计算机资源收集许可信息。使用被设计成检测计算机系统中的特权提升缺陷的各种试探法来分析所收集的数据。某些目标帐户由用户或管理员来定义，并且求解这些目标。然后向用户呈现详述使用检测到的特权提升能够达到目标帐户的各个帐户的报告。用户然后可以修订该目标帐户，或请求关于特定特权提升缺陷的进一步细节。此外，检测到的特权提升缺陷可以与从数据收集程序的先前执行中所检测到的特权提升缺陷相比较，以便确定是否已对系统做出改进，或查看例如由新近的软件安装引入的新漏洞。

在110处，在所分析的系统上执行一数据收集程序。该数据收集程序理想地从系统上的各种资源收集许可数据。这可以包括但不限于：注册表数据、文件系统许可数据、服务许可、COM和DCOM对象、具有已知安全缺陷的任何执行程序、组许可、用户帐户特权和权限、以及内核对象访问许可。例如，所收集的数据还可以从诸如现用目录和文件服务器等网络资源收集。例如，该数据收集程序可以在被测试的特定系统上本地执行，或者可以从网络上的另一计算机远程地执行。然而，该数据收集程序理想地被给予主机系统上的完全访问许可。为该数据收集程序提供最高访问权限确保该程序能够从系统中收集所需的许可数据。可以使用本领域已知的用于数据收集的任何系统、方法或技术。该数据收集程序可以将所收集的数据存储在例如数据库、文件或文件集合、或本领域已知的任何其他存储设备中。