[发明专利]非法提权检测方法、装置、电子设备及存储介质在审
| 申请号: | 202111130815.8 | 申请日: | 2021-09-26 |
| 公开(公告)号: | CN113987435A | 公开(公告)日: | 2022-01-28 |
| 发明(设计)人: | 王明广;王丹阳;齐向东;吴云坤 | 申请(专利权)人: | 奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司 |
| 主分类号: | G06F21/31 | 分类号: | G06F21/31;G06F21/57;G06F11/30 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王宇杨 |
| 地址: | 100088 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 非法 检测 方法 装置 电子设备 存储 介质 | ||
1.一种非法提权检测方法,其特征在于,所述方法包括:
在第一日志结构合并LSM监控点检测到第一进程的情况下,获取所述第一进程的当前用户标识;
获取预先存储的所述第一进程的目标用户标识;
在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下,确定所述第一进程为非法提权操作。
2.根据权利要求1所述的非法提权检测方法,其特征在于,所述方法还包括:
在第二LSM监控点检测到第二进程为关键进程、且对所述第二进程进行静态栈规则匹配检查不通过的情况下,确定所述第二进程为非法设置用户标识;其中,所述第二LSM监控点中设置有静态栈规则匹配,所述第二LSM监控点用于检测所述第二进程是否为非法设置用户标识。
3.根据权利要求1所述的非法提权检测方法,其特征在于,所述方法还包括:
在检测到用户执行sudo程序,且设置用户标识setuid提权的情况下,向电子设备的应用层发送查询请求;其中,所述查询请求用于请求所述应用层验证所述用户是否具有sudo提权资格;
在所述用户不具有sudo提权资格的情况下,确定所述setuid提权为非法提权操作。
4.根据权利要求1所述的非法提权检测方法,其特征在于,所述用户标识的类型包括以下至少一种:
实际用户标识uid、保存设置用户标识suid、有效用户标识euid、文件系统的用户标识fsuid。
5.根据权利要求1所述的非法提权检测方法,其特征在于,所述确定所述第一进程为非法提权操作之后,所述方法还包括:
生成针对所述第一进程的第一提示消息;其中,所述第一提示消息用于表示所述第一进程为非法提权操作。
6.一种非法提权检测装置,其特征在于,所述装置包括:
第一获取模块,用于在第一日志结构合并LSM监控点检测到第一进程的情况下,获取所述第一进程的当前用户标识;
第二获取模块,用于获取预先存储的所述第一进程的目标用户标识;
第一确定模块,用于在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下,确定所述第一进程为非法提权操作。
7.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述非法提权检测方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至5任一项所述非法提权检测方法的步骤。
9.一种计算机程序产品,其上存储有可执行指令,其特征在于,该指令被处理器执行时使处理器实现如权利要求1至5中任一项所述非法提权检测方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司,未经奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111130815.8/1.html,转载请声明来源钻瓜专利网。
