[发明专利]非法提权检测方法、装置、电子设备及存储介质在审
| 申请号: | 202111130815.8 | 申请日: | 2021-09-26 |
| 公开(公告)号: | CN113987435A | 公开(公告)日: | 2022-01-28 |
| 发明(设计)人: | 王明广;王丹阳;齐向东;吴云坤 | 申请(专利权)人: | 奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司 |
| 主分类号: | G06F21/31 | 分类号: | G06F21/31;G06F21/57;G06F11/30 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 王宇杨 |
| 地址: | 100088 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 非法 检测 方法 装置 电子设备 存储 介质 | ||
本发明实施例提供一种非法提权检测方法、装置、电子设备及存储介质,方法包括:在第一日志结构合并LSM监控点检测到第一进程的情况下,获取所述第一进程的当前用户标识;获取预先存储的所述第一进程的目标用户标识;在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下,确定所述第一进程为非法提权操作。本发明通过预先存储第一进程在创建时的目标用户标识,在第一进程进入每个LSM监控点时,LSM监控点都检测第一进程的用户标识是否被篡改,能够对第一进程的用户标识进行持续监控,从而实现基于内存指令级别的非法提权检测,能够有效地检测到非法提权操作,进而及时采取防护措施,提升系统安全。
技术领域
本发明涉及计算机技术领域,尤其涉及一种非法提权检测方法、装置、电子设备及存储介质。
背景技术
提权攻击一般是低权限用户通过设备的硬件漏洞和/或处理器漏洞进行非法提权,将权限提升至高权限,例如root权限,进而以root身份执行各种操作,例如恶意读写数据、下载病毒程序等恶意操作,严重影响系统安全。
面对基于漏洞的提权攻击,如何有效地检测并防御非法提权操作,是亟待解决的技术问题。
发明内容
针对现有技术中的问题,本发明实施例提供一种非法提权检测方法、装置、电子设备及存储介质。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种非法提权检测方法,所述方法包括:
在第一日志结构合并LSM监控点检测到第一进程的情况下,获取所述第一进程的当前用户标识;
获取预先存储的所述第一进程的目标用户标识;
在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下,确定所述第一进程为非法提权操作。
进一步地,所述方法还包括:
在第二LSM监控点检测到第二进程为关键进程、且对所述第二进程进行静态栈规则匹配检查不通过的情况下,确定所述第二进程为非法设置用户标识;其中,所述第二LSM监控点中设置有静态栈规则匹配,所述第二LSM监控点用于检测所述第二进程是否为非法设置用户标识。
进一步地,所述方法还包括:
在检测到用户执行sudo程序,且设置用户标识setuid提权的情况下,向电子设备的应用层发送查询请求;其中,所述查询请求用于请求所述应用层验证所述用户是否具有sudo提权资格;
在所述用户不具有sudo提权资格的情况下,确定所述setuid提权为非法提权操作。
进一步地,所述用户标识的类型包括以下至少一种:
实际用户标识uid、保存设置用户标识suid、有效用户标识euid、文件系统的用户标识fsuid。
进一步地,所述确定所述第一进程为非法提权操作之后,所述方法还包括:
生成针对所述第一进程的第一提示消息;其中,所述第一提示消息用于表示所述第一进程为非法提权操作。
第二方面,本发明实施例提供了一种非法提权检测装置,所述装置包括:
第一获取模块,用于在第一日志结构合并LSM监控点检测到第一进程的情况下,获取所述第一进程的当前用户标识;
第二获取模块,用于获取预先存储的所述第一进程的目标用户标识;
第一确定模块,用于在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下,确定所述第一进程为非法提权操作。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司,未经奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202111130815.8/2.html,转载请声明来源钻瓜专利网。
