[发明专利]内核漏洞后端检测的方法及装置有效
| 申请号: | 201611069041.1 | 申请日: | 2016-11-28 |
| 公开(公告)号: | CN106778284B | 公开(公告)日: | 2021-03-26 |
| 发明(设计)人: | 李琦 | 申请(专利权)人: | 北京奇虎科技有限公司;奇智软件(北京)有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57 |
| 代理公司: | 北京恒博知识产权代理有限公司 11528 | 代理人: | 范胜祥 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 内核 漏洞 后端 检测 方法 装置 | ||
本发明实施例提供了一种内核漏洞后端检测的方法及装置,该方法包括:当系统创建新进程时,通过已设置的进程创建通知回调例程将所创建的新进程添加记录至进程创建记录表中,然后通过已设置的进程创建通知回调例程检测到当前进程被调用时,判断当前进程是否存在于预存的进程创建表中,当当前进程存在于进程创建表中时,对当前进程进行检测,然后根据检测结果来确定当前进程的权限,并生成检测日志。本发明实施例提供的内核漏洞后端检测的方法及装置可以适用于在服务器端虚拟机沙箱隔离环境下针对指定的样本文件进行漏洞利用检测。
技术领域
本发明涉及计算机网络技术领域,具体而言,本发明涉及一种内核漏洞后端检测的方法及装置。
背景技术
内核,是一个操作系统的核心,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性,因此确保内核的安全是重中之重。
当内核出现漏洞时,黑客可能利用内核漏洞提升对计算机的访问权限,例如,黑客可以利用该内核漏洞入侵并访问某台计算机中系统信息,更改该计算机中的系统信息或者获取该计算机中存储的某些信息,从而导致计算机系统瘫痪或者某些私密信息外泄,给用户造成巨大的损失,因此对内核漏洞后端检测成为一个重要问题。
发明内容
为克服上述技术问题或者至少部分地解决上述技术问题,特提出以下技术方案:
本发明的实施例根据一个方面,提供了一种内核漏洞后端检测的方法,包括:
当系统创建新进程时,通过已设置的进程创建通知回调例程将所创建的新进程添加记录至进程创建记录表中;
通过已设置的进程创建通知回调例程检测到当前进程被调用时,判断所述当前进程是否存在于预存的进程创建表中;
当所述当前进程存在于所述进程创建表中时,对所述当前进程进行检测;
根据检测结果来确定所述当前进程的权限,并生成检测日志。
可选地,所述判断当前进程是否存在于所述进程创建表中的步骤之后,还包括:
当所述当前进程不存在于所述进程创建表时,将所述当前进程移入所述进程创建表中。
可选地,在系统创建新进程之前,还包括:
当检测到I/O管理函数时,开启内核层行为监控总控开关。
可选地,所述当检测到I/O管理函数时,开启内核层行为监控总控开关的步骤之前,还包括:
记录各个系统进程分别对应的进程标识以及HalDispatch Table表中存储的各个函数指针成员域的值;
具体地,所述通过已设置的进程创建通知回调例程将所创建的新进程添加记录至进程创建记录表中的步骤,包括:
通过已设置的进程创建通知回调例程将所创建的新进程的权限Privileges、用户标识UserSID、以及使用者标识OwnerSID分别对应的属性值,添加记录至进程创建记录表中。
可选地,所述对所述当前进程进行检测的步骤之前,还包括:
获取所述当前进程对应的HalDispatchTable中各关键函数指针成员域的值;
具体地,所述对所述当前进程进行检测的步骤,包括:
检测所述当前进程对应的HalDispatchTable中各关键函数指针成员域的值,与预先记录的HalDispatch Table表中存储的各个函数指针成员域的值是否匹配;
其中,所述根据检测结果来确定所述当前进程的权限,并生成检测日志的步骤,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司;奇智软件(北京)有限公司,未经北京奇虎科技有限公司;奇智软件(北京)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201611069041.1/2.html,转载请声明来源钻瓜专利网。
