[发明专利]权限提升行为的检测方法、装置及可读存储介质

权利要求书

1.Linux系统进程权限提升行为的检测方法，包括：

检测第一进程的信息；

基于所述第一进程的信息，检测与所述第一进程关联的第二进程的信息；

基于所述第二进程的信息判断是否存在进程权限提升行为。

2.根据权利要求1所述的检测方法，其中，所述检测第一进程的信息，包括：

响应于事件的发生，实时监控产生的第一进程的信息。

3.根据权利要求2所述的检测方法，其中，所述响应于事件的发生，包括以下至少之一：

响应于针对Linux系统漏洞的攻击事件；

响应于与权限有关的会话事件；

响应于应用的运行事件。

4.根据权利要求2所述的检测方法，其中，

所述实时监控产生的第一进程的信息，包括：实时监控由事件产生的子进程的用户权限id；

所述基于所述第一进程的信息，检测与所述第一进程关联的第二进程的信息，包括：如果子进程的用户权限id为0，则检测父进程的用户权限id是否为0；

所述基于所述第二进程的信息判断是否存在进程权限提升行为，包括：如果父进程的用户权限id不是0，则判断存在进程权限提升行为。

5.根据权利要求4所述的检测方法，其中，所述用户权限id包括：

实际用户权限id或者有效用户权限id。

6.Linux系统进程权限提升行为的检测装置，包括：

第一检测模块，其配置为检测第一进程的信息；

第二检测模块，其配置为检测与所述第一进程关联的第二进程的信息；

第三检测模块，其配置为基于所述第二进程的信息判断是否存在进程权限提升行为。

7.根据权利要求6所述的检测，其中，所述第一检测模块进一步配置为响应于事件的发生，实时监控产生的第一进程的信息。

8.根据权利要求7所述的检测装置，其中，

所述第一检测模块进一步配置为实时监控由事件产生的子进程的用户权限id；

所述第二检测模块进一步配置为如果子进程的用户权限id为0，则检测父进程的用户权限id是否为0；

所述第三检测模块进一步配置为如果父进程的用户权限id不是0，则判断存在进程权限提升行为。

9.根据权利要求7所述的检测装置，其中，所述第一检测模块所响应的事件包括以下至少之一：

响应于针对Linux系统漏洞的攻击事件；

响应于与权限有关的会话事件；

响应于应用的运行事件。

10.一种计算机可读存储介质，其上存储有计算机可执行指令，所述计算机可执行指令由处理器执行时，实现：

根据权利要求1至5中任一项所述的Linux系统进程权限提升行为的检测方法。