[发明专利]权限提升行为的检测方法、装置及可读存储介质在审
| 申请号: | 202011079437.0 | 申请日: | 2020-10-10 |
| 公开(公告)号: | CN112199673A | 公开(公告)日: | 2021-01-08 |
| 发明(设计)人: | 卢胜 | 申请(专利权)人: | 北京微步在线科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55 |
| 代理公司: | 北京金信知识产权代理有限公司 11225 | 代理人: | 喻嵘 |
| 地址: | 100086 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 权限 提升 行为 检测 方法 装置 可读 存储 介质 | ||
本公开涉及Linux系统进程权限提升行为的检测方法、Linux系统进程权限提升行为的检测装置及计算机可读存储介质,其中Linux系统进程权限提升行为的检测方法,包括:检测第一进程的信息;基于所述第一进程的信息,检测与所述第一进程关联的第二进程的信息;基于所述第二进程的信息判断是否存在进程权限提升行为。通过本公开的各实施例,能够准确识别所有进程权限提升行为,从权限提升原理层面进行检测。
技术领域
本公开涉及电子设备安全技术领域,具体涉及一种Linux系统进程权限提升行为的检测方法、Linux系统进程权限提升行为的检测装置及计算机可读存储介质。
背景技术
现有技术中,针对Linux主机上的是否被入侵的判断方法主要以特征码扫描文件的形式来检测是否存在木马程序,但是近年来出现的新型攻击手段,以及高级黑客层出不穷的免杀技术,使得传统针对文件内容特征的检测方法,无法满足用户的网络安全的需求。
发明内容
本公开意图提供一种Linux系统进程权限提升行为的检测方法、Linux系统进程权限提升行为的检测装置及计算机可读存储介质,能够准确识别所有进程权限提升行为,从权限提升原理层面进行检测。
根据本公开的方案之一,提供一种Linux系统进程权限提升行为的检测方法,包括:
检测第一进程的信息;
基于所述第一进程的信息,检测与所述第一进程关联的第二进程的信息;
基于所述第二进程的信息判断是否存在进程权限提升行为。
在一些实施例中,其中,所述检测第一进程的信息,包括:
响应于事件的发生,实时监控产生的第一进程的信息。
在一些实施例中,其中,所述响应于事件的发生,包括以下至少之一:
响应于针对Linux系统漏洞的攻击事件;
响应于与权限有关的会话事件;
响应于应用的运行事件。
在一些实施例中,其中,
所述实时监控产生的第一进程的信息,包括:实时监控由事件产生的子进程的用户权限id;
所述基于所述第一进程的信息,检测与所述第一进程关联的第二进程的信息,包括:如果子进程的用户权限id为0,则检测父进程的用户权限id是否为0;
所述基于所述第二进程的信息判断是否存在进程权限提升行为,包括:如果父进程的用户权限id不是0,则判断存在进程权限提升行为。
在一些实施例中,其中,所述用户权限id包括:
实际用户权限id或者有效用户权限id。
根据本公开的方案之一,提供一种Linux系统进程权限提升行为的检测装置,包括:
第一检测模块,其配置为检测第一进程的信息;
第二检测模块,其配置为检测与所述第一进程关联的第二进程的信息;
第三检测模块,其配置为基于所述第二进程的信息判断是否存在进程权限提升行为。
在一些实施例中,其中,
所述第一检测模块进一步配置为响应于事件的发生,实时监控产生的第一进程的信息。
在一些实施例中,其中,
所述第一检测模块进一步配置为实时监控由事件产生的子进程的用户权限id;
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京微步在线科技有限公司,未经北京微步在线科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011079437.0/2.html,转载请声明来源钻瓜专利网。
- 上一篇:一种大气环境中氯离子含量检测装置及检测方法
- 下一篇:一种电化学电解池
