太阳城集团

  • / 23
  • 下载费用:30 金币  

系统漏洞攻击的检测方法及装置.pdf

关 键 词:
系统漏洞 攻击 检测 方法 装置
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
摘要
申请专利号:

CN201410243549.3

申请日:

2014.06.03

公开号:

CN105224868A

公开日:

2016.01.06

当前法律状态:

实审

有效性:

审中

法律详情: 实质审查的生效IPC(主分类):G06F 21/56申请日:20140603|||公开
IPC分类号: G06F21/56(2013.01)I; G06F21/57(2013.01)I 主分类号: G06F21/56
申请人: 腾讯科技(深圳)有限公司
发明人: 江虎; 甘祥; 刘宁; 肖矜
地址: 518000 广东省深圳市福田区振兴路赛格科技园2栋东403室
优先权:
专利代理机构: 北京康信知识产权代理有限责任公司 11240 代理人: 吴贵明;张永明
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

太阳城集团CN201410243549.3

授权太阳城集团号:

|||

法律状态太阳城集团日:

太阳城集团2016.10.19|||2016.01.06

法律状态类型:

实质审查的生效|||公开

摘要

本发明公开了一种系统漏洞攻击的检测方法及装置。其中,检测方法包括:根据本发明实施例的一个方面,提供了一种系统漏洞攻击的检测方法,该检测方法包括:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团,并判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。采用本发明,解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了实时准确检测系统漏洞攻击事件的效果。

权利要求书

权利要求书
1.  一种系统漏洞攻击的检测方法,其特征在于,包括:
获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;
判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
若所述操作太阳城集团指示的所述操作为将所述账号的权限从所述非系统最高权限修改为所述系统最高权限,则判断出所述系统中存在漏洞攻击事件。

2.  根据权利要求1所述的检测方法,其特征在于,所述判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限包括:
判断所述账号使用的进程是否执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
若所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作,则判断出所操作太阳城集团指示的所述操作为将所述账号的权限从所述非系统最高权限修改为所述系统最高权限;否则,判断出所操作太阳城集团指示的所述操作不为将所述账号的权限从所述非系统最高权限修改为所述系统最高权限。

3.  根据权利要求2所述的检测方法,其特征在于,所述判断所述账号使用的进程是否执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作包括:
判断所述账号使用的所述进程是否执行将漏洞攻击代码写入到预设地址的操作,其中,所述漏洞攻击代码用于将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作的代码;
在所述账号使用的所述进程执行将所述漏洞攻击代码写入所述 预设地址的操作的情况下,判断出所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
在所述账号使用的所述进程没有执行将所述漏洞攻击代码写入所述预设地址的操作的情况下,判断出所述账号使用的进程没有执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作。

4.  根据权利要求2所述的检测方法,其特征在于,所述判断所述账号使用的进程是否执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作包括:
判断所述账号使用的所述进程是否执行将所述账号的账号ID修改为预设值的操作,其中,所述预设值与所述系统最高权限对应;
在所述账号使用的所述进程执行将所述账号的账号ID修改为所述预设值的操作的情况下,判断出所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
在所述账号使用的所述进程没有执行将所述账号的账号ID修改为所述预设值的操作的情况下,判断出所述账号使用的进程没有执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作。

5.  根据权利要求1至4中任一项所述的检测方法,其特征在于,
所述获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团包括:响应所述操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;
所述判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限包括:
获取预设操作太阳城集团,其中,所述预设操作太阳城集团为预设的用于将所述账号的权限从所述非系统最高权限修改为系统最高权限的操作信 息;
对所述预设操作太阳城集团与所述操作太阳城集团进行匹配,以判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
若所述预设操作太阳城集团与所述操作太阳城集团一致,则判断出所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
若所述预设操作太阳城集团与所述操作太阳城集团不一致,则判断出所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限。

6.  根据权利要求1至4中任一项所述的检测方法,其特征在于,所述非系统最高权限为非root权限,所述系统最高权限为root权限。

7.  一种系统漏洞攻击的检测装置,其特征在于,包括:
第一获取模块,用于获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;
第一判断模块,用于判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
第一确定模块,用于若所述操作太阳城集团指示的所述操作为将所述账号的权限从所述非系统最高权限修改为所述系统最高权限,则判断出所述系统中存在漏洞攻击事件。

8.  根据权利要求7所述的检测装置,其特征在于,所述第一判断模块包括:
第一判断子模块,用于判断所述账号使用的进程是否执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
第一确定子模块,用于若所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作,则判断出所操作太阳城集团指示的所述操作为将所述账号的权限从所述非系统最 高权限修改为所述系统最高权限;否则,判断出所操作太阳城集团指示的所述操作不为将所述账号的权限从所述非系统最高权限修改为所述系统最高权限。

9.  根据权利要求8所述的检测装置,其特征在于,所述第一判断子模块包括:
第二判断子模块,用于判断所述账号使用的所述进程是否执行将漏洞攻击代码写入预设地址的操作,其中,所述漏洞攻击代码用于将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作的代码;
第二确定子模块,用于在所述账号使用的所述进程执行将所述漏洞攻击代码写入所述预设地址的操作的情况下,判断出所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
第三确定子模块,用于在所述账号使用的所述进程没有执行将所述漏洞攻击代码写入所述预设地址的操作的情况下,判断出所述账号使用的进程没有执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作。

10.  根据权利要求8所述的检测装置,其特征在于,所述第一判断子模块包括:
第三判断子模块,用于判断所述账号使用的所述进程是否执行将所述账号的账号ID修改为预设值的操作,其中,所述预设值与所述系统最高权限对应;
第四确定子模块,用于在所述账号使用的所述进程执行将所述账号的账号ID修改为所述预设值的操作的情况下,判断出所述账号使用的进程执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作;
第五确定子模块,用于在所述账号使用的所述进程没有执行将所 述账号的账号ID修改为所述预设值的操作的情况下,判断出所述账号使用的进程没有执行将所述账号的权限从所述非系统最高权限修改为所述系统最高权限的操作。

11.  根据权利要求7至10中任一项所述的检测装置,其特征在于,
所述第一获取模块包括:响应模块,用于响应所述操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,获取子模块,用于每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;
所述第一判断模块包括:第二获取模块、匹配模块以及第六确定模块,其中,
所述第二获取模块,用于获取预设操作太阳城集团,其中,所述预设操作太阳城集团为预设的用于将所述账号的权限从所述非系统最高权限修改为系统最高权限的操作太阳城集团;
所述匹配模块,用于对所述预设操作太阳城集团与所述操作太阳城集团进行匹配,以判断所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
所述第六确定模块,用于若所述预设操作太阳城集团与所述操作太阳城集团一致,则判断出所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限;
所述第六确定模块,还用于若所述预设操作太阳城集团与所述操作太阳城集团不一致,则判断出所述操作太阳城集团指示的所述操作是否为将所述账号的权限从所述非系统最高权限修改为系统最高权限。

12.  根据权利要求7至10中任一项所述的检测装置,其特征在于,所述非系统最高权限为非root权限,所述系统最高权限为root权限。

说明书

说明书系统漏洞攻击的检测方法及装置
技术领域
本发明涉及漏洞检测领域,具体而言,涉及一种系统漏洞攻击的检测方法及装置。
背景技术
提权漏洞可使黑客入侵系统时,获得系统的最高权限,从而取得对服务器的控制权。黑客利用该提权漏洞能轻松突破常用的驱动防火墙,并绕过绝大多数主动防御软件,直接威胁到计算机用户的太阳城集团安全。
简单地说,提权漏洞就是说一个本来非常低权限、受限制很多的用户,提升到系统中至高无上的权限(如管理员权限),权限控制是系统安全的基石,也是一切安全软件的基石,一旦这道门槛被突破,任何防御措施都是无效的。提权攻击即为,黑客可利用系统的提权漏洞提升自身权限,黑客可以从最低权限直接攻击到系统内核中,甚至绕过系统的用户权限控制对系统进行攻击,一旦黑客的权限提升至系统的最高权限(如管理员权限),则黑客可以操作系统内的任何文件,黑客可以种植木马、控制机器、对系统内的任何文件进行操作,使得系统处于非常不安全的状态。
在现有技术中,可以通过数据分析发现提权攻击,具体地,可以收集系统进程的数据,将收集到的数据发送到专门的数据分析系统,通过数据分析系统观察进程的权限变化检测提权攻击,在进程启动的时候将进程的权限记录下来,然后在该进程涉及的用户的权限发生变化的时候将该进程确定为提权攻击的进程。在现有技术中,很多正常的用户也会进行权限切换,如果将所有的权限切换均判定为提权攻击,会限制很多正常的用户;并且黑客进行提权攻击不一定通过进程的切换进行提权,通过上述方法可能会出现很多漏检或误检的情况。
现有技术中还可以通过提权攻击工具的特征检测黑客工具,具体地,可以采用与病毒扫描类似的方法,扫描系统文件,通过匹配已知的黑客工具的特征检测提权漏洞。采用该种方法,由于进行匹配的均是已知的黑客工具,对于未知的黑客工具无法检测到,该种检测方法很被动,具有很强的滞后性,漏检率高。
针对上述检测提权漏洞攻击的检测准确率低的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种系统漏洞攻击的检测方法及装置,以至少解决检测提权漏洞攻击的检测准确率低的问题。
根据本发明实施例的一个方面,提供了一种系统漏洞攻击的检测方法,该检测方法包括:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团,并判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
根据本发明实施例的另一方面,还提供了一种系统漏洞攻击的检测装置,该检测装置包括:第一获取模块,用于获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;第一判断模块,用于判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;第一确定模块,用于若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
采用本发明实施例,对具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团进行分析,依据操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限来判断系统中是否存在漏洞攻击事件,不依赖于分析进程权限状态的变化,从而不会对合法用户的正常 权限切换发生误判;并且只要是具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,即可以判定系统中存在漏洞攻击事件,而不通过提权漏洞攻击的特征进行漏洞攻击检测,可以不拘泥于已经发现的提权漏洞攻击,可以检测到现有技术中未知的漏洞攻击,使得漏洞攻击的检测更加准确,从而解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了准确检测系统漏洞攻击事件的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的一种系统漏洞攻击的检测方法的流程图;
图2是根据本发明实施例的一种可选的获取系统调用太阳城集团的流程图;
图3是根据本发明实施例的黑客对服务器进行提权攻击所涉及的实施环境的结构示意图;
图4是根据本发明实施例的一种可选的系统漏洞攻击的检测方法的流程图;
图5是根据本发明实施例的系统漏洞攻击的检测装置的示意图;
图6是根据本发明实施例的一种可选的系统漏洞攻击的检测装置的示意图;以及
图7是根据本发明实施例的一种终端的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述, 显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
根据本发明实施例,提供了一种系统漏洞攻击的检测方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
根据本发明实施例,提供了一种系统漏洞攻击的检测方法,如图1所示,该检测方法可以通过如下步骤实现:
步骤S102:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
步骤S104:判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
步骤S106:若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
具体地,在执行步骤S104之后,若操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中不存在漏 洞攻击事件。
采用本发明实施例,对具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团进行分析,依据操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限来判断系统中是否存在漏洞攻击事件,不依赖于分析进程权限状态的变化,从而不会对合法用户的正常权限切换发生误判;并且只要是具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,即可以判定系统中存在漏洞攻击事件,而不通过提权漏洞攻击的特征进行漏洞攻击检测,可以不拘泥于已经发现的提权漏洞攻击,可以检测到现有技术中未知的漏洞攻击,使得漏洞攻击的检测更加准确,从而解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了准确检测系统漏洞攻击事件的效果。
通过本发明实施例,无需将操作太阳城集团发送至专门的数据分析系统即可完成对漏洞攻击事件的检测,也缩短了检测漏洞攻击的太阳城集团。
在本发明的上述实施例中,在确定系统中存在漏洞攻击事件的情况下,可以输出告警太阳城集团,并生成告警日志。
其中,上述实施例中的非系统最高权限为非root权限,系统最高权限为root权限;本发明的上述实施例可以应用于Linux系统、uinx系统等操作系统。下面以在Linux系统中应用本发明为例详细介绍本发明。
Linux系统为基于posix(可移植操作系统接口)和unix(属于分时操作系统,是一种多任务、多用户的操作系统,支持多种处理器架构)的多用户、多任务、支持多线程、多CPU(处理器)的操作系统。该系统可以运行主要的unix工具软件、应用程序和网络协议。他可以支持32位和64位硬件。
具体地,可以通过获取具有非系统最高权限的账号在Linux系统中当前执行的操作的操作太阳城集团,然后判断操作太阳城集团指示的操作是否是提升账号 权限的操作,具体地,判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,如果操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件;如果操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中不存在漏洞攻击事件。
上述实施例中的非系统最高权限即为非root权限。root权限为系统权限的最高权限,root权限用户是Linux系统中的超级管理员用户账号,该账号拥有整个系统至高无上的权利,所有的对象他都可操作。所以很多黑客入侵系统的时候,需要把非root权限的用户提升为root权限的用户,获取root权限意味着获得了系统的最高权限,拥有root权限的用户可以对系统中的任何文件执行增、删、改、查的操作。
在本发明的上述实施例中,获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团可以包括:响应操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
通过上述实施例可以实时获取操作太阳城集团,从而可以及时检测出漏洞攻击事件。
在本发明的上述实施例中,判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限可以包括:获取预设操作太阳城集团,其中,预设操作太阳城集团为预设的用于将账号的权限从非系统最高权限修改为系统最高权限的操作太阳城集团;对预设操作太阳城集团与操作太阳城集团进行匹配,以判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团不一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
其中,预设操作太阳城集团为预先设置好的用于将账号的权限从非系统最高 权限修改为系统最高权限的操作太阳城集团。也即,如果具有非系统最高权限的账号执行了预设操作太阳城集团中记载的操作太阳城集团,则可以确定具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作。
具体地,可以获取系统的系统调用太阳城集团,系统调用太阳城集团为系统在系统调用内核函数的过程中产生的数据,该系统调用太阳城集团中可以包括上述的具有非系统最高权限的账号当前执行的操作的操作太阳城集团,然后将预设操作太阳城集团与具有非系统最高权限的账号当前执行的操作的操作太阳城集团进行匹配处理,在预设操作太阳城集团与操作太阳城集团一致的情况下,判断出该具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作;在预设操作太阳城集团与操作太阳城集团不一致的情况下,判断出该具有非系统最高权限的账号没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
上述实施例中的系统调用的过程包括:将应用程序的请求传给系统内核,调用相应的内核函数完成请求对应的处理,并将处理结果返回给应用程序的过程。在这个过程中会产生一系列的数据,在本发明的上述实施例中,实时采集在系统调用的过程中产生的这些数据,系统调用数据可以包括上述的操作太阳城集团。具体地,可以通过响应系统调用中的操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取系统调用数据中的具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
在本发明的上述实施例中,系统调用可以为运行在使用者空间(如计算机上)的程序向操作系统内核请求需要更高权限运行的服务,系统调用可以提供用户程序与操作系统之间的接口。
下面结合附图2详细介绍本发明实施例在Linux系统中的应用。
具体地,可以实时获取Linux系统的系统调用太阳城集团,然后对预设操作太阳城集团和系统调用太阳城集团中具有非系统最高权限的账号当前执行的操作的操 作太阳城集团进行匹配处理,根据匹配结果确定具有非系统最高权限的账号是否执行了将账号的权限从非系统最高权限修改为系统最高权限的操作。
在本发明的上述实施例中,可以通过Lunix系统的审计服务对预设操作太阳城集团和操作太阳城集团进行匹配处理。其中,审计服务可以通过Linux内用日志记录事件,比如记录系统调用和文件访问,系统管理员可以评审这些日志,确定系统中可能存在的安全裂口,比如失败的登录尝试,或者用户对系统文件不成功的访问。
具体地,如图2所示,本发明上述实施例中对预设操作太阳城集团和操作太阳城集团进行匹配的步骤可以通过下述方法实现:
步骤S202:使用预设操作太阳城集团修改Linux系统的第一监控程序的第一配置文件,得到第二监控程序。
具体地,上述实施例中的第一监控程序可以为Linux系统中的太阳城集团审计服务(Auditd)。太阳城集团审计服务(Auditd)是Linux系统内核事件审计系统,可以通过配置该服务(即上述实施例中的第一监控程序)的配置文件中的规则来记录系统内核事件。其中,/etc/audit.rules即为上述的第一配置文件,该第一配置文件可以默认为空文件,在本发明的上述实施例中使用预设操作太阳城集团修改第一配置文件得到第二配置文件(该第二配置文件即为携带有预设操作太阳城集团的配置文件),得到第二监控程序。
上述实施例中的预设操作太阳城集团在Linux系统中的太阳城集团审计服务中的具体表现形式为配置规则。
步骤S204:在Linux系统中执行第二监控程序。
具体地,在得到第二监控程序之后,重启Linux系统的太阳城集团审计服务(Auditd),以运行第二监控程序,从而可以开始使用第二监控程序记录系统的调用进程,并进行日志记录。
步骤S206:判断系统调用太阳城集团中的非具有系统最高权限的账号的操作太阳城集团与预设操作太阳城集团是否一致。
其中,在操作太阳城集团与预设操作太阳城集团一致的情况下,确定具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,执行步骤S208;在预设操作太阳城集团与操作太阳城集团不一致的情况下,确定具有非系统最高权限的账号没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作,继续执行步骤S204。
步骤S208:记录该操作太阳城集团对应的调用进程。
具体地,可以通过生成审计报表和搜索日志来周期性地分析调用进程。
下面结合附图3和图4详细介绍本发明的上述实施例。
图3示出了黑客对服务器进行提权攻击所涉及的实施环境的结构示意图。如图3所示,该实施环境可以包括:账号终端10和服务器20。具体地,黑客可以通过账号终端10对服务器20进行提权攻击,服务器20中的处理器启动第二监控程序对服务器系统中的系统调用数据进行操作太阳城集团的匹配,判断系统调用太阳城集团中记录的具有非系统最高权限的账号当前执行的操作的操作太阳城集团是否与第二监控程序中携带的预设操作太阳城集团一致,如果一致,则确定该具有非系统最高权限的账号的当前执行的操作属于黑客进行提权攻击的操作,确定系统中存在漏洞攻击事件,输出告警并生成告警日志。
账号终端10与服务器20之间通过网络进行通信,该网络可以为无线网络或有线网络。其中,服务器可以为Linux系统服务器。
上述实施例中的账号终端可以为移动终端或个人计算机终端。
图4是根据本发明实施例的一种可选的系统漏洞攻击的检测方法的流程图。
如图4所示,该方法可以通过如下方法实现:
步骤S402:使用预设操作太阳城集团修改第一监控程序的第一配置文件得 到第二监控程序。
具体地,该步骤的实现方法与上述的步骤S202的实现方法一致,在此不再赘述。
步骤S404:在Linux系统的服务器上启动第二监控程序。
具体地,该步骤的实现方法与上述的步骤S204的实现方法一致,在此不再赘述。
步骤S406:获取系统的系统调用太阳城集团。
其中,系统调用太阳城集团包括:具有非系统最高权限的用户当前执行的操作的操作太阳城集团。
步骤S408:判断具有非系统最高权限的用户当前执行的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
具体地,可以通过第二监控程序判断操作太阳城集团是否与预设操作太阳城集团是否一致来实现:如果操作太阳城集团与预设操作太阳城集团一致,则判断出当前执行的操作为将账号的权限从非系统最高权限修改为系统最高权限,则确认该具有非系统最高权限的账当前执行的操作为提权漏洞攻击操作,执行步骤S410:确认系统中存在漏洞攻击事件;如果操作太阳城集团与预设操作太阳城集团不一致,则判断出当前执行的操作不为将账号的权限从非系统最高权限修改为系统最高权限,则确认该具有非系统最高权限的账当前执行的操作为提权漏洞攻击操作,执行步骤S412:确认系统中不存在漏洞攻击事件。
步骤S414:输出系统存在漏洞攻击事件的告警太阳城集团。
步骤S416:生成告警日志。
具体地,在服务器中使用auditd服务,将获取到的告警太阳城集团(即审计消息)写到/var/log/audit.log中。上述的告警日志是文本文件,文件的格式为从内核中接收的格式,顺序也可以是接收时的顺序。告警日志中可以包括:审计事件ID、文件名、UID、消息类型和系统调用名等太阳城集团。
在上述实施例中的预设操作太阳城集团可以为如下格式:-a报告太阳城集团访问向量缓冲(accessvectorcache,AVC)的消息;-f报告太阳城集团文件的消息;-s报告太阳城集团系统调用的消息。
具体地,还可以通过-t显示等于或早于特定太阳城集团的事件,用数字格式表示您所在地点的日期和太阳城集团,并以24小时制格式表示太阳城集团。通过审计服务可以对预设操作太阳城集团中的各个选项进行匹配得到匹配结果。
在上述实施例中,Auditd服务将监控进程中系统内核产生的太阳城集团(即上述实施例中系统调用太阳城集团)写入到硬盘上,这些太阳城集团是由应用程序和系统活动所触发产生的。
在本发明的上述实施例中,判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限可以包括:判断账号使用的进程是否执行将账号的权限从非系统最高权限修改为系统最高权限的操作;若账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作,则判断出所操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限;否则,判断出所操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限。
在本发明一个可选的实施例中,判断账号使用的进程是否执行将账号的权限从非系统最高权限修改为系统最高权限的操作可以包括:判断账号使用的进程是否执行将漏洞攻击代码写入预设地址的操作,其中,漏洞攻击代码用于将账号的权限从非系统最高权限修改为系统最高权限的操作的代码;在账号使用的进程执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;在账号使用的进程没有执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
其中,预设地址可以为起始地址为内存0地址的地址段,执行将漏洞攻击代码写入预设地址的操作可以通过调用映射函数实现。
在本发明的上述实施例中,监控非root权限账号(即具有非系统最高权限的账号)使用的进程是否执行调用系统的映射函数执行将漏洞攻击代码写入内存0地址的操作,以判断该操作是否为提升用户权限的操作。如果是,则确认该操作为提升用户权限的操作(即将账号的权限从非系统最高权限修改为系统最高权限的操作),该进程是提权漏洞攻击进程,确认系统中存在提权漏洞攻击事件。
在Linux系统的应用场景中,可以在Linux系统中修改第一监控程序的第一配置文件,可以将上述的预设操作太阳城集团(即audit规则)增加到第一配置文件中,得到第二配置文件。具体地,上述预设操作太阳城集团可以为:非root权限账号使用mmap函数映射漏洞攻击代码的第一参数至内存0地址。
其中,mmap函数为将一个文件或其他对象映射进内存的函数。内存0地址即为映射区的起始地址,也即映射的文件或对象的第一个字符的映射地址;内存0x0地址为十六进制的表示方法表示的内存地址,内存0地址为十进制的表示方法表示的内存地址。
在该实施例中,预设操作太阳城集团使用代码表示可以包括:具有非系统最高权限的账号的账号ID不为零、调用映射函数的映射的第一个参数的映射地址为零地址以及该映射操作执行成功。如:auditctl-aexit,always-Smmap2-Fuid!=0-Fa0=0-Fa2=7-Fsuccess=1。
其中的,-a表示报告太阳城集团访问向量缓冲(accessvectorcache,AVC)的消息,在该实施例中为:exit,always,也即,只要系统内核函数的调用完成即启动监控线程。-s报告太阳城集团系统调用的消息,在该实施例中为:mmap2,也即调用的系统内核函数为映射函数,在上述实施例中已经详细阐述mmap函数的工作原理,在此不再赘述。-f报告太阳城集团文件的消息,在上述实施例中包括四个文件消息,一个为uid!=0,uid即为上述实施例中的账号ID,ID为身份标识号码,也即,具有非系统最高权限的账号的账号ID不等于零,在Linux系统中root权限账号(即具有系统最高权限的 账号)的账号ID(即uid)等于零;第二个为a0=0,其中的a0为调用mmap函数时映射的第一个参数的映射地址,第一个参数的映射地址为0地址;第三个为-Fa2=7,表示调用mmap函数映射的第三个参数的映射地址(即内存7地址)可读可写可执行。第四个为success=1,success=1指示该映射动作执行成功。
在上述实施例中,如果某个映射操作的操作太阳城集团符合上述的预设操作太阳城集团,则将内核代码(即上述实施例中的漏洞攻击代码)mmap映射至0x0地址,则黑客攻击工具可以通过触发内核BUG(即漏洞)来执行恶意shellcode(即上述实施例中的漏洞攻击代码),该映射操作被判定为漏洞攻击操作,则确定系统中发生了漏洞攻击事件。其中,漏洞攻击代码还可以包括:篡改系统文件的代码。
对于Kernelnullpointerdereference(内核空指针引用)类型的漏洞,即可通过上述的映射操作实现对该漏洞的提权攻击。
具体地,监控非root权限账号(即具有非系统最高权限的账号)使用的进程是否执行调用系统的映射函数将漏洞攻击代码写入内存0地址的操作可以为:从操作太阳城集团中提取具有非系统最高权限的账号的账号ID、映射的第一个参数的映射地址和映射操作的执行结果;判断映射的第一个参数的映射地址是否为零地址、映射操作的执行结果是否指示执行成功、账号ID是否不为零;在映射的第一个参数的映射地址为零地址、映射操作的执行结果指示执行成功且账号ID是否不为零的情况下,判断出操作太阳城集团与所述预设操作太阳城集团一致;在映射的第一个参数的映射地址为零地址、映射操作的执行结果指示执行成功、以及账号ID不为零中任意一个太阳城集团不成立的情况下,判断出操作太阳城集团与所述预设操作太阳城集团不一致。
在本发明另一个可选的实施例中,判断账号使用的进程是否执行将账号的权限从非系统最高权限修改为系统最高权限的操作可以包括:判断账号使用的进程是否执行将账号的账号ID修改为预设值的操作;在账号使用的进程执行将账号的账号ID修改为预设值的操作的情况下,判断出账 号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;在账号使用的进程没有执行将账号的账号ID修改为预设值的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
其中,预设值与系统最高权限对应,预设值可以为零,执行将账号的账号ID修改为预设值的操作可以通过调用身份设置函数实现。
在本发明实施例中,监控非root权限账号(即具有非系统最高权限的账号)使用的进程是否执行调用系统内核的身份设置函数执行将账号的账号ID修改为预设值的操作,以判断该操作是否为提升用户权限的操作。如果是,则确认该操作为提升用户权限的操作(即将账号的权限从非系统最高权限修改为系统最高权限的操作),该进程是提权漏洞攻击进程,确认系统中存在提权漏洞攻击事件。
在Linux系统的应用场景中,在Linux系统中修改第一配置文件,可以将上述的预设操作太阳城集团(即audit规则)增加到第一配置文件中,得到第二配置文件。具体地,预设操作太阳城集团可以为:非root权限账号使用身份设置函数(即setuid函数)将账号的权限切换为root权限的操作。
其中,setuid函数即为setuid的函数,通过该函数可以设置实际账号ID和有效账号ID。具体地,在Linux系统中,如果非root权限的账号(但是该非root权限的账号的euid=0,即有效账号ID为零)调用该函数,将当前账号的账号ID修改为uid=0,将该则非root权限的账号修改为root权限的账号。
在本发明的上述实施例中,预设操作太阳城集团通过代码可以包括:具有非系统最高权限的账号ID不为零和身份变更操作执行成功。如:auditctl-aexit,always-Ssetuid32-Fuid!=0-Feuid=0-Fsuccess=1。
其中的,-a表示报告太阳城集团访问向量缓冲(accessvectorcache,AVC)的消息,在该实施例中为:exit,always,也即,只要系统内核函数的调用完 成即启动监控线程。-s报告太阳城集团系统调用的消息,在该实施例中为:setuid32,也即调用的系统内核函数为映射函数,在上述实施例中已经详细阐述setuid函数的工作原理,在此不再赘述,其中的32表示32为的硬件设备。-f报告太阳城集团文件的消息,在上述实施例中包括三个文件消息,一个为uid!=0,uid即为上述实施例中的预设权限用户的账号ID,ID为身份标识号码,也即,具有非系统最高权限的账号的账号ID不等于零,在Linux系统中root权限账号(即具有系统最高权限的账号)的账号ID(即uid)等于零;第二个-Feuid=0表示当前账号的真实账号ID为零;另一个为success=1,success=1指示该身份变更操作执行成功(即调用该函数修改uid成功)。上述实施例中的身份变更动作即为变更账号ID的动作。
在上述实施例中,如果某个身份变更操作的操作太阳城集团符合上述的预设操作太阳城集团,则确定该具有非系统最高权限的账号将账号的权限修改为root权限,即通过漏洞攻击,当前账号已获得root权限(即其账号uid已经修改为0),该账号已通过setuid函数获得root权限来启动shell(命令解释器)进程,以便进行后续的攻击操作,则该操作被判定为漏洞攻击操作,则确定系统中发生了漏洞攻击事件。
需要进一步说明的是,判断账号是否执行将账号的账号ID修改为预设值的操作可以包括:从系统调用太阳城集团中的具有非系统最高权限的账号的操作太阳城集团中提取账号ID和身份变更操作的执行结果;判断账号ID是否不为零和身份变更操作的执行结果是否指示执行成功;在账号ID不为零且身份变更操作的执行结果指示执行成功的情况下,判断出预设操作太阳城集团与操作太阳城集团一致;在账号ID为零和/或身份变更操作的执行结果指示执行失败的情况下,判断出预设操作太阳城集团与操作太阳城集团一致。
需要说明的是,对于前述的各方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实 施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
根据本发明实施例,还提供了一种用于实施上述实施例的系统漏洞攻击的检测装置,该装置可以通过在实施例中涉及的测试方法来实现,下面对本申请的实施过程进行详细描述。
图5是根据本发明实施例的系统漏洞攻击的检测装置的示意图。如图5所示,该检测装置可以包括:第一获取模块21、第一判断模块23以及第一确定模块25。
其中,第一获取模块,用于获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
第一判断模块,用于判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
第一确定模块,用于若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
具体地,第一确定模块还用于若操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中不存在漏洞攻击事件。
采用本发明实施例,对具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团进行分析,依据操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限来判断系统中是否存在漏洞攻击事件,不依赖于分析进程权限状态的变化,从而不会对合法用户的正常权限切换发生误判;并且只要是具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,即可以判定系统中存在漏洞攻击事件,而不通过提权漏洞攻击的特征进行漏洞攻击检测,可以不拘泥于已经发现的提权漏洞攻击,可以检测到现有技术中未知的漏洞攻击,使得漏洞攻击的检测更加准确,从而解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了准确检测系统漏洞攻击事件的效果。
通过本发明实施例,无需将操作太阳城集团发送至专门的数据分析系统即可完成对漏洞攻击事件的检测,也缩短了检测漏洞攻击的太阳城集团。
在本发明的上述实施例中,在确定系统中存在漏洞攻击事件的情况下,可以通过输出模块输出告警太阳城集团,并通过生成模块生成告警日志。
其中,上述实施例中的非系统最高权限为非root权限,系统最高权限为root权限;本发明的上述实施例可以应用于Linux系统、uinx系统等操作系统。下面以在Linux系统中应用本发明为例详细介绍本发明。
Linux系统为基于posix(可移植操作系统接口)和unix(属于分时操作系统,是一种多任务、多用户的操作系统,支持多种处理器架构)的多用户、多任务、支持多线程、多CPU(处理器)的操作系统。该系统可以运行主要的unix工具软件、应用程序和网络协议。他可以支持32位和64位硬件。
具体地,可以通过获取具有非系统最高权限的账号在Linux系统中当前执行的操作的操作太阳城集团,然后判断操作太阳城集团指示的操作是否是提升账号权限的操作,具体地,判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,如果操作太阳城集团指示的操作为将账号的 权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件;如果操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中不存在漏洞攻击事件。
上述实施例中的非系统最高权限即为非root权限。root权限为系统权限的最高权限,root权限用户是Linux系统中的超级管理员用户账号,该账号拥有整个系统至高无上的权利,所有的对象他都可操作。所以很多黑客入侵系统的时候,需要把非root权限的用户提升为root权限的用户,获取root权限意味着获得了系统的最高权限,拥有root权限的用户可以对系统中的任何文件执行增、删、改、查的操作。
在本发明的上述实施例中,第一获取模块21可以包括:响应模块211,用于响应所述操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,获取子模块213,用于每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
通过上述实施例可以实时获取操作太阳城集团,从而可以及时检测出漏洞攻击事件。
可选的,第一判断模块23可以包括:第二获取模块231,用于获取预设操作太阳城集团,其中,预设操作太阳城集团为预设的用于将账号的权限从非系统最高权限修改为系统最高权限的操作太阳城集团;匹配模块233,用于对预设操作太阳城集团与操作太阳城集团进行匹配,以判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;第六确定模块235,用于若预设操作太阳城集团与操作太阳城集团一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,第六确定模块235还用于若预设操作太阳城集团与操作太阳城集团不一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
其中,预设操作太阳城集团为预先设置好的用于将账号的权限从非系统最高权限修改为系统最高权限的操作太阳城集团。也即,如果具有非系统最高权限的账号执行了预设操作太阳城集团中记载的操作太阳城集团,则可以确定具有非系统最高 权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作。
具体地,可以获取系统的系统调用太阳城集团,系统调用太阳城集团为系统在系统调用内核函数的过程中产生的数据,该系统调用太阳城集团中可以包括上述的具有非系统最高权限的账号当前执行的操作的操作太阳城集团,然后将预设操作太阳城集团与具有非系统最高权限的账号当前执行的操作的操作太阳城集团进行匹配处理,在预设操作太阳城集团与操作太阳城集团一致的情况下,判断出该具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作;在预设操作太阳城集团与操作太阳城集团不一致的情况下,判断出该具有非系统最高权限的账号没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
上述实施例中的系统调用的过程包括:将应用程序的请求传给系统内核,调用相应的内核函数完成请求对应的处理,并将处理结果返回给应用程序的过程。在这个过程中会产生一系列的数据,在本发明的上述实施例中,实时采集在系统调用的过程中产生的这些数据,系统调用数据可以包括上述的操作太阳城集团。具体地,可以通过响应系统调用中的操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取系统调用数据中的具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
上述实施例中的各个模块均与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容,且上述模块可以运行在计算机终端或移动终端,可以通过软件或硬件实现。
在本发明的上述实施例中,第一判断模块可以包括:第一判断子模块,用于判断账号使用的进程是否执行将账号的权限从非系统最高权限修改为系统最高权限的操作;第一确定子模块,用于若账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作,则判断出所操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权 限;否则,判断出所操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限。
在本发明一个可选的实施例中,第一判断子模块可以包括:第二判断子模块,用于判断账号使用的进程是否执行将漏洞攻击代码写入预设地址的操作,其中,漏洞攻击代码用于将账号的权限从非系统最高权限修改为系统最高权限的操作的代码;第二确定子模块,用于在账号使用的进程执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;第三确定子模块,用于在账号使用的进程没有执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
其中,预设地址可以为起始地址为内存0地址的地址段,执行将漏洞攻击代码写入预设地址的操作可以通过调用映射函数实现。
在本发明的上述实施例中,监控非root权限账号(即具有非系统最高权限的账号)使用的进程是否执行调用系统的映射函数执行将漏洞攻击代码写入内存0地址的操作,以判断该操作是否为提升用户权限的操作。如果是,则确认该操作为提升用户权限的操作(即将账号的权限从非系统最高权限修改为系统最高权限的操作),该进程是提权漏洞攻击进程,确认系统中存在提权漏洞攻击事件。
在Linux系统的应用场景中,可以在Linux系统中修改第一监控程序的第一配置文件,可以将上述的预设操作太阳城集团(即audit规则)增加到第一配置文件中,得到第二配置文件。具体地,上述预设操作太阳城集团可以为:非root权限账号使用mmap函数映射漏洞攻击代码的第一参数至内存0地址。
在本发明另一个可选的实施例中,第一判断子模块可以包括:第三判断子模块,用于判断账号使用的进程是否执行将账号的账号ID修改为预设值的操作;第四确定子模块,用于在账号使用的进程执行将账号的账号 ID修改为预设值的操作的情况下,判断出账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;第五确定子模块,用于在账号使用的进程没有执行将账号的账号ID修改为预设值的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
其中,预设值与系统最高权限对应,预设值可以为零,执行将账号的账号ID修改为预设值的操作可以通过调用身份设置函数实现。
在本发明实施例中,监控非root权限账号(即具有非系统最高权限的账号)使用的进程是否执行调用系统内核的身份设置函数执行将账号的账号ID修改为预设值的操作,以判断该操作是否为提升用户权限的操作。如果是,则确认该操作为提升用户权限的操作(即将账号的权限从非系统最高权限修改为系统最高权限的操作),该进程是提权漏洞攻击进程,确认系统中存在提权漏洞攻击事件。
在Linux系统的应用场景中,在Linux系统中修改第一配置文件,可以将上述的预设操作太阳城集团(即audit规则)增加到第一配置文件中,得到第二配置文件。具体地,预设操作太阳城集团可以为:非root权限账号使用身份设置函数(即setuid函数)将账号的权限切换为root权限的操作。
上述实施例中的各个模块均与对应的步骤所实现的示例和应用场景相同,但不限于上述实施例所公开的内容,且上述模块可以运行在计算机终端或移动终端,可以通过软件或硬件实现。
实施例3
本发明的实施例还提供了一种终端。可选地,在本实施例中,上述终端可以执行系统漏洞攻击的检测方法,上述实施例中的系统漏洞攻击的检测装置可以设置在该终端上。
图7是根据本发明实施例的一种终端的结构框图。如图7所示,该终端30可以包括:一个或多个(图中仅示出一个)处理器31、存储器33、 以及传输装置35。
其中,存储器33可用于存储软件程序以及模块,如本发明实施例中的安全漏洞检测方法和装置对应的程序指令/模块,处理器31通过运行存储在存储器33内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的系统漏洞攻击的检测方法。存储器33可包括高速随机存储器,还可以包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器33可进一步包括相对于处理器31远程设置的存储器,这些远程存储器可以通过网络连接至终端30。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
上述的传输装置35用于经由一个网络接收或者发送数据,还可以用于处理器与存储器之间的数据传输。上述的网络具体实例可包括有线网络及无线网络。在一个实例中,传输装置35包括一个网络适配器(NetworkInterfaceController,NIC),其可通过网线与其他网络设备与路由器相连从而可与互联网或局域网进行通讯。在一个实例中,传输装置15为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
其中,具体地,存储器33用于存储预设操作太阳城集团和应用程序。
处理器31可以通过传输装置35调用存储器33存储的预设操作太阳城集团太阳城集团及应用程序,以执行下述步骤:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团,并判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限,若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
在上述实施例中,处理器31还用于在操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限的情况下,判断出系统中不存在漏洞攻击事件。
采用本发明实施例,对具有非系统最高权限的账号在系统中当前执行 的操作的操作太阳城集团进行分析,依据操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限来判断系统中是否存在漏洞攻击事件,不依赖于分析进程权限状态的变化,从而不会对合法用户的正常权限切换发生误判;并且只要是具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,即可以判定系统中存在漏洞攻击事件,而不通过提权漏洞攻击的特征进行漏洞攻击检测,可以不拘泥于已经发现的提权漏洞攻击,可以检测到现有技术中未知的漏洞攻击,使得漏洞攻击的检测更加准确,从而解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了准确检测系统漏洞攻击事件的效果。
通过本发明实施例,无需将操作太阳城集团发送至专门的数据分析系统,在系统的处理器31中即可完成对漏洞攻击事件的检测,也缩短了检测漏洞攻击的太阳城集团。
上述实施例中的非系统最高权限为非root权限,系统最高权限为root权限。
在本发明的上述实施例中,处理器还用于执行下述操作:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团可以包括:响应操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
在本发明的上述实施例中,处理器还用于执行下述操作:判断账号使用的进程是否执行将账号的权限从非系统最高权限修改为系统最高权限的操作;若账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作,则判断出所操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限;否则,判断出所操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限。
通过上述实施例可以实时获取操作太阳城集团,从而可以及时检测出漏洞攻 击事件。
可选地,处理器还用于执行下述操作:判断账号使用的进程是否执行将漏洞攻击代码写入预设地址的操作,其中,漏洞攻击代码用于将账号的权限从非系统最高权限修改为系统最高权限的操作的代码;在账号使用的进程执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;在账号使用的进程没有执行将漏洞攻击代码写入预设地址的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
在本发明的上述实施例中,处理器还用于执行下述操作:判断账号使用的进程是否执行将账号的账号ID修改为预设值的操作,其中预设值与系统最高权限对应;在账号使用的进程执行将账号的账号ID修改为预设值的操作的情况下,判断出账号使用的进程执行将账号的权限从非系统最高权限修改为系统最高权限的操作;在账号使用的进程没有执行将账号的账号ID修改为预设值的操作的情况下,判断出账号使用的进程没有执行将账号的权限从非系统最高权限修改为系统最高权限的操作。
可选地,处理器还用于执行下述操作:获取预设操作太阳城集团,其中,预设操作太阳城集团为预设的用于将账号的权限从非系统最高权限修改为系统最高权限的操作太阳城集团;对预设操作太阳城集团与操作太阳城集团进行匹配,以判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团不一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
本领域普通技术人员可以理解,图7所示的结构仅为示意,终端可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternetDevices,MID)、PAD等终端设备。图7 其并不对上述电子装置的结构造成限定。例如,终端30还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等),或者具有与图7所示不同的配置。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:闪存盘、只读存储器(Read-OnlyMemory,ROM)、随机存取器(RandomAccessMemory,RAM)、磁盘或光盘等。
实施例4
本发明的实施例还提供了一种存储介质。可选地,在本实施例中,上述的存储介质存储用于执行系统漏洞攻击的检测方法的程序代码。
可选地,在本实施例中,上述存储介质可以位于实施例3所示的终端上。
可选地,在本实施例中,存储介质被设置为存储用于执行以下步骤的程序代码:
步骤S102:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
步骤S104:判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
步骤S106:若操作太阳城集团指示的操作为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中存在漏洞攻击事件。
具体地,存储介质被设置为存储用于执行以下步骤的程序代码:若操作太阳城集团指示的操作不为将账号的权限从非系统最高权限修改为系统最高权限,则判断出系统中不存在漏洞攻击事件。
采用本发明实施例,对具有非系统最高权限的账号在系统中当前执行 的操作的操作太阳城集团进行分析,依据操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限来判断系统中是否存在漏洞攻击事件,不依赖于分析进程权限状态的变化,从而不会对合法用户的正常权限切换发生误判;并且只要是具有非系统最高权限的账号执行了将账号的权限从非系统最高权限修改为系统最高权限的操作,即可以判定系统中存在漏洞攻击事件,而不通过提权漏洞攻击的特征进行漏洞攻击检测,可以不拘泥于已经发现的提权漏洞攻击,可以检测到现有技术中未知的漏洞攻击,使得漏洞攻击的检测更加准确,从而解决了现有技术中的检测提权漏洞攻击的检测准确率低的问题,实现了准确检测系统漏洞攻击事件的效果。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团可以包括:响应操作获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团;或者,每隔预定周期获取具有非系统最高权限的账号在系统中当前执行的操作的操作太阳城集团。
可选地,存储介质还被设置为存储用于执行以下步骤的程序代码:获取预设操作太阳城集团,其中,预设操作太阳城集团为预设的用于将账号的权限从非系统最高权限修改为系统最高权限的操作太阳城集团;对预设操作太阳城集团与操作太阳城集团进行匹配,以判断操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限;若预设操作太阳城集团与操作太阳城集团不一致,则判断出操作太阳城集团指示的操作是否为将账号的权限从非系统最高权限修改为系统最高权限。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
可选地,本实施例中的具体示例可以参考上述实施例1和实施例2中所描述的示例,本实施例在此不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的终端,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可提取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全 部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

太阳城集团本文
本文标题:系统漏洞攻击的检测方法及装置.pdf
链接地址:http://zh228.com/p-6397769.html
太阳城集团我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
葡京赌场|welcome document.write ('');