[发明专利]提权漏洞攻击的检测方法及装置、电子设备

权利要求书

1.一种提权漏洞攻击的检测方法，其特征在于，所述方法包括：

获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；

在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合；

当满足以下至少两个条件时，确定正在进行提权漏洞攻击：

根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；

根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；

根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

利用静态分析工具确定所述目标程序的直接跳转指令信息；

根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；

根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；

将所述预设跳转指令信息集合保存到跳转判断进程。

3.根据权利要求1所述的方法，其特征在于，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修改，包括：

确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或

确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。

4.根据权利要求1所述的方法，其特征在于，所述目标程序包括服务端的服务程序。

5.一种提权漏洞攻击的检测装置，其特征在于，所述装置包括：

信息获取模块，用于获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；

第二获取模块，用于：在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合；

攻击确定模块，连接于所述信息获取模块，用于当满足以下至少两个条件时，确定正在进行提权漏洞攻击：

根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；

根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；

根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。

6.根据权利要求5所述的装置，其特征在于，所述装置还包括第一获取模块，用于：

利用静态分析工具确定所述目标程序的直接跳转指令信息；

根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；

根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；

将所述预设跳转指令信息集合保存到跳转判断进程。

7.根据权利要求6所述的装置，其特征在于，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修改，包括：

确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或

确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。

8.一种电子设备，其特征在于，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为调用所述存储器存储的指令，以执行权利要求1至4中任意一项所述的方法。