[发明专利]提权漏洞攻击的检测方法及装置、电子设备

说明书

本公开涉及一种提权漏洞攻击的检测方法及装置、电子设备，所述方法包括：获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息；当满足以下至少两个条件时，确定正在进行提权漏洞攻击：确定存在异常跳转指令；确定属性信息发生变化；根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。本公开实施例从三个不同的角度来进行观测，并且只有至少违背两个条件才会被判定为提权攻击，保证了检测使用二进制漏洞进行提权攻击的精度，减少漏报和误报。

技术领域

本公开涉及安全技术领域，尤其涉及一种提权漏洞攻击的检测方法及装置、电子设备。

背景技术

提权漏洞攻击就是攻击者可以利用漏洞提升账户的权限，将账户从较低权限提升为系统中的最高权限。目前服务端向客户提供服务的程序，以二进制的形式运行在物理机上。当攻击者利用提供服务的二进制程序的漏洞获取到低级权限后，可以通过提权的方式来获得系统的最高权限，从而完全控制物理机。一旦攻击者成功提权后，可以获取服务器所保存的数据，如：用户信息，甚至还可以横向移动攻击其他服务器。

发明内容

根据本公开的一方面，提供了一种提权漏洞攻击的检测方法，所述方法包括：

获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；

当满足以下至少两个条件时，确定正在进行提权漏洞攻击：

根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；

根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；

根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。

在一种可能的实施方式中，所述方法还包括：

利用静态分析工具确定所述目标程序的直接跳转指令信息；

根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；

根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；

将所述预设跳转指令信息集合保存到跳转判断进程。

在一种可能的实施方式中，所述方法还包括：

在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合。

在一种可能的实施方式中，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修改，包括：

确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或

确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。

在一种可能的实施方式中，所述目标程序包括服务端的服务程序。

根据本公开的一方面，提供了一种提权漏洞攻击的检测装置，所述装置包括：