[发明专利]进程非法提权的识别方法、装置、设备及存储介质

说明书

本发明涉及计算机技术领域，尤其涉及一种进程非法提权的识别方法、装置、设备及存储介质。该方法通过获取当前执行的进程，并提取进程对应的用户标识；基于用户标识对进程进行权限检查，得到检查结果；若检查结果为提高权限，则将用户标识与预设的白名单和黑名单进行比对，得到比对结果；在比对结果满足预设的限制策略时，根据比对结果对进程对应的用户标识进行转换；在比对结果不满足预设的限制策略时，确定进程为非法提权的进程，并关闭进程；从而解决了现有技术中存在的无法基于黑名单对进程的非法提权进行针对性识别的问题。

技术领域

本发明涉及计算机技术领域，尤其涉及一种进程非法提权的识别方法、装置、设备及存储介质。

背景技术

漏洞修复与防御是贯穿整个系统(例如，Android系统)架构层面与业务功能的方方面面，而提权特别是根级别(root)漏洞提权是漏洞攻击过程中最关键的一步，从系统角度来，如何识别漏洞提权行为而阻断，如何监控漏洞提权行为而感知入侵溯源追踪是防御方最关注的事情之一。

现有技术中，通常是基于系统中的安全模块(LSM)对进程的提权行为进行限制，例如，基于Linux 5.1内核新增的SafeSetID安全特性对setid系列的系统调用进行限制。但是通过上述方案的非法提权的识别方式较为单一，无法结合Android系统和主机系统(服务器)的设计制定不同的安全策略(例如黑名单)进行针对性的非法提权行为的识别，即无法基于黑名单对进程的非法提权进行针对性识别。

综上，现有技术中存在无法基于黑名单对进程的非法提权进行针对性识别的问题。

发明内容

本申请的主要目的是提供一种进程非法提权的识别方法、装置、设备及存储介质，以解决现有技术中存在的无法基于黑名单对进程的非法提权进行针对性识别的问题。

本发明第一方面提供了一种进程非法提权的识别方法，所述进程非法提权的识别方法包括：获取当前执行的进程，并提取所述进程对应的用户标识；基于所述用户标识对所述进程进行权限检查，得到检查结果；若所述检查结果为提高权限，则将所述用户标识与预设的白名单和黑名单进行比对，得到比对结果；在所述比对结果满足预设的限制策略时，根据所述比对结果对所述进程对应的用户标识进行转换；在所述比对结果不满足预设的限制策略时，确定所述进程为非法提权的进程，并关闭所述进程。

可选地，在本发明第一方面的第一种实现方式中，所述基于所述用户标识对所述进程进行权限检查，得到检查结果，包括：获取所述进程所属的容器空间对应的容器空间标识，并根据所述容器空间标识获取对应的容器空间中的权限策略；根据所述权限策略，基于所述用户标识确定所述进程对应的权限信息，并基于所述权限信息计算出所述进程拥有的权限和所述进程需要的权限；当所述进程拥有的权限小于所述进程需要的权限时，所述检查结果为提高权限。

可选地，在本发明第一方面的第二种实现方式中，在所述将所述用户标识与预设的白名单和黑名单进行比对之前，还包括：控制系统中的组件管理服务模块扫描系统的原生系统应用，并获取原生系统应用对应的签名信息和用户标识；根据所述签名信息，在预设的权限信息表中查询出不需要高级权限的原生系统应用，并确定对应的普通权限用户标识，其中，所述高级权限至少包括进行SETUID操作对应的权限和进行SETGID操作对应的权限，所述普通权限用户标识为不需要高级权限的原生系统应用对应的用户标识；当所述组件管理服务模块继续扫描到第三方系统应用处于安装时，则获取对应的第三方用户标识，其中，所述第三方用户标识为正在进行安装的第三方系统应用对应的用户标识；基于所述普通权限用户标识和所述第三方用户标识生成所述黑名单。

可选地，在本发明第一方面的第三种实现方式中，在所述将所述用户标识与预设的白名单和黑名单进行比对之前，还包括：获取所述进程所属的容器空间对应的容器空间标识，并根据所述容器空间标识确定目标容器空间的空间类型，其中，所述目标容器空间为所述进程所属的容器空间；基于所述空间类型确定所述目标容器空间相对于宿主空间的安全性要求；基于所述安全性要求对所述白名单中的用户标识和所述黑名单中的用户标识进行筛选和调整。