[发明专利]基于Linux内核的实时检测与阻断进程提权方法及装置

说明书

本发明实施例涉及一种基于Linux内核的实时检测与阻断进程提权的方法及装置，该方法包括步骤：Linux内核层加载待运行应用程序前，利用第一回调函数获取该待运行应用程序的进程信息；若根据该进程信息判定所述进程不是内核线程时，获取该进程所属的进程链信息；若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时，判断该进程发生第一级别潜在权限提升。本发明实施例提供的技术方案，通过在Linux内核中对于权限提升行为进行检测，对于现有技术中Linux系统已经被攻击后才能检测到攻击行为的技术方案，实时性更高，并且能够及时阻断攻击行为。

技术领域

本发明实施例涉及Linux内核进程检测技术领域，尤其涉及一种基于Linux内核的实时检测与阻断进程提权方法及装置。

背景技术

Linux系统对于其用户有着不同的权限管控，系统根据用户身份证明(UserIdentification，以下简称“UID”)来识别用户。根(root)用户在系统中权限最高，其对应的UID为0。进程权限提升，即进程提权是指在网站入侵过程中，为了提高自己在服务器中的权限所进行的操作，通过各种漏洞上传shell脚本，以夺得该服务器权限的行为。进程提权常见的表现是普通用户执行的进程的权限转变为根(root)用户权限了，从而这些进程可以使用高权限做高危操作。

现有技术的进程提权检测方法大多是在应用层进行检测，通过扫描系统中的所有进程，当发现父子进程之间的权限不同且子进程为根(root)用户权限时，则判断子进程为提权进程。还有部分方法通过预先存储的信息进行对比分析，通过以上两种方法检测进程提权，信息不够实时，可能产生信息上的误差，或者检测到时提权的进程正在运行或已经执行完毕，此时，Linux系统可能已被攻击，并且此时已经无法有效拦截攻击行为了。而如何实现Linux系统进程权限提升的实时检测，成为亟待解决的问题。

发明内容

基于现有技术的上述情况，本发明实施例的目的在于提供一种基于Linux内核的实时检测与阻断进程提权的方法及装置，在Linux内核中对进程所属的进程链进行分析，根据攻击特征综合判定是否存在权限提升行为，实时性更高，并且能够及时阻断攻击行为。

为达到上述目的，根据本发明的一个方面，提供了一种基于Linux内核的实时检测与阻断进程提权的方法，包括步骤：

Linux内核层加载待运行应用程序前，利用第一回调函数获取该待运行应用程序的进程信息；

若根据该进程信息判定所述进程不是内核线程时，获取该进程所属的进程链信息；

若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时，判断该进程发生第一级别潜在权限提升。

进一步的，所述方法还包括：

判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等，若是，判断该进程发生第二基本潜在权限提升。

进一步的，所述方法还包括：

判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性，若是，则判断该进程发生权限提升。

进一步的，所述第一用户标识包括EUID；所述第二用户标识包括UID；第三用户标识包括SUID。

进一步的，所述第一回调函数包括bprm_check_security函数。

根据本发明的另一个方面，提供了一种基于Linux内核的实时检测与阻断进程提权的装置，包括：

进程信息获取模块，用于Linux内核层加载待运行应用程序前，利用第一回调函数获取该待运行应用程序的进程信息；

父进程信息获取模块，用于若根据该进程信息判定所述进程不是内核线程时，获取该进程所属的进程链信息；