一种拦截Linux内核恶意进程提权的方法及系统技术方案

本发明专利技术提出了一种拦截Linux内核恶意进程提权的方法及系统，首先获取Linux内核进程，实时跟踪启动运行的内核进程，并对其数据信息进行获取，然后判断所述数据信息中是否包含敏感信息，若包含，则获取Linux用户信息，并判定所述敏感信息是否经过用户授权，若不包含敏感信息，则继续跟踪内核进程，在判定所述敏感信息是否经过用户授权时，若是，则放行相应进程，若否，则拦截相应进程。本发明专利技术能够精确有效的对Linux内核进程中恶意提权的进程进行检出并拦截，防止Linux内核系统的漏洞注入攻击。

【技术实现步骤摘要】

本专利技术涉及信息安全
，尤其涉及一种拦截Linux内核恶意进程提权的方法及系统。
技术介绍
由于Linux系统内核的严格用户权限限制，Linux系统存在的漏洞并不多。在Linux漏洞攻击中，大部分恶意程序最终都是调用commit_creds函数进行进程的root级提权，达到释放恶意行为的目的，且很多恶意程序并不对系统权限进行长期或者永久性的提取，而是在程序启动瞬间进行提权，恶意行为释放后降权，一般情况下该过程用时很少，很容易绕过防护产品的检测，且目前已有的防护产品大多只对明显提权操作进行检测，如自动设置为开机启动项等，而很少进入进程状态对进程提权进行检测，不利于信息安全的维护。
技术实现思路
针对上述现有技术中存在的缺陷，本专利技术提出了一种拦截Linux内核恶意进程提权的方法及系统，首先获取Linux内核进程，实时跟踪启动运行的内核进程，并对其数据信息进行获取，然后判断所述数据信息中是否包含敏感信息，若包含，则获取Linux用户信息，并判定所述敏感信息是否经过用户授权，若不包含敏感信息，则继续跟踪内核进程，在判定所述敏感信息是否经过用户授权时，若是，则放行相应进程，若否，则拦截相应进程。具体
技术实现思路
包括：一种拦截Linux内核恶意进程提权的方法，包括：动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；动态跟踪内核进程信息，当有内核进程启动时，立即获取该内核进程的数据信息，并对所述数据信息进行校验，判断是否存在敏感信息，若不存在，则继续动态跟踪内核进程信息；若存在，则提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，若是，则放行相应内核进程，否则拦截相应内核进程。进一步地，所述按规定对内核进程信息进行存储，具体为：将内核进程信息根据进程资源的申请种类以及进程的启动级别，设置优先级队列，所述优先级队列随系统运行进行实时更新，并在优先级队列中实时标记并更新启动运行的内核进程。进一步地，所述敏感信息包括：设置root权限、设置suid、申请敏感资源、锁定系统资源、设置为开机启动项。进一步地，所述提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，具体为：根据用户信息，判断所述敏感信息被设置为root权限的操作是否来自用户发起的进程，若否，则相应敏感信息没有经过用户授权；若是，则继续判断相应用户发起的进程是否设置过suid，若没有设置过，则相应敏感信息没有经过用户授权，若设置过，则视为相应敏感信息经过用户授权。一种拦截Linux内核恶意进程提权的系统，包括：进程信息提取模块，用于动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；内核数据跟踪模块，用于动态跟踪内核进程信息，当有内核进程启动时，立即获取该内核进程的数据信息，并对所述数据信息进行校验，判断是否存在敏感信息，若不存在，则继续动态跟踪内核进程信息；进程授权判定模块，用于提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，若是，则放行相应内核进程，否则拦截相应内核进程。进一步地，所述按规定对内核进程信息进行存储，具体为：将内核进程信息根据进程资源的申请种类以及进程的启动级别，设置优先级队列，所述优先级队列随系统运行进行实时更新，并在优先级队列中实时标记并更新启动运行的内核进程。进一步地，所述敏感信息包括：设置root权限、设置suid、申请敏感资源、锁定系统资源、设置为开机启动项。进一步地，所述提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，具体为：根据用户信息，判断所述敏感信息被设置为root权限的操作是否来自用户发起的进程，若否，则相应敏感信息没有经过用户授权；若是，则继续判断相应用户发起的进程是否设置过suid，若没有设置过，则相应敏感信息没有经过用户授权，若设置过，则视为相应敏感信息经过用户授权。本专利技术的有益效果是：本专利技术能够精确有效的对Linux内核进程中恶意提权的进程进行检出并拦截，防止Linux内核系统的漏洞注入攻击；本专利技术动态跟踪Linux内核进行信息，当有进程启动时，立即获取该进程的数据信息，能够有效防止恶意进程进行瞬间提权躲避检测的行为；传统主流杀毒软件的主动防御采用HOOK方式，实现系统调用函数的截获，从而实现恶意提权的拦截，这种方式会造成系统资源耗费较大、系统运行过慢等性能上的不足，而本专利技术深入系统内核，采用更加底层的方式，阻止恶意进程提权操作，几乎不会对系统造成资源耗费，对系统运行速度的干扰也可忽略。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种拦截Linux内核恶意进程提权的方法流程图；图2为本专利技术一种拦截Linux内核恶意进程提权的系统结构图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术给出了一种拦截Linux内核恶意进程提权的方法实施例，如图1所示，包括：S101：动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；S102：动态跟踪内核进程信息，当有内核进程启动时，立即获取该内核进程的数据信息，并对所述数据信息进行校验；该过程可通过如下方式实现：动态跟踪内核进程信息，当有内核进程启动时，执行vfs_stat函数，获取该内核进程的commit_credsheader信息，并逐一对所述commit_credsheader信息进行校验；S103：判断是否存在敏感信息，若是，则进入S104；若否，则返回S102；S104：提取Linux系统用户信息；S105：判断所述敏感信息是否经过用户授权，若是，则进入S106；若否，则进入S107；S106：放行相应内核进程；S107：拦截相应内核进程。进一步地，所述按规定对内核进程信息进行存储，具体为：将内核进程信息根据进程资源的申请种类以及进程的启动级别，设置优先级队列，所述优先级队列随系统运行进行实时更新，并在优先级队列中实时标记并更新启动运行的内核进程。进一步地，所述敏感信息包括：设置root权限、设置suid、申请敏感资源、锁定系统资源、设置为开机启动项；一般地，进程获取root权限后，suid会设置为0。进一步地，所述提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，具体为：根据用户信息，判断所述敏感信息被设置为root权限的操作是否来自用户发起的进程，若否，则相应敏感信息没有经过用户授权；若是，则继续判断相应用户发起的进程是否设置过suid，若没有设置过，则相应敏感信息没有经过用户授权，若设置过，则视为相应敏感信息经过用户授权。本专利技术还给出了一种拦截Linux内核恶意进程提权的系统实施例，如图2所示，包括：进程信息提取模块201，用于动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；内核数据跟踪模块202，用于动态跟踪内核进程信息，当有内核进程启动本文档来自技高网...

【技术保护点】
一种拦截Linux内核恶意进程提权的方法，其特征在于，包括：动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；动态跟踪内核进程信息，当有内核进程启动时，立即获取该内核进程的数据信息，并对所述数据信息进行校验，判断是否存在敏感信息，若不存在，则继续动态跟踪内核进程信息；若存在，则提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，若是，则放行相应内核进程，否则拦截相应内核进程。

【技术特征摘要】
1.一种拦截Linux内核恶意进程提权的方法，其特征在于，包括：动态遍历并提取Linux系统内核进程信息，并按规定对内核进程信息进行存储；动态跟踪内核进程信息，当有内核进程启动时，立即获取该内核进程的数据信息，并对所述数据信息进行校验，判断是否存在敏感信息，若不存在，则继续动态跟踪内核进程信息；若存在，则提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，若是，则放行相应内核进程，否则拦截相应内核进程。2.如权利要求1所述的方法，其特征在于，所述按规定对内核进程信息进行存储，具体为：将内核进程信息根据进程资源的申请种类以及进程的启动级别，设置优先级队列，所述优先级队列随系统运行进行实时更新，并在优先级队列中实时标记并更新启动运行的内核进程。3.如权利要求2所述的方法，其特征在于，所述敏感信息包括：设置root权限、设置suid、申请敏感资源、锁定系统资源、设置为开机启动项。4.如权利要求1或2或3所述的方法，其特征在于，所述提取Linux系统用户信息，并判断所述敏感信息是否经过用户授权，具体为：根据用户信息，判断所述敏感信息被设置为root权限的操作是否来自用户发起的进程，若否，则相应敏感信息没有经过用户授权；若是，则继续判断相应用户发起的进程是否设置过suid，若没有设置过，则相应敏感信息没有经过用户授权，若设置过，则视为相应敏感信息经过用户授权。5.一种拦截Linux内核恶...

【专利技术属性】
技术研发人员：孙洪伟，张伟坤，徐翰隆，肖新光，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江;23