The invention discloses a kernel vulnerability detection process protection method and device based on a virtual machine. The method comprises the following steps: obtaining relevant information of the detection process, related information of each detection sub process to write process filter list; using hook technology, before calling the designated API, relevant information and operation target under the background of the process of acquiring the current process; whether the information related to the operation process of target judgment the record in the process of filtering the list, and the information related to the current context the process is not recorded in the process of filtering the list; if the specified API, call termination. The invention can protect the detection process running in the virtual machine sandbox isolation under the environment of the address space, prevent malicious sample process sandbox escape access to confidential information, avoid theft, improve security in the virtual machine sandbox isolation environment kernel vulnerability detection.
【技术实现步骤摘要】
基于虚拟机的内核漏洞检测进程保护方法及装置
本专利技术涉及计算机安全
,具体涉及一种基于虚拟机的内核漏洞检测进程保护方法及装置。
技术介绍
网络恶意行为是指网络系统的硬件、软件及其系统中的数据受到恶意代码攻击而遭到破坏、更改、泄露,致使系统不能连续可靠正常地运行,网络服务中断的行为。随着信息化的普及,网络新应用的大量出现,网络恶意代码所表现出的行为也层出不穷,目前最流行的网络恶意行为是网页挂马、盗取帐号、端口扫描、漏洞扫描、ARP(AddressResolutionProtocol,地址解析协议)欺骗、IP(InternetProtocol,因特网协议)劫持、DDOS(DistributedDenialofService,分布式拒绝服务)攻击、溢出攻击、木马攻击等。漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。内核作为操作系统的核心,如何检测内核漏洞是安全防护工作的重中之重。现有技术中,黑客在入侵系统时,往往通过提权的方式获得系统的最高权限,从而取得操作系统的控制权。简单来说,提权就是将一个低权限、受限制很多的用户提升到系统中最高权限(如管理员权限)。权限控制是系统安全的基石,也是一切安全软件的基石,一旦这道门槛被突破,任何防御措施都是无效的。因此,如何能够有效地检测内核漏洞,预防黑客通过提权的方式进行系统攻击成为现有技术亟待解决的问题。在内核漏洞检测过程中,如何避免恶意样本进程访问检测进程,破坏检测过程也是一个重要的问题。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上 ...
【技术保护点】
一种基于虚拟机的内核漏洞检测进程保护方法,所述方法在虚拟机沙箱隔离环境下运行,方法包括:获取各检测子进程的相关信息,将各检测子进程的相关信息写入进程过滤名单中;利用挂钩技术,在调用指定API之前,获取当前上下背景文进程的相关信息和操作目标进程的相关信息;判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中,且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中;若是,终止调用所述指定API。
【技术特征摘要】
1.一种基于虚拟机的内核漏洞检测进程保护方法,所述方法在虚拟机沙箱隔离环境下运行,方法包括:获取各检测子进程的相关信息,将各检测子进程的相关信息写入进程过滤名单中;利用挂钩技术,在调用指定API之前,获取当前上下背景文进程的相关信息和操作目标进程的相关信息;判断所述操作目标进程的相关信息是否记录在所述进程过滤名单中,且所述当前上下背景文进程的相关信息是否未记录在所述进程过滤名单中;若是,终止调用所述指定API。2.根据权利要求1所述的方法,所述相关信息具体为EPROCESS结构地址。3.根据权利要求1或2所述的方法,在所述获取各检测子进程的相关信息之前,所述方法还包括:接收用户层进程发送的各检测子进程的进程ID。4.根据权利要求3所述的方法,所述接收用户层进程发送的各检测子进程的进程ID具体为:接收用户层进程通过IO控制码发送的各检测子进程的进程ID。5.根据权利要求1所述的方法,所述方法还包括:若判断出所述操作目标进程的相关信息未记录在所述进程过滤名单中,或者,所述当前上下背景文进程的相关信息记录在所述进程过滤名单中,则继续调用所述指定API,向调用者返回所述指定API的返回值。6.一种基于虚拟机的内核漏洞检测进程保护装置,所述装置在虚拟机沙箱隔离环境下运行...
【专利技术属性】
技术研发人员:李琦,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。