【技术实现步骤摘要】
进程非法提权的识别方法、装置、设备及存储介质
[0001]本专利技术涉及计算机
,尤其涉及一种进程非法提权的识别方法、装置、设备及存储介质。
技术介绍
[0002]漏洞修复与防御是贯穿整个系统(例如,Android系统)架构层面与业务功能的方方面面,而提权特别是根级别(root)漏洞提权是漏洞攻击过程中最关键的一步,从系统角度来,如何识别漏洞提权行为而阻断,如何监控漏洞提权行为而感知入侵溯源追踪是防御方最关注的事情之一。
[0003]现有技术中,通常是基于系统中的安全模块(LSM)对进程的提权行为进行限制,例如,基于Linux 5.1内核新增的SafeSetID安全特性对setid系列的系统调用进行限制。但是通过上述方案的非法提权的识别方式较为单一,无法结合Android系统和主机系统(服务器)的设计制定不同的安全策略(例如黑名单)进行针对性的非法提权行为的识别,即无法基于黑名单对进程的非法提权进行针对性识别。
[0004]综上,现有技术中存在无法基于黑名单对进程的非法提权进行针对性识别的问题。>
技术实现思路
【技术保护点】
【技术特征摘要】
1.一种进程非法提权的识别方法,其特征在于,所述识别方法包括:获取当前执行的进程,并提取所述进程对应的用户标识;基于所述用户标识对所述进程进行权限检查,得到检查结果;若所述检查结果为提高权限,则将所述用户标识与预设的白名单和黑名单进行比对,得到比对结果;在所述比对结果满足预设的限制策略时,根据所述比对结果对所述进程对应的用户标识进行转换;在所述比对结果不满足预设的限制策略时,确定所述进程为非法提权的进程,并关闭所述进程。2.根据权利要求1所述的识别方法,其特征在于,所述基于所述用户标识对所述进程进行权限检查,得到检查结果,包括:获取所述进程所属的容器空间对应的容器空间标识,并根据所述容器空间标识获取对应的容器空间中的权限策略;根据所述权限策略,基于所述用户标识确定所述进程对应的权限信息,并基于所述权限信息计算出所述进程拥有的权限和所述进程需要的权限;当所述进程拥有的权限小于所述进程需要的权限时,确定所述检查结果为提高权限。3.根据权利要求1所述的识别方法,其特征在于,在所述将所述用户标识与预设的白名单和黑名单进行比对之前,还包括:控制系统中的组件管理服务模块扫描系统的原生系统应用,并获取原生系统应用对应的签名信息和用户标识;根据所述签名信息,在预设的权限信息表中查询出不需要高级权限的原生系统应用,并确定对应的普通权限用户标识,其中,所述高级权限至少包括进行SETUID操作对应的权限和进行SETGID操作对应的权限,所述普通权限用户标识为不需要高级权限的原生系统应用对应的用户标识;当所述组件管理服务模块继续扫描到第三方系统应用处于安装时,则获取对应的第三方用户标识,其中,所述第三方用户标识为正在进行安装的第三方系统应用对应的用户标识;基于所述普通权限用户标识和所述第三方用户标识生成所述黑名单。4.根据权利要求3所述的识别方法,其特征在于,在所述将所述用户标识与预设的白名单和黑名单进行比对之前,还包括:获取所述进程所属的容器空间对应的容器空间标识,并根据所述容器空间标识确定目标容器空间的空间类型,其中,所述目标容器空间为所述进程所属的容器空间;基于所述空间类型确定所述目标容器空间相对于宿主空间的安全性要求;基于所述安全性要求对所述白名单中的用户标识和所述黑名单中的用户标识进行筛选和调整。5.根据权利要求1中所述的识别方法,其特征在于,在所述将所述用户标识与预设的白名单和黑名单进行比对之前,还包括:在检测到后台运行的进程时,获取检测到的后台进...
【专利技术属性】
技术研发人员:黄超华,
申请(专利权)人:珠海市魅族科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。