提权行为识别方法、装置、设备、存储介质及程序产品制造方法及图纸

本申请提供一种提权行为识别方法、装置、设备、存储介质及程序产品。该方法包括：在监测到目标系统资源的访问行为后，获取所述访问行为对应的对象的先前模式；判断所述先前模式是否被篡改，若所述先前模式被篡改，则确定所述访问行为为提权行为。本申请通过在监测到目标系统资源的访问行为后，判断该访问行为的对象的先前模式是否被篡改，如果被篡改则确定该访问行为为提权行为，从而，可以更早地发现提权行为，避免了恶意程序绕过内核令牌的检查以达到访问系统资源的目的。到访问系统资源的目的。到访问系统资源的目的。

【技术实现步骤摘要】
提权行为识别方法、装置、设备、存储介质及程序产品


[0001]本申请涉及网络安全
，具体而言，涉及一种提权行为识别方法、装置、设备、存储介质及程序产品。

技术介绍

[0002]由于信息系统在硬件、软件、协议以及安全策略等方面存在的缺陷和不足，信息产品和信息系统会不可避免地存在安全漏洞，而漏洞是造成信息系统安全威胁的重要因素。为了减少漏洞利用造成的损失，有必要在系统或软件被攻击之前识别出利用漏洞进行提权的行为。
[0003]针对漏洞提权防护技术，目前的方法是通过检测当前进程的内核令牌是否被修改，若内核令牌被修改，则确定出现漏洞提权行为。有些漏洞利用技术会绕过该方法，以达到非法提权的目的，因此上述提权行为的识别方法无法防御这种漏洞攻击。

技术实现思路

[0004]本申请实施例的目的在于提供一种提权行为识别方法、装置、设备、存储介质及程序产品，用以解决现有技术中通过内核令牌检测的方法无法有效识别提权行为的问题，以提高网络的安全性。
[0005]第一方面，本申请实施例提供一种提权行为识别方法，包括：
[0006]在监测到目标系统资源的访问行为后，获取所述访问行为对应的对象的先前模式；
[0007]判断所述先前模式是否被篡改，若所述先前模式被篡改，则确定所述访问行为为提权行为。
[0008]本申请实施例通过在监测到目标系统资源的访问行为后，判断该访问行为的对象的先前模式是否被篡改，如果被篡改则确定该访问行为为提权行为，从而，可以更早地发现提权行为，避免了恶意程序绕过内核令牌的检查以达到访问系统资源的目的。
[0009]在任一实施例中，所述判断所述先前模式是否被篡改，包括：
[0010]获取所述对象的句柄地址，根据所述句柄地址的属性是否与所述先前模式相匹配判断所述先前模式是否被篡改。
[0011]本申请实施例通过利用句柄地址和先前模式判断先前模式是否被篡改，从而可以更早的发现是否存在非法提权行为，以保障电子设备的安全。
[0012]在任一实施例中，所述根据所述句柄地址的属性是否与所述先前模式相匹配判断所述先前模式是否被篡改，包括：
[0013]若所述句柄地址的属性为用户地址，且所述先前模式为内核模式，则所述句柄地址的属性是否与所述先前模式不匹配，确定所述先前模式被篡改；
[0014]若所述句柄地址的属性为内核地址，且所述先前模式为所述内核模式，则所述句柄地址的属性是否与所述先前模式相匹配，确定所述先前模式没有被篡改。
[0015]本申请实施例通过利用句柄地址和先前模式判断先前模式是否被篡改，从而可以更早的发现是否存在非法提权行为，以保障电子设备的安全。
[0016]在任一实施例中，在确定所述访问行为为提权行为之后，所述方法还包括：
[0017]对所述访问行为进行阻拦。
[0018]本申请实施例在确定访问行为为非法提权行为时，将对该访问行为进行阻拦，以保障电子设备安全。
[0019]在任一实施例中，所述方法还包括：
[0020]通过所述目标系统资源处设置的钩子函数对所述目标系统资源进行监控。
[0021]本申请实施例通过利用钩子函数可以监测目标系统资源是否被访问，从而可以及时发现恶意程序的非法提权行为。
[0022]在任一实施例中，所述获取所述访问行为对应的对象的先前模式，包括：
[0023]从所述对象对应的线程内核结构体中获取所述先前模式。
[0024]在任一实施例中，在获取所述访问行为对应的对象的先前模式之后，所述方法还包括：
[0025]若所述先前模式没有被篡改，则允许执行后续访问操作。
[0026]本申请实施例通过在监测到目标系统资源的访问行为后，判断该访问行为的对象的先前模式是否被篡改，如果被篡改则确定该访问行为为提权行为，从而，可以更早地发现提权行为，避免了恶意程序绕过内核令牌的检查以达到访问系统资源的目的。
[0027]第二方面，本申请实施例提供一种提权行为识别装置，包括：
[0028]模式获取模块，用于在监测到目标系统资源的访问行为后，获取所述访问行为对应的对象的先前模式；
[0029]行为识别模块，用于判断所述先前模式是否被篡改，若所述先前模式被篡改，则确定所述访问行为为提权行为。
[0030]第三方面，本申请实施例提供一种电子设备，包括：处理器、存储器和总线，其中，
[0031]所述处理器和所述存储器通过所述总线完成相互间的通信；
[0032]所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行第一方面的方法。
[0033]第四方面，本申请实施例提供一种非暂态计算机可读存储介质，包括：
[0034]所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行第一方面的方法。
[0035]第五方面，本申请实施例提供计算机程序产品，包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行第一方面所述的方法。
[0036]本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
[0037]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使
用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
[0038]图1为现有技术提供的系统调用方法流程示意图；
[0039]图2为现有的通过修改先前模式实现系统资源访问的方法流程示意图；
[0040]图3为本申请实施例提供的一种提权行为识别方法流程示意图；
[0041]图4为本申请实施例提供的另一种提权行为识别方法流程示意图；
[0042]图5为本申请实施例提供的一种提权行为识别装置结构示意图；
[0043]图6为本申请实施例提供的电子设备实体结构示意图。
具体实施方式
[0044]下面将结合附图对本申请技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本申请的技术方案，因此只作为示例，而不能以此来限制本申请的保护范围。
[0045]除非另有定义，本文所使用的所有的技术和科学术语与属于本申请的
的技术人员通常理解的含义相同；本文中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本申请；本申请的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。
[0046]在本申请实施例的描述中，技术术语“第一”“第二”等仅用于区别不同对象，而不本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种提权行为识别方法，其特征在于，包括：在监测到目标系统资源的访问行为后，获取所述访问行为对应的对象的先前模式；判断所述先前模式是否被篡改，若所述先前模式被篡改，则确定所述访问行为为提权行为。2.根据权利要求1所述的方法，其特征在于，所述判断所述先前模式是否被篡改，包括：获取所述对象的句柄地址，根据所述句柄地址的属性是否与所述先前模式相匹配判断所述先前模式是否被篡改。3.根据权利要求2所述的方法，其特征在于，所述根据所述句柄地址的属性是否与所述先前模式相匹配判断所述先前模式是否被篡改，包括：若所述句柄地址的属性为用户地址，且所述先前模式为内核模式，则所述句柄地址的属性与所述先前模式不匹配，确定所述先前模式被篡改；若所述句柄地址的属性为内核地址，且所述先前模式为所述内核模式，则所述句柄地址的属性与所述先前模式相匹配，确定所述先前模式没有被篡改。4.根据权利要求1所述的方法，其特征在于，所述方法还包括：通过所述目标系统资源处设置的钩子函数对所述目标系统资源进行监控。5.根据权利要求1所述的方法，其特征在于，所述获取所述访问行为对应的对象的先前模式，包括：从所述对象对应的线程内核结构体中获取所述先前模式。6.根据权利要求1
...

【专利技术属性】
技术研发人员：郭夏宾，
申请(专利权)人：奇安信安全技术珠海有限公司，
类型：发明
国别省市：