安全检测方法、系统、设备及存储介质技术方案

本申请提出一种安全检测方法、系统、设备及存储介质，该方法包括：获取目标系统的待检测信息，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；根据所述待检测信息，判断所述目标系统内核是否发生劫持。本申请通过待检测信息来反馈目标系统是否受到劫持，不再针对某种具体的劫持技术，而是对各种各样的劫持技术都具有普适性，扩大了本申请中安全检测方法的适用范围，使得该安全检测方法更加全面，以提高检测准确率。准确率。准确率。

【技术实现步骤摘要】
安全检测方法、系统、设备及存储介质


[0001]本申请涉及计算机
，尤其涉及一种安全检测方法、系统、设备及存储介质。

技术介绍

[0002]随着计算机技术不断发展，各种网站、移动终端以及移动终端上app服务的广泛应用，用户对电子设备或者SAAS化服务的使用数量也在与日俱增，针对电子设备的各种木马、病毒、蠕虫等恶意数据也越来越多，且随着攻防技术对抗的复杂化，黑客攻击技术也在不断更新迭代，对防护能力造成非常大的冲击，因此，电子设备或SAAS化服务的安全性问题越来越受到重视
[0003]现有的检测技术通常是提前获取恶意攻击样本，通过对攻击样本进行分析，提取出恶意攻击样本的特性，利用提取出的特性去检测其它的攻击样本。现有技术中受限于依赖已经检测到的规则文件，无法有效检测出未知攻击。因此，对于未知攻击的检测成为安全领域的一个重要的研究方向。

技术实现思路

[0004]本申请提供一种安全检测方法、系统、设备及存储介质，其主要目的在于提高未知攻击的检测率，使得该安全检测方法更加全面，以提高检测准确率。
[0005]第一方面，本申请实施例提供一种安全检测方法，包括：
[0006]获取目标系统的待检测信息，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；
[0007]根据所述待检测信息，判断所述目标系统内核是否发生劫持。
[0008]进一步地，所述待检测信息包括预设函数，所述预设函数包括系统调用表中的函数或者虚拟文件系统下预设结构体中的函数；
[0009]相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：
[0010]判断所述预设函数的地址是否位于预设内存区域，若未位于所述预设内存区域，则判断所述目标系统发生劫持。
[0011]进一步地，所述待检测信息包括内核链表，相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：
[0012]判断所述目标系统中内核通用对象模型的当前内核模块是否为所述内核链表中所包含内核模块的一种，若不是所述内核链表中所包含内核模块的一种，则判断所述目标系统发生劫持。
[0013]进一步地，所述待检测信息包括内核函数的过程序言，相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：
[0014]判断所述内核函数的过程序言是否发生变动，若所述内核函数的过程序言发生变动，则判断所述目标系统发生劫持。
[0015]进一步地，所述待检测信息包括当前函数，所述当前函数包括当前系统调用函数或者当前异常处理函数；
[0016]相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：
[0017]判断所述目标系统中所述当前函数是否为预设调用表包含函数中的一种，若不是所述预设调用表包含函数中的一种，则判断所述目标系统发生劫持，所述预设调用表包括系统调用表或者内核探测头链表。
[0018]第二方面，本申请实施例提供一种安全检测方法，包括：
[0019]根据待检测信息，判断所述目标系统是否发生劫持，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；
[0020]根据判断结果识别所述目标系统是否存在RootKit。
[0021]第三方面，本申请实施例提供一种安全检测系统，包括：
[0022]信息提取模块，用于获取目标系统的待检测信息，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；
[0023]劫持判断模块，用于根据所述待检测信息，判断所述目标系统内核是否发生劫持。
[0024]第四方面，本申请实施例提供一种安全检测系统，包括：
[0025]文件提取模块，用于根据待检测信息，判断所述目标系统是否发生劫持，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；
[0026]安全判断模块，用于根据判断结果识别所述目标系统是否存在RootKit。
[0027]第五方面，本申请实施例提供一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述一种安全检测方法的步骤。
[0028]第六方面，本申请实施例提供一种计算机存储介质，所述计算机存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述一种安全检测方法的步骤。
[0029]本申请提出的一种安全检测方法、系统、设备及存储介质，首先获取目标系统的待检测信息，该待检测信息表示目标系统在加载内核模块的情况下调用的信息或者执行的信息，即在目标系统发生劫持的情况下，该待检测信息会受到劫持的影响；然后根据该待检测信息，判断目标系统内核是否发生了劫持。本申请通过待检测信息来反馈目标系统是否受到劫持，不再针对某种具体的劫持技术，而是对各种各样的劫持技术都具有普适性，扩大了本申请中安全检测方法的适用范围，使得该安全检测方法更加全面，以提高检测准确率。
附图说明
[0030]图1为本申请实施例提供的一种安全检测方法的流程图；
[0031]图2为本申请实施例中根据系统调用表判断目标系统内核是否发生劫持的流程图；
[0032]图3为本申请实施例中根据预设结构体判断目标系统内核是否发生劫持的流程图；
[0033]图4为本申请实施例中根据内核链表判断目标系统内核发送劫持的流程图；
[0034]图5为本申请实施例提供的根据内核函数的过程序言判断目标系统是否发生劫持的流程图；
[0035]图6为本申请实施例中根据当前系统调用函数判断目标系统是否发生劫持的流程图；
[0036]图7为本申请实施例中根据当前异常处理函数判断目标系统是否发生劫持的流程图；
[0037]图8为本申请又一实施例提供的一种安全检测方法的流程图；
[0038]图9为本申请又一实施例提供的一种根据代码完整性确定是否存在RootKit的流程图；
[0039]图10为本申请另一实施例提供的一种安全检测系统的结构示意图；
[0040]图11为本申请再一实施例提供的一种安全检测系统的结构示意图；
[0041]图12为本申请实施例中提供的一种计算机设备的结构示意图。
[0042]本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0043]为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。
[0044]为了能更加清本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种安全检测方法，其特征在于，包括：获取目标系统的待检测信息，其中，所述待检测信息表征所述目标系统加载内核模块的情况下调用的信息或执行的信息；根据所述待检测信息，判断所述目标系统内核是否发生劫持。2.根据权利要求1所述的安全检测方法，其特征在于，所述待检测信息包括预设函数，所述预设函数包括系统调用表中的函数或者虚拟文件系统下预设结构体中的函数；相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：判断所述预设函数的地址是否位于预设内存区域，若未位于所述预设内存区域，则判断所述目标系统发生劫持。3.根据权利要求1所述的安全检测方法，其特征在于，所述待检测信息包括内核链表，相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：判断所述目标系统中内核通用对象模型的当前内核模块是否为所述内核链表中所包含内核模块的一种，若不是所述内核链表中所包含内核模块的一种，则判断所述目标系统发生劫持。4.根据权利要求1所述的安全检测方法，其特征在于，所述待检测信息包括内核函数的过程序言，相应地，所述根据所述待检测信息，判断所述目标系统内核是否发生劫持，包括：判断所述内核函数的过程序言是否发生变动，若所述内核函数的过程序言发生变动，则判断所述目标系统发生劫持。5.根据权利要求1所述的安全检测方法，其特征在于，所述待检测信息包括当前函数，所述当前函数包括当前系统调用函数或者当前异常处理函数；相应地，所述根据所述待检测信息，判断所述目标系统内核...

【专利技术属性】
技术研发人员：马成，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：