CN109409087A - 防提权检测方法及设备 - Google Patents

Abstract

本申请的目的是提供一种防提权检测的方案，该方案首先获取进程在内核态的权限变化信息，通过对所述权限变化信息进行检测，来判断所述进程在当前处理阶段的权限是否合法，从而对非法修改权限信息的情况进行识别，若检测结果为不合法，则认为可能存在非法修改权限信息的情况，进而执行防提权处理，使得恶意用户无法在不被感知的情况下非法提升权限。

Description

防提权检测方法及设备

技术领域

本申请涉及信息技术领域，尤其涉及一种防提权检测的方案。

背景技术

在现有操作系统中，进程在进入内核态工作时，在任务的不同处理阶段会进行不同的操作，同时对应的权限信息也会发生变化。而进程的权限信息通常会通过特定的数据结构进行维护，例如Linux系统中通过数据结构struct cred来记录用户信息(uid)、用户组信息(gid)以及权限等信息，并由内核负责维护修改这些信息，并以及作为判断进程具体操作权限的依据。系统根据权限信息对进程相关处理的权限进行校验，进而提供针对对象操作安全性保障的权限检查机制。

在操作系统的权限检查机制中，权限判断仅依赖于数据结构中保存的权限信息，并不感知这些权限信息的变化情况与其合理性，一旦数据结构中的权限信息被恶意用户非法修改，极易造成非法提权，并且无法被系统感知。例如黑客通过一些非法手段，绕过系统正常修改流程，直接对struct cred中的权限信息进行非法修改，从而获得额外权限，完成提权，进而对系统造成更大破坏与威胁。而权限检查机制由于无法对非法修改权限信息的情况进行识别，往往一旦恶意用户成功修改了权限信息，就在操作系统中获得了更大的权限，可以轻松的对操作系统进行进一步的入侵而不被拦截和感知。

申请内容

本申请的一个目的是提供一种防提权检测方法及设备，用以解决无法对非法修改权限信息的情况进行识别的问题。

为实现上述目的，本申请提供了一种防提权检测方法，该方法包括：

获取进程在内核态的权限变化信息；

根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；

若检测结果为不合法，执行防提权处理。

基于本申请的另一方面，还提供了一种防提权检测设备，该设备包括：

安全信息收集模块，用于获取进程在内核态的权限变化信息；

安全信息分析引擎，用于根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；

安全处理模块，用于在检测结果为不合法时，执行防提权处理。

此外，本申请还提供了一种防提权检测设备，该设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取进程在内核态的权限变化信息；根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；若检测结果为不合法，执行防提权处理。

本申请提供了一种防提权检测的方案，该方案首先获取进程在内核态的权限变化信息，通过对所述权限变化信息进行检测，来判断所述进程在当前处理阶段的权限是否合法，从而对非法修改权限信息的情况进行识别，若检测结果为不合法，则认为可能存在非法修改权限信息的情况，进而执行防提权处理，使得恶意用户无法在不被感知的情况下非法提升权限。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1为本申请实施例提供的一种防提权检测方法的处理流程图；

图2为基于本申请实施例中的防提权检测方案提供的提权安全事件处理构架的原理示意图；

图3为本申请实施例提供的一种防提权检测设备的结构示意图；

附图中相同或相似的附图标记代表相同或相似的部件。

具体实施方式

下面结合附图对本申请作进一步详细描述。

在本申请一个典型的配置中，终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

在操作系统的权限检查机制中，权限判断仅依赖于数据结构中保存的权限信息，并不感知这些权限信息的变化情况与其合理性，一旦数据结构中的权限信息被恶意用户非法修改，例如黑客通过一些非法手段，绕过系统正常修改流程，直接对进程数据结构中的权限信息进行非法修改，这将使得黑客能够在不被感知的情况下非法提升权限。而本申请实施例提供了一种防提权检测方法，通过对进程在当前处理阶段的权限进行合法性判断，从而对非法修改权限信息的情况，避免恶意用户在不被感知的情况下非法提升权限，该方法的处理流程如图1所示，包括以下步骤：

步骤S101，获取进程在内核态的权限变化信息。

在进程的运行过程中，会在特定情况下(例如进程执行系统调用时)从用户态进入到内核态，在进入内核态至退出内核态的整个过程中，进程在不同的处理阶段会需要对不同的操作对象执行不同的操作，由此需要不同的权限从操作系统获取相应的系统资源。

权限变化信息是用来表示进程在内核态的权限或者权限变化情况的信息，可以是进程在内核态中各个处理阶段的权限或者权限变化的情况，还可以是两者的结合。由于进程的数据结构中保存了与该进程的权限，通过收集每个处理阶段时数据结构中的权限信息，可以确定用户进程在内核态中各个处理阶段的权限或者权限变化的情况。例如，一进程在内核态至少包括三个处理阶段p1-p3，分别进行三个不同的操作，由于需要获取不同的系统资源，每个处理阶段需要的权限也不相同，因此获取到的权限变化信息可以是进程在每个处理阶段的权限L2、L1和L3，也可以使由L2到L1，再到L3的变化过程，或者两者的结合。

步骤S102，根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法。基于获取到的权限变化信息进行检测，可以判断进程在当前处理阶段的权限合法性，对于前述的进程，在正常情况下三个处理阶段p1-p3的权限应当是L2、L1和L3，若实际获取到的权限变化信息为该进程在三个处理阶段p1-p3的权限分别是L2、L1和L2，由于该进程p3处理阶段的权限高于正常情况，因此会判定为不合法。

在本申请的一种实施例中，该方法还可以获取安全策略信息，其中，所述安全策略包括判断规则信息，由此在检测进程权限合法性时可以根据所述权限变化信息和所述判断规则信息，检测所述进程在当前处理阶段的权限是否合法。在实际场景中，针对不同的应用场景，可以单独配置不同的安全策略，使得判断规则信息可以适用于不同的检测需求，当应用场景切换时，可以重新获取有针对性的安全策略，以适应场景的需求。例如，判断规则信息所确定的检测规则中，除了基于前述的权限或者权限变化，还可以结合进程在运行过程中可以检测到的其它任何信息。

在对进程权限合法性进行检测时，判断规则信息可以表征为一项或者多项非法条件，当获取到的权限变化信息符合该任一非法条件时，则确定进程在当前处理阶段的权限不合法。例如，判断规则信息对应的非法条件包括：进程在p3处理阶段的权限为L2或L1，或者进程在p2至p3处理阶段的权限变化情况为L2至L3、L3至L3、L1至L1或L1至L2等。在处理时可以将权限变化信息与相同类型的非法条件进行逐一对比，来判断是否符合其中任意一项，进而判断进程在当前处理阶段的权限不合法。

本申请实施例还提供另一形式的检测方式，由于判断规则信息也可以表征为一项或者多项合法条件，仅当获取到的权限变化信息符合所有的合法条件时，判定进程在当前处理阶段的权限合法，否则确定进程在当前处理阶段的权限不合法。例如，判断规则信息对应的合法条件包括：进程在p3处理阶段的权限为L3以及进程在p2至p3处理阶段的权限变化情况为L1至L3。在处理时可以将权限变化信息与相同类型的非法条件进行逐一对比，来判断是否符合所有的合法条件，进而判断进程在当前处理阶段的权限的合法性。

步骤S103，在检测结果为不合法时，执行防提权处理。在实际场景中，防提权处理可以根据不合法的检测结果，可以根据该次非法提权的威胁程度，选择不同的处理方式。在本申请的一种实施方式中可以在生成提示信息、判定进程在内核态的本次处理失败、变更进程在当前处理阶段的权限、上报本次检测结果等方式中，根据实际应用场景的需求，选取其中一种或者几种作为特定情况下的防提权处理方式。例如，在多项非法条件中每项非法条件的所对应的威胁程度可能不同，根据该次检测所符合的特定非法条件可以确定本次非法提权的威胁，进而选择不同的处理方式。

例如，对于威胁程度较低的情况，可以仅发出报警，生成提示信息告知用户。对于威胁程度较高的情况，可以在发出报警、生成提示信息的前提下，判定进程在内核态的本次处理失败，使得进程无法得到非法提升的权限，进而获取相应的系统资源，或者也可以变更进程在当前处理阶段的权限，使得进程的权限恢复为正常应有的等级。此外，还可以向服务器上报本次检测结果，使得各个单机设备上的非法提权情况可以在服务器中汇集，综合各项信息，帮助用户及时有效地掌握整体的安全威胁情况。

在实际场景中，获取到的安全策略中还可以包含处理配置信息，该处理配置信息可以是预先配置完成的针对各种不同应用场景所使用的防提权处理方式，可以在初始化时根据不同的应用场景下发，使得在确定检测结果为不合法时，可以根据处理配置信息，执行相应的防提权处理。

基于同一发明构思，本申请实施例中还提供了防提权检测设备，该设备对应的方法是前述实施例中的防提权检测方法，并且其解决问题的原理与该方法相似。

本申请实施例提供了一种防提权检测设备，该设备包括安全信息收集模块、安全信息分析引擎以及安全处理模块，在进行防提权检测处理时，首先由安全信息收集模块获取进程在内核态的权限变化信息。

在进程的运行过程中，会在特定情况下(例如进程执行系统调用时)从用户态进入到内核态，在进入内核态至退出内核态的整个过程中，进程在不同的处理阶段会需要对不同的操作对象执行不同的操作，由此需要不同的权限从操作系统获取相应的系统资源。

权限变化信息是用来表示进程在内核态的权限或者权限变化情况的信息，可以是进程在内核态中各个处理阶段的权限或者权限变化的情况，还可以是两者的结合。由于进程的数据结构中保存了与该进程的权限，通过收集每个处理阶段时数据结构中的权限信息，可以确定用户进程在内核态中各个处理阶段的权限或者权限变化的情况。例如，一进程在内核态至少包括三个处理阶段p1-p3，分别进行三个不同的操作，由于需要获取不同的系统资源，每个处理阶段需要的权限也不相同，因此获取到的权限变化信息可以是进程在每个处理阶段的权限L2、L1和L3，也可以使由L2到L1，再到L3的变化过程，或者两者的结合。

而后，安全信息分析引擎根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法。基于获取到的权限变化信息进行检测，可以判断进程在当前处理阶段的权限合法性，对于前述的进程，在正常情况下三个处理阶段p1-p3的权限应当是L2、L1和L3，若实际获取到的权限变化信息为该进程在三个处理阶段p1-p3的权限分别是L2、L1和L2，由于该进程p3处理阶段的权限高于正常情况，因此会判定为不合法。

在本申请的一种实施例中，该安全信息分析引擎还可以获取安全策略信息，其中，所述安全策略包括判断规则信息，由此安全信息分析引擎在检测进程权限合法性时可以根据所述权限变化信息和所述判断规则信息，检测所述进程在当前处理阶段的权限是否合法。在实际场景中，针对不同的应用场景，可以单独配置不同的安全策略，使得判断规则信息可以适用于不同的检测需求，当应用场景切换时，可以重新获取有针对性的安全策略，以适应场景的需求。例如，判断规则信息所确定的检测规则中，除了基于前述的权限或者权限变化，还可以结合进程在运行过程中可以检测到的其它任何信息。

安全信息分析引擎在对进程权限合法性进行检测时，判断规则信息可以表征为一项或者多项非法条件，当获取到的权限变化信息符合该任一非法条件时，则安全信息分析引擎确定进程在当前处理阶段的权限不合法。例如，判断规则信息对应的非法条件包括：进程在p3处理阶段的权限为L2或L1，或者进程在p2至p3处理阶段的权限变化情况为L2至L3、L3至L3、L1至L1或L1至L2等。在处理时可以将权限变化信息与相同类型的非法条件进行逐一对比，来判断是否符合其中任意一项，进而判断进程在当前处理阶段的权限不合法。

本申请实施例还提供另一形式的检测方式，由于判断规则信息也可以表征为一项或者多项合法条件，仅当获取到的权限变化信息符合所有的合法条件时，安全信息分析引擎判定进程在当前处理阶段的权限合法，否则确定进程在当前处理阶段的权限不合法。例如，判断规则信息对应的合法条件包括：进程在p3处理阶段的权限为L3以及进程在p2至p3处理阶段的权限变化情况为L1至L3。在处理时可以将权限变化信息与相同类型的非法条件进行逐一对比，来判断是否符合所有的合法条件，进而判断进程在当前处理阶段的权限的合法性。

在检测结果为不合法时，安全处理模块执行防提权处理。在实际场景中，防提权处理可以根据不合法的检测结果，可以根据该次非法提权的威胁程度，选择不同的处理方式。在本申请的一种实施方式中安全处理模块可以在生成提示信息、判定进程在内核态的本次处理失败、变更进程在当前处理阶段的权限、上报本次检测结果等方式中，根据实际应用场景的需求，选取其中一种或者几种作为特定情况下的防提权处理方式。例如，在多项非法条件中每项非法条件的所对应的威胁程度可能不同，根据该次检测所符合的特定非法条件可以确定本次非法提权的威胁，进而选择不同的处理方式。

例如，对于威胁程度较低的情况，可以仅发出报警，生成提示信息告知用户。对于威胁程度较高的情况，可以在发出报警、生成提示信息的前提下，判定进程在内核态的本次处理失败，使得进程无法得到非法提升的权限，进而获取相应的系统资源，或者也可以变更进程在当前处理阶段的权限，使得进程的权限恢复为正常应有的等级。此外，还可以向服务器上报本次检测结果，使得各个单机设备上的非法提权情况可以在服务器中汇集，综合各项信息，帮助用户及时有效地掌握整体的安全威胁情况。

在实际场景中，获取到的安全策略中还可以包含处理配置信息，该处理配置信息可以是预先配置完成的针对各种不同应用场景所使用的防提权处理方式，可以在初始化时根据不同的应用场景下发，使得在确定检测结果为不合法时，安全处理模块可以根据处理配置信息，执行相应的防提权处理。

基于本申请实施例的方案，还提供一套完整的提权安全事件处理构架，用于在大规模计算的场景下进行提权安全事件的防护和监控。如图2所示，整个处理构架中包括内核态的安全信息收集模块(Security information collection)210与安全信息分析引擎(Security information analysis engine)220，用户态的安全事件管理客户端(SecurityEvent Client)230，上述三个组件在每个单机设备上运行，用于对单机设备上的提权安全事件的防护和监控，此外还包括远端的安全信息收集服务器(Security Event Server)240，运行于网络侧，用于对整个集群的所有安全提权事件进行收集。工作流程如下：

步骤S1，安全事件管理客户端230下发安全信息分析的规则，根据不同的工作场景灵活配置，配置有针对性的安全策略。

步骤S2，用户创建进程后，在用户态执行处理，然后通过系统调用进入内核态，内核的任务处理模块(task handler)200开始处理。

步骤S3，在内核态处理开始后，安全信息收集模块210收集保存此时用户的权限信息，作为后面判断非法提权的依据。

步骤S4，在进程在内核执行的过程中至执行结束返回之前，安全信息收集模块220持续收集各个处理阶段的权限信息的变化情况。

步骤S5，将收集到的不同处理阶段的权限信息或者权限信息的变化情况，交由安全信息分析引擎220，按照已配置的安全策略，判断这一处理阶段的权限变化情况是否合法，有效识别出非法提权操作。

步骤S6，根据非法提权的识别情况，通知安全信息收集模块210最终的识别结果。

步骤S7，一旦判定出现非法提权的情况，系统的内核判定进程的操作在内核态执行失败，不允许该进程获得非法的权限与系统资源。

步骤S8，用户无法完成非法提权，也就阻止了恶意用户对系统资源的进一步威胁。

步骤S9，同时安全信息分析引擎220会向用户态的安全事件管理客户端230通报非法提权威胁。

步骤S10，安全事件管理客户端230会向安全信息收集服务器上报非法提权威胁，最终各个单机设备上的非法提权情况，将在远端的安全信息收集服务器230中汇集，综合各项信息，帮助管理人员及时有效地掌握集群整体的安全威胁情况。

综上所述，本申请提供了一种防提权检测的方案，该方案首先获取进程在内核态的权限变化信息，通过对所述权限变化信息进行检测，来判断所述进程在当前处理阶段的权限是否合法，从而对非法修改权限信息的情况进行识别，若检测结果为不合法，则认为可能存在非法修改权限信息的情况，进而执行防提权处理，使得恶意用户无法在不被感知的情况下非法提升权限。

另外，本申请的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令，可能被存储在固定的或可移动的记录介质中，和/或通过广播或其他信号承载媒体中的数据流而被传输，和/或被存储在根据程序指令运行的计算机设备的工作存储器中。在此，根据本申请的一个实施例包括一个如图3所示的防提权检测设备，该设备包括用于存储计算机程序指令的存储器320和用于执行程序指令的处理器310，其中，当该计算机程序指令被该处理器执行时，触发该设备运行基于前述根据本申请的多个实施例的方法和/或技术方案。

需要注意的是，本申请可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地，本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，RAM存储器，磁或光驱动器或软磁盘及类似设备。另外，本申请的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其他的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

Claims (13)

1.一种防提权检测方法，其中，该方法包括：

获取进程在内核态的权限变化信息；

根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；

若检测结果为不合法，执行防提权处理。

2.根据权利要求1所述的方法，其中，所述权限变化信息包括进程在内核态中各个处理阶段的权限和/或权限变化。

3.根据权利要求1所述的方法，其中，该方法还包括：

获取安全策略信息，其中，所述安全策略包括判断规则信息；

根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法，包括：

根据所述权限变化信息和所述判断规则信息，检测所述进程在当前处理阶段的权限是否合法。

4.根据权利要求3所述的方法，其中，根据所述权限变化信息和所述判断规则信息，检测所述进程在当前处理阶段的权限是否合法，包括：

将所述权限变化信息和所述判断规则信息比较，若所述权限变化信息符合所述判断规则信息对应的非法条件或所述权限变化信息不符合所述判断规则信息对应的合法条件，则确定所述进程在当前处理阶段的权限不合法。

5.根据权利要求3所述的方法，其中，所述安全策略还包括处理配置信息；

执行防提权处理，包括：

根据所述处理配置信息，执行防提权处理。

6.根据权利要求1至5中所述的方法，其中，执行所述防提权处理，包括以下任意一项或多项：

生成提示信息；

判定进程在内核态的本次处理失败；

变更进程在当前处理阶段的权限；

上报本次检测结果。

7.一种防提权检测设备，其中，该设备包括：

安全信息收集模块，用于获取进程在内核态的权限变化信息；

安全信息分析引擎，用于根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；

安全处理模块，用于在检测结果为不合法时，执行防提权处理。

8.根据权利要求7所述的设备，其中，所述权限变化信息包括进程在内核态中各个处理阶段的权限和/或权限变化。

9.根据权利要求7所述的设备，其中，所述安全信息分析引擎，用于获取安全策略信息，并根据所述权限变化信息和所述判断规则信息，检测所述进程在当前处理阶段的权限是否合法，其中，所述安全策略包括判断规则信息。

10.根据权利要求9所述的设备，其中，所述安全信息分析引擎，用于将所述权限变化信息和所述判断规则信息比较，若所述权限变化信息符合所述判断规则信息对应的非法条件或所述权限变化信息不符合所述判断规则信息对应的合法条件，则确定所述进程在当前处理阶段的权限不合法。

11.根据权利要求9所述的设备，其中，所述安全策略还包括处理配置信息；

所述安全处理模块，用于根据所述处理配置信息，执行防提权处理。

12.根据权利要求7至11中所述的设备，其中，所述安全处理模块执行的所述防提权处理，包括以下任意一项或多项：

生成提示信息；

判定进程在内核态的本次处理失败；

变更进程在当前处理阶段的权限；

上报本次检测结果。

13.一种防提权检测设备，其中，该设备包括：

处理器；以及

被安排成存储计算机可执行指令的存储器，所述可执行指令在被执行时使所述处理器：获取进程在内核态的权限变化信息；根据所述权限变化信息检测所述进程在当前处理阶段的权限是否合法；若检测结果为不合法，执行防提权处理。