CN113779561A - 内核漏洞处理方法、装置、存储介质及电子设备 - Google Patents
内核漏洞处理方法、装置、存储介质及电子设备 Download PDFInfo
- Publication number
- CN113779561A CN113779561A CN202111056757.9A CN202111056757A CN113779561A CN 113779561 A CN113779561 A CN 113779561A CN 202111056757 A CN202111056757 A CN 202111056757A CN 113779561 A CN113779561 A CN 113779561A
- Authority
- CN
- China
- Prior art keywords
- kernel
- kernel vulnerability
- preset
- event
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 27
- 238000012544 monitoring process Methods 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 76
- 230000008569 process Effects 0.000 claims description 46
- 230000007246 mechanism Effects 0.000 claims description 14
- 230000026676 system process Effects 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 12
- 230000008439 repair process Effects 0.000 description 11
- 230000006399 behavior Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000011112 process operation Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明一个或多个实施例提供了一种内核漏洞处理方法、装置、存储介质及电子设备。其中,内核漏洞处理方法包括:对系统内发生的事件进行监控;将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。本发明实施例提高了系统安全性。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种内核漏洞处理方法、装置、存储介质及电子设备。
背景技术
Linux系统目前被广泛的应用在各个领域,而Linux内核漏洞往往是系统安全运行的极大隐患。传统的漏洞修复,通常需要依靠系统厂商提供漏洞修复的内核升级。这导致漏洞修复不够及时,并且升级内核时,容易对现有业务造成影响,也有可能需要重启机器造成业务中断。
发明内容
有鉴于此,本发明一个或多个实施例提供一种内核漏洞处理方法、装置、存储介质及电子设备,能够有效提高系统的安全性。
本发明一个或多个实施例提供了一种内核漏洞处理方法,包括:对系统内发生的事件进行监控;将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
可选的,所述预设规则至少包括下列之一:第一规则、第二规则以及第三规则,所述方法还包括:根据内核漏洞的触发机制,形成所述第一规则,所述第一规则中指示了触发内核漏洞的事件所需满足的条件以及阻止触发内核漏洞的操作;和/或根据内核漏洞的攻击方式,形成所述第二规则,所述第二规则中指示了使用内核漏洞攻击系统的事件所需满足的条件以及防止内核漏洞攻击系统的操作;和/或根据内核漏洞的利用方式,形成所述第三规则,所述第三规则中指示了利用内核漏洞执行的事件的所需满足的条件以及屏蔽对内核漏洞的利用的操作。
可选的,触发内核漏洞的事件所需满足的条件包括:以预设系统环境运行配置和参数执行预设程序,阻止内核漏洞的操作包括:限制所述预设程序启动;和/或触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式操作预设文件,阻止内核漏洞的操作包括:限制针对所述预设文件的所述预设方式的操作;和/或触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式执行系统调用,阻止内核漏洞的操作包括:限制所述系统调用执行。
可选的,使用内核漏洞攻击系统的事件所需满足的条件,包括:删除系统文件,防止内核漏洞攻击系统的操作,包括:取消删除系统文件的功能;和/或使用内核漏洞攻击系统的事件所需满足的条件,包括:篡改系统文件,防止内核漏洞攻击系统的操作,包括:取消篡改系统文件的功能;和/或使用内核漏洞攻击系统的事件所需满足的条件,包括:系统进程异常运行或停止;防止内核漏洞攻击系统的操作,包括:监控并保护系统进程不被恶意运行或停止。
可选的,利用内核漏洞执行的事件所需满足的条件,包括:进程异常提权,屏蔽对内核漏洞的利用的操作包括:限制异常提权的进程的执行;和/或利用内核漏洞执行的事件所需满足的条件,包括:操作无权限操作的文件,屏蔽对内核漏洞的利用的操作包括:限制对无权限操作的文件的操作。
可选的,在将所述事件与预设规则进行匹配之前,所述方法还包括:根据所述预设规则中指示的所述操作,将所述预设规则注册到安全模块LSM提供的Hook节点上。
可选的,所述方法还包括:根据待修复内核漏洞的第一设备的系统环境,在第二设备上搭建与所述第一设备的系统环境一致的备份环境;在所述第二设备的系统中执行上述任意一种内核漏洞处理方法;判断所述第二设备的系统中的内核漏洞是否被修复;若所述备份设备中的内核漏洞被修复,在所述第一设备的系统中执行上述任意一种内核漏洞处理方法。
本发明一个或多个实施例提供了一种内核漏洞处理装置,包括:监控模块,被配置为对系统内发生的事件进行监控;匹配模块,被配置为将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;执行模块,被配置为若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
可选的,所述预设规则至少包括下列之一:第一规则、第二规则以及第三规则,所述装置还包括:第一生成模块,被配置为根据内核漏洞的触发机制,形成所述第一规则,所述第一规则中指示了触发内核漏洞的事件所需满足的条件以及阻止触发内核漏洞的操作;第二生成模块,被配置为根据内核漏洞的攻击方式,形成所述第二规则,所述第二规则中指示了使用内核漏洞攻击系统的事件所需满足的条件以及防止内核漏洞攻击系统的操作;第三生成模块,被配置为根据内核漏洞的利用方式,形成所述第三规则,所述第三规则中指示了利用内核漏洞执行的事件的所需满足的条件以及屏蔽对内核漏洞的利用的操作。
可选的,触发内核漏洞的事件所需满足的条件包括:以预设系统环境运行配置和参数执行预设程序,阻止内核漏洞的操作包括:限制所述预设程序启动;和/或触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式操作预设文件,阻止内核漏洞的操作包括:限制针对所述预设文件的所述预设方式的操作;和/或触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式执行系统调用,阻止内核漏洞的操作包括:限制所述系统调用执行。
可选的,使用内核漏洞攻击系统的事件所需满足的条件,包括:删除系统文件,防止内核漏洞攻击系统的操作,包括:取消删除系统文件的功能;和/或使用内核漏洞攻击系统的事件所需满足的条件,包括:篡改系统文件,防止内核漏洞攻击系统的操作,包括:取消篡改系统文件的功能;和/或使用内核漏洞攻击系统的事件所需满足的条件,包括:系统进程异常运行或停止;防止内核漏洞攻击系统的操作,包括:监控并保护系统进程不被恶意运行或停止。
可选的,利用内核漏洞执行的事件所需满足的条件,包括:进程异常提权,屏蔽对内核漏洞的利用的操作包括:限制异常提权的进程的执行;和/或利用内核漏洞执行的事件所需满足的条件,包括:操作无权限操作的文件,屏蔽对内核漏洞的利用的操作包括:限制对无权限操作的文件的操作。
可选的,所述装置还包括:注册模块,被配置为在将所述事件与预设规则进行匹配之前,根据所述预设规则中指示的所述操作,将所述预设规则注册到安全模块LSM提供的Hook节点上。
可选的,所述装置还包括:搭建模块,被配置为根据待修复内核漏洞的第一设备的系统环境,在第二设备上搭建与所述第一设备的系统环境一致的备份环境;在所述第二设备的系统中执行上述任意一种内核漏洞处理方法;判断所述第二设备的系统中的内核漏洞是否被修复;若所述备份设备中的内核漏洞被修复,在所述第一设备的系统中执行上述任意一种内核漏洞处理方法。
本发明一个或多个实施例提供了一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为所述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行上述任意一种内核漏洞处理方法。
本发明一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述任意一种内核漏洞处理方法。
本发明一个或多个实施例提供的内核漏洞处理方法、装置、存储介质及电子设备,通过对系统内的事件进行监控,将监控到的事件与预设规则进行匹配,在匹配到满足内核漏洞事件条件的事件时,执行预设规则中指定的操作,从而可在实时监控到系统中存在的内核漏洞的基础上,对内核漏洞进行相应处理,实现了对内核漏洞的热修复,可即时高效的屏蔽内核漏洞对系统造成的危害,且不对系统中业务造成影响或造成极小影响,提高了系统的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是根据本发明一个或多个实施例示出的一种内核漏洞处理方法的流程图;
图2是根据本发明一个或多个实施例示出的一种内核漏洞处理装置的结构示意图;
图3是根据本发明一个或多个实施例示出的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图1是根据本发明一个或多个实施例示出的一种内核漏洞处理方法的流程图,如图1所示,该方法包括:
步骤101:对系统内发生的事件进行监控;
本发明一个或多个实施例中所涉及的系统例如可以指计算机操作系统,例如可以是Linux系统,相应的,内核漏洞可指Linux系统内核存在的漏洞。
在上述步骤101中,可对系统调用(syscall)、文件以及进程对应的事件进行监控。
步骤102:将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;
在步骤102中,可根据监控到的事件的信息(包括但不限于事件对应的进程、文件、调用、操作方式以及操作顺序)判断监控到的事件是否满足预设规则中所指示的内核漏洞事件所需要满足的条件,若满足,则确定监控到的事件与预设规则匹配,否则,确定监控到的事件与预设规则不匹配。
步骤103:若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
其中,预设规则中指示的事件满足内核漏洞事件的条件时序执行的操作可包括阻止内核漏洞触发的操作、针对使用内核漏洞对系统进行的攻击的防守操作以及屏蔽利用内核漏洞的操作。在确定出监控的事件满足内核漏洞事件的条件时,执行预设规则中指定的操作,可有效阻拦利用漏洞的危险系统调用操作、文件操作或进程操作,从而实现对漏洞的热修复(不修改系统出现漏洞的源码,但完全消除漏洞危害)。
本发明一个或多个实施例提供的内核漏洞处理方法,通过对系统内的事件进行监控,将监控到的事件与预设规则进行匹配,在匹配到满足内核漏洞事件条件的事件时,执行预设规则中指定的操作,从而可在实时监控到系统中存在的内核漏洞的基础上,对内核漏洞进行相应处理,实现了对内核漏洞的热修复,可即时高效的屏蔽内核漏洞对系统造成的危害,且不对系统中业务造成影响或造成极小影响,提高了系统的安全性。
在本发明的一个或多个实施例中,所述预设规则至少可包括下列之一:第一规则、第二规则以及第三规则,在对系统内发生的事件进行监控之前,所述方法还可包括:
内核漏洞的触发方式可包括:
以特定系统环境,运行配置和运行参数执行特定程序,或,某进程以某种特定顺序和方式操作特定文件,又或者,某进程以某种特定顺序和方式执行系统调用。
根据内核漏洞的触发机制,形成所述第一规则,所述第一规则中指示了触发内核漏洞的事件所需满足的条件以及阻止触发内核漏洞的操作,使用内核漏洞的对系统进行攻击方式可包括:删除系统文件、篡改系统文件以及系统进程异常运行或停止,和/或
根据内核漏洞的攻击方式,形成所述第二规则,所述第二规则中指示了使用内核漏洞攻击系统的事件所需满足的条件以及防止内核漏洞攻击系统的操作;
以下针对内核漏洞的触发方式进行举例说明,例如,进程exec_a调用系统调用syscall_a,10000次操作系统文件file_a;进程exec_a调用系统调用syscall_b,10000次操作系统文件file_a;此时触发某个内核漏洞vul_a,则会造成没有操作file_a权限的exec_a进程,也能删除file_a。
利用内核漏洞的方式可包括:进程异常提权以及进程操作无权限操作文件。
根据内核漏洞的利用方式,形成所述第三规则,所述第三规则中指示了利用内核漏洞执行的事件的所需满足的条件以及屏蔽对内核漏洞的利用的操作。
仍以exec_a进程为例,对内核漏洞的利用方式进行示例性说明,例如具有普通操作权限的exec_a进程非法提权,而利用内核漏洞对系统的攻击方式例如可包括删除系统文件file_a。
可选的,可将上述第一规则、第二规则以及第三规则编写为程序代码,通过编译生成驱动,再注册到LSM(Linux Security Modules,Linux安全模块)提供的相应Hook点上。从而可通过调用LSM的接口利用第一规则、第二规则以及第三规则识别内核漏洞事件,以及针对识别出的内核漏洞事件执行相应操作,从而可基于LSM机制检测内核漏洞事件,阻止内核漏洞触发,对使用内核漏洞攻击系统的行为进行防护,以及屏蔽对内核漏洞的利用,实现了对内核漏洞进行热修复。由于LSM机制使用范围广泛,使得本发明一个或多个实施例的内核漏洞处理方法可适用于各种操作系统。
在本发明的一个或多个实施例中,可预先收集系统内出现的或可能出现的多种内核漏洞,根据内核漏洞的触发机制,确定出多种触发内核漏洞事件的条件,以及各条件对应的阻止触发内核漏洞的操作,以形成多种不同的第一规则。
在第一规则中,触发内核漏洞的事件所需满足的条件可包括:以预设系统环境运行配置和参数执行预设程序,相应的,阻止内核漏洞的操作可包括:限制所述预设程序启动;基于该第一规则,若监控到以预设系统环境运行配置和参数执行预设程序,则限制该预设程序启动,和/或
在第一规则中,触发内核漏洞的事件所需满足的条件可包括:预设进程以预设顺序和预设方式操作预设文件,相应的,阻止内核漏洞的操作可包括:限制针对所述预设文件的所述预设方式的操作;基于该第一规则,若监控到系统中有预设进程以预设顺序(例如事件的发生顺序,或操作的执行顺序)和预设方式操作预设文件,则限制针对所述预设文件的预设方式的操作,和/或
在第一规则中,触发内核漏洞的事件所需满足的条件可包括:预设进程以预设顺序和预设方式执行系统调用,相应的,阻止内核漏洞的操作可包括:限制所述系统调用执行。基于该第一规则,若监控到系统中有预设进程以预设顺序和预设方式执行系统调用,则可限制该系统调用执行。
其中,预设进程、预设顺序、预设方式以及预设文件可预先在系统中进行指定。
在本发明的一个或多个实施例中,可预先收集系统内的内核漏洞,根据使用内核漏洞的攻击系统的方式,提取出使用内核漏洞攻击系统的行为的一系列特征,若监控到的事件满足这些特征,即可确定监控到的事件是使用内核漏洞攻击系统的事件,还可确定出针对各种攻击方式的防守操作,以形成多种不同的第二规则。
在第二规则中,使用内核漏洞攻击系统的事件所需满足的条件,可包括:删除系统文件,相应的,防止内核漏洞攻击系统的操作,包括:取消删除系统文件的功能;基于该第二规则,若监控到删除系统文件的事件,则可执行取消删除预设系统文件的功能,和/或
在第二规则中,使用内核漏洞攻击系统的事件所需满足的条件,可包括:篡改系统文件,相应的,防止内核漏洞攻击系统的操作,可包括:取消篡改系统文件的功能;基于该第二规则,若监控到篡改系统文件的事件,则可执行取消篡改系统文件的功能,和/或
在第二规则中,使用内核漏洞攻击系统的事件所需满足的条件,可包括:系统进程异常运行或停止;相应的,防止内核漏洞攻击系统的操作,可包括:监控并保护系统进程不被恶意运行或停止。基于该第二规则,若监控到系统进程异常运行或停止,则可监控并保护系统进程不被恶意运行或停止。
在本发明的一个或多个实施例中,可预先收集系统内的内核漏洞,根据内核漏洞的利用方式,确定出利用内核漏洞的行为的特征,若监控到的事件满足该特征,即可确定监控到的事件是利用内核漏洞的时间,此外,还可确定出屏蔽各种利用漏洞事件的操作,以形成多种不同的第三规则。
在第三规则中,利用内核漏洞执行的事件所需满足的条件,可包括:进程异常提权,相应的,屏蔽对内核漏洞的利用的操作包括:限制异常提权的进程的执行;基于该第三规则,若监控到系统中存在进程异常提权,则可限制该进程的执行,和/或
在第三规则中,利用内核漏洞执行的事件所需满足的条件,包括:操作无权限操作的文件,相应的,屏蔽对内核漏洞的利用的操作包括:限制对无权限操作的文件的操作。基于该第三规则,若监控到系统中存在操作无权限操作的文件的行为,可限制对无权限操作的文件的操作。
在本发明的一个或多个实施例中,在将所述事件与预设规则进行匹配之前,内核漏洞处理方法还可包括:
根据所述预设规则中指示的所述操作,将所述预设规则注册到LSM提供的Hook节点上。
LSM提供了多种不同的Hook节点,例如,文件的打开(open)节点、文件的写(write)节点、文件的读(read)节点等,可将上述预设规则注册到这些节点上,这些节点即可调用上述预设规则,执行相应操作并返回执行结果。从而实现基于LSM机制对系统调用、文件操作以及进程的阻止、放行等。
在本发明的一个或多个实施例中,内核漏洞处理方法还可包括:
根据待修复内核漏洞的第一设备的系统环境,在第二设备上搭建与所述第一设备的系统环境一致的备份环境;其中,第一设备以及第二设备例如可以是任何可在其上运行操作系统的电子设备。可选的,可根据第一设备的硬件环境,系统及内核版本,在第二设备中搭建与第一设备的系统环境一致的备份环境,该备份环境可用于验证本发明一个或多个实施例提供的内核漏洞处理方法对内核漏洞修复的有效性。
在所述第二设备的系统中执行本发明一个或多个实施例的内核漏洞处理方法;例如,可在上述备份环境中加载并执行本发明一个或多个实施例的内核漏洞处理方法。
判断所述第二设备的系统中的内核漏洞是否被修复;
若第二设备中的内核漏洞未被修复,可根据修复失败原因对系统中存在的问题进行修复,待修复后重新尝试漏洞修复。
若所述备份设备中的内核漏洞已被修复,在所述第一设备的系统中执行本发明一个或多个实施例的内核漏洞处理方法。可选的,若第二设备中的内核漏洞被修复,可先备份第一设备的系统环境,再在所述第一设备的系统中执行本发明一个或多个实施例的内核漏洞处理方法。若第一设备修复漏洞后出现异常,则可在收集异常信息后,立即进行备份恢复,避免对业务造成影响,可在解决异常后再次尝试漏洞修复。
其中,上述备份方式不限于系统提供的备份,或系统硬盘数据完全备份到备用盘中等方式。以保证修复过程中,即使发生异常,也可以不中断业务,或中断后立即恢复。
在本发明的一个或多个实施例中,可基于本发明一个或多个实施例的内核漏洞处理方法,生成LSM内核漏洞热修复驱动,在进行安全备份机制后,可注册该驱动到系统。本驱动可使用LSM机制对系统调用、文件、进程操作进行限制,使其不能达成漏洞触发条件,从而不能触发漏洞。而若注册修复驱动前漏洞已触发的情况,通过LSM机制,可限制权限异常提权的可疑进程不能删除系统文件,从屏蔽恶意程序对漏洞的利用。
图2是根据本发明一个或多个实施例示出的一种内核漏洞处理装置的结构示意图,如图2所示,该装置20包括:
监控模块21,被配置为对系统内发生的事件进行监控;
匹配模块22,被配置为将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;
执行模块23,被配置为若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
在本发明的一个或多个实施例中,所述预设规则至少包括下列之一:第一规则、第二规则以及第三规则,所述装置还包括:
第一生成模块,被配置为根据内核漏洞的触发机制,形成所述第一规则,所述第一规则中指示了触发内核漏洞的事件所需满足的条件以及阻止触发内核漏洞的操作;
第二生成模块,被配置为根据内核漏洞的攻击方式,形成所述第二规则,所述第二规则中指示了使用内核漏洞攻击系统的事件所需满足的条件以及防止内核漏洞攻击系统的操作;
第三生成模块,被配置为根据内核漏洞的利用方式,形成所述第三规则,所述第三规则中指示了利用内核漏洞执行的事件的所需满足的条件以及屏蔽对内核漏洞的利用的操作。
在本发明的一个或多个实施例中,触发内核漏洞的事件所需满足的条件可包括:以预设系统环境运行配置和参数执行预设程序,阻止内核漏洞的操作包括:限制所述预设程序启动,和/或
触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式操作预设文件,阻止内核漏洞的操作包括:限制针对所述预设文件的所述预设方式的操作,和/或
触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式执行系统调用,阻止内核漏洞的操作包括:限制所述系统调用执行。
在本发明的一个或多个实施例中,使用内核漏洞攻击系统的事件所需满足的条件可包括:删除系统文件,防止内核漏洞攻击系统的操作,包括:取消删除系统文件的功能,和/或
使用内核漏洞攻击系统的事件所需满足的条件,包括:篡改系统文件,防止内核漏洞攻击系统的操作,包括:取消篡改系统文件的功能,和/或
使用内核漏洞攻击系统的事件所需满足的条件,包括:系统进程异常运行或停止;防止内核漏洞攻击系统的操作,包括:监控并保护系统进程不被恶意运行或停止。
在本发明的一个或多个实施例中,利用内核漏洞执行的事件所需满足的条件可包括:进程异常提权,屏蔽对内核漏洞的利用的操作包括:限制异常提权的进程的执行,和/或
利用内核漏洞执行的事件所需满足的条件,包括:操作无权限操作的文件,屏蔽对内核漏洞的利用的操作包括:限制对无权限操作的文件的操作。
在本发明的一个或多个实施例中,所述装置还可包括:
注册模块,被配置为在将所述事件与预设规则进行匹配之前,根据所述预设规则中指示的所述操作,将所述预设规则注册到安全模块LSM提供的Hook节点上。
在本发明的一个或多个实施例中,所述装置还可包括:
搭建模块,被配置为根据待修复内核漏洞的第一设备的系统环境,在第二设备上搭建与所述第一设备的系统环境一致的备份环境;
在所述第二设备的系统中执行本发明一个或多个实施例的内核漏洞处理方法;
判断所述第二设备的系统中的内核漏洞是否被修复;
若所述备份设备中的内核漏洞被修复,在所述第一设备的系统中执行本发明一个或多个实施例的内核漏洞处理方法。
本发明一个或多个实施例提供的内核漏洞处理方法、装置、存储介质及电子设备,对系统内的事件进行监控,将监控到的事件与预设规则进行匹配,在匹配到满足内核漏洞事件条件的事件的情况下,执行预设规则中指定的操作,从而可在实时监控到系统中存在的内核漏洞的基础上,针对内核漏洞进行相应处理,提高系统的安全性。根据内核漏洞的触发机制、内核漏洞的攻击方式以及内核漏洞的利用方式,形成用以识别内核漏洞事件以及处理内核漏洞事件的预设规则,可在多个维度实现对内核漏洞的无效化,从而实现对内核漏洞的热修复。根据具体内核漏洞触发方式,在第一规则中定义触发内核漏洞的事件所需满足的条件以及阻止内核漏洞的操作,可有针对性的针对不同的内核漏洞及时采取阻止触发的措施。根据使用内核漏洞的攻击系统的方式,在第二规则中定义使用内核漏洞攻击系统的事件所需满足的条件以及阻止攻击系统的行为,可有针对性的针对不同的攻击行为采取防护措施。根据内核漏洞的利用方式,在第三规则中定义利用内核漏洞的事件所满足的条件及屏蔽内核利用行为,可有针对性的针对不同的内核漏洞利用方式采取相应屏蔽措施。将预设规则预先注册于LSM提供的相应的Hook节点上,可有效利用LSM机制实现对系统内核漏洞的修复,使得本发明一个或多个实施例的内核漏洞处理方法可被广泛的应用于各种操作系统中,提高了该方法的适配性。对存在内核漏洞的第一设备的修复过程中,先在具有备份系统的第二设备上验证内核漏洞修复的有效性,再在第一设备上执行,可降低对第一设备的系统的影响。
相应的,如图3所示,本发明的实施例提供的电子设备,可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为所述服务器的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种内核漏洞处理方法。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种内核漏洞处理方法,其特征在于,包括:
对系统内发生的事件进行监控;
将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;
若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
2.根据权利要求1所述的方法,其特征在于,所述预设规则至少包括下列之一:第一规则、第二规则以及第三规则,所述方法还包括:
根据内核漏洞的触发机制,形成所述第一规则,所述第一规则中指示了触发内核漏洞的事件所需满足的条件以及阻止触发内核漏洞的操作;和/或
根据内核漏洞的攻击方式,形成所述第二规则,所述第二规则中指示了使用内核漏洞攻击系统的事件所需满足的条件以及防止内核漏洞攻击系统的操作;和/或
根据内核漏洞的利用方式,形成所述第三规则,所述第三规则中指示了利用内核漏洞执行的事件的所需满足的条件以及屏蔽对内核漏洞的利用的操作。
3.根据权利要求2所述的方法,其特征在于,
触发内核漏洞的事件所需满足的条件包括:以预设系统环境运行配置和参数执行预设程序,阻止内核漏洞的操作包括:限制所述预设程序启动;和/或
触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式操作预设文件,阻止内核漏洞的操作包括:限制针对所述预设文件的所述预设方式的操作;和/或
触发内核漏洞的事件所需满足的条件包括:预设进程以预设顺序和预设方式执行系统调用,阻止内核漏洞的操作包括:限制所述系统调用执行。
4.根据权利要求2所述的方法,其特征在于,
使用内核漏洞攻击系统的事件所需满足的条件,包括:删除系统文件,防止内核漏洞攻击系统的操作,包括:取消删除系统文件的功能;和/或
使用内核漏洞攻击系统的事件所需满足的条件,包括:篡改系统文件,防止内核漏洞攻击系统的操作,包括:取消篡改系统文件的功能;和/或
使用内核漏洞攻击系统的事件所需满足的条件,包括:系统进程异常运行或停止;防止内核漏洞攻击系统的操作,包括:监控并保护系统进程不被恶意运行或停止。
5.根据权利要求2所述的方法,其特征在于,
利用内核漏洞执行的事件所需满足的条件,包括:进程异常提权,屏蔽对内核漏洞的利用的操作包括:限制异常提权的进程的执行;和/或
利用内核漏洞执行的事件所需满足的条件,包括:操作无权限操作的文件,屏蔽对内核漏洞的利用的操作包括:限制对无权限操作的文件的操作。
6.根据权利要求1所述的方法,其特征在于,在将所述事件与预设规则进行匹配之前,所述方法还包括:
根据所述预设规则中指示的所述操作,将所述预设规则注册到安全模块LSM提供的Hook节点上。
7.根据权利要求1至6任一项所述的方法,其特征在于,所述方法还包括:
根据待修复内核漏洞的第一设备的系统环境,在第二设备上搭建与所述第一设备的系统环境一致的备份环境;
在所述第二设备的系统中执行上述权利要求1至6任一项所述内核漏洞处理方法;
判断所述第二设备的系统中的内核漏洞是否被修复;
若所述备份设备中的内核漏洞被修复,在所述第一设备的系统中执行上述权利要求1至6任一项所述的内核漏洞处理方法。
8.一种内核漏洞处理装置,其特征在于,包括:
监控模块,被配置为对系统内发生的事件进行监控;
匹配模块,被配置为将所述事件与预设规则进行匹配,其中,所述预设规则中指示了内核漏洞事件所需满足的条件,以及在所述事件满足所述条件时需执行的操作;
执行模块,被配置为若所述事件与所述预设规则匹配,则执行所述预设规则中指定的操作。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为所述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行上述权利要求1至7中任一项所述的内核漏洞处理方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至7中任一项所述的内核漏洞处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111056757.9A CN113779561B (zh) | 2021-09-09 | 2021-09-09 | 内核漏洞处理方法、装置、存储介质及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111056757.9A CN113779561B (zh) | 2021-09-09 | 2021-09-09 | 内核漏洞处理方法、装置、存储介质及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113779561A true CN113779561A (zh) | 2021-12-10 |
CN113779561B CN113779561B (zh) | 2024-03-01 |
Family
ID=78842057
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111056757.9A Active CN113779561B (zh) | 2021-09-09 | 2021-09-09 | 内核漏洞处理方法、装置、存储介质及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113779561B (zh) |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273861A1 (en) * | 2004-06-04 | 2005-12-08 | Brian Chess | Apparatus and method for monitoring secure software |
CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
WO2017009415A1 (en) * | 2015-07-14 | 2017-01-19 | Bitdefender Ipr Management Ltd | Computer security systems and methods using asynchronous introspection exceptions |
EP3333704A1 (en) * | 2016-12-12 | 2018-06-13 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and apparatus for repairing kernel vulnerability |
CN108846287A (zh) * | 2018-06-26 | 2018-11-20 | 北京奇安信科技有限公司 | 一种检测漏洞攻击的方法及装置 |
CN109492406A (zh) * | 2018-11-15 | 2019-03-19 | 百度在线网络技术(北京)有限公司 | 监测内核漏洞攻击的方法、装置和系统 |
CN110765464A (zh) * | 2019-10-30 | 2020-02-07 | 深圳前海微众银行股份有限公司 | 漏洞检测方法、装置、设备及计算机存储介质 |
CN111382043A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 在虚拟机中执行具有漏洞的文件时形成日志的系统和方法 |
CN111881460A (zh) * | 2020-08-06 | 2020-11-03 | 深信服科技股份有限公司 | 一种漏洞利用检测方法、系统、设备及计算机存储介质 |
CN112035843A (zh) * | 2020-08-20 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞处理方法、装置、电子设备及存储介质 |
CN112307482A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 基于靶场的入侵内核检测方法及装置、计算设备 |
CN112395616A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 漏洞处理的方法、装置及计算机设备 |
CN112395603A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 |
CN113239364A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种检测漏洞利用的方法、装置、设备及存储介质 |
-
2021
- 2021-09-09 CN CN202111056757.9A patent/CN113779561B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050273861A1 (en) * | 2004-06-04 | 2005-12-08 | Brian Chess | Apparatus and method for monitoring secure software |
CN105224868A (zh) * | 2014-06-03 | 2016-01-06 | 腾讯科技(深圳)有限公司 | 系统漏洞攻击的检测方法及装置 |
WO2017009415A1 (en) * | 2015-07-14 | 2017-01-19 | Bitdefender Ipr Management Ltd | Computer security systems and methods using asynchronous introspection exceptions |
EP3333704A1 (en) * | 2016-12-12 | 2018-06-13 | Baidu Online Network Technology (Beijing) Co., Ltd. | Method and apparatus for repairing kernel vulnerability |
CN108846287A (zh) * | 2018-06-26 | 2018-11-20 | 北京奇安信科技有限公司 | 一种检测漏洞攻击的方法及装置 |
CN109492406A (zh) * | 2018-11-15 | 2019-03-19 | 百度在线网络技术(北京)有限公司 | 监测内核漏洞攻击的方法、装置和系统 |
CN111382043A (zh) * | 2018-12-28 | 2020-07-07 | 卡巴斯基实验室股份制公司 | 在虚拟机中执行具有漏洞的文件时形成日志的系统和方法 |
CN112307482A (zh) * | 2019-07-29 | 2021-02-02 | 北京奇虎科技有限公司 | 基于靶场的入侵内核检测方法及装置、计算设备 |
CN112395603A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 基于指令执行序列特征的漏洞攻击识别方法、装置及计算机设备 |
CN112395616A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 漏洞处理的方法、装置及计算机设备 |
CN110765464A (zh) * | 2019-10-30 | 2020-02-07 | 深圳前海微众银行股份有限公司 | 漏洞检测方法、装置、设备及计算机存储介质 |
CN111881460A (zh) * | 2020-08-06 | 2020-11-03 | 深信服科技股份有限公司 | 一种漏洞利用检测方法、系统、设备及计算机存储介质 |
CN112035843A (zh) * | 2020-08-20 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞处理方法、装置、电子设备及存储介质 |
CN113239364A (zh) * | 2021-06-11 | 2021-08-10 | 杭州安恒信息技术股份有限公司 | 一种检测漏洞利用的方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113779561B (zh) | 2024-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11941110B2 (en) | Process privilege escalation protection in a computing environment | |
CN106991324B (zh) | 一种基于内存保护类型监控的恶意代码跟踪识别方法 | |
EP3326100B1 (en) | Systems and methods for tracking malicious behavior across multiple software entities | |
US7263721B2 (en) | Password protection | |
CN102081722B (zh) | 一种保护指定应用程序的方法及装置 | |
CN105408911A (zh) | 硬件和软件执行概况分析 | |
CN107330328B (zh) | 防御病毒攻击的方法、装置及服务器 | |
US8763129B2 (en) | Vulnerability shield system | |
US20070266435A1 (en) | System and method for intrusion detection in a computer system | |
KR100745640B1 (ko) | 커널 메모리를 보호하는 방법 및 그 장치 | |
KR100745639B1 (ko) | 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치 | |
CN113544676B (zh) | 攻击估计装置、攻击估计方法和记录介质 | |
CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
KR100666562B1 (ko) | 커널 드라이버 및 프로세스 보호 방법 | |
CN118051918A (zh) | 一种安全漏洞修复管理方法及装置 | |
CN114510714A (zh) | 一种Kysec安全机制的测试方法及系统 | |
CN113779561B (zh) | 内核漏洞处理方法、装置、存储介质及电子设备 | |
WO2020007249A1 (zh) | 一种操作系统安全主动防御方法及操作系统 | |
Whittaker et al. | Neutralizing windows-based malicious mobile code | |
CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
CN114546420A (zh) | 一种软件远程安装保护卸载方法 | |
CN111158937B (zh) | 基于内核驱动的软件核心文件内生防护方法及装置 | |
CN111480160B (zh) | 用于过程验证的系统、方法和介质 | |
JP2006053760A (ja) | バッファオーバーフロー脆弱性分析方法、データ処理装置、分析情報提供装置、分析情報抽出処理用プログラムおよび分析情報提供処理用プログラム | |
CN106603493B (zh) | 一种内置于网络设备中的安全防护装置及防护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |