CN113918955A - 一种linux内核漏洞权限提升检测阻断方法和系统 - Google Patents
一种linux内核漏洞权限提升检测阻断方法和系统 Download PDFInfo
- Publication number
- CN113918955A CN113918955A CN202111150645.XA CN202111150645A CN113918955A CN 113918955 A CN113918955 A CN 113918955A CN 202111150645 A CN202111150645 A CN 202111150645A CN 113918955 A CN113918955 A CN 113918955A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- authority
- permission
- authority set
- linux kernel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Abstract
本发明公开了一种linux内核漏洞权限提升检测阻断方法和系统,所述方法包括如下步骤:在linux内核挂载sys_execve函数,并安装入口探针函数和出口探针函数;建立用户态进程,所述用户态进程进入内核态,并调用所述内核态中挂载的sys_execve函数;在调用所述sys_execve函数后,执行所述出口探针函数,并记录当前进程的权限集;当前进程生成子进程,执行所述出口探针函数,记录所述子进程的权限集,根据父子进程的权限集判断进程漏洞;判断子进程权限集和当前进程作为父进程的权限集的权限,若判断存在权限提升,则阻断该子进程的生成。
Description
技术领域
本发明涉及计算机漏洞检测技术领域,特别涉及一种linux内核漏洞权限提升检测阻断方法和系统。
背景技术
对于linux的内核级别溢出导致的权限提升(由普通用户权限提升到特权root用户权限),一直是一个广泛关注问题,现有技术中,主要有CFI/CFG模型、selinux模型等,然而上述现有模型仍然存在如下技术问题:
CFI核心思想是限制程序运行中的控制转移,使之始终处于原有的控制流图所限定的范围内。具体做法是通过分析程序的控制流图,获取间接转移指令(包括间接跳转、间接调用、和函数返回指令)目标的白名单,并在运行过程中,核对间接转移指令的目标是否在白名单中。CFI的流程特别笨重,对性能的开销极大,并且需要在linux内核编译时启用,无法实现热拔插。SELinux的结构及配置非常复杂,而且有大量概念性的东西,要学精难度较大。很多Linux系统管理员嫌麻烦都把SELinux关闭了。
发明内容
本发明其中一个发明目的在于提供一种linux内核漏洞权限提升检测阻断方法和系统,所述方法和系统根据linux内核中不存在漏洞时,进程在执行sys_execve函数后,其进程权限不会发生变化,若发生变化则说明出现漏洞,执行权限提升的检测阻断可以有效地阻断漏洞的产生。
本发明另一个发明目的在于提供一种linux内核漏洞权限提升检测阻断方法和系统,所述方法和系统采用轻量级的linux系统中内核模块kprobe和其派生模块kretprobe,可以实现轻量级的,能够随时插入和拔出所述linux系统中内核,无需重新编译内核,从而实现在漏洞检测阻断过程中极小的系统开销,提高漏洞检测阻断的性能。
本发明另一个发明目的在于提供一种linux内核漏洞权限提升检测阻断方法和系统,所述方法和系统通过获取父进程权限集在不同进程状态下的差异以判断是否存在进程漏洞,结合轻量级的内核模块可以实现高效的检测和阻断。
为了实现至少一个上述发明目的,本发明进一步提供一种linux内核漏洞权限提升检测阻断方法,所述方法包括如下步骤:
向linux内核中的注入kprobe模块,并在所述kprobe模块中挂载sys_execve函数,并安装入口探针函数和出口探针函数;
建立用户态进程,所述用户态进程进入内核态,并调用所述内核态中挂载的sys_execve函数;
在调用所述sys_execve函数后,执行所述出口探针函数,并记录当前进程的权限集;
当前进程生成子进程,执行所述出口探针函数,记录所述子进程的权限集,根据父子进程的权限集判断进程漏洞;
判断子进程权限集和当前进程作为父进程的权限集的权限,若判断存在权限提升,则阻断该子进程的生成。
根据本发明其中一个较佳实施例,所述权限集的获取方法包括如下步骤:
父进程建立子进程,在切换过程中将父进程的权限集保存于cred结构体中;
查询所述cred结构体中保存的权限集,并将权限集发送给用户态程序。
根据本发明另一个较佳实施例,所述权限集包括:uid权限、euid权限、suid权限和fsuid权限。
根据本发明另一个较佳实施例,所述kprobe模块的建立方法包括:
生成insmod命令,根据所述insmod命令将所述kprobe模块导入到所述linux系统的内核态中,并根据所述insmod命令完成所述kprobe模块的挂载操作。
根据本发明另一个较佳实施例,所述用户态程序实时监听内核态的消息,并根据所述内核态消息生成进程树,根据所述进程树生成表明父子进程关系的进程树列表,根据所述树列表分别获取具有父子进程关系的对应的权限集。
根据本发明另一个较佳实施例,根据所述权限集判断进程漏洞的方法包括如下步骤:
第一进程派生第二进程,第二进程派生第三进程,所述第一进程为第二进程的父进程,所述第二进程是第三进程的父进程;
在所述第二进程执行完所述sys_execve函数后,所述出口探针函数查询获取所述第二进程在CPU的cred结构体中保存的第一uid权限集;
在所述第三进程执行完所述述sys_execve函数后,所述出口探针函数查询获取在CPU的cred结构体中保存的所述第三进程的父进程对应的第二uid权限集;
判断所述第一uid权限集和第二uid权限集是否相同,若不同则判定进程存在漏洞。
根据本发明另一个较佳实施例,所述进程漏洞判别方法包括:判断子进程的第二uid权限是否大于所述第一uid权限,若是则判定存进程漏洞,进一步在用户态下调用C语言函数kill,用于杀死存在漏洞的进程。
根据本发明另一个较佳实施例,所述进程漏洞判别方法包括:判断子进程的第二uid权限是否提升为root权限,若存在提升为root权限,则判定存进程漏洞,进一步在用户态下调用C语言函数kill,用于杀死存在漏洞的进程。
为了实现至少一个上述发明目的,本发明进一步提供一种linux内核漏洞权限提升检测阻断系统,所述系统执行上述一种linux内核漏洞权限提升检测阻断方法。
本发明进一步提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序可被处理器执行上述一种linux内核漏洞权限提升检测阻断方法。
附图说明
图1显示的是本发明一种linux内核漏洞权限提升检测阻断方法流程示意图。
图2显示的是本发明一种linux内核漏洞权限提升检测阻断方法另一流程示意图。
具体实施方式
以下描述用于揭露本发明以使本领域技术人员能够实现本发明。以下描述中的优选实施例只作为举例,本领域技术人员可以想到其他显而易见的变型。在以下描述中界定的本发明的基本原理可以应用于其他实施方案、变形方案、改进方案、等同方案以及没有背离本发明的精神和范围的其他技术方案。
可以理解的是,术语“一”应理解为“至少一”或“一个或多个”,即在一个实施例中,一个元件的数量可以为一个,而在另外的实施例中,该元件的数量可以为多个,术语“一”不能理解为对数量的限制。
请结合图1,本发明公开了一种linux内核漏洞权限提升检测阻断方法,所述方法基于理论基础:在正常的进程执行完sys_execve函数后,其进程的权限不可能发生变化,若发生变化,则说明存在一定的内核漏洞。在上述的理论基础之上,本发明在一个实施例中采用轻量级的kprobe技术,向所述linux内核中注入kprobe模块以实现轻量级的内核调试。需要说明的是,所述kprobe模块包括其派生模块kretprobe,其中所述kprobe模块可以便于内核函数的追踪。由于是以注入的方式实现内核函数的跟踪调试,从而可以实现轻量级、热插拔的技术效果,当然在本发明另一较佳实施例中可以直接在所述linux内核中挂载sys_execve函数,本发明对此不再详细限定。
具体的,在所述linux系统内核中注入所述kprobe模块后,进一步在所述kprobe模块挂载sys_execve函数,所述kprobe模块和sys_execve函数通过linux系统内核中的insmod命令执行模块导入操作和函数挂载操作。需要说明的是,所述kprobe模块的kretprobe可以实现挂载任意函数func,并且通过所述kretprobe指定一个入口探针函数func_entry运行于func函数入口点,以及指定一个出口探针函数func_exit运行于exit结束时。所述sys_execve函数是linux系统内核中一个重要的函数,当所述linux系统内核中建立进程并执行程序时,所有进程都会调用所述sys_execve函数,在完成所述sys_execve函数的调用后则必然会触发出口探针函数func_exit的调用,用于记载每一进程的相关数据。本发明中涉及的系统包括内核态模块module和用户态程序monitor,所述用户态程序monitor通讯连接所述用户态模块module,所述内核态模块用于执行所述kprobe模块的注入操作、sys_execve函数的挂载、出口探针函数func_exit和入口探针函数func_entry安装操作,所述用户态程序monitor接收来自于内核态模块module的信息,并根据所述内核态模块module的信息执行包括但不仅限于进程阻断操作。
值得一提的是,本发明通过所述kprobe模块获取父子进程的权限集来判断是否存在进程漏洞,具体方法包括如下步骤:
当所述linux系统内核存在sys_execve函数的调用后,则判断内核中存在进程的建立行为,通过kprobe模块可以监控所述出口探针函数func_exit所保存的权限集相关信息,若存在权限集提升,则说明存在进程漏洞,进一步执行进程的消灭操作。所述方法包括对权限集的查询操作,所述权限集的查询操作方法包括:根据所述sys_execve函数的调用判断出口探针函数func_exit行为,查询出口探针函数func_exit在CPU中的cred结构体所保存的进程权限信息。需要说明的是,CPU在每个CPU时间单元执行不同进程的切换操作,从而使得CPU可以执行多任务,由于CPU在切换的进程的过程中需要联系上下文的存储,因此在切换进程的时候需要查询所述上下文中的cred结构体获取两个切换进程的权限信息。
通过所述kprobe模块可以查询获取到所述cred结构体中保存的权限信息,可以针对每个进程建立一个权限集,所述权限集包括:uid权限(real user ID),euid权限(effective user ID),suid权限(saved set-user-ID),fsuid权限(file saved set-user-ID),分别表示实际用户ID权限、有效用户ID权限、保存设置用户ID权限和文件组用户ID权限。
所述用户态程序实时监听来自内核态传递的信息,由于所述sys_execve函数在任何进程建立时都会调用,因此通过上述sys_execve函数的调用可以获取进程树信息,通过所述用户态程序获取的进程树信息和查询对应进程在出口探针函数func_exit在CPU中的cred结构体中保存的信息组件进程树列表。进一步判断相邻父子进程之间权限集的变化,若存在变化,则说明存在进程漏洞,若不存在权限集的变化则说明不存在权限集漏洞。
举例来说,A为原始进程,进一步创建B进程,B进程创建后再创建C进程,C进程创建后再创建D进程,其中B进程为A的父进程,C进程为B进程的父进程,D进程为C进程父进程,上述进程建立信息可以通过用户态程序monitor监听所述内核态获取,也就是说内核态的进程建立信息可以发送给所述用户态程序monitor。
进一步,由于需要判断进程权限的提升来判断是否存在进程漏洞,因此需要建立当前进程A的pid,例如所述kprobe模块获取出口探针函数func_exit当前进程A在CPU的cred结构体保存的权限集S,在当前进程A生成子进程B后,根据所述kprobe模块挂载的sys_execve函数的调用情况获取当前进程B的父进程father_pid,并进一步根据所述kprobe模块获取当前进程父进程的权限集FATHER_S,将上述进程信息和对应的权限集信息(pid,S,father_pid,FATHER_S)上传到所述用户态程序中,所述用户态程序执行权限集提升的判断。
需要说明的是,在正常情况下,当前进程权限集S和对应下一个当前进程的父进程权限集FATHER_S是相同的,若存在不同,则说明存在进程漏洞,若当前进程权限集大于所述父进程权限集,则说明存在权限提升的内核漏洞操作,若存在权限提升操作,则执行杀死进程的操作。在本发明另一较佳实施例中,若父进程的权限集S和子进程的权限集FATHER_S不同,则判断子进程的权限集FATHER_S中的uid是否为0,若为0,则说明该进程在被创建的初始阶段,因为某个不知名的情况下,权限被提升为root权限(linux操作系统最高权限),在此状态下,需要进一步调用程序杀死该进程。
所述杀死进程的方法包括:获取C语言kill函数的头文件和kill函数的原型,获取存在权限提升的进程,根据所述C语言kill函数的执行逻辑向所述进程发送进程杀死指令,成功则返回0值,失败则反馈-1值。
特别地,根据本发明公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)执行时,执行本申请的方法中限定的上述功能。需要说明的是,本申请上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线段、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线段的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线段、电线段、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域的技术人员应理解,上述描述及附图中所示的本发明的实施例只作为举例而并不限制本发明,本发明的目的已经完整并有效地实现,本发明的功能及结构原理已在实施例中展示和说明,在没有背离所述原理下,本发明的实施方式可以有任何变形或修改。
Claims (10)
1.一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述方法包括如下步骤:
在linux内核挂载sys_execve函数,并安装入口探针函数和出口探针函数;
建立用户态进程,所述用户态进程进入内核态,并调用所述内核态中挂载的sys_execve函数;
在调用所述sys_execve函数后,执行所述出口探针函数,并记录当前进程的权限集;
当前进程生成子进程,执行所述出口探针函数,记录所述子进程的权限集,根据父子进程的权限集判断进程漏洞;
判断子进程权限集和当前进程作为父进程的权限集的权限,若判断存在权限提升,则阻断该子进程的生成。
2.根据权利要求1所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述权限集的获取方法包括如下步骤:
父进程建立子进程,在切换过程中将父进程的权限集保存于cred结构体中;
查询所述cred结构体中保存的权限集,并将权限集发送给用户态程序。
3.根据权利要求1所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述权限集包括:uid权限、euid权限、suid权限和fsuid权限。
4.根据权利要求1所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,向linux内核中建立kprobe模块,所述kprobe模块的建立方法包括:
生成insmod命令,根据所述insmod命令将所述kprobe模块导入到所述linux系统的内核态中,并根据所述insmod命令完成所述kprobe模块的挂载操作。
5.根据权利要求1所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述用户态程序实时监听内核态的消息,并根据所述内核态消息生成进程树,根据所述进程树生成表明父子进程关系的进程树列表,根据所述树列表分别获取具有父子进程关系的对应的权限集。
6.根据权利要求1所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,根据所述权限集判断进程漏洞的方法包括如下步骤:
第一进程派生第二进程,第二进程派生第三进程,所述第一进程为第二进程的父进程,所述第二进程是第三进程的父进程;
在所述第二进程执行完所述sys_execve函数后,所述出口探针函数查询获取所述第二进程在CPU的cred结构体中保存的第一uid权限集;
在所述第三进程执行完所述述sys_execve函数后,所述出口探针函数查询获取在CPU的cred结构体中保存的所述第三进程的父进程对应的第二uid权限集;
判断所述第一uid权限集和第二uid权限集是否相同,若不同则判定进程存在漏洞。
7.根据权利要求6所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述进程漏洞判别方法包括:判断所述第二uid权限集是否大于所述第一uid权限集,若是则判定存进程漏洞,进一步在用户态下调用C语言函数kill,用于杀死存在漏洞的进程。
8.根据权利要求6所述的一种linux内核漏洞权限提升检测阻断方法,其特征在于,所述进程漏洞判别方法包括:判断子进程的第二uid权限集是否提升为root权限,若存在提升为root权限,则判定存进程漏洞,进一步在用户态下调用C语言函数kill,用于杀死存在漏洞的进程。
9.一种linux内核漏洞权限提升检测阻断系统,其特征在于,所述系统执行上述权利要求1-9中任意一项所述的一种linux内核漏洞权限提升检测阻断方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序可被处理器执行上述权利要求1-8中任意一项所述的一种linux内核漏洞权限提升检测阻断方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111150645.XA CN113918955A (zh) | 2021-09-29 | 2021-09-29 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111150645.XA CN113918955A (zh) | 2021-09-29 | 2021-09-29 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113918955A true CN113918955A (zh) | 2022-01-11 |
Family
ID=79236985
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111150645.XA Pending CN113918955A (zh) | 2021-09-29 | 2021-09-29 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113918955A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116049817A (zh) * | 2023-01-17 | 2023-05-02 | 安芯网盾(北京)科技有限公司 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101067798A (zh) * | 2007-06-14 | 2007-11-07 | 华南理工大学 | 一种动态探针方法及其在嵌入式系统中的应用 |
| CN103902449A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于生成搜索引擎相关性排序测试用例的方法与设备 |
| CN103970540A (zh) * | 2014-05-15 | 2014-08-06 | 北京华为数字技术有限公司 | 关键函数安全调用方法及装置 |
| US20150264077A1 (en) * | 2014-03-13 | 2015-09-17 | International Business Machines Corporation | Computer Implemented Techniques for Detecting, Investigating and Remediating Security Violations to IT Infrastructure |
| CN106951786A (zh) * | 2017-03-30 | 2017-07-14 | 国网江苏省电力公司电力科学研究院 | 面向安卓平台的移动应用权限安全分析方法 |
| CN107016283A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于完整性验证的Android权限提升攻击安全防御方法和装置 |
| CN108469984A (zh) * | 2018-04-17 | 2018-08-31 | 哈尔滨工业大学 | 一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法 |
| CN110166420A (zh) * | 2019-03-28 | 2019-08-23 | 江苏通付盾信息安全技术有限公司 | 反弹shell阻断方法及装置 |
| CN110263566A (zh) * | 2019-06-29 | 2019-09-20 | 西安交通大学 | 一种海量日志提权行为检测及分类方法 |
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
| US20200348938A1 (en) * | 2019-05-03 | 2020-11-05 | Datto, Inc. | Methods and systems to track kernel calls using a disassembler |
| CN112199673A (zh) * | 2020-10-10 | 2021-01-08 | 北京微步在线科技有限公司 | 权限提升行为的检测方法、装置及可读存储介质 |
| CN112784274A (zh) * | 2021-03-16 | 2021-05-11 | 斑马网络技术有限公司 | 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备 |
| CN113032129A (zh) * | 2021-04-22 | 2021-06-25 | 北京小佑科技有限公司 | 一种容器阻断用户指定进程生成方法 |
| CN113395287A (zh) * | 2021-06-22 | 2021-09-14 | 杭州默安科技有限公司 | 一种记录网络攻击ip和命令执行回显的方法和系统 |
| CN113407416A (zh) * | 2021-06-29 | 2021-09-17 | 杭州默安科技有限公司 | 一种文件操作ip溯源方法和系统 |
-
2021
- 2021-09-29 CN CN202111150645.XA patent/CN113918955A/zh active Pending
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101067798A (zh) * | 2007-06-14 | 2007-11-07 | 华南理工大学 | 一种动态探针方法及其在嵌入式系统中的应用 |
| CN103902449A (zh) * | 2012-12-28 | 2014-07-02 | 百度在线网络技术(北京)有限公司 | 一种用于生成搜索引擎相关性排序测试用例的方法与设备 |
| US20150264077A1 (en) * | 2014-03-13 | 2015-09-17 | International Business Machines Corporation | Computer Implemented Techniques for Detecting, Investigating and Remediating Security Violations to IT Infrastructure |
| CN103970540A (zh) * | 2014-05-15 | 2014-08-06 | 北京华为数字技术有限公司 | 关键函数安全调用方法及装置 |
| CN107016283A (zh) * | 2017-02-15 | 2017-08-04 | 中国科学院信息工程研究所 | 基于完整性验证的Android权限提升攻击安全防御方法和装置 |
| CN106951786A (zh) * | 2017-03-30 | 2017-07-14 | 国网江苏省电力公司电力科学研究院 | 面向安卓平台的移动应用权限安全分析方法 |
| CN108469984A (zh) * | 2018-04-17 | 2018-08-31 | 哈尔滨工业大学 | 一种基于虚拟机自省函数级虚拟机内核动态检测系统与方法 |
| CN110166420A (zh) * | 2019-03-28 | 2019-08-23 | 江苏通付盾信息安全技术有限公司 | 反弹shell阻断方法及装置 |
| US20200348938A1 (en) * | 2019-05-03 | 2020-11-05 | Datto, Inc. | Methods and systems to track kernel calls using a disassembler |
| CN110263566A (zh) * | 2019-06-29 | 2019-09-20 | 西安交通大学 | 一种海量日志提权行为检测及分类方法 |
| CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
| CN110990844A (zh) * | 2019-10-25 | 2020-04-10 | 浙江大华技术股份有限公司 | 基于内核的云数据保护方法、云服务器、系统 |
| CN112199673A (zh) * | 2020-10-10 | 2021-01-08 | 北京微步在线科技有限公司 | 权限提升行为的检测方法、装置及可读存储介质 |
| CN112784274A (zh) * | 2021-03-16 | 2021-05-11 | 斑马网络技术有限公司 | 基于Linux平台的恶意样本检测收集方法及系统、存储介质、设备 |
| CN113032129A (zh) * | 2021-04-22 | 2021-06-25 | 北京小佑科技有限公司 | 一种容器阻断用户指定进程生成方法 |
| CN113395287A (zh) * | 2021-06-22 | 2021-09-14 | 杭州默安科技有限公司 | 一种记录网络攻击ip和命令执行回显的方法和系统 |
| CN113407416A (zh) * | 2021-06-29 | 2021-09-17 | 杭州默安科技有限公司 | 一种文件操作ip溯源方法和系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116049817A (zh) * | 2023-01-17 | 2023-05-02 | 安芯网盾(北京)科技有限公司 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
| CN116049817B (zh) * | 2023-01-17 | 2023-09-08 | 安芯网盾(北京)科技有限公司 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101948711B1 (ko) | 멀웨어 탐지를 위한 복합 스코어링 | |
| US8117660B2 (en) | Secure control flows by monitoring control transfers | |
| KR100926115B1 (ko) | 특정 이벤트/조건에서 동작하는 윈도우용 악성 코드탐지를 위한 프로그램 자동 분석 장치 및 방법 | |
| US20150220739A1 (en) | Global Variable Security Analysis | |
| US20200218812A1 (en) | Detecting unknown software vulnerabilities and system compromises | |
| US20190147163A1 (en) | Inferential exploit attempt detection | |
| US10395033B2 (en) | System, apparatus and method for performing on-demand binary analysis for detecting code reuse attacks | |
| CN108959071B (zh) | 一种基于RASP的PHP变形webshell的检测方法及系统 | |
| Li et al. | Detection, classification and characterization of android malware using api data dependency | |
| US10061940B2 (en) | Secure protection processor and method including comparing an instruction security attribute of an instruction and a security attribute of an operational event | |
| CN113918955A (zh) | 一种linux内核漏洞权限提升检测阻断方法和系统 | |
| CN113395287B (zh) | 一种记录网络攻击ip和命令执行回显的方法和系统 | |
| US20230376587A1 (en) | Online command injection attacks identification | |
| CN115758351B (zh) | 一种php内存马的检测方法及装置 | |
| CN113868626A (zh) | 权限提升漏洞的检测方法、系统、计算机可读存储介质 | |
| CN112948241B (zh) | 应用程序的反调试方法、装置、电子设备及存储介质 | |
| US20230237010A1 (en) | Power efficient memory value updates for arm architectures | |
| US20230367564A1 (en) | Rules processing systems and methods with just-in-time compilation for endpoint protection in kernel mode | |
| US11709937B2 (en) | Inactivating basic blocks of program code to prevent code reuse attacks | |
| US20230367911A1 (en) | Analyzing scripts to create and enforce security policies in dynamic development pipelines | |
| US10162731B2 (en) | Conditional breakpoint on call stack during debugging at runtime | |
| CN115333852A (zh) | 一种分布式云系统的漏洞检测方法、装置及电子设备 | |
| CN117272299A (zh) | 一种内存马的查杀方法及系统 | |
| CN116108034A (zh) | 数据修改的监控方法、装置、电子设备及介质 | |
| CN115618345A (zh) | 代码注入行为的检测方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 1st Floor, Building 3, No. 2616, Yuhangtang Road, Cangqian Street, Yuhang District, Hangzhou City, Zhejiang Province, 311100 Applicant after: HANGZHOU MOAN TECHNOLOGY CO.,LTD. Address before: 311100 10th floor, Block E, building 1, 1378 Wenyi West Road, Cangqian street, Yuhang District, Hangzhou City, Zhejiang Province Applicant before: HANGZHOU MOAN TECHNOLOGY CO.,LTD. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220111 |