CN116049817A - 基于Linux内核的实时检测与阻断进程提权方法及装置 - Google Patents
基于Linux内核的实时检测与阻断进程提权方法及装置 Download PDFInfo
- Publication number
- CN116049817A CN116049817A CN202310085343.1A CN202310085343A CN116049817A CN 116049817 A CN116049817 A CN 116049817A CN 202310085343 A CN202310085343 A CN 202310085343A CN 116049817 A CN116049817 A CN 116049817A
- Authority
- CN
- China
- Prior art keywords
- user identification
- judging
- level potential
- permission
- elevation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例涉及一种基于Linux内核的实时检测与阻断进程提权的方法及装置,该方法包括步骤:Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。本发明实施例提供的技术方案,通过在Linux内核中对于权限提升行为进行检测,对于现有技术中Linux系统已经被攻击后才能检测到攻击行为的技术方案,实时性更高,并且能够及时阻断攻击行为。
Description
技术领域
本发明实施例涉及Linux内核进程检测技术领域,尤其涉及一种基于Linux内核的实时检测与阻断进程提权方法及装置。
背景技术
Linux系统对于其用户有着不同的权限管控,系统根据用户身份证明(UserIdentification,以下简称“UID”)来识别用户。根(root)用户在系统中权限最高,其对应的UID为0。进程权限提升,即进程提权是指在网站入侵过程中,为了提高自己在服务器中的权限所进行的操作,通过各种漏洞上传shell脚本,以夺得该服务器权限的行为。进程提权常见的表现是普通用户执行的进程的权限转变为根(root)用户权限了,从而这些进程可以使用高权限做高危操作。
现有技术的进程提权检测方法大多是在应用层进行检测,通过扫描系统中的所有进程,当发现父子进程之间的权限不同且子进程为根(root)用户权限时,则判断子进程为提权进程。还有部分方法通过预先存储的信息进行对比分析,通过以上两种方法检测进程提权,信息不够实时,可能产生信息上的误差,或者检测到时提权的进程正在运行或已经执行完毕,此时,Linux系统可能已被攻击,并且此时已经无法有效拦截攻击行为了。而如何实现Linux系统进程权限提升的实时检测,成为亟待解决的问题。
发明内容
基于现有技术的上述情况,本发明实施例的目的在于提供一种基于Linux内核的实时检测与阻断进程提权的方法及装置,在Linux内核中对进程所属的进程链进行分析,根据攻击特征综合判定是否存在权限提升行为,实时性更高,并且能够及时阻断攻击行为。
为达到上述目的,根据本发明的一个方面,提供了一种基于Linux内核的实时检测与阻断进程提权的方法,包括步骤:
Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;
若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;
若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。
进一步的,所述方法还包括:
判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。
进一步的,所述方法还包括:
判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。
进一步的,所述第一用户标识包括EUID;所述第二用户标识包括UID;第三用户标识包括SUID。
进一步的,所述第一回调函数包括bprm_check_security函数。
根据本发明的另一个方面,提供了一种基于Linux内核的实时检测与阻断进程提权的装置,包括:
进程信息获取模块,用于Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;
父进程信息获取模块,用于若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;
第一级别潜在权限提升判断模块,用于若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。
进一步的,所述装置还包括:
第二级别潜在权限提升判断模块,用于判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。
进一步的,所述装置还包括:
权限提升判断模块,用于判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。
根据本发明的第三个方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行指令,所述处理器执行所述程序时实现如本发明第一个方面所述的方法。
根据本发明的第四个方面,提供了一种计算机可读存储介质,其上存储有计算机可执行指令,所述可执行指令被处理器执行时实现如本发明第一个方面所述的方法。
综上所述,本发明实施例提供了一种基于Linux内核的实时检测与阻断进程提权方法及装置,该方法包括步骤:Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;若根据该进程信息判定所述进程不是内核线程时,获取该进程的父进程信息;若该进程的第一用户标识与父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。本发明实施例提供的技术方案,通过在Linux内核中对于权限提升行为进行检测,对于现有技术中Linux系统已经被攻击后才能检测到攻击行为的技术方案,实时性更高,并且能够及时阻断攻击行为。
附图说明
图1是本发明实施例提供的基于Linux内核的实时检测与阻断进程提权方法的流程图;
图2是本发明另一实施例提供的基于Linux内核的实时检测与阻断进程提权方法的流程图;
图3是本发明实施例提供的基于Linux内核的实时检测与阻断进程提权装置的构成框图;
图4是本发明实施例提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
下面对结合附图对本发明实施例的技术方案进行详细说明。本发明的实施例,提供了一种基于Linux内核的实时检测与阻断进程提权方法,图1中示出了该检测方法的流程图,包括如下步骤:
S202、Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息。该步骤中,首先安装驱动,利用Linux的LSM(Linux Security Moudle)框架设置第一回调函数bprm_check_security钩子。应用程序执行时,Linux内核层调用模块加载器加载运行前会进入设置的该第一回调函数。该钩子的原型为:int(*bprm_check_security)(struct linux_binprm*bprm)。或者使用hook系统调用execve函数的方式,进入回调函数中。
S204、若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息。在进入第一回调函数后,根据进程链信息判断该进程是否为内核线程,如果为内核线程,则直接排除权限提升的可能,跳转至检测过程结束;如果判断结果不为内核线程,即排除了内核线程,对于非内核线程,对于该进程所属的进程链进行分析。
S206、根据获取到的进程链信息,若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。该步骤中涉及的第一用户标识,例如为EUID(有效用户ID),由于Linux系统根据EUID来决定进程的权限,所以该步骤中通过判断当前进程(子进程)的EUID是否与其父进程EUID是否相等来检测是否发生了权限提升,如果二者不相等,则说明用户权限发生了变化,有潜在的进程提权可能;如果二者相等,则排除权限提升的可能,跳转至检测过程结束。该步骤中,将判断的结果输出为第一级别潜在权限提升,属于具有较低可能性的权限提升。
图2中示出了本发明的另一个实施例基于Linux内核的实时检测与阻断进程提权方法的流程图。根据该可选的实施例,所述方法还包括如下步骤:
S208、判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。通过前面步骤的判断,确定用户权限发生变化时,需要进一步确认是否发生权限提升。该步骤中,判断当前进程(子进程)的EUID是否与根(root)用户的UID(用户ID)相等,若相等,说明子进程发生了潜在的权限提升;若不相等,则排除权限提升的可能,跳转至检测过程结束。该步骤中,将判断的结果输出为第二级别潜在权限提升,属于比第一级别潜在权限提升更高可能性的权限提升。
S210、判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。通过前面步骤的判断,存在更大的权限提升的可能性时,需要进一步确认是否发生权限提升。进一步检查当前进程(子进程)主模块对应的可执行文件是否被设置了第三用户标识,例如SUID(Set owner User ID up onexecution)的属性,该属性可使二进制程序运行时拥有文件属主的权限,例如,如文件属主是根(root)用户,则该进程即使是非根(root)用户创建的,也将拥有根(root)用户权限。因此若被设置了SUID权限,则可确定判断发生了进程权限提升行为;若没有被设置SUID权限,则判断未发生进程权限提升行为,跳转至检测过程结束。此时根据钩子中的bprm结构可以拿到应用程序的名称和命令行参数等信息,再决定是否需要根据相关策略选择对其进行上报或拦截。
本发明的实施例,还提供了一种基于Linux内核的实时检测与阻断进程提权装置,图3中示出了该装置的构成框图,包括:
进程信息获取模块301,用于Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;
父进程信息获取模块302,用于若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;
第一级别潜在权限提升判断模块303,用于若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。
根据某些可选的实施例,所述装置还包括:
第二级别潜在权限提升判断模块304,用于判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。
权限提升判断模块305,用于判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。
本发明的实施例中,还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行指令,所述处理器执行所述程序时实现如本发明上述实施例中所述的方法。图4所示为本发明该实施例提供的电子设备的结构示意图。如图4所示,该电子设备包括:一个或多个处理器401和存储器402;以及存储在存储器402中的计算机可执行指令,可执行指令在被处理器401运行时使得处理器401执行如上述实施例的基于Linux内核的实时检测与阻断进程提权方法。处理器401可以是中央处理单元(CPU)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元,并且可以控制电子设备中的其他组件以执行期望的功能。存储器402可以包括一个或多个计算机程序产品,计算机程序产品可以包括各种形式的计算机可读存储介质,例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令,处理器401可以运行程序指令,以实现上文的本发明实施例的基于Linux内核的实时检测与阻断进程提权方法中的步骤以及/或者其他期望的功能。在一些实施例中,电子设备400还可以包括:输入装置403和输出装置404,这些组件通过总线系统和/或其他形式的连接机构(图4中未示出)互连。例如,在该电子设备是单机设备时,该输入装置403可以是通信网络连接器,用于从外部的可移动设备接收所采集的输入信号。此外,该输入设备403还可以包括例如键盘、鼠标、麦克风等。该输出装置404可以向外部输出各种信息,例如可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等。
本发明的实施例中,还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明上述实施例中所述的方法中的步骤。计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器((RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
应当理解的是,本发明实施例中的处理器可以为中央处理单元(CentralProcessing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
综上所述,本发明实施例涉及一种基于Linux内核的实时检测与阻断进程提权方法及装置,该方法包括步骤:Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;若该进程的第一用户标识与进程链父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。本发明实施例提供的技术方案,通过在Linux内核中对于权限提升行为进行检测,对于现有技术中Linux系统已经被攻击后才能检测到攻击行为的技术方案,实时性更高,并且能够及时阻断攻击行为。
应当理解的是,以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (10)
1.一种基于Linux内核的实时检测与阻断进程提权的方法,其特征在于,包括步骤:
Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;
若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;
若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。
4.根据权利要求3中所述的方法,其特征在于,所述第一用户标识包括EUID;所述第二用户标识包括UID;第三用户标识包括SUID。
5.根据权利要求1-4中任意一项所述的方法,其特征在于,所述第一回调函数包括bprm_check_security函数。
6.一种基于Linux内核的实时检测与阻断进程提权的装置,其特征在于,包括:
进程信息获取模块,用于Linux内核层加载待运行应用程序前,利用第一回调函数获取该待运行应用程序的进程信息;
父进程信息获取模块,用于若根据该进程信息判定所述进程不是内核线程时,获取该进程所属的进程链信息;
第一级别潜在权限提升判断模块,用于若该进程的第一用户标识与进程链中父进程的第一用户标识不相等时,判断该进程发生第一级别潜在权限提升。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二级别潜在权限提升判断模块,用于判断发生第一级别潜在权限提升的进程的第一用户标识是否与根用户的第二用户标识相等,若是,判断该进程发生第二基本潜在权限提升。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
权限提升判断模块,用于判断发生第二级别潜在权限提升的进程对应的可执行文件是否被设置了第三用户标识属性,若是,则判断该进程发生权限提升。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的可执行指令,其特征在于,所述处理器执行所述程序时实现如权利要求1-5中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机可执行指令,其特征在于,所述可执行指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310085343.1A CN116049817B (zh) | 2023-01-17 | 2023-01-17 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310085343.1A CN116049817B (zh) | 2023-01-17 | 2023-01-17 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116049817A true CN116049817A (zh) | 2023-05-02 |
CN116049817B CN116049817B (zh) | 2023-09-08 |
Family
ID=86131264
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310085343.1A Active CN116049817B (zh) | 2023-01-17 | 2023-01-17 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116049817B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106560832A (zh) * | 2015-12-31 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种拦截Linux内核恶意进程提权的方法及系统 |
US20190377866A1 (en) * | 2017-01-10 | 2019-12-12 | Samsung Electronics Co., Ltd. | Electronic device detecting privilege escalation of process, and storage medium |
CN111783091A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 恶意进程检测方法、装置、终端及计算机可读存储介质 |
CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
CN115033889A (zh) * | 2022-06-22 | 2022-09-09 | 中国电信股份有限公司 | 非法提权检测方法和装置、存储介质、计算机设备 |
-
2023
- 2023-01-17 CN CN202310085343.1A patent/CN116049817B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106560832A (zh) * | 2015-12-31 | 2017-04-12 | 哈尔滨安天科技股份有限公司 | 一种拦截Linux内核恶意进程提权的方法及系统 |
US20190377866A1 (en) * | 2017-01-10 | 2019-12-12 | Samsung Electronics Co., Ltd. | Electronic device detecting privilege escalation of process, and storage medium |
CN111783091A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 恶意进程检测方法、装置、终端及计算机可读存储介质 |
CN113918955A (zh) * | 2021-09-29 | 2022-01-11 | 杭州默安科技有限公司 | 一种linux内核漏洞权限提升检测阻断方法和系统 |
CN115033889A (zh) * | 2022-06-22 | 2022-09-09 | 中国电信股份有限公司 | 非法提权检测方法和装置、存储介质、计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN116049817B (zh) | 2023-09-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9680848B2 (en) | Apparatus, system and method for detecting and preventing malicious scripts using code pattern-based static analysis and API flow-based dynamic analysis | |
CN109101815B (zh) | 一种恶意软件检测方法及相关设备 | |
CN111191226A (zh) | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 | |
US20190325134A1 (en) | Neural network detection of malicious activity | |
CN112395612A (zh) | 一种恶意文件检测方法、装置、电子设备及存储介质 | |
CN115348086B (zh) | 一种攻击防护方法及装置、存储介质及电子设备 | |
CN116204882A (zh) | 基于异构图的Android恶意软件检测方法及装置 | |
CN116049817B (zh) | 基于Linux内核的实时检测与阻断进程提权方法及装置 | |
CN106295336B (zh) | 恶意程序检测方法及装置 | |
JP6714112B2 (ja) | グラフィカルユーザインターフェース要素に関連した悪意のある行為の軽減 | |
CN115758351B (zh) | 一种php内存马的检测方法及装置 | |
CN111382432A (zh) | 一种恶意软件检测、分类模型生成方法及装置 | |
CN115795462B (zh) | Linux内核模块执行进程的检测方法及装置 | |
CN114896592B (zh) | 一种wmi恶意代码的通用检测方法、装置、设备及存储介质 | |
US8819635B2 (en) | Confidence-based static analysis | |
CN111639340B (zh) | 恶意应用程序检测方法、装置、电子设备及可读存储介质 | |
KR102394210B1 (ko) | 커뮤니티 검출 장치 및 방법 | |
CN116318941B (zh) | 检测注入TomcatUpgrade内存马的方法及装置 | |
CN113190836A (zh) | 一种基于本地命令执行的web攻击行为检测方法及系统 | |
CN116186699B (zh) | Php文件访问检测方法及装置 | |
KR102465307B1 (ko) | 화이트 리스트 생성 방법 및 이를 수행하는 사용자 단말, 컴퓨터 판독 가능한 기록 매체 및 컴퓨터 프로그램 | |
CN114707149B (zh) | 一种傀儡进程检测方法、装置、电子设备和存储介质 | |
CN110633568B (zh) | 用于主机的监控系统及其方法 | |
CN115333852A (zh) | 一种分布式云系统的漏洞检测方法、装置及电子设备 | |
CN116028929A (zh) | 基于Linux内核的无文件攻击的检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |