CN117271269A - 一种进程权限检测方法、装置、电子设备及存储介质 - Google Patents

一种进程权限检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN117271269A
CN117271269A CN202311550492.7A CN202311550492A CN117271269A CN 117271269 A CN117271269 A CN 117271269A CN 202311550492 A CN202311550492 A CN 202311550492A CN 117271269 A CN117271269 A CN 117271269A
Authority
CN
China
Prior art keywords
authority level
level
permission
last
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311550492.7A
Other languages
English (en)
Inventor
李普然
周青山
黄雅芳
童兆丰
薛锋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202311550492.7A priority Critical patent/CN117271269A/zh
Publication of CN117271269A publication Critical patent/CN117271269A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3017Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is implementing multitasking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本公开提供了一种进程权限检测方法、装置、电子设备及存储介质,该方法包括:监控系统中发生的事件;在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常,这样,基于事件触发进程权限检测,可以及时检测进程是否发生权限级别变更,并提高了检测效率和准确性,降低性能消耗。

Description

一种进程权限检测方法、装置、电子设备及存储介质
技术领域
本公开涉及信息安全技术领域,具体而言,涉及一种进程权限检测方法、装置、电子设备及存储介质。
背景技术
目前进程创建时会确定进程的权限,但是进程运行过程中,一些恶意进程可能会通过改变权限来获取更多资源或执行更多操作,影响系统安全,相关技术中,主要通过定期轮询方式,对比不同时刻进程权限以检测权限是否发生变更,但是定期轮询方式,较难控制合适的轮询时间间隔,若轮询时间间隔较长,则检测的效果不佳,实时性较差,若轮询时间间隔较短,对于系统性能消耗又会较大,难以应用于实际的安全检测场景。
发明内容
本公开实施例至少提供一种进程权限检测方法、装置、电子设备及存储介质。
第一方面,本公开实施例提供了一种进程权限检测方法,包括:
监控系统中发生的事件;
在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
一种可选的实施方式中,所述方法还包括:
在监控到发生进程创建事件情况下,获取所述进程创建事件对应的所述进程的进程信息,并将所述进程的进程信息存储至缓存中,其中所述进程信息中至少包括所述进程的上一次权限级别,其中,所述进程的上一次权限级别的初始值是在所述进程创建时确定的。
一种可选的实施方式中,所述将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,包括:
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述当前权限级别是否高于所述上一次权限级别;
在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为,包括:
在判断所述当前权限级别高于所述上一次权限级别,并且符合预设权限级别提升条件的情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述目标进程事件包括以下任意一种:子进程创建事件、文件创建事件、网络连接事件、注册表读写事件。
一种可选的实施方式中,所述方法还包括:
在判断所述进程发生权限级别变更的情况下,将所述当前权限级别更新到所述缓存中,以替换所述进程的所述上一次权限级别。
一种可选的实施方式中,所述方法还包括:
将所述进程的权限级别提升行为发送给服务器,以使所述服务器根据所述权限级别提升行为和/或获取到的所述进程的预设特征信息,确定所述进程是否异常。
第二方面,本公开实施例还提供一种进程权限检测装置,包括:
监控模块,用于监控系统中发生的事件;
获取模块,用于在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
判断模块,用于将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
一种可选的实施方式中,还包括存储模块,存储模块用于:
在监控到发生进程创建事件情况下,获取所述进程创建事件对应的所述进程的进程信息,并将所述进程的进程信息存储至缓存中,其中所述进程信息中至少包括所述进程的上一次权限级别,其中,所述进程的上一次权限级别的初始值是在所述进程创建时确定的。
一种可选的实施方式中,所述将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更时,判断模块用于:
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述当前权限级别是否高于所述上一次权限级别;
在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为时,判断模块用于:
在判断所述当前权限级别高于所述上一次权限级别,并且符合预设权限级别提升条件的情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述目标进程事件包括以下任意一种:子进程创建事件、文件创建事件、网络连接事件、注册表读写事件。
一种可选的实施方式中,还包括更新模块,更新模块用于:
在判断所述进程发生权限级别变更的情况下,将所述当前权限级别更新到所述缓存中,以替换所述进程的所述上一次权限级别。
一种可选的实施方式中,还包括发送模块,发送模块用于:
将所述进程的权限级别提升行为发送给服务器,以使所述服务器根据所述权限级别提升行为和/或获取到的所述进程的预设特征信息,确定所述进程是否异常。
第三方面,本公开可选实现方式还提供一种电子设备,包括处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述处理器用于执行所述存储器中存储的机器可读指令,所述机器可读指令被所述处理器执行时,所述处理器执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
第四方面,本公开可选实现方式还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
本公开实施例中,监控系统中事件,在监控到发生目标进程事件时,重新获取该目标进程事件对应的进程的当前权限级别,并与存储的已有上一次权限级别进行比对,判断是否发生权限级别变更,这样,通过事件触发进程权限检测的方式,可以及时对进程的权限级别变更进行检测,并且还可以提高检测效果和效率,节省性能消耗,进而可以根据是否发生权限级别变更的判断结果,为进程是否异常的确定提供有力依据,提高准确性。
关于上述进程权限检测装置、电子设备、及计算机可读存储介质的效果描述参见上述进程权限检测方法的说明,这里不再赘述。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开的技术方案。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,此处的附图被并入说明书中并构成本说明书中的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开实施例所提供的一种进程权限检测方法的流程图;
图2示出了本公开实施例所提供的另一种进程权限检测方法的流程图;
图3示出了本公开实施例所提供的一种进程权限检测装置的示意图;
图4示出了本公开实施例所提供的一种电子设备的示意图。
具体实施方式
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此,以下对本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
经研究发现,目前进程创建时会确定进程的权限,但是进程运行过程中,一些恶意进程可能会通过改变权限来获取更多资源或执行更多操作,例如低权限的进程通过一些技术手段或者系统漏洞,将低权限提升至高权限,进而利用高权限执行各种操作,影响系统安全,相关技术中,主要通过定期轮询方式,对比不同时刻进程权限以检测权限是否发生变更,但是定期轮询方式,较难控制合适的轮询时间间隔,若轮询时间间隔较长,则检测的效果不佳,实时性较差,若轮询时间间隔较短,对于系统性能消耗又会较大,难以应用于实际的安全检测场景。
基于上述研究,本公开提供了一种进程权限检测方法,监控系统中发生的事件;在监控到发生目标进程事件时,获取目标进程事件对应的进程的当前权限级别;将当前权限级别与缓存中进程的上一次权限级别进行比对,判断进程是否发生权限级别变更,这样,基于事件触发的检测机制,在进程发生目标进程事件时进行权限检测,不仅可以及时检测出进程发生权限级别变更,并且提高了检测效率,降低系统性能消耗,解决了相关技术中定期轮询方式在检测效果和效率等之间无法平衡的问题。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案,都应该是发明人在本公开过程中对本公开做出的贡献。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种进程权限检测方法进行详细介绍,本公开实施例所提供的进程权限检测方法的执行主体一般为具有一定计算能力的电子设备,该电子设备例如包括:终端设备或服务器或其它处理设备,终端设备可以为用户设备(User Equipment,UE)、移动设备、蜂窝电话、无绳电话、个人数字助理(Personal Digital Assistant,PDA)、手持设备、计算设备、车载设备、可穿戴设备等,其中,个人数字助理是一种手持式电子设备,具有电子计算机的某些功能,可以用来管理个人信息,也可以上网浏览,收发电子邮件等,一般不配备键盘,也可以称为掌上电脑。在一些可能的实现方式中,该进程权限检测方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
下面以执行主体为终端设备为例对本公开实施例提供的进程权限检测方法加以说明。
参见图1所示,为本公开实施例提供的一种进程权限检测方法的流程图,该方法包括:
S101:监控系统中发生的事件。
S102:在监控到发生目标进程事件时,获取目标进程事件对应的进程的当前权限级别。
本公开实施例中,进程可以理解为应用程序的实体,应用程序在系统中执行时会创建对应的进程,其中,系统可以为Windows系统、安卓系统等,本公开实施例对此并不进行限制,创建进程时会确定进程的权限级别,不同的权限级别可执行的操作不同,本公开实施例中从信息安全角度来看,考虑到一个恶意进程可能会通过提升自身的权限级别以,使得可以执行高权限事件,即利用权限的提升来执行更多异常行为,因此权限级别提升通常会对应有事件发生,进而本公开实施例中,通过实时监控系统中发生的事件,基于事件触发的检测机制,以确定何时进行进程权限检测。
本公开实施例中,不同系统对于进程的权限级别定义可以相同或不同,以某系统为例,该系统中通过标记进程的完整性级别来保护进程,其中,完整性级别即权限级别,进程的权限级别例如有七个,从低到高依次为:非信任的、低、中等、中高、高、系统级和受保护的,权限级别是信任的度量,具有较低的权限级别的应用程序,不能修改具有较高权限级别的应用程序中的数据。
其中,本公开实施例中该目标进程事件,可以表征预设的需关注事件,可以根据恶意进程提权后,通常发生的进程事件来确定,一种可能的实施例中,目标进程事件包括以下任意一种:子进程创建事件、文件创建事件、网络连接事件、注册表读写事件,对此本公开实施例中并不进行限制,该目标进程事件也可以表征为非进程创建事件的任意其它进程事件,监控到目标进程事件也说明该目标进程事件对应的进程已经创建了。
这样,本公开实施例中,可以基于系统中的驱动监控各事件,不同类型的事件对应一个应用程序接口(Application Program Interface,API),当某一事件的API被调用时,则可以通过该API对应类型确定所发生的事件的类型,即可以确定出是什么事件,在监控到发生目标进程事件时,重新获取一次该目标进程事件对应的进程的当前权限级别,该进程也可以理解为目标进程事件对应的宿主进程,因为宿主进程若为异常进程时,发生权限级别提升行为,进而提权后才会执行该目标进程事件,本公开实施例中,通过监控目标进程事件,来判断该宿主进程是否发生权限级别变更以确定是否异常。
进一步地,本公开实施例中,在实时监控系统中发生的事件时,还提供了可能的实施方式,在监控到发生进程创建事件情况下,获取进程创建事件对应的进程的进程信息,并将进程的进程信息存储至缓存中,其中进程信息中至少包括进程的上一次权限级别,其中,进程的上一次权限级别的初始值是在进程创建时确定的。
本公开实施例中,每当监控到一个进程创建事件时,将该进程的进程信息存储至缓存中,其中,该进程信息例如可以包括进程名称、进程标识(Process Identification,PID)、进程路径、命令行、进程创建时间、权限级别等,缓存中进程信息是动态维护的,有新的进程创建就会将该新的进程的进程信息存储至缓存中,并且需要说明的是,缓存中存储的进程的上一次权限级别可以用于后续是否发生权限级别变更的判断,上一次权限级别是相对于获取到的当前权限级别而言,仅是为了便于描述,在进程创建时系统会先确定该进程的权限级别,之后可以通过获取的当前权限级别来进行更新。
S103:将当前权限级别与缓存中进程的上一次权限级别进行比对,判断进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定进程是否异常。
本公开实施例中,针对该步骤S103中将当前权限级别与缓存中进程的上一次权限级别进行比对,判断进程是否发生权限级别变更,提供了一种可能的实施方式:
1)将当前权限级别与缓存中进程的上一次权限级别进行比对,判断当前权限级别是否高于上一次权限级别。
本公开实施例中,可以根据进程名称、进程标识等在缓存中进行查找,查找该目标进程事件对应的进程,以及该进程对应的上一次权限级别,进而将当前权限级别与上一次权限级别进行比对,判断是否变更并判断当前权限级别是否高于上一次权限级别。
2)在判断当前权限级别高于上一次权限级别情况下,确定进程发生权限级别提升行为。
例如,当前权限级别为高,上一次权限级别为低,则可以确定该进程发生了权限级别提升行为。
一种可能实施例中,考虑到发生某些权限级别提升行为的进程是异常进程的可能性较小,因此本公开实施例中还可以预先设置权限级别提升条件,则在判断当前权限级别高于上一次权限级别情况下,确定进程发生权限级别提升行为,包括:在判断当前权限级别高于上一次权限级别,并且符合预设权限级别提升条件的情况下,确定进程发生权限级别提升行为。
例如,权限级别提升条件为不是从中等到高权限级别,当然可以根据实际情况和经验进行设置,具体本公开实施例中并不进行限制。
进而本公开实施例中,由于异常进程通常有权限级别提升行为,发生权限级别提升行为则进程为异常进程的可能性也较高,因此可以基于此再判断进程是否异常,具体本公开提供了可能的实施方式,将进程的权限级别提升行为发送给服务器,以使服务器根据权限级别提升行为和/或获取到的进程的预设特征信息,确定进程是否异常。
其中预设特征信息可以表示进程的其它相关行为,本公开实施例中并不进行限制,结合权限级别提升行为和预设特征信息,可以提高判断进程是否异常的准确性。
当然,本公开实施例中,通过当前权限级别与缓存中的上一次权限级别进行比对,还可以判断出是否发生权限级别降低行为,可以根据实际需求,将该权限级别降低行为应用到对应场景中,对此并不进行限制。
进一步地,本公开实施例中,缓存中进程信息是动态维护的,在判断进程发生权限级别变更的情况下,还可以更新缓存中进程信息,具体本公开提供了一种可能的实施方式,在判断进程发生权限级别变更的情况下,将当前权限级别更新到缓存中,以替换进程的上一次权限级别。
本公开实施例中,在进行缓存更新时,还可以将缓存中进程信息与对应进程的当前进程信息进行比对,若除权限级别的其它进程信息一致,则可以仅更新权限级别,其它进程信息保持一致,若有其它进程信息不一致,则可以更新权限级别和不一致的其它进程信息,另外为节省资源,还可以定期对缓存中各个进程的进程信息进行清理,较佳的,仅针对已结束进程的进程信息进行定期清理,这样对于仍在一个生命周期内的进程,保存该进程信息以便于进行权限级别变更的检测。
本公开实施例中,监控系统中发生的事件;在监控到发生目标进程事件时,获取目标进程事件对应的进程的当前权限级别;将当前权限级别与缓存中进程的上一次权限级别进行比对,判断进程是否发生权限级别变更,进而还可以基于是否发生权限级别变更的判断结果,确定进程是否异常,这样,在发生目标进程事件时,触发进行进程权限检测,可以及时检测出权限级别变更的进程,提高了准确性,提高了效率,节省了性能消耗,并且还为进程异常的确定提供了有力依据,提高异常进程确定的准确性。
下面采用具体应用场景进行说明,以针对权限级别变更中权限级别提升行为进行检测为例,参见图2所示,为本公开实施例提供的另一种进程权限检测方法的流程图,该方法包括:
S201:开启监控系统中发生的事件。
S202:监控到发生进程创建事件。
S203:将进程创建事件对应的进程的进程信息存储至缓存中。
例如,监控到A进程创建,则将A进程的进程信息进行存储,可以存储至缓存中或数据库等,并不进行限制。
S204:监控到进程发生目标进程事件。
例如,监控到A进程发生不是进程创建事件的其它类型的目标进程事件,如网络访问事件,则可以触发针对该进程A的权限检测。
S205:获取进程的当前权限级别,并将当前权限级别与缓存中进程的上一次权限级别进行比对。
S206:判断当前权限级别是否高于上一次权限级别,并且符合预设权限级别提升条件,若是,则执行步骤S207,否则,则执行步骤S208。
例如,预设权限级别提升条件为不是从中等到高权限级别的变更。
S207:确定进程发生权限级别提升行为。
S208:确定进程未发生权限级别提升行为。
这样,本公开实施例中,实时监控系统中事件,将进程创建事件对应的进程的进程信息进行存储,并在该进程发生目标进程事件时,重新获取进程的当前权限级别,并与存储的已有上一次权限级别进行比对,判断是否发生权限级别提升行为,进而可以为安全分析等提供依据,通过事件触发进程权限检测的方式,可以提高检测效果和效率,节省资源消耗。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
基于同一发明构思,本公开实施例中还提供了与进程权限检测方法对应的进程权限检测装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述进程权限检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图3所示,为本公开实施例提供的一种进程权限检测装置的示意图,该装置包括:
监控模块31,用于监控系统中发生的事件;
获取模块32,用于在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
判断模块33,用于将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
一种可选的实施方式中,还包括存储模块34,存储模块34用于:
在监控到发生进程创建事件情况下,获取所述进程创建事件对应的所述进程的进程信息,并将所述进程的进程信息存储至缓存中,其中所述进程信息中至少包括所述进程的上一次权限级别,其中,所述进程的上一次权限级别的初始值是在所述进程创建时确定的。
一种可选的实施方式中,所述将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更时,判断模块33用于:
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述当前权限级别是否高于所述上一次权限级别;
在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为时,判断模块33用于:在判断所述当前权限级别高于所述上一次权限级别,并且符合预设权限级别提升条件的情况下,确定所述进程发生权限级别提升行为。
一种可选的实施方式中,所述目标进程事件包括以下任意一种:子进程创建事件、文件创建事件、网络连接事件、注册表读写事件。
一种可选的实施方式中,还包括更新模块35,更新模块35用于:在判断所述进程发生权限级别变更的情况下,将所述当前权限级别更新到所述缓存中,以替换所述进程的所述上一次权限级别。
一种可选的实施方式中,还包括发送模块36,发送模块36用于:将所述进程的权限级别提升行为发送给服务器,以使所述服务器根据所述权限级别提升行为和/或获取到的所述进程的预设特征信息,确定所述进程是否异常。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
本公开实施例还提供了一种电子设备,如图4所示,为本公开实施例提供的电子设备结构示意图,包括:
处理器41和存储器42;所述存储器42存储有处理器41可执行的机器可读指令,处理器41用于执行存储器42中存储的机器可读指令,所述机器可读指令被处理器41执行时,处理器41执行下述步骤:
监控系统中发生的事件;
在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
上述存储器42包括内存421和外部存储器422;这里的内存421也称内存储器,用于暂时存放处理器41中的运算数据,以及与硬盘等外部存储器422交换的数据,处理器41通过内存421与外部存储器422进行数据交换。
上述指令的具体执行过程可以参考本公开实施例中所述的进程权限检测方法的步骤,此处不再赘述。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的进程权限检测方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本公开实施例还提供一种计算机程序产品,该计算机程序产品承载有程序代码,所述程序代码包括的指令可用于执行上述方法实施例中所述的进程权限检测方法的步骤,具体可参见上述方法实施例,在此不再赘述。
其中,上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本公开所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种进程权限检测方法,其特征在于,包括:
监控系统中发生的事件;
在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在监控到发生进程创建事件情况下,获取所述进程创建事件对应的所述进程的进程信息,并将所述进程的进程信息存储至缓存中,其中所述进程信息中至少包括所述进程的上一次权限级别,其中,所述进程的上一次权限级别的初始值是在所述进程创建时确定的。
3.根据权利要求1或2所述的方法,其特征在于,所述将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,包括:
将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述当前权限级别是否高于所述上一次权限级别;
在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为。
4.根据权利要求3所述的方法,其特征在于,所述在判断所述当前权限级别高于所述上一次权限级别情况下,确定所述进程发生权限级别提升行为,包括:
在判断所述当前权限级别高于所述上一次权限级别,并且符合预设权限级别提升条件的情况下,确定所述进程发生权限级别提升行为。
5.根据权利要求1所述的方法,其特征在于,所述目标进程事件包括以下任意一种:子进程创建事件、文件创建事件、网络连接事件、注册表读写事件。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在判断所述进程发生权限级别变更的情况下,将所述当前权限级别更新到所述缓存中,以替换所述进程的所述上一次权限级别。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
将所述进程的权限级别提升行为发送给服务器,以使所述服务器根据所述权限级别提升行为和/或获取到的所述进程的预设特征信息,确定所述进程是否异常。
8.一种进程权限检测装置,其特征在于,包括:
监控模块,用于监控系统中发生的事件;
获取模块,用于在监控到发生目标进程事件时,获取所述目标进程事件对应的进程的当前权限级别;
判断模块,用于将所述当前权限级别与缓存中所述进程的上一次权限级别进行比对,判断所述进程是否发生权限级别变更,根据是否发生权限级别变更的判断结果确定所述进程是否异常。
9.一种电子设备,其特征在于,包括:处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述处理器用于执行所述存储器中存储的机器可读指令,所述机器可读指令被所述处理器执行时,所述处理器执行如权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-7任一项所述方法的步骤。
CN202311550492.7A 2023-11-20 2023-11-20 一种进程权限检测方法、装置、电子设备及存储介质 Pending CN117271269A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311550492.7A CN117271269A (zh) 2023-11-20 2023-11-20 一种进程权限检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311550492.7A CN117271269A (zh) 2023-11-20 2023-11-20 一种进程权限检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN117271269A true CN117271269A (zh) 2023-12-22

Family

ID=89212827

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311550492.7A Pending CN117271269A (zh) 2023-11-20 2023-11-20 一种进程权限检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117271269A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180276383A1 (en) * 2017-03-21 2018-09-27 Mcafee, Llc Automatic detection of software that performs unauthorized privilege escalation
CN111191226A (zh) * 2019-07-04 2020-05-22 腾讯科技(深圳)有限公司 利用提权漏洞的程序的确定方法、装置、设备及存储介质
CN115774871A (zh) * 2021-09-08 2023-03-10 三六零数字安全科技集团有限公司 进程权限提升防护方法、装置、设备及存储介质
CN116244677A (zh) * 2023-02-20 2023-06-09 奇安信科技集团股份有限公司 提权检测方法、装置、电子设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180276383A1 (en) * 2017-03-21 2018-09-27 Mcafee, Llc Automatic detection of software that performs unauthorized privilege escalation
CN111191226A (zh) * 2019-07-04 2020-05-22 腾讯科技(深圳)有限公司 利用提权漏洞的程序的确定方法、装置、设备及存储介质
CN115774871A (zh) * 2021-09-08 2023-03-10 三六零数字安全科技集团有限公司 进程权限提升防护方法、装置、设备及存储介质
CN116244677A (zh) * 2023-02-20 2023-06-09 奇安信科技集团股份有限公司 提权检测方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
CN109492378B (zh) 一种基于设备识别码的身份验证方法、服务器及介质
CN108268354B (zh) 数据安全监控方法、后台服务器、终端及系统
US9106681B2 (en) Reputation of network address
US9357397B2 (en) Methods and systems for detecting malware and attacks that target behavioral security mechanisms of a mobile device
KR101373986B1 (ko) 모델을 사용하여 실행가능 프로그램을 조사하는 방법 및 장치
US20150180908A1 (en) System and method for whitelisting applications in a mobile network environment
US20130097659A1 (en) System and method for whitelisting applications in a mobile network environment
EP3270318B1 (en) Dynamic security module terminal device and method for operating same
CN107943949B (zh) 一种确定网络爬虫的方法及服务器
WO2013142573A1 (en) System and method for crowdsourcing of mobile application reputations
US20180060568A1 (en) System And Method Of Dynamically Updating Stack Canaries
US20170155683A1 (en) Remedial action for release of threat data
CN105868625B (zh) 一种拦截文件被重启删除的方法及装置
CN110619214A (zh) 一种监控软件正常运行的方法和装置
CN110941825B (zh) 一种应用监控方法及装置
CN109547427A (zh) 黑名单用户识别方法、装置、计算机设备及存储介质
CN111885061A (zh) 一种网络攻击检测方法、装置、设备及介质
US20240005008A1 (en) Monitoring information-security coverage to identify an exploitable weakness in the information-securing coverage
CN111062035A (zh) 一种勒索软件检测方法、装置、电子设备及存储介质
CN117271269A (zh) 一种进程权限检测方法、装置、电子设备及存储介质
CN116204876A (zh) 异常检测方法、设备以及存储介质
CN115189938A (zh) 一种业务安全防护方法和装置
CN113672925A (zh) 阻止勒索软件攻击的方法、装置、存储介质及电子设备
CN113849246B (zh) 插件识别方法、插件加载方法、计算设备及存储介质
CN107886004B (zh) 一种计算机克隆操作系统的识别方法与装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination