CN115033889B - 非法提权检测方法和装置、存储介质、计算机设备 - Google Patents
非法提权检测方法和装置、存储介质、计算机设备 Download PDFInfo
- Publication number
- CN115033889B CN115033889B CN202210716028.XA CN202210716028A CN115033889B CN 115033889 B CN115033889 B CN 115033889B CN 202210716028 A CN202210716028 A CN 202210716028A CN 115033889 B CN115033889 B CN 115033889B
- Authority
- CN
- China
- Prior art keywords
- event
- data
- illegal
- call
- detection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 158
- 238000000034 method Methods 0.000 claims abstract description 240
- 230000006870 function Effects 0.000 claims description 89
- 238000000605 extraction Methods 0.000 claims description 21
- 238000012549 training Methods 0.000 claims description 17
- 238000001914 filtration Methods 0.000 claims description 6
- 238000004590 computer program Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 9
- 238000012706 support-vector machine Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 238000007637 random forest analysis Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000003066 decision tree Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000009545 invasion Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
- Telephonic Communication Services (AREA)
Abstract
本公开提供一种非法提权检测方法和装置、存储介质、计算机设备;涉及计算机技术领域。该方法包括:获取第一进程对应的第一事件集合,并基于第一事件集合,确定安全基线信息;获取待检测进程对应的第二事件集合,并基于第二事件集合进行非法提权检测,以获得第二检测结果;所述第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件;基于第二检测结果和安全基线信息,确定待检测进程是否为非法提权操作。本公开可以解决相关技术中非法提权检测的误检率高,检测准确率低的问题。
Description
技术领域
本公开涉及计算机技术领域,具体而言,涉及一种非法提权检测方法和装置、存储介质、计算机设备。
背景技术
提权攻击一般是低权限用户通过设备的硬件漏洞和/或处理器漏洞进行非法提权,将权限提升至高权限,以对计算机***进行安全入侵操作,严重影响***安全。
相关技术中大都通过操作***日志数据进行非法提权判断,存在误检率高、非法提权检测准确率低的问题,因此,如何有效地检测非法提权操作,是该领域亟待解决的技术问题。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开实施例的目的在于提供一种非法提权检测方法和装置、存储介质、计算机设备,进而在一定程度上解决了相关技术中非法提权检测的误检率高,检测准确率低的问题
根据本公开的第一方面,提供了一种非法提权检测方法,所述方法包括:获取第一进程对应的第一事件集合,并基于所述第一事件集合,确定安全基线信息;获取待检测进程对应的第二事件集合,并基于所述第二事件集合进行非法提权检测,以获得第二检测结果;所述第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件;基于第二检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作。
可选地,所述第一事件集合包括第一用户空间函数调用事件和第一内核空间能力调用事件;所述基于所述第一事件集合,确定安全基线信息,包括:对所述第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取,以获得第一特征数据;采用提权检测模型对所述第一特征数据进行检测,获得第一检测结果;基于所述第一检测结果,确定所述安全基线信息;其中,所述提权检测模型为经训练样本集训练获得的,所述训练样本集包括正常提权事件和非法提权事件。
可选地,所述基于所述第二事件集合进行非法提权检测,包括:对所述第二用户空间函数调用事件和第二内核空间能力调用事件进行特征提取,以获得第二特征数据;采用所述提权检测模型对所述第二特征数据进行非法提权检测,以获得第二检测结果。
可选地,所述第一事件集合还包括第一进程标识信息,所述第二事件集合还包括第二进程标识信息,在对所述第一事件集合进行特征提取之前,所述方法还包括:根据时间窗口和所述第一进程标识信息,对所述第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息相关的进程按时间窗口划分为一组;在对所述第二事件集合进行特征提取之前,所述方法还包括:根据时间窗口和所述第二进程标识信息,对所述第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息相关的进程按时间窗口划分为一组。
可选地,所述基于所述第二事件集合进行非法提权检测,包括:提取所述第二事件集合对应的每组数据的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据;采用提权检测模型,对所述进程创建特征数据、所述***调用时序特征数据、所述用户空间函数调用特征数据和所述内核能力调用路径特征数据进行融合,以获得第二检测结果。
可选地,所述基于所述第二检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作,包括:当所述检测结果大于所述安全基线信息,确定所述待检测进程为非法提权操作。
可选地,在基于所述第二事件集合进行非法提权检测之前,所述方法还包括:对所述第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
根据本公开的第二方面,提供了一种非法提权检测装置,所述装置包括:第一确定模块,用于获取第一进程对应的第一事件集合,并基于所述第一事件集合,确定安全基线信息;检测模块,用于获取待检测进程对应的第二事件集合,并基于所述第二事件集合进行非法提权检测,以获得第二检测结果;所述第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件;第二确定模块,用于基于所述检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意一项的方法。
根据本公开的第四方面,提供一种计算机设备,包括:处理器;以及存储器,用于存储处理器的可执行指令;其中,处理器配置为经由执行可执行指令来执行上述任意一项的方法。
本公开示例性实施例可以具有以下部分或全部有益效果:
在本公开示例实施方式所提供的非法提权检测方法中,一方面,通过获取第一进程对应的第一事件集合,并基于所述第一事件集合,确定安全基线信息,根据安全基线信息,确定待检测进程是否为非法提权操作,为非法提权检测结果提供基本参考安全基线,可以降低非法提权检测过程中的误检率,减小***安全维护人员的工作量。另一方面,本公开通过获取待检测进程对应的第二事件集合进行非法提权检测,将用户空间函数调用事件和内核空间能力调用事件相结合,可以通过多个维度的事件数据进行非法提权检测,能够提高检测的准确率。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示意性示出了根据本公开的一个实施例的非法提权检测方法和装置的应用场景示意图。
图2示意性示出了根据本公开的一个实施例的非法提权检测方法的流程示意图。
图3示意性示出了根据本公开的一个实施例的确定安全基线信息的流程示意图。
图4示意性示出了根据本公开的一个实施例的非法提权检测的流程示意图之一。
图5示意性示出了根据本公开的一个实施例的非法提权检测的流程示意图之二。
图6示意性示出了根据本公开的一个实施例的非法提权检测装置的结构框图。
图7示意性示出了根据本公开的一个实施例的示例性计算机设备框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
为了便于理解本公开,对以下名词进行解释。
Capability(简称CAP),是Linux内核的能力概念,能力的引入打破了UNIX/LINUX操作***中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作。
Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,CAP_SETUID表示用户能够修改进程用户身份的特权操作。在Capbilities中***将根据进程拥有的能力来进行特权操作的访问控制。
参考图1,本公开一些实施例中提供的非法提权检测方法及装置的示例性应用环境的***架构100的示意图。如图1所示,***架构100可以包括计算机设备110中的一个或多个和服务器120。网络用以在计算机设备110和服务器120之间提供通信链路的介质。网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。计算机设备110可以是具有显示屏的各种网络设备,包括但不限于台式计算机、便携式计算机、智能手机和平板电脑等等。
服务器120可以是提供各种服务的服务器,例如从计算机设备110获取第一进程对应的第一事件集合;基于第一事件集合,确定安全基线信息;获取待检测进程对应的第二事件集合,并基于第二事件集合进行非法提权检测;基于检测结果和安全基线信息,确定待检测进程是否为非法提权操作。
需要说明的是,服务器120可以是硬件,也可以是软件。当服务器120为硬件时,可以实现成多个服务器组成的分布式服务器集群,也可以实现成单个服务器。当服务器120为软件时,可以实现成多个软件或软件模块,也可以实现成单个软件或软件模块。在此不做具体限定。
应该理解,图1中的计算机设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的计算机设备、网络和服务器。比如服务器120可以是多个服务器组成的服务器集群等。
本公开实施例所提供的非法提权检测方法可以在服务器120执行,相应地,非法提权检测装置一般设置于服务器120中。本公开实施例所提供的非法提权检测方法也可以在计算机设备110中执行,相应地,非法提权检测装置一般设置于计算机设备110中。
参考图2,本公开提供的一个实施例的非法提权检测方法,可以应用于Linux计算机设备,包括以下步骤S210-S230。
步骤S210,获取第一进程对应的第一事件集合,并基于第一事件集合,确定安全基线信息。
在本示例实施方式中,第一进程可以包括常见软件进程中与提权进程类似的进程、正常高权限进程(如root权限进程)或者特殊用户组进程(如具有特殊权限的普通用户组)。例如,第一进程可以包括以下软件运行中与提权进程类似或相关的进程:FTP(FileTransfer Protocol,文件传输协议),SSH(Secure Shell,安全壳协议),KVM(Kernel-BasedVirtual Machines,基于内核的虚拟化设备),VMWare(Virtual Machines Ware,虚拟化计算机软件),Apache,Nginx,Redis数据库,关系型数据库管理***软件MySQL、PostgreSQL,基于内存计算的框架Spark等等软件的进程中。
示例性地,可以通过抓取第一进程的eBPF事件作为第一事件集合,eBPF(ExtendedBerkeley Packet Filter,扩展的伯克利包过滤),可以用于网络包抓取、内核态网络包的快速处理和转发、通过LSM(Linux Security Module,Linux安全模式)的hook点,eBPF可以对Linux内核做安全监控和访问控制。Linux的较高版本内核可以基于eBPF将任何内核函数调用转换成可带任何数据的用户空间事件。
在本示例实施方式中,第一事件集合可以包括第一进程对应的内核空间的函数/能力调用数据(函数/能力调用路径、标识、时间等)、用户空间的调用栈数据(如用户空间调用路径、标识、时间等)、***调用数据(如***调用名称、调用时间)、创建新进程数据(如预定时间内创建的新进程数量、均值等、新进程创建路径、新进程创建时间差)。
在本示例实施方式中,可以采用经训练的随机森林模型或支持向量机来确定第一事件集合对应的安全基线信息。安全基线信息可以动态变化,也可以在一段时间内保持不变,本示例对此不做限定。
步骤S220,获取待检测进程对应的第二事件集合,并基于第二事件集合进行非法提权检测,以获得第二件结果。
在本示例实施方式中,第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件。第二用户空间函数调用事件可以包括待检测进程对应的***调用数据、新进程创建事件的相关数据、调用事件标识信息、该调用事件前后相邻事件的标识信息、函数调用时间信息、该调用事件对应进程标识信息(如进程号)、用户空间执行的函数信息(如函数名)等。第二内核空间能力(Capabilities)调用事件可以包括待检测进程对应的当前能力调用路径信息(可以包括当前调用及其前后调用的相关信息)、当前调用能力的用户信息、当前调用能力的命令、当前调用能力信息(如Linux CAP名称)。
在本示例实施方式中,可以利用随机森林模型和/或支持向量机(如支持向量机)进行非法提权检测。
步骤S230,基于第二检测结果和安全基线信息,确定待检测进程是否为非法提权操作。
在本示例实施方式中,可以比较第二检测结果和安全基线信息,基于比较结果确定待检测进程是否为非法提权操作。当安全基线信息为一个值时,可以将第二检测结果大于安全基线信息的进程确定为非法提权操作。当安全基线信息为一个数值集合时,可以将第二检测结果大于安全基线数值集合的平均值/最大值的进程确定为非法提权操作,也可以设置对安全基线数值集合内的值进行加权处理后与第二检测结果比较来判断是否为非法齐全操作,也可以设置为其他判断条件,本示例对此不做限定。
本公开实施例提供的非法提权检测方法中,一方面,通过获取第一进程对应的第一事件集合,并基于第一事件集合,确定安全基线信息,根据安全基线信息,确定待检测进程是否为非法提权操作,为非法提权检测结果提供基本参考安全基线,可以降低非法提权检测过程中的误检率,减小***安全维护人员的工作量。另一方面,本公开通过获取待检测进程对应的第二事件集合进行非法提权检测,将用户空间函数调用事件和内核空间能力调用事件相结合,可以通过多个维度的事件数据进行非法提权检测,能够提高检测的准确率。
在一些实施例中,参考图3,第一事件集合包括第一用户空间函数调用事件和第一内核空间能力调用事件;基于第一事件集合,确定安全基线信息,包括:对第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取,以获得第一特征数据。
在本示例实施方式中,第一用户空间函数调用事件可以包括第一进程对应的***调用数据、新进程创建事件的相关数据、调用事件标识信息、该调用事件前后相邻事件的标识信息、函数调用时间信息、该调用事件对应进程标识信息(如进程号)、用户空间执行的函数信息(如函数名)等。第一内核空间能力调用事件可以包括第一进程对应的当前能力调用路径信息(可以包括当前调用及其前后调用的相关信息)、当前调用能力的用户信息、当前调用能力的命令、当前调用能力信息(如Linux CAP名称)。可以将部分或全部第一用户空间函数调用事件和第一内核空间能力调用事件中的数据作为第一特征数据,也可以对第一用户空间函数调用事件和第一内核空间能力调用事件中的部分或全部数据进行处理后作为第一特征数据,本示例对此不做限定。
示例性地,第一特征数据可以包括第一进程中的:创建的新进程数量信息(如预设时间内每秒创建新进程数量的最大值、均值、方差等信息)、***调用时序集合(如按时间排列的***调用名称)、用户空间函数调用数据(如当前事件编号、当前事件的前后相邻时间的编号、函数调用时间戳、进程号、用户空间执行的函数名称等、相同子进程的函数调用时间差)、新进程创建路径(如新进程编号、新进程前后相邻进程编号、新进程的父进程标识信息、启动新进程的命令、新进程的执行结果、启动新进程命令的参数、该新进程与同父进程的子进程创建时间差)、能力调用路径(如能力调用进程编号、该能力调用进程的前后相邻进程编号、能力调用用户信息、调用能力的命令、参数、名称等)。
采用提权检测模型对第一特征数据进行检测,获得第一检测结果。
在本示例实施方式中,提权检测模型可以为经训练样本集训练获得的,训练样本集包括正常提权事件和非法提权事件。正常提权事件可以通过运行常见软件、正常高权限进程或特殊提权用户组进程来获取。非法提权事件可以通过抓取的历史非法提权事件或者通过运行恶意提权软件来获取。训练样本集中的数据是经过标记的数据。
示例性地,提权检测模型可以是随机森林模型,可以对训练样本集中的样本进行有放回的随机采样,每次随机选取第一特征数据中的部分特征,对选取的数据进行完全***得到决策树。通过每个决策树的分类结果确定最终结果,可以将每个类别的数量占比作为第一检测结果。
另一示例实施例中,提权检测模型也可以是支持向量机。可以通过函数将第一特征数据对应的特征值映射到高维空间,在高维空间根据每个训练样本对应特征值进行学习生成一个分类器,该分类器可以输出对应的类别概率值,作为第一检测结果。
基于第一检测结果,确定安全基线信息。
在本示例实施方式中,可以将第一检测结果中的最大值作为安全基线信息,也可以选择第一检测结果最大的前几位作为安全基线信息,还可以对第一检测结果的最大值乘以预设安全系数作为安全基线信息,本示例对此不做限定。
在一些实施例中,参考图4,基于第二事件集合进行非法提权检测,包括:对第二用户空间函数调用事件和第二内核空间能力调用事件进行特征提取,以获得第二特征数据。
在本示例实施方式中,第二特征数据可以是与第一特征数据类似的待检测进程对应的数据,即待检测进程中的:新创建进程数、新创建进程李静、用户空间函数调用路径、内核控件能力调用路径、***调用等信息。
采用提权检测模型对第二特征数据进行非法提权检测,以获得第二检测结果。
在本示例实施方式中,对于随机森林模型,可以设置大于预设阈值(如70%)的决策结果为非法提权则确定当前进程为非法提权进程。对于支持向量机,可以设置概率阈值进行判断。
在一些实施例中,第一事件集合还包括第一进程标识信息,第二事件集合还包括第二进程标识信息,在对第一事件集合进行特征提取之前,方法还包括:
根据时间窗口和第一进程标识信息,对第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息相关的进程按时间窗口划分为一组。
在本示例实施方式中,第一进程标识信息可以是第一进程中的父进程号,可以将该父进程号对应的父进程及其子进程的函数调用事件和能力调用事件的相关数据按时间窗口切分为一组。例如,将十分钟内产生的同一父进程号的相关进程(父进程和子进程)的函数调用、能力调用事件相关数据划分为一组数据。
在对第二事件集合进行特征提取之前,方法还包括:
根据时间窗口和第二进程标识信息,对第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息相关的进程按时间窗口划分为一组。
在本示例实施方式中,第二进程标识信息可以是待检测进程中的父进程号,也可以将该父进程号对应的父进程及其子进程的函数调用事件和能力调用事件的相关数据按时间窗口(5-10分钟)切分为一组。
基于以上实施例的分组结果,基于第二事件集合进行非法提权检测,包括:提取第二事件集合对应的每组数据的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据。
在本示例实施方式中,可以对每组数据进行特征提取,以每组数据为单位进行检测,符合进程运行模式,保证结果准确性。
采用提权检测模型,对进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和内核能力调用路径特征数据进行融合,以获得第二检测结果。
在本示例实施方式中,利用提权检测模型中的模型参数将每组数据内的特征数据进行融合,可以融合多个维度的特征,从而提高检测准确率。
在一些实施例中,在基于第二事件集合进行非法提权检测之前,方法还包括:对第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
在本示例实施方式中,可以将受信任的函数调用数据和/或能力调用数据制作成白名单(如函数名称、能力名称即Linux CAP名称等、用户ID),以减少检测过程的数据处理量。
在一些实施例中,参考图5,本公开一个具体实施例的非法提权检测方法可以包括以下步骤。
第一步,获取第一进程对应的第一事件集合。
在本示例中,第一进程可以包括常见软件进程中与提权进程类似的部分和正常的高权限提权进程。第一时间集合可以是进程运行过程中的eBPF事件。
第二步,根据时间窗口和第一进程标识信息,对第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息的数据按时间窗口划分为一组。
在本示例中,可以按照父进程的进程标识信息(如进程ID)进程分组,将一个父进程及其相关的子进程按时序顺序划分为一组,且按时间窗口进行切分,每个时间窗口对应一组数据。
第三步,对分组后的每组第一进程数据进行特征提取,获得第一特征数据。
在本示例中,第一特征数据可以包括第一进程对应的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据。进程创建特征数据可以包括新进程创建路径、数量和相邻创建进程的时间差,当前进程与进程树中相同父进程的子进程的创建时间差。用户空间函数调用特征数据可以包括函数调用路径(当前函数调用事件的编号与前后相邻函数调用事件的编号)和相邻函数调用事件的时间差、用户空间执行函数信息、时间信息、对应进程号等信息。***调用时序特征数据可以包括***调用时间和名称(SYSCALL名称)。能力调用路径特征数据可以包括当前能力调用编号及前后相邻能力调用编号信息,能力调用时间信息、当前调用CAP的进程ID,当前调用CAP的用户ID,当前调用CAP的命令,当前调用CAP名称等信息。
第四步,根据提取的第一特征数据,确定安全基线信息。
在本示例中,可以将第一特征数据输入提权检测模型,再选取输出数据的最大值作为安全基线。
第五步,获取待检测进程的第二事件集合。
在本示例中,可以通过抓取待检进程运行的eBPF事件获得第二事件集合。
第六步,对第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
第七步,根据时间窗口和第二进程标识信息,对第二事件集合进行分组,以使相同第二进程标识信息的数据按时间窗口划分为一组。
第八步,对每组待检测进程数据进行特征提取,以获得相应的进程创建特征数据(创建路径和时间差)、***调用时序特征数据、用户空间函数调用特征数据(调用路径和时间差)和能力调用路径特征数据,即第二特征数据。
第九步,采用提权检测模型对提取的第二特征数据进行检测,以获得第二检测结果。
第十步,判断第二检测结果是否大于安全基线信息,若是,则确定待检测进程为非法提权操作,否则,返回第三步继续监测。
上述实施例中的各个步骤的顺序只是示例性的,可以根据需要对步骤的顺序进行相应调整。例如,可以同时执行第一步和第五步。
本公开通过使用eBPF数据,从实时函数调用过程和CAP能力调用监测数据,融合了新进程创建特征(包括数量和路径)、SYSCALL***调用时序特征、用户空间函数调用特征(包括调用路径和时间差)、进程树对应子进程创建时间差、CAP能力调用特征(包括路径和时间差)等多个维度的特征,能够从多个维度综合辨别正常提权和非法提权的特征,从而提高非法提权操作(如Linux***的异常提权行为)的检测准确率。
本公开通过设置安全基线信息,可以避免特定用户组对特殊服务进程,即具有特殊服务访问权限的普通用户(如具有mysql服务访问权限的普通用户)对特殊服务访问时被误检为非法访问进程的问题,能够有效排除普通用户对特殊服务进程的正常访问调用的情况,从而降低误报率,进一步提高检测准确性。本公开方法的安全基线信息可以进行动态调整,可以实现正常进程行为的灵活管理辨别,极大增强了Linux主机提权的识别能力,保证了主机安全检测能力的稳定、可持续优化。
参见图6,本示例实施方式中还提供了一种非法提权检测装置600,装置600包括:第一确定模块610、检测模块620和第二确定模块630,第一确定模块610用于获取第一进程对应的第一事件集合,并基于第一事件集合,确定安全基线信息;检测模块620,用于获取待检测进程对应的第二事件集合,并基于第二事件集合进行非法提权检测,以获得第二检测结果;第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件;第二确定模块630,用于基于第二检测结果和安全基线信息,确定待检测进程是否为非法提权操作。
在本公开的一个实施例中,第一事件集合包括第一用户空间函数调用事件和第一内核空间能力调用事件;第一确定模块610包括:第一特征提取子模块、第一检测子模块和第一确定子模块,特征提取子模块用于对第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取,以获得第一特征数据;第一检测子模块用于采用提权检测模型对第一特征数据进行检测,获得第一检测结果;第一确定子模块用于基于第一检测结果,确定安全基线信息;其中,提权检测模型为经训练样本集训练获得的,训练样本集包括正常提权事件和非法提权事件。
在本公开的一个实施例中,检测模块620包括第二特征提取子模块和第二检测子模块,第二特征提取子模块用于对第二用户空间函数调用事件和第二内核空间能力调用事件进行特征提取,以获得第二特征数据;第二检测子模块用于采用提权检测模型对第二特征数据进行非法提权检测,以获得第二检测结果。
在本公开的一个实施例中,第一事件集合还包括第一进程标识信息,第二事件集合还包括第二进程标识信息,装置600还包括第一分组模块和第二分组模块,第一分组模块用于在对第一事件集合进行特征提取之前,根据时间窗口和第一进程标识信息,对第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息的数据按时间窗口划分为一组;
第二分组模块用于在对第二事件集合进行特征提取之前,根据时间窗口和第二进程标识信息,对第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息的数据按时间窗口划分为一组。
在本公开的一个实施例中,检测模块620还可以用于:提取第二事件集合对应的每组数据的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据;采用提权检测模型,对进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和内核能力调用路径特征数据进行融合,以获得第二检测结果。
在本公开的一个实施例中,第二确定模块还用于:当第二检测结果大于安全基线信息,确定待检测进程为非法提权操作。
在本公开的一个实施例中,装置600还包括数据过滤模块,数据过滤模块可以用于在基于第二事件集合进行非法提权检测之前,对第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
上述实施例中的非法提权检测装置中涉及的各个模块/单元的具体细节已经在对应的非法提权检测方法中进行了详细的描述,因此此处不再赘述。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备中所包含的;也可以是单独存在,而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该设备执行时,使得该设备实现如下述实施例中的方法。例如,设备可以实现如图2-图5所示的各个步骤等。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
此外,在本公开的示例性实施例中,还提供了一种能够实现上述方法的设备。所属技术领域的技术人员能够理解,本公开的各个方面可以实现为***、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施例、完全的软件实施例(包括固件、微代码等),或硬件和软件方面结合的实施例,这里可以统称为“电路”、“模块”或“***”。
参见图7,图7是本申请实施例提供的一种计算机设备的结构示意图。如图7所示,该计算机设备700包括处理器710、存储器720、输入输出接口730以及通信总线740。处理器710连接到存储器720和输入输出接口730,例如处理器710可以通过通信总线740连接到存储器720和输入输出接口730。处理器710被配置为支持该计算机设备执行图2-图5中非法提权检测方法中相应的功能。该处理器710可以是中央处理器(Central Processing Unit,CPU),网络处理器(Network Processor,NP),硬件芯片或者其任意组合。上述硬件芯片可以是专用集成电路(Application-Specific Integrated Circuit,ASIC),可编程逻辑器件(Programmable Logic Device,PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),现场可编程逻辑门阵列(Field-Programmable Gate Array,FPGA),通用阵列逻辑(Generic Array Logic,GAL)或其任意组合。存储器720用于存储程序代码等。存储器720可以包括易失性存储器(VolatileMemory,VM),例如随机存取存储器(Random Access Memory,RAM);存储器720也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);存储器720还可以包括上述种类的存储器的组合。
该输入输出接口730用于输入或输出数据。
处理器710可以调用上述程序代码以执行以下操作:
获取第一进程对应的第一事件集合,并基于第一事件集合,确定安全基线信息;获取待检测进程对应的第二事件集合,并基于第二事件集合进行非法提权检测,以获得第二检测结果;第二事件集合包括第二用户空间函数调用事件和第二内核空间能力调用事件;基于第二检测结果和安全基线信息,确定待检测进程是否为非法提权操作。
可选的,上述第一事件集合包括第一用户空间函数调用事件和第一内核空间能力调用事件,上述处理器710还可以基于第一事件集合,确定安全基线信息,执行以下操作:对第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取,以获得第一特征数据;采用提权检测模型对第一特征数据进行检测,获得第一检测结果;基于第一检测结果,确定安全基线信息;其中,提权检测模型为经训练样本集训练获得的,训练样本集包括正常提权事件和非法提权事件。
可选的,上述处理器710还可以基于第二事件集合进行非法提权检测,执行以下操作:对第二用户空间函数调用事件和第二内核空间能力调用事件进行特征提取,以获得第二特征数据;采用提权检测模型对第二特征数据进行非法提权检测,以获得第二检测结果。
可选的,上述第一事件集合还包括第一进程标识信息,在对第一事件集合进行特征提取之前,上述处理器710还可以执行以下操作:
根据时间窗口和第一进程标识信息,对第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息的数据按时间窗口划分为一组。
可选地,上述第二事件集合还包括第二进程标识信息,在对第二事件集合进行特征提取之前,上述处理器710还可以执行以下操作:
根据时间窗口和第二进程标识信息,对第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息的数据按时间窗口划分为一组。
可选的,上述处理器710还可以基于检测结果和安全基线信息,执行以下操作:当第二检测结果大于安全基线信息,确定待检测进程为非法提权操作。
可选的,上述处理器710还可以执行以下操作:对第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
需要说明的是,各个操作的实现还可以对应参照图2-图5所示的方法实施例的相应描述;上述处理器710还可以与输入输出接口730配合执行上述方法实施例中的其他操作。
通过以上的实施例的描述,本领域的技术人员易于理解,这里描述的示例实施例可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台设备执行根据本公开实施例的方法。
此外,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
需要说明的是,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等,均应视为本公开的一部分。
应可理解的是,本说明书公开和限定的本公开延伸到文中和/或附图中提到或明显的两个或两个以上单独特征的所有可替代组合。所有这些不同的组合构成本公开的多个可替代方面。本说明书的实施方式说明了已知用于实现本公开的最佳方式,并且将使本领域技术人员能够利用本公开。
Claims (8)
1.一种非法提权检测方法,其特征在于,所述方法包括:
获取第一进程对应的第一事件集合,并基于所述第一事件集合,确定安全基线信息;
获取待检测进程对应的第二事件集合,所述第二事件集合包括第二用户空间函数调用事件、第二内核空间能力调用事件和第二进程标识信息;
根据时间窗口和所述第二进程标识信息,对所述第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息的数据按时间窗口划分为一组;
提取所述第二用户空间函数调用事件和第二内核空间能力调用事件对应的每组数据的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据;
采用提权检测模型,对所述进程创建特征数据、所述***调用时序特征数据、所述用户空间函数调用特征数据和所述能力调用路径特征数据进行融合,以获得第二检测结果;
基于所述第二检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作。
2.根据权利要求1所述的非法提权检测方法,其特征在于,所述第一事件集合包括第一用户空间函数调用事件和第一内核空间能力调用事件;所述基于所述第一事件集合,确定安全基线信息,包括:
对所述第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取,以获得第一特征数据;
采用提权检测模型对所述第一特征数据进行检测,获得第一检测结果;
基于所述第一检测结果,确定所述安全基线信息;
其中,所述提权检测模型为经训练样本集训练获得的,所述训练样本集包括正常提权事件和非法提权事件。
3.根据权利要求2所述的非法提权检测方法,其特征在于,所述第一事件集合还包括第一进程标识信息,在对所述第一用户空间函数调用事件和第一内核空间能力调用事件进行特征提取之前,所述方法还包括:
根据时间窗口和所述第一进程标识信息,对所述第一用户空间函数调用事件和第一内核空间能力调用事件进行分组,以使相同第一进程标识信息的数据按时间窗口划分为一组。
4.根据权利要求1-3任一项所述的非法提权检测方法,其特征在于,所述基于所述第二检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作,包括:
当所述第二检测结果大于所述安全基线信息,确定所述待检测进程为非法提权操作。
5.根据权利要求1所述的非法提权检测方法,其特征在于,在基于所述第二事件集合进行非法提权检测之前,所述方法还包括:
对所述第二事件集合进行数据过滤,以滤除受信任的函数调用数据和/或能力调用数据。
6.一种非法提权检测装置,其特征在于,所述装置包括:
第一确定模块,用于获取第一进程对应的第一事件集合,并基于所述第一事件集合,确定安全基线信息;
检测模块,用于获取待检测进程对应的第二事件集合,所述第二事件集合包括第二用户空间函数调用事件、第二内核空间能力调用事件和第二进程标识信息;所述检测模块还用于根据时间窗口和所述第二进程标识信息,对所述第二用户空间函数调用事件和第二内核空间能力调用事件进行分组,以使相同第二进程标识信息的数据按时间窗口划分为一组;提取所述第二用户空间函数调用事件和第二内核空间能力调用事件对应的每组数据的进程创建特征数据、***调用时序特征数据、用户空间函数调用特征数据和能力调用路径特征数据;采用提权检测模型,对所述进程创建特征数据、所述***调用时序特征数据、所述用户空间函数调用特征数据和所述能力调用路径特征数据进行融合,以获得第二检测结果;
第二确定模块,用于基于所述第二检测结果和所述安全基线信息,确定所述待检测进程是否为非法提权操作。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-5任一项所述的方法。
8.一种计算机设备,其特征在于,包括:处理器;以及
存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1-5任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210716028.XA CN115033889B (zh) | 2022-06-22 | 2022-06-22 | 非法提权检测方法和装置、存储介质、计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210716028.XA CN115033889B (zh) | 2022-06-22 | 2022-06-22 | 非法提权检测方法和装置、存储介质、计算机设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115033889A CN115033889A (zh) | 2022-09-09 |
CN115033889B true CN115033889B (zh) | 2023-10-31 |
Family
ID=83127617
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210716028.XA Active CN115033889B (zh) | 2022-06-22 | 2022-06-22 | 非法提权检测方法和装置、存储介质、计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115033889B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116049817B (zh) * | 2023-01-17 | 2023-09-08 | 安芯网盾(北京)科技有限公司 | 基于Linux内核的实时检测与阻断进程提权方法及装置 |
Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104679593A (zh) * | 2015-03-13 | 2015-06-03 | 浪潮集团有限公司 | 一种基于smp***的任务调度优化方法 |
CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作***强制访问控制方法 |
CN108038049A (zh) * | 2017-12-13 | 2018-05-15 | 西安电子科技大学 | 实时日志控制***及控制方法、云计算***及服务器 |
WO2019033973A1 (zh) * | 2017-08-18 | 2019-02-21 | 阿里巴巴集团控股有限公司 | 防提权检测方法及设备 |
CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
CN111259386A (zh) * | 2018-12-03 | 2020-06-09 | 阿里巴巴集团控股有限公司 | 内核安全检测方法、装置、设备及存储介质 |
CN111291364A (zh) * | 2018-12-07 | 2020-06-16 | 阿里巴巴集团控股有限公司 | 内核安全检测方法、装置、设备及存储介质 |
CN111782416A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 数据上报方法、装置、***、终端及计算机可读存储介质 |
CN113821316A (zh) * | 2021-06-10 | 2021-12-21 | 腾讯科技(深圳)有限公司 | 异常进程的检测方法和装置、存储介质及电子设备 |
CN113868626A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 权限提升漏洞的检测方法、***、计算机可读存储介质 |
CN113987435A (zh) * | 2021-09-26 | 2022-01-28 | 奇安信科技集团股份有限公司 | 非法提权检测方法、装置、电子设备及存储介质 |
CN114143037A (zh) * | 2021-11-05 | 2022-03-04 | 山东省计算中心(国家超级计算济南中心) | 一种基于进程行为分析的恶意加密信道检测方法 |
US11314859B1 (en) * | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
CN114547175A (zh) * | 2022-03-01 | 2022-05-27 | 北京京东振世信息技术有限公司 | 一种数据处理方法、装置、存储介质及计算机*** |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10984098B2 (en) * | 2018-04-06 | 2021-04-20 | Palo Alto Networks, Inc. | Process privilege escalation protection in a computing environment |
-
2022
- 2022-06-22 CN CN202210716028.XA patent/CN115033889B/zh active Active
Patent Citations (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104679593A (zh) * | 2015-03-13 | 2015-06-03 | 浪潮集团有限公司 | 一种基于smp***的任务调度优化方法 |
CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作***强制访问控制方法 |
WO2019033973A1 (zh) * | 2017-08-18 | 2019-02-21 | 阿里巴巴集团控股有限公司 | 防提权检测方法及设备 |
CN108038049A (zh) * | 2017-12-13 | 2018-05-15 | 西安电子科技大学 | 实时日志控制***及控制方法、云计算***及服务器 |
US11314859B1 (en) * | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
CN111259386A (zh) * | 2018-12-03 | 2020-06-09 | 阿里巴巴集团控股有限公司 | 内核安全检测方法、装置、设备及存储介质 |
CN111291364A (zh) * | 2018-12-07 | 2020-06-16 | 阿里巴巴集团控股有限公司 | 内核安全检测方法、装置、设备及存储介质 |
CN111191226A (zh) * | 2019-07-04 | 2020-05-22 | 腾讯科技(深圳)有限公司 | 利用提权漏洞的程序的确定方法、装置、设备及存储介质 |
CN111782416A (zh) * | 2020-06-08 | 2020-10-16 | Oppo广东移动通信有限公司 | 数据上报方法、装置、***、终端及计算机可读存储介质 |
CN113821316A (zh) * | 2021-06-10 | 2021-12-21 | 腾讯科技(深圳)有限公司 | 异常进程的检测方法和装置、存储介质及电子设备 |
CN113987435A (zh) * | 2021-09-26 | 2022-01-28 | 奇安信科技集团股份有限公司 | 非法提权检测方法、装置、电子设备及存储介质 |
CN113868626A (zh) * | 2021-09-29 | 2021-12-31 | 杭州默安科技有限公司 | 权限提升漏洞的检测方法、***、计算机可读存储介质 |
CN114143037A (zh) * | 2021-11-05 | 2022-03-04 | 山东省计算中心(国家超级计算济南中心) | 一种基于进程行为分析的恶意加密信道检测方法 |
CN114547175A (zh) * | 2022-03-01 | 2022-05-27 | 北京京东振世信息技术有限公司 | 一种数据处理方法、装置、存储介质及计算机*** |
Non-Patent Citations (3)
Title |
---|
Additional Kernel Observer to Prevent Privilege Escalation Attacks by Focusing on System Call Privilege Changes;Toshihiro Yamauchi 等;2018 IEEE Conference on Dependable and secure Computing(DSC);全文 * |
Row Hammer漏洞攻击研究;王文伟;刘培顺;;网络与信息安全学报(第01期);第73-79页 * |
一种基于预警信息的漏洞自动化快速防护方法;徐其望;陈震杭;彭国军;张焕国;;信息安全学报(第01期);第78-86页 * |
Also Published As
Publication number | Publication date |
---|---|
CN115033889A (zh) | 2022-09-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9690606B1 (en) | Selective system call monitoring | |
US10176321B2 (en) | Leveraging behavior-based rules for malware family classification | |
US10133866B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
US9838405B1 (en) | Systems and methods for determining types of malware infections on computing devices | |
CN108280350B (zh) | 一种面向Android的移动网络终端恶意软件多特征检测方法 | |
US10007786B1 (en) | Systems and methods for detecting malware | |
US10574700B1 (en) | Systems and methods for managing computer security of client computing machines | |
EP3337106B1 (en) | Identification system, identification device and identification method | |
WO2018017498A1 (en) | Inferential exploit attempt detection | |
WO2024007615A1 (zh) | 模型训练方法、装置及相关设备 | |
US20210334371A1 (en) | Malicious File Detection Technology Based on Random Forest Algorithm | |
CN115033889B (zh) | 非法提权检测方法和装置、存储介质、计算机设备 | |
CN112738094B (zh) | 可扩展的网络安全漏洞监测方法、***、终端及存储介质 | |
CN114598512B (zh) | 一种基于蜜罐的网络安全保障方法、装置及终端设备 | |
JP2023550974A (ja) | イメージ基盤悪性コード検知方法および装置とこれを利用する人工知能基盤エンドポイント脅威検知および対応システム | |
CN109800569A (zh) | 程序鉴别方法及装置 | |
US20210097183A1 (en) | Data scan system | |
US9646157B1 (en) | Systems and methods for identifying repackaged files | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN112769595A (zh) | 异常检测方法、装置、电子设备及可读存储介质 | |
CN112487265A (zh) | 数据处理方法、装置、计算机存储介质及电子设备 | |
CN112035831A (zh) | 一种数据处理方法、装置、服务器及存储介质 | |
US10846405B1 (en) | Systems and methods for detecting and protecting against malicious software | |
US20230359737A1 (en) | System and method of anomaly detection in the behavior of trusted process | |
EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
EE01 | Entry into force of recordation of patent licensing contract | ||
EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20220909 Assignee: Tianyiyun Technology Co.,Ltd. Assignor: CHINA TELECOM Corp.,Ltd. Contract record no.: X2024110000020 Denomination of invention: Methods and devices for detecting illegal claims, storage media, and computer equipment Granted publication date: 20231031 License type: Common License Record date: 20240315 |