提权检测方法、装置、电子设备及存储介质制造方法及图纸

本申请提供一种提权检测方法、装置、电子设备及存储介质，方法包括：通过回调机制获取目标事件发生时，导致该目标事件发生的进程的特征信息；所述特征信息为与所述进程的权限相关的信息；根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。通过本申请的方案，实现了基于事件的提权的检测，所有事件监控与信息获取都是通过系统提供的回调机制来实现，不易绕开，且检测可靠性高、稳定性高。稳定性高。稳定性高。

【技术实现步骤摘要】
提权检测方法、装置、电子设备及存储介质


[0001]本申请涉及信息安全
，具体而言，涉及一种提权检测方法、装置、电子设备及存储介质。

技术介绍

[0002]Windows漏洞往往危害巨大，攻击者可以利用Windows漏洞进行提权(即提升权限)，从而窃取系统中的高价值数据，甚至可能直接远程控制系统，从而造成重大财产损失。
[0003]目前，针对利用Windows漏洞提升权限进行攻击的方式，通常都是通过检测系统中存在的Windows漏洞，进而通过对漏洞打补丁的方式进行防护的。但是，漏洞检测技术往往依赖于已有的漏洞库，对于新出现的漏洞或者还未发现的漏洞所造成的攻击无法进行有效的防护。

技术实现思路

[0004]本申请实施例的目的在于提供一种提权检测方法、装置、电子设备及计算机可读存储介质，用以检测出系统中存在的非法提升权限的事件，提高系统安全性。
[0005]本申请实施例提供了一种提权检测方法，包括：通过回调机制获取目标事件发生时，导致该目标事件发生的进程的特征信息；所述特征信息为与所述进程的权限相关的信息；根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。
[0006]在上述实现方式中，通过回调机制获取目标事件发生时，与导致该目标事件发生的进程的权限相关的特征信息，进而基于该特征信息可以有效实现对于目标事件中是否存在非法提升权限的情况的确定。上述实现方式中，实现了基于事件的提权(即利用系统漏洞提升权限进行攻击的方式)的检测，不易绕开，且检测可靠性高，且由于是基于系统提供的回调机制即实现的事件监听与信息获取，因此不会引入影响系统稳定性的因素，不会造成系统的不稳定。
[0007]进一步地，所述目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种，所述特征信息包括所述进程的令牌；
[0008]所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，包括：检测在预设的令牌列表中是否存在所述进程的目标令牌；若存在所述进程的目标令牌，且所述进程的令牌与所述令牌列表中的目标令牌地址一致，则检测所述令牌中的权限项是否被包含于所述目标令牌中的权限项内；若所述令牌中的权限项被包含于所述目标令牌中的权限项内，则确定所述目标事件中存在非法提升权限的情况。
[0009]针对进程创建事件、进程打开事件、文件操作事件、注册表操作事件、远程过程调用事件，这些事件中攻击者往往是利用Windows漏洞提升导致该事件发生的进程的权限，从而造成受害者的损失。为此，在上述实现方式中，通过获取进程的令牌(即token)，通过从预设的令牌列表中查找出与该进程的令牌结构相同的目标令牌，由于进程的令牌中携带有表征进程权限的数据，因此通过比较进程的令牌的内容和目标令牌的内容是否一致，即可确
定出进程的权限是否被非法提升。该检测方式简单、可靠，可以针对进程创建事件、进程打开事件、文件操作事件和注册表操作事件准确识别出导致该事件发生的进程是否被非法提升了权限，从而达到准确检测出已有的提权的效果。
[0010]进一步地，所述目标事件为进程打开事件，所述特征信息还包括所述进程的强制策略；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，还包括：根据所述令牌从预设的初始强制策略集合中查找出与所述令牌对应的初始强制策略；若所述进程的强制策略与所述初始强制策略不一致，确定所述目标事件中存在非法提升权限的情况。
[0011]经专利技术人研究发现，对于进程打开事件，进程除了可能直接被修改权限外，也可能是通过修改强制策略的方式达到非法提权的效果，为此，在上述实现方式中，通对比对获取到的该进程实际的强制策略和该进程初始的强制策略(即初始强制)，从而确定出该进程的强制策略是否被篡改，若该进程的强制策略被篡改，则可以确定出该进程被非法提权，从而对于进程打开事件，达到准确检测出已有的提权的效果。
[0012]进一步地，所述目标事件为进程打开事件，所述特征信息还包括所述进程的句柄地址和先前模式；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，还包括：若所述进程的句柄地址为用户态地址，且所述进程的先前模式为内核模式，确定所述目标事件中存在非法提升权限的情况。
[0013]经专利技术人研究发现，对于进程打开事件，进程除了可能直接被修改权限外，也可能是通过修改进程的先前模式(先前模式是指进程的来源，先前模式为用户模式即表明进程是在用户态中创建的，先前模式为内核模式即表明进程是在内核态中创建的)的方式达到非法提权的效果，为此，在上述实现方式中，通过检测进程的句柄地址和先前模式，若进程的句柄地址为用户态地址，但进程的先前模式为内核模式，则表明该进程的先前模式的值被修改了，从而存在非法提升权限的情况，达到准确检测出已有的提权的效果。
[0014]进一步地，所述目标事件为进程打开事件，所述特征信息包括所述进程的句柄地址和完整性级别；在所根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况之前，所述方法还包括：拦截所述进程打开事件；确定所述句柄地址不为内核态地址，且所述进程的完整性级别低于预设级别阈值。
[0015]进一步地，所述方法还包括：若所述句柄地址为所述内核态地址，或者所述进程的完整性级别高于或等于所述预设级别阈值，则允许所述进程打开事件执行。
[0016]可以理解，若句柄地址为内核态地址，即表明该进程是在内核态运行的进程，本身就具有系统的最高权限，因此不可能再进行权限提升了，因此无需进行权限提升检测；类似的，对于完整性级别高于或等于预设级别阈值的进程，可以认为其并不存在权限提升的可能，故可以不再进行权限提升检测，而是直接允许该进程打开事件执行，这样就可以实现对于需进行提权检测的进程打开事件的过滤，从而节省计算开销。
[0017]进一步地，所述目标事件为创建硬链接文件事件，所述特征信息包括所述硬链接所链接的文件的安全描述符；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，包括：根据所述安全描述符判断所述进程是否具有所述文件的写权限；若所述进程具有所述文件的写权限，确定所述目标事件中不存在非法提升权限的情况；若所述进程不具有所述文件的写权限，确定所述目标事件中存在非法提升权限的情况。
[0018]在上述实现方式中，基于硬链接所链接的文件的安全描述符可以快速确定出当前进程是否具有该文件的写权限。而通常情况下，进行硬链接的文件应当给予进程写权限，以便进程对当前所操作的文件进行修改后，可以同步修改该文件中的硬链接所连接的文件。因此，通过判断该进程是否具有硬链接所链接的文件的写权限，就可以很容易且快速地确定出硬链接所链接的文件是否被非法提升了权限，实现对于硬链接的提权检测。
[0019]进一步地，所述目标事件为创建软链接文件事件，所述特征信息包括所述软链接的挂载点名称；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，包括：根据所述挂载点名称判断所述软链接所链接本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种提权检测方法，其特征在于，所述方法包括：通过回调机制获取目标事件发生时，导致该目标事件发生的进程的特征信息；所述特征信息为与所述进程的权限相关的信息；根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况。2.如权利要求1所述的提权检测方法，其特征在于，所述目标事件包括进程创建事件、进程打开事件、文件操作事件、注册表操作事件和远程过程调用事件中的任意一种，所述特征信息包括所述进程的令牌；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，包括：检测在预设的令牌列表中是否存在所述进程的目标令牌；若存在所述进程的目标令牌，且所述进程的令牌与所述令牌列表中的目标令牌地址一致，则检测所述令牌中的权限项是否被包含于所述目标令牌中的权限项内；若所述令牌中的权限项被包含于所述目标令牌中的权限项内，则确定所述目标事件中存在非法提升权限的情况。3.如权利要求2所述的提权检测方法，其特征在于，所述目标事件为进程打开事件，所述特征信息还包括所述进程的强制策略；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，还包括：根据所述令牌从预设的初始强制策略集合中查找出与所述令牌对应的初始强制策略；若所述进程的强制策略与所述初始强制策略不一致，确定所述目标事件中存在非法提升权限的情况。4.如权利要求2所述的提权检测方法，其特征在于，所述目标事件为进程打开事件，所述特征信息还包括所述进程的句柄地址和先前模式；所述根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况，还包括：若所述进程的句柄地址为用户态地址，且所述进程的先前模式为内核模式，确定所述目标事件中存在非法提升权限的情况。5.如权利要求1所述的提权检测方法，其特征在于，所述目标事件为进程打开事件，所述特征信息包括所述进程的句柄地址和完整性级别；在所根据所述特征信息确定所述目标事件中是否存在非法提升权限的情况之前，所述方法还包括：拦截所述进程打开事件；确定所述句柄地址不为内核态地址，且所述进程的完整性级别低于预设级别阈值。6.如权利要求5所述的提权检测方法，其特征在于，所述方法还包括：若所述句柄地址为所述内核态地址，或者所述进程的完整性级别高于或等于所述预设级别阈值，则允许所述进程打开事件执行。7.如权利要求1所述的提权检测方法，其特征在于，...

【专利技术属性】
技术研发人员：王明广，王丹阳，郭夏宾，罗科斌，
申请(专利权)人：奇安信安全技术珠海有限公司，
类型：发明
国别省市：