Linux环境下检测进程提权方法、装置、电子设备及介质制造方法及图纸

技术编号：41496559 阅读：19 留言：0更新日期：2024-05-30 14:40

本发明专利技术提供了一种Linux环境下检测进程提权方法、装置、电子设备及非易失性计算机存储介质，能够及时高效地检测出基于动态链接器劫持这种方式来进行非法提权的行为，并能对该非法行为进行阻止，从而保护系统安全。上述Linux环境下检测进程提权方法包括：S101.开启监控线程，监控与加载共享库相关的配置文件和环境变量；S102.判断配置文件或环境变量是否被修改，若是，则进入S103，若否，则返回S101；S103.获取目标进程的进程信息，目标进程是修改配置文件或环境变量的进程；S104.依据进程信息判断目标进程是否合法，若是，则返回S101，若否，则中断目标进程。上述方法用于检测提权行为是否合法。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及信息安全，特别涉及一种linux环境下检测进程提权方法、装置、电子设备及非易失性计算机存储介质。

技术介绍

1、当发生网络入侵时，攻击者往往会进行提权操作以便能够执行后续的恶意操作，所谓提权指的是低权限用户利用各种合法的或非法的手段获取到了高于本用户的系统权限，因此如果能够及时检测到非法的提权操作就能阻止攻击者的恶意行为，保护系统安全。

2、现有的提权检测方法大多是通过扫描进程树中各进程的权限从而判断是否有提权行为发生，进而判断该提权行为是否合法。但对于一些提权操作，通过扫描进程树的检测方式通常也无法有效的识别提权是否合法。因此，能够及时有效地检测出非法提权行为成为亟需解决的问题。

技术实现思路

1、为了解决上述问题，本专利技术实施例提供了一种linux环境下检测进程提权方法、装置、电子设备及非易失性计算机存储介质，通过监测加载共享库时所需的配置文件或环境变量是否发生更改，进而判断更改配置文件或环境变量的进程是否合法，以检测是否发生非法提权行为。

2、第一方面，本专利技术的一些实施例提供了一种linux环境下检测进程提权方法，包括如下步骤：

3、s101.开启监控线程，监控与加载共享库相关的配置文件和环境变量；

4、s102.判断所述配置文件或所述环境变量是否被修改，若是，则进入s103；若否，则返回s101；

5、s103.获取目标进程的进程信息，所述目标进程是修改所述配置文件或所述环境变量的进程；

6、s104.依据所述进程信息判断所述目标进程是否合法，若是，则返回s101；若否，则进入s105；

7、s105.通过监控线程取出所述目标进程的进程树，发送指令中断所述进程树中的相关进程，所述相关进程包括所述目标进程的父、子进程及关联进程。

8、s106.删除所述配置文件或所述环境变量中添加的共享库文件。

9、优选地，中断所述目标进程，包括：通过所述监控线程取出所述目标进程的进程树，发送指令中断所述进程树中的相关进程，所述相关进程包括所述目标进程的父、子进程及关联进程。

10、优选地，在所述中断所述目标进程之后，还包括：校验所述目标进程的映像文件的md5值，基于所述md5值在md5黑名单中，删除所述目标进程映像文件；所述md5黑名单为不受信任的md5值的集合。

11、优选地，在所述中断所述目标进程之后，还包括：删除所述配置文件或所述环境变量中添加的共享库文件。

12、优选地，所述配置文件为/etc/ld.so.preload文件，所述环境变量为ld_preload。

13、优选地，所述进程信息包括pid和进程名。

14、优选地，所述判断所述目标进程是否合法，包括：判断所述目标进程是否属于白名单进程，所述白名单进程是受信任进程的进程名集合。

15、第二方面，本专利技术的一些实施例提供了一种linux环境下检测进程提权装置，包括：监控模块、判断模块和获取模块。所述监控模块被配置为开启监控线程，监控与加载共享库相关的配置文件和环境变量。所述判断模块被配置为判断所述配置文件或所述环境变量是否被修改。所述获取模块被配置为基于所述配置文件或所述环境变量被修改，获取目标进程的进程信息；所述目标进程是修改所述配置文件或所述环境变量的进程。所述判断模块还被配置为依据所述进程信息判断所述目标进程是否合法，以及基于所述目标进程不合法，中断所述目标进程。

16、第三方面，本专利技术的一些实施例提供了一种电子设备，所述电子设备包括：处理器和存储器，存储器中存储有可执行代码，处理器执行存储器中存储的可执行代码时实现上述公开的linux环境下检测进程提权方法。

17、第四方面，本专利技术的一些实施例提供了一种非易失性计算机存储介质，用于存储计算机程序；计算机程序被处理器执行时实现上述公开的linux环境下检测进程提权方法。

18、本专利技术实施例所提供的linux环境下检测进程提权方法、装置、电子设备及非易失性计算机存储介质，通过监控与加载共享库相关的配置文件和环境变量是否发生更改，进而判断更改配置文件或环境变量的进程是否合法，及时发现攻击者利用linux内置的命令或函数设置环境变量并通过动态链接器加载环境变量和配置文件中指定的共享库来执行他们的恶意负载，能够及时高效地检测出基于动态链接器劫持这种方式来进行非法提权的行为，并能对该非法行为进行阻止，从而保护系统安全。

本文档来自技高网...

【技术保护点】

1.一种Linux环境下检测进程提权方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述中断所述目标进程，包括：

3.根据权利要求1所述的方法，其特征在于，在所述中断所述目标进程之后，还包括：

4.根据权利要求1所述的方法，其特征在于，在所述中断所述目标进程之后，还包括：

5.根据权利要求1所述的方法，其特征在于，所述配置文件为/etc/ld.so.preload文件，所述环境变量为LD_PRELOAD。

6.根据权利要求1所述的方法，其特征在于，所述进程信息包括pid和进程名。

7.根据权利要求1-6中任一项所述的方法，其特征在于，所述判断所述目标进程是否合法，包括：

8.一种Linux环境下检测进程提权装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：

10.一种非易失性计算机存储介质，其特征在于，其上存储有计算机指令，所述计算机指令在被执行时实现如权利要求1-7任一项所述的Linux环境下检测进程提权方法。

【技术特征摘要】

1.一种linux环境下检测进程提权方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述中断所述目标进程，包括：

3.根据权利要求1所述的方法，其特征在于，在所述中断所述目标进程之后，还包括：

4.根据权利要求1所述的方法，其特征在于，在所述中断所述目标进程之后，还包括：

5.根据权利要求1所述的方法，其特征在于，所述配置文件为/etc/ld.so.preload文件，所述环境变量为ld_preload。

【专利技术属性】
技术研发人员：林皓，毕永东，朱海贵，杨泳，王海波，
申请(专利权)人：北京北信源软件股份有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人