用于检测计算机群中企图的网络攻击的方法和模块技术

技术编号：43011572 阅读：13 留言：0更新日期：2024-10-18 17:17

一种用于检测企图的网络攻击的方法，所述方法由计算机(EQ<subgt;n</subgt;)实现，所述攻击利用在所述计算机(EQ<subgt;n</subgt;)的用户空间(USR<subgt;n</subgt;)的进程(p1)中执行的待保护函数(fc1)的漏洞(CVE<subgt;k</subgt;)，所述待保护函数(fc1)的执行的启动导致在所述攻击之前执行内核函数(oper_exec)，所述方法包括以下步骤：‑在所述内核(KER<subgt;n</subgt;)中执行(F_Ex)缓解策略(PG<subgt;k</subgt;)，所述缓解策略(PG<subgt;k</subgt;)与所述内核函数(oper_exec)相关联并且被加载到与所述进程(p1)相关联的内核的命名空间(ENSECURE1)中并且专用于安全性；‑向安全管理服务器(CNode)发送(F_E)包括表示所述进程(p1)的数据的消息(Log<subgt;i</subgt;)。

全部详细技术资料下载

【技术实现步骤摘要】
【国外来华专利技术】

本专利技术涉及保护计算机程序的一般领域。

技术介绍

1、本专利技术更具体地旨在一种用于使用缓解(mitigation)策略来编排(orchestrate)计算机设备基础设施的计算机安全的方法。

2、回想一下，当软件具有漏洞(vulnerability)时，缓解的目的不是纠正继续正常执行的该软件，而是阻止漏洞的影响。例如，如果软件在其经由分组发送函数发送特定分组时具有安全缺陷，则该漏洞的缓解可以在于阻止发送该特定分组的进程。缓解并不消除漏洞，但它使其不可利用。

3、在计算机安全领域中，在地址https://cve.mitre.org/可访问的公共列表中列出了安全缺陷，列表中引用的每个漏洞由唯一cve(公共漏洞和暴露)标识符标识。

4、每年发行数千个cve识别符，且复杂软件可累积数百个cve。

5、因此，管理cve以维持计算机设备群的安全性可能过于复杂。

技术实现思路

1、本专利技术旨在通过检测这些计算机遭受企图的计算机攻击的进程来促进对计算机群的安全管理。因此，本专利技术使得可以加强计算机群的安全性。

2、为此，并且根据第一方面，本专利技术涉及一种由计算机实现的用于检测企图的计算机攻击的方法，所述攻击利用在所述计算机的用户空间的进程中执行的待保护函数的漏洞，待保护函数的执行的启动导致在所述攻击之前执行内核的函数，所述方法包括以下步骤：

3、-在内核中执行缓解策略，缓解策略与所述内核函数相关联并且被加载到与所述进程

4、以及如果所述缓解策略在其执行期间检测到由所述策略支持并以所述待保护函数为目标的攻击向量，则：

5、-向安全管理服务器发送包括表示所述进程的数据的消息。

6、相关地，本专利技术提出了一种用于检测计算机中的企图的计算机攻击的模块，所述攻击利用在所述计算机的用户空间的进程中执行的待保护函数的漏洞，所述待保护函数的执行的启动导致在所述攻击之前执行内核函数，所述模块包括：

7、-执行子模块，被配置为在所述内核中执行缓解策略，所述缓解策略与所述内核函数相关联并且被加载到与所述进程相关联并专用于安全性的内核的命名空间中；

8、-发送子模块，被配置为向安全管理服务器发送包括表示进程的数据的消息，所述发送子模块被配置为如果所述缓解策略检测到由所述策略支持并且以所述待保护函数为目标的攻击向量，则发送所述消息。

9、因此，该方法使得可以识别发生计算机攻击的进程，指定一个或多个指令的计算机攻击使得可能在计算机进程的执行中规避一个或多个安全规则。

10、进程中的缺陷被称为漏洞，该缺陷使得如果被利用，则可能覆盖在其上执行该进程的计算机系统的安全规则。例如，称为“log4shell”的cve-2021-44228漏洞存在于日志记录软件组件log4j中。组件log4j由使用java语言的许多应用使用。该漏洞允许远程攻击者在最严重的情况下通过目标机器执行任意代码。

11、回想一下，命名空间抽象地隔离用于与该命名空间相关联的进程的系统资源的实例。对系统资源的改变对于与命名空间相关联的其他进程是可见的，但是对于其他进程是不可见的。命名空间特别用于实现容器。后续将写成命名空间中的系统资源由该命名空间声明。

12、容器是进程在其上执行的执行环境，容器与一组命名空间相关联，使得可以将这些进程的执行与系统的其余进程相隔离。

13、在一个实施例中，表示进程并被包括在消息中的数据是表示与进程相关联的命名空间的数据。然后，检测进程使得可以识别经历计算机攻击的命名空间，例如容器的命名空间。

14、应当指出，在上述方法的一个具体实施例中，容器仅构成一个非限制性示例。

15、该方法使得可以向安全管理服务器发送标识受攻击进程的命名空间的消息。

16、安全管理服务器尤其可以从实现该相同检测方法的其他计算机接收这样的消息。

17、此外，在该方法的实施例中，发送到安全管理服务器的消息包括攻击所利用的漏洞的标识符。

18、所呈现的方法提出使用在计算机内核中执行的缓解策略。有利地，不需要重新启动内核以使缓解策略有效。

19、根据该方法，加载到内核中的缓解策略的程序是可执行程序。它不是简单的签名或简单的规则集。

20、通过在用户空间中启动待保护函数的执行，直接或间接地触发内核级的缓解策略的执行。

21、例如，缓解策略的执行由待保护函数直接触发，换句话说，由待保护函数本身触发。

22、在另一示例中，缓解策略的执行由待保护函数间接触发，换句话说，由用户空间的另一函数间接触发，该另一个函数的执行通过启动待保护函数的执行来触发。

23、在一个实施例中，缓解策略的执行使得既可以使用该函数检测攻击又可以阻止该攻击。

24、随后，如果攻击由该函数的执行直接或间接触发，则将写成该进程受到攻击，或者该进程在其中执行的容器(或更一般地，命名空间)受到攻击。

25、所描述的方法有利地使得有可能向安全管理服务器报告关于受攻击进程的信息。该信息可以例如标识执行这些进程的容器，或者更一般地标识命名空间。安全管理服务器可以由中央管理员控制。

26、该方法可以有利地应用于计算机群中的多个计算机，这使得可以向安全管理服务器报告关于计算机群中的每个计算机所经历的攻击的信息。

27、在这种情况下，中央管理员具有编排计算机群上的安全性的角色。

28、本专利技术还允许中央管理员避免手动咨询每个计算机的每个管理员以便每个管理员例如手动地和本地地验证给定的漏洞是否影响其机器的软件的需要。

29、根据检测方法的实施方式的一个特定模式，所述缓解策略被加载到专用于安全性并与所述计算机的根进程相关联的命名空间中。

30、实现该检测方法的计算机包括与由计算机容器的命名空间继承的命名空间相关联的根进程。如果在与根进程相关联并专用于安全性的命名空间中声明缓解策略，则与每个容器相关联并专用于安全性的命名空间继承该缓解策略。换句话说，在容器中执行的进程将受到在与根进程相关联的命名空间中声明的缓解策略的保护。

31、该实施例有利地使得自动监视计算机的所有容器成为可能，因为每个容器继承与计算机的根进程相关联的命名空间的缓解策略。

32、因此，对于计算机的任何容器(或者更一般地，对于专用于安全性的任何命名空间)，如果该容器的进程调用待保护函数，则执行缓解策略，并且使得可以检测该容器中是否正在进行攻击。

33、根据本专利技术的实施方式的一个特定模式，检测方法包括以下步骤：

34、-从所述安全管理服务器接收缓解策略标识符；

35、-在计算机的所述内核中安装与所述缓解策略标识符相对应的缓解策略。

36、该实施例有利地允许控制安全管理服务器的中央管理员在计算机群中编排缓解策略的安本文档来自技高网...

【技术保护点】

1.一种由计算机群中的计算机(EQn)实现的用于检测企图的计算机攻击的方法，所述攻击利用在所述计算机(EQn)的用户空间(USRn)的进程(p1)中执行的待保护函数(fc1)的漏洞(CVEk)，所述待保护函数(fc1)的执行的启动导致在所述攻击之前执行内核的函数(oper_exec)，所述方法包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，所述待保护函数(fc1)的执行导致所述用户空间(USRn)的另一函数(exec)的执行，所述另一函数(exec)导致所述内核的函数(oper_exec)的执行。

3.根据权利要求1或2所述的方法，其中，所述缓解策略(PGk)被加载到专用于安全性并与所述计算机(EQn)的根进程相关联的命名空间(ENSECURE0)中。

4.根据权利要求1至3中任一项所述的方法，其中，所述安全服务器(CNode)被配置为将所述缓解策略标识符发送到所述计算机群的多个计算机。

5.根据权利要求1至4中任一项所述的方法，其中，所述安装步骤(F_I)包括以下子步骤：

6.根据权利要求1至5中任一项所述的

7.根据权利要求1至6中任一项所述的方法，其中，所述至少一个消息(Logi)包括以下中的至少一条信息：

8.一种由安全管理服务器(CNode)实现的识别方法，用于识别对计算机群中的至少一个计算机(EQn)的企图的计算机攻击，所述攻击利用在所述计算机的用户空间中执行的待保护函数(fc1)的漏洞(CVEk)，所述方法包括以下步骤：

9.根据权利要求8所述的方法，包括向所述计算机群中的多个计算机发送所述缓解策略的所述标识符的步骤。

10.一种用于检测(MDETn)计算机群中的计算机(EQn)中的企图的计算机攻击的模块，所述攻击利用在所述计算机(EQn)的用户空间(USRn)的进程(p1)中执行的待保护函数(fc1)的漏洞(CVEk)，所述待保护函数(fc1)的执行的启动导致在所述攻击之前执行内核函数(oper_exec)，所述模块包括：

11.一种识别模块(MIDA)，所述识别模块(MIDA)能够由安全管理服务器(CNode)实现，所述模块(MIDA)被配置为识别对计算机群中的至少一个计算机(EQn)的企图的计算机攻击，所述攻击利用在所述计算机的用户空间中执行的待保护函数(fc1)的漏洞(CVEk)，所述模块(MIDA)包括：

12.一种包括指令的计算机程序，当所述程序由计算机执行时，所述指令使所述计算机实现根据权利要求1至9中任一项所述的方法。

13.一种计算机程序的记录介质，所述计算机程序可由计算机(EQn)和/或服务器(CNode)读取，所述计算机程序包括用于执行根据权利要求1至9中至少任一项所述的方法的步骤的指令。

...

【技术特征摘要】
【国外来华专利技术】

1.一种由计算机群中的计算机(eqn)实现的用于检测企图的计算机攻击的方法，所述攻击利用在所述计算机(eqn)的用户空间(usrn)的进程(p1)中执行的待保护函数(fc1)的漏洞(cvek)，所述待保护函数(fc1)的执行的启动导致在所述攻击之前执行内核的函数(oper_exec)，所述方法包括以下步骤：

2.根据权利要求1所述的方法，其特征在于，所述待保护函数(fc1)的执行导致所述用户空间(usrn)的另一函数(exec)的执行，所述另一函数(exec)导致所述内核的函数(oper_exec)的执行。

3.根据权利要求1或2所述的方法，其中，所述缓解策略(pgk)被加载到专用于安全性并与所述计算机(eqn)的根进程相关联的命名空间(ensecure0)中。

4.根据权利要求1至3中任一项所述的方法，其中，所述安全服务器(cnode)被配置为将所述缓解策略标识符发送到所述计算机群的多个计算机。

5.根据权利要求1至4中任一项所述的方法，其中，所述安装步骤(f_i)包括以下子步骤：

6.根据权利要求1至5中任一项所述的方法，其中，响应于所述内核(kern)向所述用户空间(usrn)发送(f_e1)信号以便通知对所述攻击向量的所述检测，从所述用户空间(usrn)实现向所述安全管理服务器(cnode)发送(f_e)所述至少一个消息(logi)的所述步骤。

7.根据权利要求1至6中任一项所述的方法，其中，所述至少一个消息(logi)包括以下...

【专利技术属性】
技术研发人员：M·贝莱尔，S·拉涅普斯，A·欧鲁，
申请(专利权)人：奥兰治，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人