本發(fā)明涉及訪問控制領(lǐng)域，尤其涉及一種用于注入漏洞抑制的進(jìn)程分析和控制方法。

背景技術(shù)：

1、關(guān)于注入漏洞抑制的問題，許多研究旨在研究如何檢測漏洞并實(shí)施保護(hù)機(jī)制。但是隨著技術(shù)的發(fā)展和新軟件的發(fā)布，注入漏洞數(shù)量不斷增加。并且，其利用方式多樣導(dǎo)致攻擊難以預(yù)測。即使對漏洞進(jìn)行修補(bǔ)，也會存在漏洞修補(bǔ)不完全的情況。這意味這很難開發(fā)足夠的安全驗(yàn)證技術(shù)以完全抵御漏洞。當(dāng)前，漏洞的防御高度依賴補(bǔ)丁，但是漏洞的出現(xiàn)與補(bǔ)丁的發(fā)布通常存在時間差?，F(xiàn)實(shí)中，在補(bǔ)丁發(fā)布之前，漏洞存在的應(yīng)用或系統(tǒng)常需持續(xù)運(yùn)行。因此，亟需更有效的方法來減少利用在注入漏洞產(chǎn)生攻擊的影響。

2、基于訪問控制的最小化權(quán)限能有效防止注入漏洞攻擊。進(jìn)程作為程序執(zhí)行的實(shí)體，是系統(tǒng)行為的核心。通過精確調(diào)控惡意進(jìn)程而不影響正常進(jìn)程，可以實(shí)現(xiàn)細(xì)粒度的控制，同時減小漏洞抑制對系統(tǒng)可用性的影響。為了實(shí)現(xiàn)這一目標(biāo)，監(jiān)測進(jìn)程行為以及時檢測受到注入代碼影響的惡意進(jìn)程并采取合適的控制十分重要。但是這個方法存在兩個困難。第一，系統(tǒng)中存在大量進(jìn)程，會產(chǎn)生大量的系統(tǒng)調(diào)用日志。監(jiān)測和分析進(jìn)程行為會造成很大的開銷影響系統(tǒng)性能。第二，進(jìn)程標(biāo)識符（pid）是動態(tài)分配的。這使得每次攻擊過程的預(yù)測變得復(fù)雜。此外，配置pid的文件在進(jìn)程執(zhí)行過程中被內(nèi)核鎖定，這使進(jìn)程調(diào)控變得復(fù)雜。

3、ebpf是一種數(shù)據(jù)包過濾技術(shù)，能安全地在內(nèi)核事件和用戶程序事件發(fā)生時注入代碼，從而控制內(nèi)核。代碼會通過鉤子加載到內(nèi)核函數(shù)中執(zhí)行，確保了內(nèi)核運(yùn)行的安全。通過ebpf，可以限制進(jìn)程行為，即使漏洞被利用后也無法獲得執(zhí)行攻擊地權(quán)限，從而抑制漏洞。ebpf允許動態(tài)添加和執(zhí)行自定義程序代碼片段，從而能夠觀察、攔截和修改內(nèi)核和應(yīng)用程序的行為。ebpf已被廣泛用于各種安全任務(wù)，包括審計(jì)、監(jiān)控和跟蹤。

4、總地來說，現(xiàn)有方法對注入漏洞的防御停留在檢測并禁用漏洞程序，缺少合適的調(diào)控方法，通過訪問控制最小化權(quán)限抑制攻擊又沒有考慮對系統(tǒng)可用性的影響。

5、目前，注入漏洞的抑制可以被分為三種方法：1.針對漏洞程序增加補(bǔ)??；2.通過異常檢測發(fā)現(xiàn)攻擊；3.通過訪問控制策略最小化權(quán)限以增加攻擊者利用漏洞產(chǎn)生攻擊的難度。在實(shí)際情況中，系統(tǒng)可能無法及時獲取漏洞補(bǔ)丁或由于為了軟件或服務(wù)的持續(xù)運(yùn)行，不能及時更新版本。因此，需要更加有效的方法降低攻擊產(chǎn)生的影響。

6、許多異常檢測工作都是基于審計(jì)日志分析完成的。米拉杰迪等人利用審計(jì)日志生成一個多層次圖，實(shí)時提取攻擊者的操作，以分析apt攻擊的相同目標(biāo)。此外，他還對比由網(wǎng)絡(luò)威脅情報（cti）相關(guān)性構(gòu)建的查詢圖和由內(nèi)核審計(jì)日志記錄構(gòu)建的來源圖之間的相似性。王琦等人通過捕捉惡意軟件中惡意進(jìn)程與底層操作系統(tǒng)的交互，來檢測明顯偏離正常行為的行為。這些方法都旨在檢測并阻止攻擊，但是由于相同的漏洞利用方式不同會導(dǎo)致不同的攻擊，這就需要實(shí)時分析和準(zhǔn)確判斷。

7、現(xiàn)有的訪問控制相關(guān)研究大多是基于審計(jì)日志中的攻擊行為修改策略，這可能影響系統(tǒng)的可用性。王若文等人運(yùn)用機(jī)器學(xué)習(xí)模型，對從seandroid審計(jì)日志收集的訪問向量緩存（avc）進(jìn)行分類，并提出了一種半監(jiān)督學(xué)習(xí)方法來改進(jìn)訪問控制策略。項(xiàng)程程等人通過監(jiān)視訪問控制行為檢測管理員意外的訪問策略更改，從而避免過度授權(quán)。沈冰余等人通過改進(jìn)軟件日志消息幫助系統(tǒng)管理員確定位置，并在不過度授權(quán)的情況下分析和修復(fù)拒絕訪問的問題。還有以無監(jiān)督學(xué)習(xí)算法學(xué)習(xí)日志中的模式，從系統(tǒng)訪問日志中自動學(xué)習(xí)基于屬性的訪問控制策略。這些研究通過調(diào)節(jié)訪問控制策略增加系統(tǒng)的安全性，但是策略根據(jù)進(jìn)程的可執(zhí)行文件路徑進(jìn)行標(biāo)記，無法實(shí)現(xiàn)基于動態(tài)分配的pid對進(jìn)程進(jìn)行細(xì)粒度調(diào)控。

8、綜上所述，雖然當(dāng)前的注入漏洞抑制方法主要是基于審計(jì)日志分析進(jìn)程行為并進(jìn)行合理調(diào)控，但是仍缺乏一種低消耗的進(jìn)程行為分析和基于pid的進(jìn)程調(diào)控方法。

技術(shù)實(shí)現(xiàn)思路

1、針對現(xiàn)有技術(shù)存在的缺點(diǎn)，本發(fā)明旨在設(shè)計(jì)一種用于注入漏洞抑制的進(jìn)程分析和控制方法，通過分析審計(jì)日志中記錄的進(jìn)程行為盡早識別惡意進(jìn)程并對其進(jìn)行細(xì)粒度調(diào)控，從而減小漏洞抑制對系統(tǒng)可用性的影響。用于注入漏洞抑制的進(jìn)程分析和控制方法，包括以下步驟：s210，從提前收集的多條審計(jì)日志中，根據(jù)系統(tǒng)調(diào)用提取進(jìn)程行為，通過正常進(jìn)程和惡意進(jìn)程的行為模式之間的區(qū)別，識別惡意進(jìn)程；s220，擴(kuò)展柏克萊封包過濾器ebpf預(yù)先設(shè)置linux安全模塊鉤子，由linux安全模塊鉤子根據(jù)s210中的惡意進(jìn)程識別結(jié)果進(jìn)行檢查，比較行為模式，并從中識別異常的行為模式，從而獲取應(yīng)被禁止的權(quán)限，以控制進(jìn)程執(zhí)行。

2、有益效果：

3、根據(jù)本發(fā)明技術(shù)方案，有效識別受到注入代碼影響的惡意進(jìn)程，對識別的進(jìn)程進(jìn)行精準(zhǔn)調(diào)控，采取更加細(xì)粒度的進(jìn)程調(diào)控方式，可以確保其它程序的功能得到維護(hù)，并且程序生成的其它正常進(jìn)程不受注入代碼的影響，可以繼續(xù)運(yùn)行而不會中斷。通過這種方式，實(shí)現(xiàn)了在抑制注入漏洞的同時，最大限度地減少對系統(tǒng)可用性的影響。

技術(shù)特征：

1.一種用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，惡意進(jìn)程識別結(jié)果包括惡意進(jìn)程的進(jìn)程標(biāo)識符pid，且在步驟s210中，識別到惡意進(jìn)程后，將其pid動態(tài)傳參至調(diào)用鉤子的程序。

3.根據(jù)權(quán)利要求1所述的用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，步驟s210中識別惡意進(jìn)程的過程包括：

4.根據(jù)權(quán)利要求1所述的用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，步驟s220中的控制進(jìn)程執(zhí)行包括：

5.根據(jù)權(quán)利要求4所述的用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，以上所述的使進(jìn)程標(biāo)識符pid與相關(guān)權(quán)限的標(biāo)志有關(guān)包括：根據(jù)進(jìn)程標(biāo)識符pid寫入禁止令，使該禁止令與相關(guān)權(quán)限的標(biāo)志有關(guān)。

技術(shù)總結(jié)
本發(fā)明提供一種用于注入漏洞抑制的進(jìn)程分析和控制方法，其特征在于，包括以下步驟：S210，從提前收集的多條審計(jì)日志中，根據(jù)系統(tǒng)調(diào)用提取進(jìn)程行為，通過正常進(jìn)程和惡意進(jìn)程的行為模式之間的區(qū)別，識別惡意進(jìn)程；S220，擴(kuò)展柏克萊封包過濾器eBPF預(yù)先設(shè)置Linux安全模塊鉤子，由Linux安全模塊鉤子根據(jù)S210中的惡意進(jìn)程識別結(jié)果進(jìn)行檢查，比較行為模式，并從中識別異常的行為模式，從而獲取應(yīng)被禁止的權(quán)限，以控制進(jìn)程執(zhí)行。根據(jù)本發(fā)明技術(shù)方案，實(shí)現(xiàn)了在抑制注入漏洞的同時，最大限度地減少對系統(tǒng)可用性的影響。

技術(shù)研發(fā)人員：于愛民,王涵鈺,肖麗芳,孟丹
受保護(hù)的技術(shù)使用者：中國科學(xué)院信息工程研究所
技術(shù)研發(fā)日：
技術(shù)公布日：2024/9/9