系統(tǒng)漏洞攻擊的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及漏洞檢測領(lǐng)域，具體而言，涉及一種系統(tǒng)漏洞攻擊的檢測方法及裝置。
【背景技術(shù)】
[0002]提權(quán)漏洞可使黑客入侵系統(tǒng)時，獲得系統(tǒng)的最高權(quán)限，從而取得對服務器的控制權(quán)。黑客利用該提權(quán)漏洞能輕松突破常用的驅(qū)動防火墻，并繞過絕大多數(shù)主動防御軟件，直接威脅到計算機用戶的信息安全。
[0003]簡單地說，提權(quán)漏洞就是說一個本來非常低權(quán)限、受限制很多的用戶，提升到系統(tǒng)中至高無上的權(quán)限(如管理員權(quán)限)，權(quán)限控制是系統(tǒng)安全的基石，也是一切安全軟件的基石，一旦這道門檻被突破，任何防御措施都是無效的。提權(quán)攻擊即為，黑客可利用系統(tǒng)的提權(quán)漏洞提升自身權(quán)限，黑客可以從最低權(quán)限直接攻擊到系統(tǒng)內(nèi)核中，甚至繞過系統(tǒng)的用戶權(quán)限控制對系統(tǒng)進行攻擊，一旦黑客的權(quán)限提升至系統(tǒng)的最高權(quán)限(如管理員權(quán)限)，則黑客可以操作系統(tǒng)內(nèi)的任何文件，黑客可以種植木馬、控制機器、對系統(tǒng)內(nèi)的任何文件進行操作，使得系統(tǒng)處于非常不安全的狀態(tài)。
[0004]在現(xiàn)有技術(shù)中，可以通過數(shù)據(jù)分析發(fā)現(xiàn)提權(quán)攻擊，具體地，可以收集系統(tǒng)進程的數(shù)據(jù)，將收集到的數(shù)據(jù)發(fā)送到專門的數(shù)據(jù)分析系統(tǒng)，通過數(shù)據(jù)分析系統(tǒng)觀察進程的權(quán)限變化檢測提權(quán)攻擊，在進程啟動的時候?qū)⑦M程的權(quán)限記錄下來，然后在該進程涉及的用戶的權(quán)限發(fā)生變化的時候?qū)⒃撨M程確定為提權(quán)攻擊的進程。在現(xiàn)有技術(shù)中，很多正常的用戶也會進行權(quán)限切換，如果將所有的權(quán)限切換均判定為提權(quán)攻擊，會限制很多正常的用戶；并且黑客進行提權(quán)攻擊不一定通過進程的切換進行提權(quán)，通過上述方法可能會出現(xiàn)很多漏檢或誤檢的情況。
[0005]現(xiàn)有技術(shù)中還可以通過提權(quán)攻擊工具的特征檢測黑客工具，具體地，可以采用與病毒掃描類似的方法，掃描系統(tǒng)文件，通過匹配已知的黑客工具的特征檢測提權(quán)漏洞。采用該種方法，由于進行匹配的均是已知的黑客工具，對于未知的黑客工具無法檢測到，該種檢測方法很被動，具有很強的滯后性，漏檢率高。
[0006]針對上述檢測提權(quán)漏洞攻擊的檢測準確率低的問題，目前尚未提出有效的解決方案。

【發(fā)明內(nèi)容】

[0007]本發(fā)明實施例提供了一種系統(tǒng)漏洞攻擊的檢測方法及裝置，以至少解決檢測提權(quán)漏洞攻擊的檢測準確率低的問題。
[0008]根據(jù)本發(fā)明實施例的一個方面，提供了一種系統(tǒng)漏洞攻擊的檢測方法，該檢測方法包括:獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息，并判斷操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，若操作信息指示的操作為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中存在漏洞攻擊事件。
[0009]根據(jù)本發(fā)明實施例的另一方面，還提供了一種系統(tǒng)漏洞攻擊的檢測裝置，該檢測裝置包括:第一獲取模塊，用于獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息；第一判斷模塊，用于判斷操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限；第一確定模塊，用于若操作信息指示的操作為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中存在漏洞攻擊事件。
[0010]采用本發(fā)明實施例，對具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息進行分析，依據(jù)操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限來判斷系統(tǒng)中是否存在漏洞攻擊事件，不依賴于分析進程權(quán)限狀態(tài)的變化，從而不會對合法用戶的正常權(quán)限切換發(fā)生誤判；并且只要是具有非系統(tǒng)最高權(quán)限的賬號執(zhí)行了將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限的操作，即可以判定系統(tǒng)中存在漏洞攻擊事件，而不通過提權(quán)漏洞攻擊的特征進行漏洞攻擊檢測，可以不拘泥于已經(jīng)發(fā)現(xiàn)的提權(quán)漏洞攻擊，可以檢測到現(xiàn)有技術(shù)中未知的漏洞攻擊，使得漏洞攻擊的檢測更加準確，從而解決了現(xiàn)有技術(shù)中的檢測提權(quán)漏洞攻擊的檢測準確率低的問題，實現(xiàn)了準確檢測系統(tǒng)漏洞攻擊事件的效果。
【附圖說明】
[0011]此處所說明的附圖用來提供對本發(fā)明的進一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當限定。在附圖中:
[0012]圖1是根據(jù)本發(fā)明實施例的一種系統(tǒng)漏洞攻擊的檢測方法的流程圖；
[0013]圖2是根據(jù)本發(fā)明實施例的一種可選的獲取系統(tǒng)調(diào)用信息的流程圖；
[0014]圖3是根據(jù)本發(fā)明實施例的黑客對服務器進行提權(quán)攻擊所涉及的實施環(huán)境的結(jié)構(gòu)示意圖；
[0015]圖4是根據(jù)本發(fā)明實施例的一種可選的系統(tǒng)漏洞攻擊的檢測方法的流程圖；
[0016]圖5是根據(jù)本發(fā)明實施例的系統(tǒng)漏洞攻擊的檢測裝置的示意圖；
[0017]圖6是根據(jù)本發(fā)明實施例的一種可選的系統(tǒng)漏洞攻擊的檢測裝置的示意圖；以及
[0018]圖7是根據(jù)本發(fā)明實施例的一種終端的結(jié)構(gòu)框圖。
【具體實施方式】
[0019]為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本發(fā)明保護的范圍。
[0020]需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤４送?，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設備固有的其它步驟或單元。
[0021]實施例1
[0022]根據(jù)本發(fā)明實施例，提供了一種系統(tǒng)漏洞攻擊的檢測方法的實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0023]根據(jù)本發(fā)明實施例，提供了一種系統(tǒng)漏洞攻擊的檢測方法，如圖1所示，該檢測方法可以通過如下步驟實現(xiàn):
[0024]步驟S102:獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信肩、O
[0025]步驟S104:判斷操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限。
[0026]步驟S106:若操作信息指示的操作為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中存在漏洞攻擊事件。
[0027]具體地，在執(zhí)行步驟S104之后，若操作信息指示的操作不為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中不存在漏洞攻擊事件。
[0028]采用本發(fā)明實施例，對具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息進行分析，依據(jù)操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限來判斷系統(tǒng)中是否存在漏洞攻擊事件，不依賴于分析進程權(quán)限狀態(tài)的變化，從而不會對合法用戶的正常權(quán)限切換發(fā)生誤判；并且只要是具有非系統(tǒng)最高權(quán)限的賬號執(zhí)行了將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限的操作，即可以判定系統(tǒng)中存在漏洞攻擊事件，而不通過提權(quán)漏洞攻擊的特征進行漏洞攻擊檢測，可以不拘泥于已經(jīng)發(fā)現(xiàn)的提權(quán)漏洞攻擊，可以檢測到現(xiàn)有技術(shù)中未知的漏洞攻擊，使得漏洞攻擊的檢測更加準確，從而解決了現(xiàn)有技術(shù)中的檢測提權(quán)漏洞攻擊的檢測準確率低的問題，實現(xiàn)了準確檢測系統(tǒng)漏洞攻擊事件的效果。
[0029]通過本發(fā)明實施例，無需將操作信息發(fā)送至專門的數(shù)據(jù)分析系統(tǒng)即可完成對漏洞攻擊事件的檢測，也縮短了檢測漏洞攻擊的時間。
[0030]在本發(fā)明的上述實施例中，在確定系統(tǒng)中存在漏洞攻擊事件的情況下，可以輸出告警信息，并生成告警日志。
[0031]其中，上述實施例中的非系統(tǒng)最高權(quán)限為非root權(quán)限，系統(tǒng)最高權(quán)限為root權(quán)限；本發(fā)明的上述實施例可以應用于Linux系統(tǒng)、uinx系統(tǒng)等操作系統(tǒng)。下面以在Linux系統(tǒng)中應用本發(fā)明為例詳細介紹本發(fā)明。
[0032]Linux系統(tǒng)為基于posix (可移植操作系統(tǒng)接口)和unix (屬于分時操作系統(tǒng)，是一種多任務、多用戶的操作系統(tǒng)，支持多種處理器架構(gòu))的多用戶、多任務、支持多線程、多CPU(處理器)的操作系統(tǒng)。該系統(tǒng)可以運行主要的unix工具軟件、應用程序和網(wǎng)絡協(xié)議。他可以支持32位和64位硬件。
[0033]具體地，可以通過獲取具有非系統(tǒng)最高權(quán)限的賬號在Linux系統(tǒng)中當前執(zhí)行的操作的操作信息，然后判斷操作信息指示的操作是否是提升賬號權(quán)限的操作，具體地，判斷操作信息指示的操作是否為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，如果操作信息指示的操作為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中存在漏洞攻擊事件；如果操作信息指示的操作為將賬號的權(quán)限從非系統(tǒng)最高權(quán)限修改為系統(tǒng)最高權(quán)限，則判斷出系統(tǒng)中不存在漏洞攻擊事件。
[0034]上述實施例中的非系統(tǒng)最高權(quán)限即為非root權(quán)限。root權(quán)限為系統(tǒng)權(quán)限的最高權(quán)限，root權(quán)限用戶是Linux系統(tǒng)中的超級管理員用戶賬號，該賬號擁有整個系統(tǒng)至高無上的權(quán)利，所有的對象他都可操作。所以很多黑客入侵系統(tǒng)的時候，需要把非root權(quán)限的用戶提升為root權(quán)限的用戶，獲取root權(quán)限意味著獲得了系統(tǒng)的最高權(quán)限,擁有root權(quán)限的用戶可以對系統(tǒng)中的任何文件執(zhí)行增、刪、改、查的操作。
[0035]在本發(fā)明的上述實施例中，獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息可以包括:響應操作獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息；或者，每隔預定周期獲取具有非系統(tǒng)最高權(quán)限的賬號在系統(tǒng)中當前執(zhí)行的操作的操作信息。
[0036]通過上述實施例可以實時獲取操作信息，從而可以及時檢測出漏洞攻擊事件。
[0037]在本發(fā)明的上述實施例中，判斷操作信息指示的