本發(fā)明公開(kāi)了一種基于虛擬機(jī)的內(nèi)核漏洞檢測(cè)進(jìn)程保護(hù)方法及裝置。其中方法包括：獲取各檢測(cè)子進(jìn)程的相關(guān)信息，將各檢測(cè)子進(jìn)程的相關(guān)信息寫(xiě)入進(jìn)程過(guò)濾名單中；利用掛鉤技術(shù)，在調(diào)用指定API之前，獲取當(dāng)前上下背景文進(jìn)程的相關(guān)信息和操作目標(biāo)進(jìn)程的相關(guān)信息；判斷所述操作目標(biāo)進(jìn)程的相關(guān)信息是否記錄在所述進(jìn)程過(guò)濾名單中，且所述當(dāng)前上下背景文進(jìn)程的相關(guān)信息是否未記錄在所述進(jìn)程過(guò)濾名單中；若是，終止調(diào)用所述指定API。利用本發(fā)明，可保護(hù)在虛擬機(jī)沙箱隔離環(huán)境下運(yùn)行的檢測(cè)進(jìn)程的地址空間，防止被沙箱逃逸的惡意樣本進(jìn)程訪(fǎng)問(wèn)，避免機(jī)密信息失竊，提升在虛擬機(jī)沙箱隔離環(huán)境下內(nèi)核漏洞檢測(cè)的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，具體涉及一種基于虛擬機(jī)的內(nèi)核漏洞檢測(cè)進(jìn)程保護(hù)方法及裝置。

背景技術(shù)

網(wǎng)絡(luò)惡意行為是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到惡意代碼攻擊而遭到破壞、更改、泄露，致使系統(tǒng)不能連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)中斷的行為。隨著信息化的普及，網(wǎng)絡(luò)新應(yīng)用的大量出現(xiàn)，網(wǎng)絡(luò)惡意代碼所表現(xiàn)出的行為也層出不窮，目前最流行的網(wǎng)絡(luò)惡意行為是網(wǎng)頁(yè)掛馬、盜取帳號(hào)、端口掃描、漏洞掃描、ARP(Address ResolutionProtocol，地址解析協(xié)議)欺騙、IP(Internet Protocol，因特網(wǎng)協(xié)議)劫持、DDOS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊、溢出攻擊、木馬攻擊等。

漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪(fǎng)問(wèn)或破壞系統(tǒng)。內(nèi)核作為操作系統(tǒng)的核心，如何檢測(cè)內(nèi)核漏洞是安全防護(hù)工作的重中之重。現(xiàn)有技術(shù)中，黑客在入侵系統(tǒng)時(shí)，往往通過(guò)提權(quán)的方式獲得系統(tǒng)的最高權(quán)限，從而取得操作系統(tǒng)的控制權(quán)。簡(jiǎn)單來(lái)說(shuō)，提權(quán)就是將一個(gè)低權(quán)限、受限制很多的用戶(hù)提升到系統(tǒng)中最高權(quán)限(如管理員權(quán)限)。權(quán)限控制是系統(tǒng)安全的基石，也是一切安全軟件的基石，一旦這道門(mén)檻被突破，任何防御措施都是無(wú)效的。因此，如何能夠有效地檢測(cè)內(nèi)核漏洞，預(yù)防黑客通過(guò)提權(quán)的方式進(jìn)行系統(tǒng)攻擊成為現(xiàn)有技術(shù)亟待解決的問(wèn)題。在內(nèi)核漏洞檢測(cè)過(guò)程中，如何避免惡意樣本進(jìn)程訪(fǎng)問(wèn)檢測(cè)進(jìn)程，破壞檢測(cè)過(guò)程也是一個(gè)重要的問(wèn)題。

發(fā)明內(nèi)容

鑒于上述問(wèn)題，提出了本發(fā)明以便提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的基于虛擬機(jī)的內(nèi)核漏洞檢測(cè)進(jìn)程保護(hù)方法及裝置。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種基于虛擬機(jī)的內(nèi)核漏洞檢測(cè)進(jìn)程保護(hù)方法，所述方法在虛擬機(jī)沙箱隔離環(huán)境下運(yùn)行，方法包括：

獲取各檢測(cè)子進(jìn)程的相關(guān)信息，將各檢測(cè)子進(jìn)程的相關(guān)信息寫(xiě)入進(jìn)程過(guò)濾名單中；

利用掛鉤技術(shù)，在調(diào)用指定API之前，獲取當(dāng)前上下背景文進(jìn)程的相關(guān)信息和操作目標(biāo)進(jìn)程的相關(guān)信息；

判斷所述操作目標(biāo)進(jìn)程的相關(guān)信息是否記錄在所述進(jìn)程過(guò)濾名單中，且所述當(dāng)前上下背景文進(jìn)程的相關(guān)信息是否未記錄在所述進(jìn)程過(guò)濾名單中；

若是，終止調(diào)用所述指定API。

根據(jù)本發(fā)明的另一方面，提供了一種基于虛擬機(jī)的內(nèi)核漏洞檢測(cè)進(jìn)程保護(hù)裝置，所述裝置在虛擬機(jī)沙箱隔離環(huán)境下運(yùn)行，裝置包括：

寫(xiě)入模塊，適于獲取各檢測(cè)子進(jìn)程的相關(guān)信息，將各檢測(cè)子進(jìn)程的相關(guān)信息寫(xiě)入進(jìn)程過(guò)濾名單中；

掛鉤處理模塊，適于利用掛鉤技術(shù)，在調(diào)用指定API之前，獲取當(dāng)前上下背景文進(jìn)程的相關(guān)信息和操作目標(biāo)進(jìn)程的相關(guān)信息；

判斷模塊，適于判斷所述操作目標(biāo)進(jìn)程的相關(guān)信息是否記錄在所述進(jìn)程過(guò)濾名單中，且所述當(dāng)前上下背景文進(jìn)程的相關(guān)信息是否未記錄在所述進(jìn)程過(guò)濾名單中；

終止模塊，適于若所述判斷模塊判斷出所述操作目標(biāo)進(jìn)程的相關(guān)信息記錄在所述進(jìn)程過(guò)濾名單中，且所述當(dāng)前上下背景文進(jìn)程的相關(guān)信息未記錄在所述進(jìn)程過(guò)濾名單中，終止調(diào)用所述指定API。