本發(fā)明公開了一種入侵內(nèi)核的檢測(cè)方法及裝置、計(jì)算設(shè)備、計(jì)算機(jī)存儲(chǔ)介質(zhì)，方法包括：提取入侵內(nèi)核的進(jìn)程對(duì)ROOT攻擊行為的特征信息，確定與其對(duì)應(yīng)的檢測(cè)條件；其中，檢測(cè)條件包括可疑攻擊檢測(cè)條件以及確定攻擊檢測(cè)條件；在設(shè)備的不同模塊層設(shè)置多級(jí)檢測(cè)對(duì)待檢測(cè)進(jìn)程進(jìn)行檢測(cè)，其中，每級(jí)檢測(cè)分別對(duì)應(yīng)不同的檢測(cè)條件；根據(jù)多級(jí)檢測(cè)的檢測(cè)結(jié)果確定待檢測(cè)進(jìn)程是否為入侵內(nèi)核的進(jìn)程。通過在對(duì)入侵內(nèi)核的進(jìn)程提取的特征信息，確定對(duì)應(yīng)的檢測(cè)條件，通過在設(shè)備的不同模塊層中設(shè)置多級(jí)檢測(cè)針對(duì)性的對(duì)待檢測(cè)進(jìn)行檢測(cè)，可以有效地在待檢測(cè)進(jìn)程對(duì)ROOT進(jìn)行攻擊前或攻擊過程中，檢測(cè)到進(jìn)程的攻擊行為，從而阻止進(jìn)程執(zhí)行，避免進(jìn)程入侵內(nèi)核。

技術(shù)領(lǐng)域

本發(fā)明涉及軟件領(lǐng)域，具體涉及一種入侵內(nèi)核的檢測(cè)方法及裝置、計(jì)算設(shè)備、計(jì)算機(jī)存儲(chǔ)介質(zhì)。

背景技術(shù)

攻擊者入侵內(nèi)核的目標(biāo)是獲取到設(shè)備的ROOT權(quán)限，以便利用ROOT權(quán)限控制整個(gè)設(shè)備。基于內(nèi)核安全考慮，設(shè)備廠商在設(shè)備出廠前在設(shè)備中設(shè)置了ROOT相關(guān)檢測(cè)，以檢測(cè)是否受到攻擊等。現(xiàn)有技術(shù)中也有用于對(duì)ROOT進(jìn)行檢測(cè)的各種方法。但設(shè)備廠商和現(xiàn)有技術(shù)中對(duì)ROOT的檢測(cè)均是基于設(shè)備以及被入侵內(nèi)核后的檢測(cè)。由于內(nèi)核入侵的攻擊行為一般需要分多步攻擊才能完成。現(xiàn)有技術(shù)的檢測(cè)方法往往是在攻擊行為接近完成的時(shí)候，設(shè)備已經(jīng)被控制，此時(shí)，攻擊者可控制程序執(zhí)行的時(shí)候已經(jīng)可以隱藏自己，可以使檢測(cè)代碼不生效，可以執(zhí)行自己的非法代碼等。現(xiàn)有技術(shù)一般在此時(shí)通過檢測(cè)是否修改credential，進(jìn)程標(biāo)志uid、gid等確定是否被內(nèi)核入侵。因此，其存在以下問題：

1)檢測(cè)時(shí)機(jī)太晚，攻擊者已經(jīng)入侵內(nèi)核，控制代碼執(zhí)行，容易繞過以上檢測(cè)手段。

2)即使檢測(cè)到設(shè)備被入侵內(nèi)核，被ROOT，但無法知道攻擊者利用哪個(gè)漏洞進(jìn)行入侵，其如何被ROOT等。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的入侵內(nèi)核的檢測(cè)方法及裝置、計(jì)算設(shè)備、計(jì)算機(jī)存儲(chǔ)介質(zhì)。

根據(jù)本發(fā)明的一個(gè)方面，提供了一種入侵內(nèi)核的檢測(cè)方法，其包括：

提取入侵內(nèi)核的進(jìn)程對(duì)ROOT攻擊行為的特征信息，確定與其對(duì)應(yīng)的檢測(cè)條件；其中，檢測(cè)條件包括可疑攻擊檢測(cè)條件以及確定攻擊檢測(cè)條件；

在設(shè)備的不同模塊層設(shè)置多級(jí)檢測(cè)對(duì)待檢測(cè)進(jìn)程進(jìn)行檢測(cè)，其中，每級(jí)檢測(cè)分別對(duì)應(yīng)不同的檢測(cè)條件；

根據(jù)多級(jí)檢測(cè)的檢測(cè)結(jié)果確定待檢測(cè)進(jìn)程是否為入侵內(nèi)核的進(jìn)程。

根據(jù)本發(fā)明的另一方面，提供了一種入侵內(nèi)核的檢測(cè)裝置，其包括：

提取模塊，適于提取入侵內(nèi)核的進(jìn)程對(duì)ROOT攻擊行為的特征信息，確定與其對(duì)應(yīng)的檢測(cè)條件；其中，檢測(cè)條件包括可疑攻擊檢測(cè)條件以及確定攻擊檢測(cè)條件；

多級(jí)檢測(cè)模塊，適于在設(shè)備的不同模塊層設(shè)置多級(jí)檢測(cè)對(duì)待檢測(cè)進(jìn)程進(jìn)行檢測(cè)，其中，每級(jí)檢測(cè)分別對(duì)應(yīng)不同的檢測(cè)條件；

確定模塊，適于根據(jù)多級(jí)檢測(cè)的檢測(cè)結(jié)果確定待檢測(cè)進(jìn)程是否為入侵內(nèi)核的進(jìn)程。

根據(jù)本發(fā)明的又一方面，提供了一種計(jì)算設(shè)備，包括：處理器、存儲(chǔ)器、通信接口和通信總線，處理器、存儲(chǔ)器和通信接口通過通信總線完成相互間的通信；

存儲(chǔ)器用于存放至少一可執(zhí)行指令，可執(zhí)行指令使處理器執(zhí)行上述入侵內(nèi)核的檢測(cè)方法對(duì)應(yīng)的操作。

根據(jù)本發(fā)明的再一方面，提供了一種計(jì)算機(jī)存儲(chǔ)介質(zhì)，存儲(chǔ)介質(zhì)中存儲(chǔ)有至少一可執(zhí)行指令，可執(zhí)行指令使處理器執(zhí)行如上述入侵內(nèi)核的檢測(cè)方法對(duì)應(yīng)的操作。