本發明涉及計算機安全技術領域，具體是一種內核漏洞檢測方法、裝置和存儲介質，所述方法包括：當目標進程創建第一內核對象時，獲取所述第一內核對象的相關信息，所述相關信息包括所述第一內核對象的內存地址；將所述第一內核對象保存至與所述目標進程對應的內存管理器中，根據所述內存地址確定所述第一內核對象所在的內存管理器的第一內存區域；獲取所述第一內存區域的內存布局信息，所述內存布局信息包括所述第一內存區域內的內核對象的分布信息；根據所述第一內存區域內的內核對象的分布信息確定所述目標進程是否出現內核池噴射的漏洞利用行為。本發明的內核漏洞檢測方法能夠提高內核漏洞檢測的準確性。

技術領域

本發明涉及計算機安全技術領域，特別涉及一種內核漏洞檢測方法、裝置和存儲介質。

背景技術

網絡惡意行為是指網絡系統的硬件、軟件及其系統中的數據受到惡意代碼攻擊而遭到破壞、更改、泄露，致使系統不能連續可靠正常地運行，網絡服務中斷的行為。隨著信息化的普及，網絡新應用的大量出現，網絡惡意代碼所表現出的行為也層出不窮，目前最流行的網絡惡意行為是網頁掛馬、盜取帳號、端口掃描、漏洞掃描、地址解析協議(AddressResolution Protocol，ARP)欺騙、因特網協議(InternetProtocol，IP)劫持、分布式拒絕服務(Distributed Denial of Service，DDOS)攻擊、溢出攻擊、木馬攻擊等。

漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。內核作為操作系統的核心，如何檢測內核漏洞是安全防護工作的重中之重。現有技術中的內核漏洞檢測方法，一是通過靜態特征進行內核漏洞檢測，但這種方式很容易被繞過，導致檢測不準確，并且不能防御未知威脅；二是通過檢測黑客在入侵系統時，通過提權的方式獲得系統的最高權限(如管理員權限)從而取得操作系統的控制權的行為進行內核漏洞檢測，但如果黑客在入侵系統時并不提權，就很難檢測到內核漏洞。因此，如何能夠有效地檢測內核漏洞，預防黑客進行系統攻擊成為現有技術亟待解決的問題。

發明內容

針對現有技術的上述問題，本發明的目的在于提供一種內核漏洞檢測方法、裝置和存儲介質，能夠提高內核漏洞檢測的準確性。

為了解決上述問題，本發明提供一種內核漏洞檢測方法，包括：

當目標進程創建第一內核對象時，獲取所述第一內核對象的相關信息，所述相關信息包括所述第一內核對象的內存地址；

將所述第一內核對象保存至與所述目標進程對應的內存管理器中，根據所述內存地址確定所述第一內核對象所在的內存管理器的第一內存區域；

獲取所述第一內存區域的內存布局信息，所述內存布局信息包括所述第一內存區域內的內核對象的分布信息；

根據所述第一內存區域內的內核對象的分布信息確定所述目標進程是否出現內核池噴射的漏洞利用行為。

本發明另一方面提供一種內核漏洞檢測裝置，包括：

第一獲取模塊，用于當目標進程創建第一內核對象時，獲取所述第一內核對象的相關信息，所述相關信息包括所述第一內核對象的內存地址；

第一確定模塊，用于將所述第一內核對象保存至與所述目標進程對應的內存管理器中，根據所述內存地址確定所述第一內核對象所在的內存管理器的第一內存區域；

第二獲取模塊，用于獲取所述第一內存區域的內存布局信息，所述內存布局信息包括所述第一內存區域內的內核對象的分布信息；

第二確定模塊，用于根據所述第一內存區域內的內核對象的分布信息確定所述目標進程是否出現內核池噴射的漏洞利用行為。

本發明另一方面提供一種內核漏洞檢測方法，包括：