进程权限提升防护方法、装置、设备及存储介质与流程

1.本发明涉及计算机安全技术领域，尤其涉及一种进程权限提升防护方法、装置、设备及存储介质。


背景技术：

2.在计算机安全领域中，权限提升是作为对抗战术、技术以及常识(adversarial tactics,techniques,and common knowledge，att&ck)攻击链中最关键的部分。攻击者可以利用操作系统中的漏洞与缺陷，通过一系列的特殊构造(如堆喷射、释放后使用(use after free，uaf)漏洞、栈溢出等)，在内核或系统进程中运行特殊构造的代码，通过替换进程令牌等方式，使得低权限进程提升为高权限进程，即导致进程权限提升。进程权限提升后，该进程可以突破系统权限限制，从而拥有其原本没有的删改系统文件、读取私人文档、植入木马病毒等能力，使得系统安全性大大降低，也严重威胁了用户的隐私和财产安全。因此，如何防范进程权限提升攻击，提高系统安全性，成为一个亟待解决的问题。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供了一种进程权限提升防护方法、装置、设备及存储介质，旨在解决如何防范进程权限提升攻击，提高系统安全性的技术问题。
5.为实现上述目的，本发明提供了一种进程权限提升防护方法，所述方法包括以下步骤：
6.在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
7.根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
8.在存在所述进程权限提升操作时，对所述操作指令进行拦截。
9.可选地，所述在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别的步骤之前，还包括：
10.在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
11.根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
12.在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。
13.可选地，所述根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作的步骤之后，还包括：
14.在存在所述第一进程权限提升操作时，拦截所述进程创建指令。
15.可选地，所述在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别的步骤之前，还包括：
16.获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
17.根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
18.在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
19.可选地，所述根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作的步骤之后，还包括：
20.在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
21.可选地，所述在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略的步骤，包括：
22.在存在所述第二进程权限提升操作时，对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息；
23.根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
24.在所述源进程为所述可疑进程时，对所述源进程执行对应的清理操作。
25.可选地，所述在存在所述进程权限提升操作时，对所述操作指令进行拦截的步骤之后，还包括：
26.在检测到所述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；
27.根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
28.在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
29.可选地，所述在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略的步骤，包括：
30.在存在所述第三进程权限提升操作时，根据所述目标进程发出对应的警示消息；
31.获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
32.在所述源进程为所述可疑进程时，根据所述源进程发出对应的警示消息。
33.可选地，所述获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程的步骤，包括：
34.获取所述目标进程对应的源进程的进程行为信息，并对所述进程行为信息进行聚类分析，获得行为分类结果；
35.根据所述行为分类结果中是否存在与预设黑名单行为相匹配的可疑行为信息判断所述源进程是否为可疑进程。
36.可选地，所述获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程的步骤，包括：
37.获取所述目标进程对应的源进程的进程行为信息，并基于所述进程行为信息获取所述源进程分配的子进程权限；
38.根据所述源进程分配的子进程权限中是否存在预设敏感权限判断所述源进程是否为可疑进程。
39.可选地，所述根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作的步骤，包括：
40.根据所述当前权限级别是否大于所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
41.相应地，所述在存在所述进程权限提升操作时，对所述操作指令进行拦截的步骤，包括：
42.在所述当前权限级别大于所述原始权限级别时，对所述操作指令进行拦截。
43.此外，为实现上述目的，本发明还提出一种进程权限提升防护装置，所述进程权限提升防护装置包括：
44.权限获取模块，用于在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
45.提权判断模块，用于根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
46.提权防护模块，用于在存在所述进程权限提升操作时，对所述操作指令进行拦截。
47.可选地，所述权限获取模块，还用于在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
48.所述提权判断模块，还用于根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
49.所述权限获取模块，还用于在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。
50.可选地，所述提权防护模块，还用于在存在所述第一进程权限提升操作时，拦截所述进程创建指令。
51.可选地，所述权限获取模块，还用于获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
52.所述提权判断模块，还用于根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
53.所述权限获取模块，还用于在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
54.可选地，所述提权防护模块，还用于在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
55.可选地，所述权限获取模块，还用于在存在所述第二进程权限提升操作时，对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息；
56.所述权限获取模块，还用于根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
57.所述权限获取模块，还用于在所述源进程为所述可疑进程时，对所述源进程执行对应的清理操作。
58.可选地，所述提权防护模块，还用于在检测到所述目标进程生成的进程退出指令
时，获取所述目标进程退出时的终止权限级别；
59.所述提权判断模块，还用于根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
60.所述提权防护模块，还用于在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
61.此外，为实现上述目的，本发明还提出一种进程权限提升防护设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的进程权限提升防护程序，所述进程权限提升防护程序配置为实现如上文所述的进程权限提升防护方法的步骤。
62.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有进程权限提升防护程序，所述进程权限提升防护程序被处理器执行时实现如上文所述的进程权限提升防护方法的步骤。
63.本发明中，在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别，根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作，在存在所述进程权限提升操作时，对所述操作指令进行拦截。通过在检测到目标进程生成的操作指令时，对目标进程的当前权限级别和目标进程创建时的原始权限级别进行实时监测，以判断是否存在进程权限提升操作，在存在进程权限提升操作时，对操作指令进行拦截，以防范进程权限提升攻击，阻止攻击者后续的一系列高危操作，提高系统安全性，保护用户隐私和财产安全。
附图说明
64.图1是本发明实施例方案涉及的硬件运行环境的进程权限提升防护设备的结构示意图；
65.图2为本发明进程权限提升防护方法第一实施例的流程示意图；
66.图3为本发明进程权限提升防护方法第二实施例的流程示意图；
67.图4为本发明进程权限提升防护方法第三实施例的流程示意图；
68.图5为本发明进程权限提升防护方法第四实施例的流程示意图；
69.图6为本发明进程权限提升防护装置第一实施例的结构框图。
70.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
71.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
72.参照图1，图1为本发明实施例方案涉及的硬件运行环境的进程权限提升防护设备结构示意图。
73.如图1所示，该进程权限提升防护设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真
(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
74.本领域技术人员可以理解，图1中示出的结构并不构成对进程权限提升防护设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
75.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及进程权限提升防护程序。
76.在图1所示的进程权限提升防护设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明进程权限提升防护设备中的处理器1001、存储器1005可以设置在进程权限提升防护设备中，所述进程权限提升防护设备通过处理器1001调用存储器1005中存储的进程权限提升防护程序，并执行本发明实施例提供的进程权限提升防护方法。
77.本发明实施例提供了一种进程权限提升防护方法，参照图2，图2为本发明进程权限提升防护方法第一实施例的流程示意图。
78.本实施例中，所述进程权限提升防护方法包括以下步骤：
79.步骤s10：在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
80.易于理解的是，在程序运行期间，任务管理器中会显示该程序的运行进程，其中，运行进程包括针对系统程序的系统进程和针对应用程序的应用进程，系统程序可以包括多个程序，每个程序对应一个系统进程，应用程序也可以包括多个程序，每个程序对应一个应用进程。本实施例所述的目标进程可以为系统进程，也可以为应用进程，以可生成操作指令为准，也就是说，在检测到应用进程或系统进程生成操作指令时，则可对该应用进程或该系统进程进行权限监测。
81.需要说明的是，所谓权限监测，可理解为监测目标进程是否发生了进程权限提升操作，因在程序运行过程中，攻击者可以利用操作系统中的漏洞与缺陷，通过一系列的特殊构造(如堆喷射、uaf漏洞、栈溢出等)，在内核或系统进程中运行特殊构造的代码，通过替换进程令牌等方式，使得低权限进程提升为高权限进程，即导致进程权限提升。进程权限提升后，该进程可以突破系统权限限制，从而拥有其原本没有的删改系统文件、读取私人文档、植入木马病毒等能力，使得系统安全性大大降低，也严重威胁了用户的隐私和财产安全。
82.在具体实现中，在检测到目标进程生成的操作指令时，可获取所述目标进程的当前权限级别，所谓操作指令，可理解为计算机操作指令，即指挥计算机工作的指示和命令，包括但不限于数据传送指令(如移动(move)、存储(store)、载入(load)、设置(set)、清除(clear)、交换(exchange)等)、数据转换指令(如改变数据格式等)、输入输出指令(如修改接口、修改地址等)、系统控制指令(如修改访问权限、访问进程控制块等)以及程序控制指令(如更改程序运行顺序等)等，其中，所谓当前权限级别，即检测到目标进程生成操作指令时，目标进程当前的权限级别。所谓权限级别，可理解为对进程所被赋予的权限的一种级别划分方式，如，低权限级别、中权限级别、高权限级别等，又如，普通用户权限级别、系统用户权限级别、root用户权限级别等，具体级别划分方式可根据实际需求进行设置，本实施例对此不加以限制。
83.步骤s20：根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
84.步骤s30：在存在所述进程权限提升操作时，对所述操作指令进行拦截。
85.需要说明的是，除获取目标进程的当前权限级别外，还可获取目标进程创建时的原始权限级别，并根据当前权限级别和目标进程创建时的原始权限级别判断是否存在进程权限提升操作，在具体实现中，可根据当前权限级别是否大于目标进程创建时的原始权限级别判断是否存在进程权限提升操作，在当前权限级别大于原始权限级别时，则判定存在进程权限提升操作，可对所述操作指令进行拦截，以阻止攻击者后续的一系列高危操作，提高系统安全性。如，在检测到目标进程的当前权限级别为高权限级别，而目标进程创建时的原始权限级别为低权限级别，则判定存在进程权限提升操作，可对目标进程生成的操作指令进行拦截。
86.本实施例中，在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别，根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作，在存在所述进程权限提升操作时，对所述操作指令进行拦截。通过在检测到目标进程生成的操作指令时，对目标进程的当前权限级别和目标进程创建时的原始权限级别进行实时监测，以判断是否存在进程权限提升操作，在存在进程权限提升操作时，对操作指令进行拦截，以防范进程权限提升攻击，阻止攻击者后续的一系列高危操作，提高系统安全性，保护用户隐私和财产安全。
87.参考图3，图3为本发明进程权限提升防护方法第二实施例的流程示意图。
88.基于上述第一实施例，在本实施例中，所述步骤s10之前，还包括：
89.步骤s01：在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
90.需要说明的是，在检测目标进程是否生成操作指令之前，为了确定目标进程，还可在检测到源进程(可理解为父进程或母进程)生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别，所谓进程创建指令，即，源进程生成的用于创建子进程的指令，其中，还包括了各子进程对应的权限级别，即待创建权限级别。基于此，则可根据源进程生成的进程创建指令确定对应的待创建权限级别。
91.步骤s02：根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
92.步骤s03：在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。
93.易于理解的是，在获得源进程的权限级别和待创建权限级别时，可根据待创建权限级别和源进程的权限级别判断是否存在第一进程权限提升操作，在不存在第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。在具体实现中，可根据待创建权限级别是否大于源进程的权限级别判断是否存在第一进程权限提升操作，在待创建权限级别小于等于源进程的权限级别时，则判定不存在第一进程权限提升操作，在不存在第一进程权限提升操作时，则允许该子进程的生成，并根据待创建级别赋予该子进程对应的权限级别，以此，实现根据进程创建指令创建对应的目标进程。
94.而在待创建权限级别大于源进程的权限级别时，如，在检测到待创建权限级别为
高权限级别，而源进程对应的权限级别为低权限级别时，则判定存在第一进程权限提升操作，在存在第一进程权限提升操作时，可拦截所述进程创建指令，直至生成待创建权限级别小于等于源进程的权限级别的目标进程。以此，从源头上杜绝了第一进程权限提升操作的发生，进一步提高了系统安全性，保护了用户隐私和财产安全。
95.本实施例中，在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别，根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作，在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程；在存在第一进程权限提升操作时，拦截所述进程创建指令，直至生成待创建权限级别小于等于源进程的权限级别的目标进程，以此，从源头上杜绝了第一进程权限提升操作的发生，进一步提高了系统安全性，保护了用户隐私和财产安全。
96.参考图4，图4为本发明进程权限提升防护方法第三实施例的流程示意图。
97.基于上述第一实施例，在本实施例中，所述步骤s10之前，还包括：
98.步骤s04：获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
99.步骤s05：根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
100.步骤s06：在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
101.易于理解的是，在检测目标进程是否生成操作指令之前，可获取目标进程创建时的原始权限级别和目标进程对应的源进程的权限级别，根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作，在具体实现中，可根据目标进程创建时的原始权限级别是否大于目标进程对应的源进程的权限级别判断是否存在第二进程权限提升操作，在原始权限级别小于等于源进程的权限级别时，则判定不存在第二进程权限提升操作，在不存在第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
102.步骤s07：在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
103.需要说明的是，在原始权限级别大于源进程的权限级别时，如，在检测到目标进程创建时的原始权限级别为高权限级别，而源进程对应的权限级别为低权限级别时，则判定存在第二进程权限提升操作，在存在所述第二进程权限提升操作时，可对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息，根据所述源进程的进程行为信息判断所述源进程是否为可疑进程，在所述源进程为可疑进程时，对源进程也执行对应的清理操作。
104.在具体实现中，为了判断源进程是否为可疑进程，可获取目标进程对应的源进程的进程行为信息，并对进程行为信息进行聚类分析，获得行为分类结果，根据行为分类结果中是否存在与预设黑名单行为相匹配的可疑行为信息判断源进程是否为可疑进程。其中，所述预设黑名单行为可根据实际需求进行设置，也可随系统进行定期更新，如，读取不信任来源的资源的频率大于预设频率，在预设时段内创建子进程的数量大于预设数量等，本实施例对此不加以限制。其中，预设频率、预设时段、预设数量均可根据实际需求进行设置，本实施例对此不加以限制。
105.在另一种实现方式中，为了判断源进程是否为可疑进程，可获取所述目标进程对应的源进程的进程行为信息，并基于所述进程行为信息获取所述源进程分配的子进程权限，根据所述源进程分配的子进程权限中是否存在预设敏感权限判断所述源进程是否为可疑进程，其中，预设敏感权限可根据实际需求进行设置，如，历史输入记录获取权限、历史浏览记录获取权限、社交账号关联信息获取权限等；又如，管理员权限中的部分权限等，本实施例对此不加以限制。
106.本实施例中，获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别，根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作，在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令；在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略，通过对存在第二进程权限提升操作的目标进程进行清理，保留不存在第二进程权限提升操作的目标进程，以进一步提高系统安全性，保护用户隐私和财产安全。
107.参考图5，图5为本发明进程权限提升防护方法第四实施例的流程示意图。
108.基于上述各实施例，提出本发明进程权限提升防护方法第四实施例。
109.在本实施例中，所述步骤s30之后，还包括：
110.步骤s401：在检测到所述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；
111.步骤s402：根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
112.步骤s403：在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
113.易于理解的是，在检测到目标进程生成的进程退出指令时，可获取目标进程退出时的终止权限级别，并根据目标进程创建时的原始权限级别和目标进程退出时的终止权限级别判断是否存在第三进程权限提升操作，所谓进程退出指令，即目标进程退出时生成的指令。在检测到目标进程生成的进程退出指令时，即目标进程退出时，可获取所述目标进程退出时的终止权限级别(即目标进程退出时的当前权限级别，记作终止权限级别)，并根据目标进程创建时的原始权限级别和目标进程退出时的终止权限级别判断是否存在第三进程权限提升操作，在具体实现中，可根据目标进程退出时的终止权限级别是否大于目标进程创建时的原始权限级别判断是否存在第三进程权限提升操作，在终止权限级别大于原始权限级别时，则判定存在第三进程权限提升操作，在所述第三进程权限提升操作时，可根据目标进程发出对应的警示消息，并记录事件信息，输出对应的安全日志，以供系统安全人员进行分析，并优化对应的防护措施，进一步地，为了提升进程权限防护效果，可获取目标进程对应的源进程的进程行为信息，并根据源进程的进程行为信息判断所述源进程是否为可疑进程，在所述源进程为所述可疑进程时，根据源进程发出对应的警示消息，并记录事件信息，输出对应的安全日志，以供系统安全人员进行分析，并优化对应的防护措施。
114.在具体实现中，为了判断源进程是否为可疑进程，可获取目标进程对应的源进程的进程行为信息，并对进程行为信息进行聚类分析，获得行为分类结果，根据行为分类结果中是否存在与预设黑名单行为相匹配的可疑行为信息判断源进程是否为可疑进程。其中，所述预设黑名单行为可根据实际需求进行设置，也可随系统进行定期更新，如，读取不信任
来源的资源的频率大于预设频率，在预设时段内创建子进程的数量大于预设数量等，本实施例对此不加以限制。其中，预设频率、预设时段、预设数量均可根据实际需求进行设置，本实施例对此不加以限制。
115.在另一种实现方式中，为了判断源进程是否为可疑进程，可获取所述目标进程对应的源进程的进程行为信息，并基于所述进程行为信息获取所述源进程分配的子进程权限，根据所述源进程分配的子进程权限中是否存在预设敏感权限判断所述源进程是否为可疑进程，其中，预设敏感权限可根据实际需求进行设置，如，历史输入记录获取权限、历史浏览记录获取权限、社交账号关联信息获取权限等；又如，管理员权限中的部分权限等，本实施例对此不加以限制。
116.本实施例中，在检测到所述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略，并记录事件信息，输出对应的安全日志，以供系统安全人员进行分析，并优化对应的防护措施，以进一步提升进程权限防护效果和系统安全性，保护用户隐私和财产安全。
117.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有进程权限提升防护程序，所述进程权限提升防护程序被处理器执行时实现如上文所述的进程权限提升防护方法的步骤。
118.参照图6，图6为本发明进程权限提升防护装置第一实施例的结构框图。
119.如图6所示，本发明实施例提出的进程权限提升防护装置包括：
120.权限获取模块10，用于在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
121.提权判断模块20，用于根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
122.提权防护模块30，用于在存在所述进程权限提升操作时，对所述操作指令进行拦截。
123.本实施例中，在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别，根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作，在存在所述进程权限提升操作时，对所述操作指令进行拦截。通过在检测到目标进程生成的操作指令时，对目标进程的当前权限级别和目标进程创建时的原始权限级别进行实时监测，以判断是否存在进程权限提升操作，在存在进程权限提升操作时，对操作指令进行拦截，以防范进程权限提升攻击，阻止攻击者后续的一系列高危操作，提高系统安全性，保护用户隐私和财产安全。
124.基于本发明上述进程权限提升防护装置第一实施例，提出本发明进程权限提升防护装置的第二实施例。
125.在本实施例中，所述权限获取模块10，还用于在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
126.所述提权判断模块20，还用于根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
127.所述权限获取模块10，还用于在不存在所述第一进程权限提升操作时，根据所述
进程创建指令创建对应的目标进程。
128.所述提权防护模块30，还用于在存在所述第一进程权限提升操作时，拦截所述进程创建指令。
129.所述权限获取模块10，还用于获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
130.所述提权判断模块20，还用于根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
131.所述权限获取模块10，还用于在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
132.所述提权防护模块30，还用于在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
133.所述权限获取模块10，还用于在存在所述第二进程权限提升操作时，对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息；
134.所述权限获取模块10，还用于根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
135.所述权限获取模块10，还用于在所述源进程为所述可疑进程时，对所述源进程执行对应的清理操作。
136.所述提权防护模块30，还用于在检测到所述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；
137.所述提权判断模块20，还用于根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
138.所述提权防护模块30，还用于在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
139.所述提权防护模块30，还用于在存在所述第三进程权限提升操作时，根据所述目标进程发出对应的警示消息；
140.所述提权防护模块30，还用于获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
141.所述提权防护模块30，还用于在所述源进程为所述可疑进程时，根据所述源进程发出对应的警示消息。
142.所述提权防护模块30，还用于获取所述目标进程对应的源进程的进程行为信息，并对所述进程行为信息进行聚类分析，获得行为分类结果；
143.所述提权防护模块30，还用于根据所述行为分类结果中是否存在与预设黑名单行为相匹配的可疑行为信息判断所述源进程是否为可疑进程。
144.所述提权防护模块30，还用于获取所述目标进程对应的源进程的进程行为信息，并基于所述进程行为信息获取所述源进程分配的子进程权限；
145.所述提权防护模块30，还用于根据所述源进程分配的子进程权限中是否存在预设敏感权限判断所述源进程是否为可疑进程。
146.所述提权判断模块20，还用于根据所述当前权限级别是否大于所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
147.所述提权防护模块30，还用于在所述当前权限级别大于所述原始权限级别时，对所述操作指令进行拦截。
148.本发明进程权限提升防护装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。
149.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
150.上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
151.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。
152.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
153.本发明公开了a1、一种进程权限提升防护方法，所述进程权限提升防护方法包括以下步骤：
154.在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
155.根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
156.在存在所述进程权限提升操作时，对所述操作指令进行拦截。
157.a2、如a1所述的进程权限提升防护方法，所述在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别的步骤之前，还包括：
158.在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
159.根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
160.在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。
161.a3、如a2所述的进程权限提升防护方法，所述根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作的步骤之后，还包括：
162.在存在所述第一进程权限提升操作时，拦截所述进程创建指令。
163.a4、如a1所述的进程权限提升防护方法，所述在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别的步骤之前，还包括：
164.获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
165.根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
166.在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
167.a5、如a4所述的进程权限提升防护方法，所述根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作的步骤之后，还包括：
168.在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
169.a6、如a5所述的进程权限提升防护方法，所述在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略的步骤，包括：
170.在存在所述第二进程权限提升操作时，对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息；
171.根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
172.在所述源进程为所述可疑进程时，对所述源进程执行对应的清理操作。
173.a7、如a1所述的进程权限提升防护方法，所述在存在所述进程权限提升操作时，对所述操作指令进行拦截的步骤之后，还包括：
174.在检测到所述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；
175.根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
176.在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
177.a8、如a7所述的进程权限提升防护方法，所述在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略的步骤，包括：
178.在存在所述第三进程权限提升操作时，根据所述目标进程发出对应的警示消息；
179.获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
180.在所述源进程为所述可疑进程时，根据所述源进程发出对应的警示消息。
181.a9、如a6或a8所述的进程权限提升防护方法，所述获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程的步骤，包括：
182.获取所述目标进程对应的源进程的进程行为信息，并对所述进程行为信息进行聚类分析，获得行为分类结果；
183.根据所述行为分类结果中是否存在与预设黑名单行为相匹配的可疑行为信息判断所述源进程是否为可疑进程。
184.a10、如a6或a8所述的进程权限提升防护方法，所述获取所述目标进程对应的源进程的进程行为信息，并根据所述源进程的进程行为信息判断所述源进程是否为可疑进程的步骤，包括：
185.获取所述目标进程对应的源进程的进程行为信息，并基于所述进程行为信息获取所述源进程分配的子进程权限；
186.根据所述源进程分配的子进程权限中是否存在预设敏感权限判断所述源进程是
否为可疑进程。
187.a11、如a1所述的进程权限提升防护方法，所述根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作的步骤，包括：
188.根据所述当前权限级别是否大于所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
189.相应地，所述在存在所述进程权限提升操作时，对所述操作指令进行拦截的步骤，包括：
190.在所述当前权限级别大于所述原始权限级别时，对所述操作指令进行拦截。
191.本发明还公开了b12、一种进程权限提升防护装置，所述进程权限提升防护装置包括：
192.权限获取模块，用于在检测到目标进程生成的操作指令时，获取所述目标进程的当前权限级别；
193.提权判断模块，用于根据所述当前权限级别和所述目标进程创建时的原始权限级别判断是否存在进程权限提升操作；
194.提权防护模块，用于在存在所述进程权限提升操作时，对所述操作指令进行拦截。
195.b13、如b12所述的进程权限提升防护装置，所述权限获取模块，还用于在检测到源进程生成的进程创建指令时，根据所述进程创建指令确定对应的待创建权限级别；
196.所述提权判断模块，还用于根据所述待创建权限级别和所述源进程的权限级别判断是否存在第一进程权限提升操作；
197.所述权限获取模块，还用于在不存在所述第一进程权限提升操作时，根据所述进程创建指令创建对应的目标进程。
198.b14、如b13所述的进程权限提升防护装置，所述提权防护模块，还用于在存在所述第一进程权限提升操作时，拦截所述进程创建指令。
199.b15、如b12所述的进程权限提升防护装置，所述权限获取模块，还用于获取目标进程创建时的原始权限级别和所述目标进程对应的源进程的权限级别；
200.所述提权判断模块，还用于根据所述原始权限级别和所述源进程的权限级别判断是否存在第二进程权限提升操作；
201.所述权限获取模块，还用于在不存在所述第二进程权限提升操作时，判断是否检测到目标进程生成的操作指令。
202.b16、如b15所述的进程权限提升防护装置，所述提权防护模块，还用于在存在所述第二进程权限提升操作时，根据所述目标进程执行对应的清理策略。
203.b17、如b16所述的进程权限提升防护装置，所述权限获取模块，还用于在存在所述第二进程权限提升操作时，对所述目标进程执行对应的清理操作，并获取所述目标进程对应的源进程的进程行为信息；
204.所述权限获取模块，还用于根据所述源进程的进程行为信息判断所述源进程是否为可疑进程；
205.所述权限获取模块，还用于在所述源进程为所述可疑进程时，对所述源进程执行对应的清理操作。
206.b18、如b12所述的进程权限提升防护装置，所述提权防护模块，还用于在检测到所
述目标进程生成的进程退出指令时，获取所述目标进程退出时的终止权限级别；
207.所述提权判断模块，还用于根据所述原始权限级别和所述终止权限级别判断是否存在第三进程权限提升操作；
208.所述提权防护模块，还用于在存在所述第三进程权限提升操作时，根据所述目标进程执行对应的警示策略。
209.本发明还公开了c19、一种进程权限提升防护设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的进程权限提升防护程序，所述进程权限提升防护程序配置为实现如a1至a11中任一项所述的进程权限提升防护方法的步骤。
210.本发明还公开了d20、一种存储介质，所述存储介质上存储有进程权限提升防护程序，所述进程权限提升防护程序被处理器执行时实现如a1至a11中任一项所述的进程权限提升防护方法的步骤。