提权漏洞攻击的检测方法及装置、电子设备与流程

1.本公开涉及安全技术领域，尤其涉及一种提权漏洞攻击的检测方法及装置、电子设备。


背景技术：

2.提权漏洞攻击就是攻击者可以利用漏洞提升账户的权限，将账户从较低权限提升为系统中的最高权限。目前服务端向客户提供服务的程序，以二进制的形式运行在物理机上。当攻击者利用提供服务的二进制程序的漏洞获取到低级权限后，可以通过提权的方式来获得系统的最高权限，从而完全控制物理机。一旦攻击者成功提权后，可以获取服务器所保存的数据，如：用户信息，甚至还可以横向移动攻击其他服务器。


技术实现要素：

3.根据本公开的一方面，提供了一种提权漏洞攻击的检测方法，所述方法包括：
4.获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；
5.当满足以下至少两个条件时，确定正在进行提权漏洞攻击：
6.根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；
7.根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；
8.根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。
9.在一种可能的实施方式中，所述方法还包括：
10.利用静态分析工具确定所述目标程序的直接跳转指令信息；
11.根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；
12.根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；
13.将所述预设跳转指令信息集合保存到跳转判断进程。
14.在一种可能的实施方式中，所述方法还包括：
15.在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合。
16.在一种可能的实施方式中，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修
改，包括：
17.确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或
18.确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。
19.在一种可能的实施方式中，所述目标程序包括服务端的服务程序。
20.根据本公开的一方面，提供了一种提权漏洞攻击的检测装置，所述装置包括：
21.信息获取模块，用于获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；
22.攻击确定模块，连接于所述信息获取模块，用于当满足以下至少两个条件时，确定正在进行提权漏洞攻击：
23.根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；
24.根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；
25.根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。
26.在一种可能的实施方式中，所述装置还包括第一获取模块，用于：
27.利用静态分析工具确定所述目标程序的直接跳转指令信息；
28.根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；
29.根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；
30.将所述预设跳转指令信息集合保存到跳转判断进程。
31.在一种可能的实施方式中，所述装置还包括第二获取模块，用于：
32.在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合。
33.在一种可能的实施方式中，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修改，包括：
34.确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或
35.确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。
36.在一种可能的实施方式中，所述目标程序包括服务端的服务程序。
37.根据本公开的一方面，提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行上述方法。
38.根据本公开的一方面，提供了一种计算机可读存储介质，其上存储有计算机程序
指令，所述计算机程序指令被处理器执行时实现上述方法。
39.本公开实施例可以获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，并利用获取的信息执行多种判断，当满足以下根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化；根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改中至少两个条件时，确定正在进行提权漏洞攻击，本公开实施例从三个不同的角度捕获攻击者利用二级制漏洞进行提权的行为，可以提高提权漏攻攻击检测的成功率、准确性，避免错报、漏报。
40.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开。根据下面参考附图对示例性实施例的详细说明，本公开的其它特征及方面将变得清楚。
附图说明
41.此处的附图被并入说明书中并构成本说明书的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。
42.图1示出了根据本公开一实施例的提权漏洞攻击的检测方法的流程图。
43.图2示出了根据本公开一实施例的检测模型运行示意图。
44.图3示出了根据本公开一实施例的提权漏洞攻击的检测装置的框图。
45.图4示出了根据本公开一实施例的一种电子设备的框图。
46.图5示出了根据本公开一实施例的一种电子设备的框图。
具体实施方式
47.以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。
48.在本公开的描述中，需要理解的是，术语“长度”、“宽度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本公开和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本公开的限制。
49.此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
50.在本公开中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情
况理解上述术语在本公开中的具体含义。
51.在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
52.本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合，例如，包括a、b、c中的至少一种，可以表示包括从a、b和c构成的集合中选择的任意一个或多个元素。
53.另外，为了更好地说明本公开，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本公开同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本公开的主旨。
54.相关技术方案通常仅通过进程运行时的属性来判断是否被提权，但在实际情况中，用户也可能实施涉及到权限切换的操作，这些操作会引起服务进程权限的变化，若将权限变化的进程都识别为遭受提权攻击，可能会造成较高的误报。同时，关技术方案主要是关注于普通权限用户修改自己的权限为最高权限，忽略了低权限的进程通过修改高权限进程的文件属性来进行提权攻击的行为，造成漏报。
55.本公开实施例可以获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，并利用获取的信息执行多种判断，当满足以下根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化；根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改中至少两个条件时，确定正在进行提权漏洞攻击，本公开实施例从三个不同的角度捕获攻击者利用二级制漏洞进行提权的行为，可以提高提权漏攻攻击检测的成功率、准确性，避免错报、漏报。
56.图1示出了根据本公开一实施例的提权漏洞攻击的检测方法的流程图。
57.所述提权漏洞攻击的检测方法的执行主体可以是提权漏洞攻击的检测装置。例如，所述提权漏洞攻击的检测方法可以由终端设备或服务器或其它处理设备执行。其中，终端设备可以是用户设备(user equipment，ue)、移动设备、用户终端、终端、手持设备、计算设备或者车载设备等，示例性的，一些终端的举例为：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internetdevice，mid)、可穿戴设备，虚拟现实(virtual reality，vr)设备、增强现实(augmentedreality，ar)设备、工业控制(industrial control)中的无线终端、无人驾驶(selfdriving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端、智慧家庭(smart home)中的无线终端、车联网中的无线终端等。
58.在一些可能的实现方式中，所述提权漏洞攻击的检测方法可以通过处理组件调用存储器中存储的计算机可读指令的方式来实现。在一个示例中，处理组件包括但不限于单独的处理器，或者分立元器件，或者处理器与分立元器件的组合。所述处理器可以包括电子设备中具有执行指令功能的控制器，所述处理器可以按任何适当的方式实现，例如，被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编
程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现。在所述处理器内部，可以通过逻辑门、开关、专用集成电路(application specific integrated circuit，asic)、可编程逻辑控制器和嵌入微控制器等硬件电路执行所述可执行指令。如图1所示，所述提权漏洞攻击的检测方法包括步骤s11至步骤s12。
59.请参阅图1，图1示出了根据本公开一实施例的提权漏洞攻击的检测方法的流程图。
60.如图1所示，所述方法包括：
61.步骤s11，获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用(system call)；
62.步骤s12，当满足以下至少两个条件时，确定正在进行提权漏洞攻击：
63.根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；
64.根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；
65.根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。
66.在一种可能的实施方式中，所述目标程序包括服务端的服务程序，或其他类型的程序，对于目标程序的具体类型、内容、功能，本公开实施例不做限定。
67.示例性的，攻击者利用二进制的漏洞进行攻击的时候，往往会选择控制流劫持的方式，攻击者通过控制流劫持来获取服务器的控制权，随后进行提权操作，进一步实现对服务器或其他电子设备的全面控制。因此，本公开实施例提出使用控制流完整性机制来提前捕获攻击者可能提权的行为。本公开实施例通过监控程序中的控制流转移，使得程序的控制流跳转始终处于合法的控制流图所限定的范围内。
68.本公开实施例可以通过多种方式获取跳转指令信息，本公开实施例对此不做限定。示例性的，在目标程序运行时，本公开实施例可以通过对程序中的跳转指令插入检查代码，获取跳转指令信息，以判断其跳转范围是否合法，但要达到更好的检测效果，需要对程序中每条间接跳转指令都插桩，开销过大且难以在实际环境中进行部署。示例性的，为了降低系统开销并降低部署难度，本公开实施例可以采用硬件辅助机制btb(branch trace buffer)，来捕获目标程序运行时的所有跳转指令的信息，例如，btb可以将信息写入控制器(如cpu)指定的缓冲区内，当缓冲区满时另一个进程(如跳转判断进程)会进行合法性判断。本公开实施例通过btb机制获取跳转指令信息，利用另一个进程根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令，进行跳转指令跳转合法性的判断，可以降低系统开销并降低在系统环境中的部署难度。
69.在一种可能的实施方式中，本公开实施例可以提前获取预设跳转指令信息集合，并将预设跳转指令信息集合保存到专门用于跳转指令合法性检查的跳转判断进程。
70.在一种可能的实施方式中，所述方法还可以包括：
71.利用静态分析工具确定所述目标程序的直接跳转指令信息；
72.根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；
73.根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；
74.将所述预设跳转指令信息集合保存到跳转判断进程。
75.在一个示例中，静态分析工具可以包括ida pro(interactive disassembler professional，交互式反汇编器专业版)、bincoa等，本公开实施例可以利用静态分析工具分析目标程序的二进制程序，构建所述目标程序的控制流图(control flow graph，cfg)，其中cfg的每一条有向边代表可能的控制流转换，例如从地址a跳转到地址b。本公开实施例利用静态分析工具可以确定所述目标程序的直接跳转指令信息。
76.在一个示例中，本公开实施例可以通过分析所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息，本公开实施例对分析目标程序的指针信息的具体工具或方式不做限定，本领域技术人员可以根据需要实现。
77.本公开实施可以根据所述直接跳转指令信息、所述间接跳转指令信息得到所述目标程序的完整的cfg，即预设跳转指令信息集合，得到所述目标程序所有跳转指令的合法跳转信息，并优选将预设跳转指令信息集合保存到跳转判断进程，以降低开销。当然，本公开实施例也可以将预设跳转指令信息集合存储在数据库中。
78.示例性的，本公开实施例可以根据将所述跳转指令信息与预设跳转指令信息集合中的跳转指令信息进行比较，以判断是否存在预设跳转指令信息集合之外的非预期的控制流跳转，若存在非预期的控制流跳转，违背了控制流完整性，可判定为潜在提权漏洞攻击。
79.示例性的，攻击者进行提权时，需要修改进程属性中的权限字段。与进程相关的属性信息一般存储在pcb(process control block，进程控制区块)中，例如：linux系统中与权限相关的内容记录在pcb的cred结构体中，其中，cred结构体中的字段euid代表该进程的访问权限，也就是说，当攻击者修改了这个字段后，就成功提权。攻击者利用漏洞进行提权的操作，也可能会体现在程序的具体行为上，因此，本公开实施例一并提取与程序相关的敏感库函数和系统调用的信息，例如，对于linux的程序可使用strace监控进程运行时调用的系统调用，使用ltrace监控进程运行时调用的库函数，当程序执行敏感的库函数或系统调用时，表明捕获到攻击者提权的行为。
80.本公开实施例可以在受信任的测试环境中运行目标程序，以提前确定进程的标准属性信息。
81.在一种可能的实施方式中，所述方法还可以包括：
82.在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合。
83.示例性的，权限属性信息例如可以包括uid、gid、suid、euid等。
84.本公开实施例对系统类型不做限定，系统可以为linux系统、windows系统、unix系统或其他系统，对于不同的系统，权限属性信息、库函数、系统调用可能存在差别，对此，本公开实施例不做限定。
85.本公开实施例对搜集权限属性信息、进程调用的库函数与系统调用的具体实现方式不做限定，本领域技术人员可以根据需要确定。
86.示例性的，本公开实施例可以将所述进程的属性信息及所述进程的标准属性信息进行比较，若判断进程的属性信息发生变化，例如进程的属性信息被修改(如：进程的euid被修改)，或进程的行为有异常，如调用了敏感的系统调用(如execve())，或调用了敏感的库函数(例如commit_creds()、prepare_kernel_cred()等)，可判定为潜在提权漏洞攻击。
87.在一种可能的实施方式中，所述账户至少可以包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，其中，不同类型的账户可以具有不同的标识，根据不同的账户标识可以确定账户登记，对于标识的具体类型，本公开实施例不走限定。示例性的，以linux系统、unix系统为例，高级账户可以具有root权限，具有root权限的账户可以在系统中对任何文件进行增、删、该、查等操作，初级账户可以是不具有root权限的账户。示例性的，提升账户的权限例如是将初级账户提升为高级账户。
88.示例性的，攻击者除了修改进程的权限为高权限外，还可以通过高权限用户所属文件的属性进行提权攻击，因此，本公开实施例会提取初级账户和/或高级账户的属性信息，以及初级账户和/或高级账户所拥有文件的属性信息，并判断是否存在潜在提权漏洞攻击。
89.示例性的，当目标程序运行时，本公开实施例可以实时记录各个账户的属性信息及各个账户所拥有的文件的属性信息。
90.在一种可能的实施方式中，所述确定所述账户的权限或所拥有文件的属性信息被修改，可以包括：
91.确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或
92.确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。
93.示例性的，当普通用户的权限被提升或高权限用户所属文件的属性被修改，或确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改，可判定为潜在的提权漏洞攻击。
94.为了降低误报率，本公开实施例在确定至少两个角度检测到攻击者利用漏洞进行提权行为的情况下，才判定该进程正在被提权。
95.请参阅图2，图2示出了根据本公开一实施例的检测模型运行示意图。
96.在一个示例中，如图2所示，本公开实施例的检测模型可以包括控制流提取模块、进程信息提取模块、用户信息提取模块，可以利用控制流提取模块获取预设跳转指令信息集合，如利用静态分析工具确定所述目标程序的直接跳转指令信息，根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息，根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合，并将所述预设跳转指令信息集合保存到跳转判断进程，例如获取的跳转指令信息集合中，控制流包括a
‑
>b
‑
>d、a
‑
>c
‑
>e、a
‑
>c
‑
>f；可以利用进程信息提取模块在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，例如，标准属性信息中初级账户的uid为12；可以利用用户信息提取模块获取账户的标准属性信息、所述账户所拥有文件的标准属性信息。可以将进程的标准属性信息、账户的标准属性信息、所述账户所拥有文件的标准属性信息保存到高性能分布式时序数据库中，其中，高性能分布式时序数据库，可以支持低延时、实时性的任务，并可以实现丰富数据分析和分布式计算功能，提高检测效
率。
97.在一个示例中，如图2所示，所述检测模型还可以包括运行时监控模块，用于当服务端的程序提供服务时，使用运行时监控模块来监控程序的控制流跳转、行为以及用户属性信息，即在服务提供进程运行时获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，例如，获得的跳转指令信息包括c
‑
>b，普通用户的uid为0。
98.在一个示例中，如图2所示，所述检测模型可以包括数据分析系统，用于对收集到的运行时信息与高性能数据库中保存的信息进行比对，根据所述跳转指令信息及预设跳转指令信息集合确定是否存在异常跳转指令，根据所述进程的属性信息及所述进程的标准属性信息确定属性信息是否发生变化；根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息是否被修改，当至少两个条件满足时，可以确定正在进行提权漏洞攻击，例如，数据分析系统发现控制流跳转c
‑
>b不在原先的控制流图中，且用户的uid发生了变化，违反了两个观测点，将其判定为进程正在受到提权攻击。
99.本公开实施例对确定收到提权攻击后的处理方式不做限定。
100.本公开实施例对被监控的进程及对应的二进制程序、账户进行预处理，收集必要的信息，如：提取二进制程序中跳转指令合法跳转目标集合，进程的属性和可能执行的敏感函数、系统调用，普通、最高权限账户的属性信息、文件属性信息等，将这些信息保存至高性能的分布式时序数据库中。然后监控进程执行时的属性、行为和账户属性的变化。最后使用数据分析系统来判断进程是否受到提权攻击，可以在不影响程序正常提供服务的前提下实现运行时监控，捕获提权攻击，使用异构观测链的方法来捕获攻击者利用二进制漏洞进行提权的行为，本公开实施例从二进制本身，二进制运行时行为以及系统中用户属性三个不同的角度来进行观测，并且只有至少违背两个条件才会被判定为提权攻击，保证了检测使用二进制漏洞进行提权攻击的精度，减少漏报和误报。
101.可以理解，本公开提及的上述各个方法实施例，在不违背原理逻辑的情况下，均可以彼此相互结合形成结合后的实施例，限于篇幅，本公开不再赘述。本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
102.请参阅图3，图3示出了根据本公开一实施例的提权漏洞攻击的检测装置的框图。
103.如图3所示，所述装置包括：
104.信息获取模块10，用于获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，其中，所述进程的属性信息包括进程的权限属性信息、进程调用的库函数与系统调用；
105.攻击确定模块20，连接于所述信息获取模块，用于当满足以下至少两个条件时，确定正在进行提权漏洞攻击：
106.根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；
107.根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化，其中，所述属性信息发生变化包括权限属性信息发生变化、进程调用敏感的库函数、调用敏感的系统调用的至少一种；
108.根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改。
109.本公开实施例可以获取目标程序运行时的跳转指令信息、对应进程的属性信息、账户的属性信息与账户所拥有文件的属性信息，并利用获取的信息执行多种判断，当满足以下根据所述跳转指令信息及预设跳转指令信息集合确定存在异常跳转指令；根据所述进程的属性信息及所述进程的标准属性信息确定属性信息发生变化；根据所述账户的属性信息与账户所拥有文件的属性信息及所述账户的标准属性信息、所述账户所拥有文件的标准属性信息确定所述账户的权限或所拥有文件的属性信息被修改中至少两个条件时，确定正在进行提权漏洞攻击，本公开实施例从三个不同的角度捕获攻击者利用二级制漏洞进行提权的行为，可以提高提权漏攻攻击检测的成功率、准确性，避免错报、漏报。
110.在一种可能的实施方式中，所述装置还包括第一获取模块，用于：
111.利用静态分析工具确定所述目标程序的直接跳转指令信息；
112.根据所述目标程序的指针信息确定间接跳转指令信息、间接调用指令信息；
113.根据所述直接跳转指令信息、所述间接跳转指令信息及所述间接调用指令信息得到所述目标程序的预设跳转指令信息集合；
114.将所述预设跳转指令信息集合保存到跳转判断进程。
115.在一种可能的实施方式中，所述装置还包括第二获取模块，用于：
116.在测试环境下运行所述目标程序，获取所述目标程序运行时对应进程的标准属性信息，所述标准属性信息包括标准权限属性信息及进程可能调用的库函数和系统调用集合。
117.在一种可能的实施方式中，所述账户包括初级账户及高级账户，所述高级账户比所述初级账户拥有更高的权限，所述确定所述账户的权限或所拥有文件的属性信息被修改，包括：
118.确定所述初级账户的权限被提升和/或所述高级账户所述高级账户所拥有文件的属性信息被修改；或
119.确定所述高级账户所拥有文件的属性信息被权限提升的所述初级账户修改。
120.在一种可能的实施方式中，所述目标程序包括服务端的服务程序。
121.在一些实施例中，本公开实施例提供的装置具有的功能或包含的模块可以用于执行上文方法实施例描述的方法，其具体实现可以参照上文方法实施例的描述，为了简洁，这里不再赘述。
122.本公开实施例还提出一种计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述方法。计算机可读存储介质可以是非易失性计算机可读存储介质。
123.本公开实施例还提出一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为调用所述存储器存储的指令，以执行上述方法。
124.本公开实施例还提供了一种计算机程序产品，包括计算机可读代码，或者承载有计算机可读代码的非易失性计算机可读存储介质，当所述计算机可读代码在电子设备的处理器中运行时，所述电子设备中的处理器执行上述方法。
125.电子设备可以被提供为终端、服务器或其它形态的设备。
126.请参阅图4，图4示出了根据本公开一实施例的一种电子设备的框图。
127.例如，电子设备800可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等终端。
128.参照图4，电子设备800可以包括以下一个或多个组件：处理组件802，存储器804，电源组件806，多媒体组件808，音频组件810，输入/输出(i/o)的接口812，传感器组件814，以及通信组件816。
129.处理组件802通常控制电子设备800的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件802可以包括一个或多个处理器820来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件802可以包括一个或多个模块，便于处理组件802和其他组件之间的交互。例如，处理组件802可以包括多媒体模块，以方便多媒体组件808和处理组件802之间的交互。
130.存储器804被配置为存储各种类型的数据以支持在电子设备800的操作。这些数据的示例包括用于在电子设备800上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器804可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。
131.电源组件806为电子设备800的各种组件提供电力。电源组件806可以包括电源管理系统，一个或多个电源，及其他与为电子设备800生成、管理和分配电力相关联的组件。
132.多媒体组件808包括在所述电子设备800和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件808包括一个前置摄像头和/或后置摄像头。当电子设备800处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。
133.音频组件810被配置为输出和/或输入音频信号。例如，音频组件810包括一个麦克风(mic)，当电子设备800处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器804或经由通信组件816发送。在一些实施例中，音频组件810还包括一个扬声器，用于输出音频信号。
134.i/o接口812为处理组件802和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。
135.传感器组件814包括一个或多个传感器，用于为电子设备800提供各个方面的状态评估。例如，传感器组件814可以检测到电子设备800的打开/关闭状态，组件的相对定位，例如所述组件为电子设备800的显示器和小键盘，传感器组件814还可以检测电子设备800或电子设备800一个组件的位置改变，用户与电子设备800接触的存在或不存在，电子设备800
方位或加速/减速和电子设备800的温度变化。传感器组件814可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件814还可以包括光传感器，如互补金属氧化物半导体(cmos)或电荷耦合装置(ccd)图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件814还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。
136.通信组件816被配置为便于电子设备800和其他设备之间有线或无线方式的通信。电子设备800可以接入基于通信标准的无线网络，如无线网络(wifi)，第二代移动通信技术(2g)或第三代移动通信技术(3g)，或它们的组合。在一个示例性实施例中，通信组件816经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件816还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。
137.在示例性实施例中，电子设备800可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。
138.在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器804，上述计算机程序指令可由电子设备800的处理器820执行以完成上述方法。
139.请参阅图5，图5示出了根据本公开一实施例的一种电子设备的框图。
140.例如，电子设备1900可以被提供为一服务器。参照图5，电子设备1900包括处理组件1922，其进一步包括一个或多个处理器，以及由存储器1932所代表的存储器资源，用于存储可由处理组件1922的执行的指令，例如应用程序。存储器1932中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件1922被配置为执行指令，以执行上述方法。
141.电子设备1900还可以包括一个电源组件1926被配置为执行电子设备1900的电源管理，一个有线或无线网络接口1950被配置为将电子设备1900连接到网络，和一个输入输出(i/o)接口1958。电子设备1900可以操作基于存储在存储器1932的操作系统，例如微软服务器操作系统(windows server
tm
)，苹果公司推出的基于图形用户界面操作系统(mac os x
tm
)，多用户多进程的计算机操作系统(unix
tm
),自由和开放原代码的类unix操作系统(linux
tm
)，开放原代码的类unix操作系统(freebsd
tm
)或类似。
142.在示例性实施例中，还提供了一种非易失性计算机可读存储介质，例如包括计算机程序指令的存储器1932，上述计算机程序指令可由电子设备1900的处理组件1922执行以完成上述方法。
143.本公开可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本公开的各个方面的计算机可读程序指令。
144.计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是(但不限于)电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器
(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd
‑
rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
145.这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。
146.用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。
147.这里参照根据本公开实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本公开的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。
148.这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
149.也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
150.附图中的流程图和框图显示了根据本公开的多个实施例的系统、方法和计算机程
序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
151.该计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，所述计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包(software development kit，sdk)等等。
152.以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。