非法提权检测方法、装置、电子设备及存储介质

专利申请号：CN202111130815.8

公 开 号：CN113987435A

发 明 人：王明广 王丹阳 齐向东 吴云坤 

代 理 人：王宇杨

代理机构：11002 北京路浩知识产权代理有限公司

专利类型：发明专利

申 请 日：20220128

公 开 日：20210926

专利主分类号：G06F21/31(20130101)

关 键 词：进程 用户标识 目标用户标识 监控点 检测 预先存储 非法 存储介质 电子设备 防护措施 内存指令 日志结构 提升系统 不一致 有效地 篡改 合并 监控 创建 安全 

摘      要：本发明实施例提供一种非法提权检测方法、装置、电子设备及存储介质，方法包括：在第一日志结构合并LSM监控点检测到第一进程的情况下，获取所述第一进程的当前用户标识；获取预先存储的所述第一进程的目标用户标识；在所述第一进程的当前用户标识与所述第一进程的目标用户标识不一致的情况下，确定所述第一进程为非法提权操作。本发明通过预先存储第一进程在创建时的目标用户标识，在第一进程进入每个LSM监控点时，LSM监控点都检测第一进程的用户标识是否被篡改，能够对第一进程的用户标识进行持续监控，从而实现基于内存指令级别的非法提权检测，能够有效地检测到非法提权操作，进而及时采取防护措施，提升系统安全。