公开(公告)号：CN116340971A

公开(公告)日：2023-06-27

申请号：CN202310163805.7

申请日：2023-02-24

Applicant: 中国科学院信息工程研究所

Inventor： 孟丹 ,  于爱民 ,  肖丽芳 ,  王涵钰

IPC: G06F21/60

Abstract: 本发明提供一种操作系统级动态运维授权方法及系统，方法包括：接收用户发起的访问请求；根据访问请求，查询预设映射关系配置表，获取安全上下文的用户字段；确定用户的登录方式，并根据登录方式，获取安全上下文的角色字段和安全上下文的类型字段；根据安全上下文的用户字段、安全上下文的角色字段和安全上下文的类型字段，得到对应安全上下文，并根据安全上下文为用户授予相应权限。本发明通过获取安全上下文的用户字段、角色字段和类型字段，确定用户的操作权限，从而确定能否根据访问请求进行相应访问操作，实现用户对运维软件的执行权限动态配置，同时管控该用户启动的其它软件对运维软件的操作权限。

公开(公告)号：CN118606947A

公开(公告)日：2024-09-06

申请号：CN202410945843.2

申请日：2024-07-15

Applicant: 中国科学院信息工程研究所

Inventor： 于爱民 ,  王涵钰 ,  肖丽芳 ,  孟丹

IPC: G06F21/56 ,  G06F21/57

Abstract: 本发明提供一种用于注入漏洞抑制的进程分析和控制方法，其特征在于，包括以下步骤：S210，从提前收集的多条审计日志中，根据系统调用提取进程行为，通过正常进程和恶意进程的行为模式之间的区别，识别恶意进程；S220，扩展柏克莱封包过滤器eBPF预先设置Linux安全模块钩子，由Linux安全模块钩子根据S210中的恶意进程识别结果进行检查，比较行为模式，并从中识别异常的行为模式，从而获取应被禁止的权限，以控制进程执行。根据本发明技术方案，实现了在抑制注入漏洞的同时，最大限度地减少对系统可用性的影响。