本申请公开了一种程序异常行为的检测方法、系统、设备及存储介质,应用于计算机安全技术领域,包括:按照设定的校验数据生成规则,预先为指定的进程文件生成进程文件的第一校验数据并存储;当检测到进程文件被执行时,按照校验数据生成规则,生成进程文件的第二校验数据并判断是否与第一校验数据一致;如果是,则确定进程文件正常执行;如果否,则监测进程文件被执行时的行为,并基于行为确定进程文件是否正常执行。应用本申请的的方案,可以有效地进行程序异常行为的检测,保护计算机安全。保护计算机安全。保护计算机安全。
【技术实现步骤摘要】
一种程序异常行为的检测方法、系统、设备及存储介质
[0001]本专利技术涉及计算机安全
,特别是涉及一种程序异常行为的检测方法、系统、设备及存储介质。
技术介绍
[0002]目前,随着云计算、大数据的高速发展,创建虚拟机越来越容易,主机资产也越来越多,而近几年,挖矿病毒也出现地越来越频率,导致诸多用户受到影响。目前,对于虚拟货币的管控也愈发严格,打击此类挖矿活动也成为近年整治的重点。
[0003]挖矿行为不仅仅会导致计算机卡顿、CPU占有率过高、运维成本暴涨,一些挖矿的主机还可能被植入其他病毒,导致用户重要数据泄露。还有的黑客会利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件发生。
[0004]综上所述,如果有效地进行程序异常行为的检测,保护计算机安全,是目前本领域技术人员急需解决的技术问题。
技术实现思路
[0005]本专利技术的目的是提供一种程序异常行为的检测方法、系统、设备及存储介质,以有效地进行程序异常行为的检测,保护计算机安全。
[0006]为解决上述技术问题,本专利技术提供如下技术方案:
[0007]一种程序异常行为的检测方法,包括:
[0008]按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储;
[0009]当检测到所述进程文件被执行时,按照所述校验数据生成规则,生成所述进程文件的第二校验数据并判断是否与所述第一校验数据一致;
[0010]如果是,则确定所述进程文件正常执行;
[0011]如果否,则监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行。
[0012]优选的,所述按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储,包括:
[0013]通过预设的校验算法,预先为指定的进程文件生成所述进程文件的初始校验数据;
[0014]按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储。
[0015]优选的,所述按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储,包括:
[0016]从所述初始校验数据中选取各个奇数位数据或者各个偶数位数据,将选取出的结果作为所述进程文件的第一校验数据并存储。
[0017]优选的,所述监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行,包括:
[0018]监测所述进程文件被执行时的各项行为参数;
[0019]按照设定的赋值规则,为监测出的各项行为参数配置相应的权重值;
[0020]将各个权重值叠加,并判断叠加之后的数值是否超过预设的第一阈值;
[0021]如果是,则确定进程文件未正常执行,如果否,则确定所述进程文件正常执行。
[0022]优选的,所述监测所述进程文件被执行时的各项行为参数,包括:
[0023]监测所述进程文件被执行时的所属用户是否为正常用户,进程属性是否为只读,是否存在本进程或任意子进程的随机启动,CPU占用率是否高于CPU占用率阈值,是否存在攻击安全软件的动作,本进程或任意父、子进程是否链接对外端口,是否链接定时任务。
[0024]优选的,在确定进程文件未正常执行之后,还包括:
[0025]暂停执行所述进程文件并进行事件记录。
[0026]优选的,在判断叠加之后的数值未超过预设的第一阈值之后,还包括:
[0027]判断叠加之后的数值是否小于等于预设的第二阈值;
[0028]如果否,则将监测频率调整为预设的第二监测频率以基于所述第二监测频率周期性监测所述进程文件被执行时的各项行为参数;
[0029]其中,所述第二监测频率高于默认的第一监测频率,所述第二阈值小于所述第一阈值。
[0030]一种程序异常行为的检测系统,包括:
[0031]第一校验数据预存储模块,用于按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储;
[0032]校验执行模块,用于当检测到所述进程文件被执行时,按照所述校验数据生成规则,生成所述进程文件的第二校验数据并判断是否与所述第一校验数据一致;
[0033]如果是,则触发第一执行模块,用于确定所述进程文件正常执行;
[0034]如果否,则触发第二执行模块,用于监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行。
[0035]一种程序异常行为的检测设备,包括:
[0036]存储器,用于存储计算机程序;
[0037]处理器,用于执行所述计算机程序以实现如上述所述的程序异常行为的检测方法的步骤。
[0038]一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的程序异常行为的检测方法的步骤。
[0039]应用本专利技术实施例所提供的技术方案,会按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储。而检测到所述进程文件被执行时,会按照所述校验数据生成规则,生成所述进程文件的第二校验数据。因此,当进程文件未被修改时,第二校验数据会与第一校验数据一致,进而可以确定进程文件正常执行。而当第二校验数据与第一校验数据不一致时,为了避免误判,本申请会进一步地监测所述进程文件被执行时的行为,从而可以更加准确地确定所述进程文件是否正常执行,提高了程序异常行为的检测准确性。综上所述,本申请的方案可以有效地进行程序异常行为的检测,保
护计算机安全。
附图说明
[0040]为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0041]图1为本专利技术中一种程序异常行为的检测方法的实施流程图;
[0042]图2为本专利技术中一种程序异常行为的检测系统的结构示意图;
[0043]图3为本专利技术中一种程序异常行为的检测设备的结构示意图。
具体实施方式
[0044]本专利技术的核心是提供一种程序异常行为的检测方法,以有效地进行程序异常行为的检测,保护计算机安全。
[0045]为了使本
的人员更好地理解本专利技术方案,下面结合附图和具体实施方式对本专利技术作进一步的详细说明。显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0046]请参考图1,图1为本专利技术中一种程序异常行为的检测方法的实施流程图,该程序异常行为的检测方法可以包括以下步骤:
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种程序异常行为的检测方法,其特征在于,包括:按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储;当检测到所述进程文件被执行时,按照所述校验数据生成规则,生成所述进程文件的第二校验数据并判断是否与所述第一校验数据一致;如果是,则确定所述进程文件正常执行;如果否,则监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行。2.根据权利要求1所述的程序异常行为的检测方法,其特征在于,所述按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储,包括:通过预设的校验算法,预先为指定的进程文件生成所述进程文件的初始校验数据;按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储。3.根据权利要求2所述的程序异常行为的检测方法,其特征在于,所述按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储,包括:从所述初始校验数据中选取各个奇数位数据或者各个偶数位数据,将选取出的结果作为所述进程文件的第一校验数据并存储。4.根据权利要求1所述的程序异常行为的检测方法,其特征在于,所述监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行,包括:监测所述进程文件被执行时的各项行为参数;按照设定的赋值规则,为监测出的各项行为参数配置相应的权重值;将各个权重值叠加,并判断叠加之后的数值是否超过预设的第一阈值;如果是,则确定进程文件未正常执行,如果否,则确定所述进程文件正常执行。5.根据权利要求4所述的程序异常行为的检测方法,其特征在于,所述监测所述进程文件被执行时的各项行为参数,包括:监测所述进程文件被执行时的所属用户是否为正常用户,进程...
【专利技术属性】
技术研发人员:路廷文,
申请(专利权)人:济南浪潮数据技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。