技术特征:
1.一种程序异常行为的检测方法,其特征在于,包括:按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储;当检测到所述进程文件被执行时,按照所述校验数据生成规则,生成所述进程文件的第二校验数据并判断是否与所述第一校验数据一致;如果是,则确定所述进程文件正常执行;如果否,则监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行。2.根据权利要求1所述的程序异常行为的检测方法,其特征在于,所述按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储,包括:通过预设的校验算法,预先为指定的进程文件生成所述进程文件的初始校验数据;按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储。3.根据权利要求2所述的程序异常行为的检测方法,其特征在于,所述按照设定的校验数据生成规则对所述初始校验数据进行调整,得到所述进程文件的第一校验数据并存储,包括:从所述初始校验数据中选取各个奇数位数据或者各个偶数位数据,将选取出的结果作为所述进程文件的第一校验数据并存储。4.根据权利要求1所述的程序异常行为的检测方法,其特征在于,所述监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行,包括:监测所述进程文件被执行时的各项行为参数;按照设定的赋值规则,为监测出的各项行为参数配置相应的权重值;将各个权重值叠加,并判断叠加之后的数值是否超过预设的第一阈值;如果是,则确定进程文件未正常执行,如果否,则确定所述进程文件正常执行。5.根据权利要求4所述的程序异常行为的检测方法,其特征在于,所述监测所述进程文件被执行时的各项行为参数,包括:监测所述进程文件被执行时的所属用户是否为正常用户,进程属性是否为只读,是否存在本进程或任意子进程的随机启动,cpu占用率是否高于cpu占用率阈值,是否存在攻击安全软件的动作,本进程或任意父、子进程是否链接对外端口,是否链接定时任务。6.根据权利要求4所述的程序异常行为的检测方法,其特征在于,在确定进程文件未正常执行之后,还包括:暂停执行所述进程文件并进行事件记录。7.根据权利要求4至6任一项所述的程序异常行为的检测方法,其特征在于,在判断叠加之后的数值未超过预设的第一阈值之后,还包括:判断叠加之后的数值是否小于等于预设的第二阈值;如果否,则将监测频率调整为预设的第二监测频率以基于所述第二监测频率周期性监测所述进程文件被执行时的各项行为参数;其中,所述第二监测频率高于默认的第一监测频率,所述第二阈值小于所述第一阈值。8.一种程序异常行为的检测系统,其特征在于,包括:
第一校验数据预存储模块,用于按照设定的校验数据生成规则,预先为指定的进程文件生成所述进程文件的第一校验数据并存储;校验执行模块,用于当检测到所述进程文件被执行时,按照所述校验数据生成规则,生成所述进程文件的第二校验数据并判断是否与所述第一校验数据一致;如果是,则触发第一执行模块,用于确定所述进程文件正常执行;如果否,则触发第二执行模块,用于监测所述进程文件被执行时的行为,并基于所述行为确定所述进程文件是否正常执行。9.一种程序异常行为的检测设备,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序以实现如权利要求1至7任一项所述的程序异常行为的检测方法的步骤。10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的程序异常行为的检测方法的步骤。
技术总结
本申请公开了一种程序异常行为的检测方法、系统、设备及存储介质,应用于计算机安全技术领域,包括:按照设定的校验数据生成规则,预先为指定的进程文件生成进程文件的第一校验数据并存储;当检测到进程文件被执行时,按照校验数据生成规则,生成进程文件的第二校验数据并判断是否与第一校验数据一致;如果是,则确定进程文件正常执行;如果否,则监测进程文件被执行时的行为,并基于行为确定进程文件是否正常执行。应用本申请的的方案,可以有效地进行程序异常行为的检测,保护计算机安全。保护计算机安全。保护计算机安全。
技术研发人员:路廷文
受保护的技术使用者:济南浪潮数据技术有限公司
技术研发日:2022.07.22
技术公布日:2022/9/30