【技术实现步骤摘要】
后门程序检测方法、装置、电子设备及存储介质
[0001]本公开涉及互联网
,尤其涉及后门程序检测方法、装置、电子设备及存储介质。
技术介绍
[0002]随着互联网技术的发展,信息资源出现了爆炸式增长,随之而来的则是信息资源的安全问题。信息资源面临着多方面的威胁,如果信息资源所依赖的载体存在漏洞,这种漏洞非常容易被不法分子利用,比如黑客可以利用这种漏洞,通过在目标程序中植入一段可以进行远程控制的后门程序,从而实现在目标程序或目标系统不具备控制权限的情况下,进入到目标系统中,进行远程控制用户电脑、窃取用户银行账号、实时监控用户上网等非法操作,从而导致信息资源的泄露。因此有必要对信息资源所依赖的载体是否存在后门程序进行检测,并删除后门程序,降低信息资源的泄露和运行安全风险。
[0003]目前在网络通信中,这种通过植入后门程序实现对目标系统的入侵难以有效的检测出来。
技术实现思路
[0004]本公开提供了一种后门程序检测方法、装置、电子设备及存储介质。
[0005]根据本公开的第一方面,提供了一种后门程序检测方法。该方法包括:获取测试数据;获取基准程序对所述测试数据的第一运行结果,所述第一运行结果包括所述基准程序在处理所述测试数据时的第一运行时长;获取待测程序对所述测试数据的第二运行结果,所述第二运行结果包括所述待测程序在处理所述测试数据时的第二运行时长;将所述第二运行时长与所述第一运行时长进行对比,得到第一对比结果,并根据所述第一对比结果来确定所述待测程序是否被嵌入了后门程序。>[0006]进一步地,所述测试数据为待识别数据;所述根据所述第一对比结果来确定所述待测程序是否被嵌入了后门程序,包括:若所述第一对比结果大于第一预设阈值,确定所述待测程序被嵌入了后门程序;若所述第一对比结果不大于所述第一预设阈值,获取第一识别信息和第二识别信息;所述第一识别信息是所述基准程序在处理所述待识别数据时生成的识别结果;所述第二识别信息是所述待测程序在处理所述待识别数据时生成的识别结果;将所述第二识别信息与所述第一识别信息进行对比,得到第二对比结果,并根据所述第二对比结果来确定所述待测程序是否被嵌入了后门程序。
[0007]其中,所述测试数据的生成方式,包括:获取所述基准程序的分支路径和基准数据集;获取所述基准程序的第一目标路径和第二目标路径;所述第一目标路径为含输入
口和输出口的分支路径;所述第二目标路径为所述基准程序在执行所述基准数据集中的一个或多个数据时的路径;获取所述基准程序的目标数据;所述目标数据为与所述第一目标路径相同的所述第二目标路径对应的数据;从所述目标数据中选取极值数据作为所述测试数据,所述极值数据为与所述目标数据平均值偏差最大或者最小的数据。
[0008]其中,所述与所述目标数据平均值偏差最大或者最小的数据的确定方式包括下述的一个或者多个:与所述目标数据平均值之差的绝对值最小、与所述目标数据平均值正向偏差最大及与所述目标数据平均值负向偏差最大。
[0009]进一步地,所述待识别数据的数量为多个,所述方法还包括:获取所述待测程序对各个所述待识别数据的多个识别结果,每个所述识别结果为第一识别运行结果或第二识别运行结果;分别获取所述第一识别运行结果和所述第二识别运行结果在所述多个识别结果中的占比,并将占比大于第二预设阈值的所述第一识别运行结果或者第二识别运行结果作为所述第二识别信息。
[0010]进一步地,所述测试数据的数量为多个,所述方法还包括:获取所述待测程序对各个所述测试数据的多个运行时长结果;剔除所述多个运行时长结果中的异常运行结果,并将剔除后得到的运行时长结果作为所述第二运行时长。
[0011]根据本公开的第二方面,提供了一种后门程序检测装置。该装置包括:第一获取模块,用于获取测试数据;第二获取模块,用于获取基准程序对所述测试数据的第一运行结果,所述第一运行结果包括所述基准程序在处理所述测试数据时的第一运行时长;第三获取模块,用于获取待测程序对所述测试数据的第二运行结果,所述第二运行结果包括所述待测程序在处理所述测试数据时的第二运行时长;判断模块,用于将所述第二运行时长与所述第一运行时长进行对比,得到第一对比结果,并根据所述第一对比结果来确定所述待测程序是否被嵌入了后门程序。
[0012]根据本公开的第三方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
[0013]根据本公开的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面所述的方法。
[0014]本公开提供的后门程序检测方法、装置、电子设备及存储介质,通过获取第一运行时长、第二运行时长,并将第二运行时长与第一运行时长进行对比,并根据对比结果来确定待测程序是否被嵌入了后门程序。以此方式,可以有效的检测出目标系统中是否被嵌入了后门程序。
[0015]应当理解,
技术实现思路
部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
[0016]结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。附图用于更好地理解本方案,不构成对本公开的限定在附图中,相同或相似的附图标记表示相同或相似的元素,其中:图1示出了根据本公开的实施例的后门程序检测方法的流程图;图2示出了根据本公开的实施例的生成测试数据的流程图;图3示出了根据本公开的实施例的后门程序检测装置的框图;图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
[0017]为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
[0018]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0019]图1示出了根据本公开实施例的后门程序检测方法100的流程图。方法100包括:步骤110,获取测试数据。
[0020]其中,测试数据的生成方式,如图2所示,包括以下几个步骤:步骤111,获取所述基准程序的分支路径和基准数据集。
[0021]在一些实施例中,对基准程序进行反汇编处理,把目标代码转为汇编代码,得到基准程序的汇编级指令序列,再借助第三方工具从指令序列中提取出基准程序的控制流图,并对控制流图进行分析得到基准程序执行过程中的所有分支路径。其中,提取控制流图的第三方工具,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.后门程序检测方法,其特征在于,包括:获取测试数据;获取基准程序对所述测试数据的第一运行结果,所述第一运行结果包括所述基准程序在处理所述测试数据时的第一运行时长;获取待测程序对所述测试数据的第二运行结果,所述第二运行结果包括所述待测程序在处理所述测试数据时的第二运行时长;将所述第二运行时长与所述第一运行时长进行对比,得到第一对比结果,并根据所述第一对比结果来确定所述待测程序是否被嵌入了后门程序。2.根据权利要求1所述的方法,其特征在于,所述测试数据为待识别数据;所述根据所述第一对比结果来确定所述待测程序是否被嵌入了后门程序,包括:若所述第一对比结果大于第一预设阈值,确定所述待测程序被嵌入了后门程序;若所述第一对比结果不大于所述第一预设阈值,获取第一识别信息和第二识别信息;所述第一识别信息是所述基准程序在处理所述待识别数据时生成的识别结果;所述第二识别信息是所述待测程序在处理所述待识别数据时生成的识别结果;将所述第二识别信息与所述第一识别信息进行对比,得到第二对比结果,并根据所述第二对比结果来确定所述待测程序是否被嵌入了后门程序。3.根据权利要求1所述的方法,其特征在于,所述测试数据的生成方式,包括:获取所述基准程序的分支路径和基准数据集;获取所述基准程序的第一目标路径和第二目标路径;所述第一目标路径为含输入口和输出口的分支路径;所述第二目标路径为所述基准程序在执行所述基准数据集中的一个或多个数据时的路径;获取所述基准程序的目标数据;所述目标数据为与所述第一目标路径相同的所述第二目标路径对应的数据;从所述目标数据中选取极值数据作为所述测试数据,所述极值数据为与所述目标数据平均值偏差最大或者最小的数据。4.根据权利要求3所述的方法,其特征在于,所述与所述目标数据平均值偏差最大或者最小的数据的确定方式包括下述的一个或者多个:与所述目标数据平均值之差的绝对值最小、与所述目标数据平均值正向...
【专利技术属性】
技术研发人员:肖达,沈传宝,刘加勇,
申请(专利权)人:北京华云安信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。