本發明涉及一種云端檢測函數被惡意修改的方法、終端設備及存儲介質，該方法可包括以下步驟：S1、采集函數未被惡意修改和被惡意修改的目標進程信息并上報到云端，其中，未被惡意修改的目標進程信息包括被安全軟件修改過函數地址的目標進程信息；S2、云端根據這些信息建立基于決策樹算法的分類模型；S3、采集需要檢測的目標系統的目標進程信息并上報到云端；S4、云端將目標系統上報的目標進程信息輸入所建立的分類模型，得到目標進程函數是否被惡意修改的結果。

技術領域

本發明涉及計算機安全領域，具體地涉及一種云端檢測函數被惡意修改的方法、終端設備及存儲介質。

背景技術

隨著計算機技術的發展，當前對程序函數地址修改一般通過兩種方式：通過進程注入修改程序的函數調用地址；對程序二進制文件直接修改其函數調用地址。

進程注入修改函數地址的方式通常被稱作熱補丁，在不終止程序運行的情況下，通過給程序更新一些函數調用，實現添加額外功能或者修補已知問題的目的。通過進程注入實現函數地址修改一般需要做到以下幾步：關聯需要注入的正在運行的目標進程；讓目標進程加載預先準備好的注入用的動態庫；在注入的動態庫中運行函數，替換目標進程中的部分函數的跳轉地址，使目標進程在調用這些函數時，跳轉到注入的動態庫中的函數，實現函數替換的目的。

程序二進制直接修改函數調用地址通常被稱作冷補丁，相對于進程注入修改函數調用地址，其修改是永久生效的，而進程注入則在進程每次重新啟動都需要重新注入。

函數地址修改技術也會被用于一些非法的目的，比如通過修改程序驗證函數對程序進行破解、修改程序密碼獲取函數竊取密碼、植入病毒代碼等。

如何判斷函數地址被惡意修改，目前，主要有以下方法：

在目標系統上通過安全防護軟件檢測注入行為的發生；

在目標系統上通過安全防護軟件檢測程序二進制文件是否包含惡意代碼；

在目標系統上目標進程自身在運行中檢測函數是否被替換。

對于函數地址替換，也有可能是目標進程的軟件廠商自己發布的修復補丁或者是安全廠商處于安全目的進行的加固，因此單純的在目標系統上檢查目標進程是否被注入以及函數是否被替換是不一定準確的。

目標進程自身檢測函數是否被替換，對于實現了該機制的目標進程才能進行檢測，但是并不是運行在系統上的所有目標進程都實現了該機制。

發明內容

本發明旨在提供一種云端檢測函數被惡意修改的方法，以解決上述現有技術存在的問題。為此，本發明采用的具體技術方案如下：

一種云端檢測函數被惡意修改的方法，可包括以下步驟：

S1、采集函數未被惡意修改和被惡意修改的目標進程信息并上報到云端，其中，未被惡意修改的目標進程信息包括被安全軟件修改過函數地址的目標進程信息；

S2、云端根據這些信息建立基于決策樹算法的分類模型；

S3、采集需要檢測的目標系統的目標進程信息并上報到云端；

S4、云端將目標系統上報的目標進程信息輸入所建立的分類模型，得到目標進程函數是否被惡意修改的結果。

進一步地，S1的具體過程為：建立專用于采集的基準系統，在基準系統上運行各個目標進程，通過采集程序采集目標進程的函數與動態庫的關聯信息并上報到云端。

進一步地，S2的具體過程為：云端將上報的進程信息形成數據集，通過遍歷整個數據集，循環計算每個特征的香農熵，根據香農熵確定分類模型。