本申請屬于計算機技術領域，公開了一種固件程序檢測方法和裝置，本申請公開的一種固件程序檢測方法包括，獲得讀取待檢測固件程序的固件鏡像文件過程中的讀取速率變化信息；確定讀取速率變化信息與基準讀取速率變化信息之間的偏離度，基準讀取速率變化信息是根據(jù)讀取正樣本固件程序的固件鏡像文件確定的；當偏離度達到設定條件時，確定待檢測固件程序異常，這樣，僅通過讀取速率變化信息檢測固件程序，降低了固件程序檢測的難度，提高了固件程序檢測的檢出率。

技術領域

本申請涉及計算機技術領域，尤其涉及一種固件程序檢測方法和裝置。

背景技術

固件程序用于為設備提供最底層的、最直接的硬件設置和控制，是設備的核心部分。若固件程序中存在惡意程序，將會極大的威脅設備的安全。因此，為保證設備的安全，通常需要對固件程序進行檢測。

以基本輸入輸出系統(tǒng)(Basic Input Output System，BIOS)為例，BIOS是計算機主板芯片上的一個固件程序，通常為計算機啟動后運行的第一個程序，是計算機運轉(zhuǎn)的起點，具備訪問所有設備、修改所有配置的最高權限。現(xiàn)有技術下，通常通過BIOS固件程序中的惡意程序樣本特征，對BIOS固件程序進行特征匹配，獲得檢測結果。

但是，采用這種方式，需要在斷電情況下通過外部硬件讀取BIOS固件程序的固件鏡像文件，檢測成本高，檢測步驟繁瑣，以及僅能檢測出已知的BIOS固件異常問題，檢出率較低。

因此，如何提高固件程序檢測的檢出率，降低固件程序的檢測難度，是亟待解決的問題。

發(fā)明內(nèi)容

本申請實施例提供一種固件程序檢測方法和裝置，用以在對固件程序進行檢測時，降低固件程序的檢測難度，以及提高固件程序檢測的檢出率。

一方面，提供一種固件程序檢測方法，包括：

獲得讀取待檢測固件程序的固件鏡像文件過程中的讀取速率變化信息；

確定讀取速率變化信息與基準讀取速率變化信息之間的偏離度，基準讀取速率變化信息是根據(jù)讀取正樣本固件程序的固件鏡像文件確定的；

當偏離度達到設定條件時，確定待檢測固件程序異常。

一方面，提供一種固件程序檢測裝置，包括：

獲得單元，用于獲得讀取待檢測固件程序的固件鏡像文件過程中的讀取速率變化信息；

第一確定單元，用于確定讀取速率變化信息與基準讀取速率變化信息之間的偏離度，基準讀取速率變化信息是根據(jù)讀取正樣本固件程序的固件鏡像文件確定的；

第二確定單元，用于當偏離度達到設定條件時，確定待檢測固件程序異常。

較佳的，獲得單元用于：

按照指定的文件讀取次數(shù)，讀取固件鏡像文件，并將讀取的固件鏡像文件并寫入指定內(nèi)存空間；

獲取固件鏡像文件在各次文件讀取過程中的監(jiān)控數(shù)據(jù)；

對監(jiān)控數(shù)據(jù)進行線性回歸處理，獲得讀取速率變化信息。

較佳的，獲得單元用于：

每一次讀取固件鏡像文件時，采用以下方式中的任意一種：

按照該固件鏡像文件的存儲地址的地址順序依次讀取該固件鏡像文件的相應內(nèi)容；或者，按照在該固件鏡像文件對應的各存儲地址中隨機選擇的序列地址讀取固件鏡像文件的相應內(nèi)容。

較佳的，獲得單元還用于：

獲取監(jiān)控數(shù)據(jù)中還包含的各文件散列值，文件散列值為每一次讀取固件鏡像文件時確定的固件鏡像文件的哈希值；

當各文件散列值不一致時，調(diào)整文件讀取次數(shù)；