进程注入攻击检测方法、装置、电子设备及存储介质与流程

技术特征：
1.一种进程注入攻击检测方法，其特征在于，所述进程注入攻击检测方法包括：获取终端的配置信息和基于所述终端运行的应用程序在运行时产生的第一maps信息；提取所述第一maps信息中的路径信息，并基于所述路径信息和所述配置信息计算出所述应用程序的最新版本的第一特征值；将所述第一特征值与预先定义的正常特征值进行比对分析，得到比对分析结果；若所述比对分析结果为不一致，则提取所述应用程序中异常部分信息进行异常分析，输出攻击检测结果；若所述对比分析结果为一致，则对所述路径信息进行一致性的验证，并基于验证的结果输出攻击检测结果。2.根据权利要求1所述的进程注入攻击检测方法，其特征在于，所述获取终端的配置信息和基于所述终端运行的应用程序在运行时产生的第一maps信息包括：在检测到终端中存在应用程序被运行时，获取所述终端的基带信息，并基于所述基带信息中提取出系统版本信息和所述终端的机型设备型号；调用终端上的安全监控工具执行预设的收集策略，通过执行所述收集策略从所述终端的运行后台中获取所述应用程序的所有进程信息和应用程序的最新版本号，并基于所述所有进程信息生成第一maps信息。3.根据权利要求2所述的进程注入攻击检测方法，其特征在于，所述基于所述路径信息和所述配置信息计算出对应的特征值包括：根据预设的正常特征值的定义规则，将所述路径信息、最新版本号、系统版本信息和机型设备型号进行拼接，得到所述应用程序运行时的特征值，其中，所述定义规则为至少包含以下信息的随机组合：系统版本信息、机型设备型号、最新版本号、maps信息。4.根据权利要求3所述的进程注入攻击检测方法，其特征在于，所述提取所述应用程序中异常部分信息进行异常分析，输出攻击检测结果包括：确定所述第一特征值是否大于正常特征值；若是，则提取所述第一maps信息中相对于前一版本的maps信息多出的加载文件；若否，则提取所述第一maps信息中相对于前一版本的maps信息缺失的加载文件；根据所述多出的加载文件或者所述缺失的加载文件进行攻击分析，得到攻击检测结果。5.根据权利要求4所述的进程注入攻击检测方法，其特征在于，所述基于所述多出的加载文件或者所述缺失的加载文件进行攻击分析，得到攻击检测结果包括：判断所述多出的加载文件或缺失的加载文件是否为代码文件；若是，则提取当前版本的代码文件与前一版本的代码文件中异常部分的代码文件，并将所述异常部分的代码文件回传至所述终端对应的服务器后台进行测试以及分析其来源，基于测试的结果和所述来源生成第一攻击检测结果；若否，则将所述加载文件回传至所述终端对应的服务器后台分析其来源，基于所述来源生成第二攻击检测结果。6.根据权利要求5所述的进程注入攻击检测方法，其特征在于，所述将所述异常部分的代码文件回传至所述终端对应的服务器后台进行测试以及分析其来源，基于测试的结果和所述来源生成第一攻击检测结果包括：
根据所述加载文件提取对应的路径文件，通过增加的系统接口将所述路径文件回传至对应的服务器后台；利用逆向分析方法分析其中的逻辑关系以及来源，基于分析得到的逻辑关系和所述来源生成第一攻击检测结果。7.根据权利要求1所述的进程注入攻击检测方法，其特征在于，所述对所述路径信息进行一致性的验证，并基于验证的结果输出攻击检测结果包括：利用哈希算法计算所述路径信息的哈希值；将所述哈希值与前一版本的应用程序的路径信息的哈希值或者预设值进行比较；若比较的结果为不一致，则利用逆向分析方法分析其中的逻辑关系以及来源，基于分析得到的逻辑关系和所述来源生成第三攻击检测结果。8.一种进程注入攻击检测装置，其特征在于，所述进程注入攻击检测装置包括：采集模块，用于获取终端的配置信息和基于所述终端运行的应用程序在运行时产生的第一maps信息；计算模块，用于提取所述第一maps信息中的路径信息，并基于所述路径信息和所述配置信息计算出所述应用程序的最新版本的第一特征值；对比模块，用于将所述第一特征值与预先定义的正常特征值进行比对分析，得到比对分析结果；检测模块，用于在所述比对分析结果为不一致时，提取所述应用程序中异常部分信息进行异常分析，输出攻击检测结果；以及在所述对比分析结果为一致时，对所述路径信息进行一致性的验证，并基于验证的结果输出攻击检测结果。9.一种电子设备，其特征在于，包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序；所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的进程注入攻击检测方法中的各个步骤。10.一种计算机可读存储介质，其特征在于，包括：存储于所述计算机可读存储介质中的计算机程序；所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的进程注入攻击检测方法中的各个步骤。

技术总结
本发明公开了一种进程注入攻击检测方法、装置、电子设备及存储介质，通过获取应用程序运行时产生的第一maps信息以及终端的配置信息，计算出应用程序的最新版本的第一特征值，基于第一特征值与预先定义的正常特征值进行比较，若两者不一致，则提取异常部分信息进行异常分析，输出攻击检测结果，若两者一致，则对第一maps信息中的路径信息进行验证，得到攻击检测结果。通过上述方法实现进程注入攻击的检测，不需要大量收集攻击案例来学习，只需要设定正常的界限，即可实现不同场景的攻击检测的兼容使用，并且该正常特征值的设定结合了应用程序本身信息、终端信息和运行信息，使得该值更加贴近于攻击案例，大大提高了检测的精准度。度。度。


技术研发人员：黄超华
受保护的技术使用者：珠海市魅族科技有限公司
技术研发日：2021.07.30
技术公布日：2021/11/2