[发明专利]云端检测函数被恶意修改的方法、终端设备及存储介质

权利要求书

1.一种云端检测函数被恶意修改的方法，其特征在于，包括以下步骤：

S1、采集函数未被恶意修改和被恶意修改的目标进程信息并上报到云端，其中，未被恶意修改的目标进程信息包括被安全软件修改过函数地址的目标进程信息；

S2、云端根据这些信息建立基于决策树算法的分类模型；

S3、采集需要检测的目标系统的目标进程信息并上报到云端；

S4、云端将目标系统上报的目标进程信息输入所建立的分类模型，得到目标进程函数是否被恶意修改的结果。

2.如权利要求1所述的云端检测函数被恶意修改的方法，其特征在于，S1的具体过程为：建立专用于采集的基准系统，在基准系统上运行各个目标进程，通过采集程序采集目标进程的函数与动态库的关联信息并上报到云端。

3.如权利要求1所述的云端检测函数被恶意修改的方法，其特征在于，S2的具体过程为：云端将上报的进程信息形成数据集，通过遍历整个数据集，循环计算每个特征的香农熵，根据香农熵确定分类模型。

4.如权利要求1所述的云端检测函数被恶意修改的方法，其特征在于，S3的具体过程为：在需要检测的目标系统上运行采集程序，采集程序通过注入的方式将采集用的动态库注入到目标进程，并让目标进程执行动态库中的采集函数，采集函数采集目标进程中的所有函数与动态库的关联信息并上报到云端。

5.如权利要求1所述的云端检测函数被恶意修改的方法，其特征在于，还包括步骤S5:在每次软件升级或者安全软件有更新时，通过采集更新后的目标进程信息，云端持续更新分类模型。

6.如权利要求1-5中的任一项所述的云端检测函数被恶意修改的方法，其特征在于，所述目标进程信息包括操作系统名、操作系统版本、目标进程名、目标进程版本、动态库名和函数名。

7.一种云端检测函数被恶意修改的终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述方法的步骤。

8.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述方法的步骤。