[发明专利]一种固件程序检测方法和装置

说明书

本申请属于计算机技术领域，公开了一种固件程序检测方法和装置，本申请公开的一种固件程序检测方法包括，获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息；确定读取速率变化信息与基准读取速率变化信息之间的偏离度，基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的；当偏离度达到设定条件时，确定待检测固件程序异常，这样，仅通过读取速率变化信息检测固件程序，降低了固件程序检测的难度，提高了固件程序检测的检出率。

技术领域

本申请涉及计算机技术领域，尤其涉及一种固件程序检测方法和装置。

背景技术

固件程序用于为设备提供最底层的、最直接的硬件设置和控制，是设备的核心部分。若固件程序中存在恶意程序，将会极大的威胁设备的安全。因此，为保证设备的安全，通常需要对固件程序进行检测。

以基本输入输出系统(Basic Input Output System，BIOS)为例，BIOS是计算机主板芯片上的一个固件程序，通常为计算机启动后运行的第一个程序，是计算机运转的起点，具备访问所有设备、修改所有配置的最高权限。现有技术下，通常通过BIOS固件程序中的恶意程序样本特征，对BIOS固件程序进行特征匹配，获得检测结果。

但是，采用这种方式，需要在断电情况下通过外部硬件读取BIOS固件程序的固件镜像文件，检测成本高，检测步骤繁琐，以及仅能检测出已知的BIOS固件异常问题，检出率较低。

因此，如何提高固件程序检测的检出率，降低固件程序的检测难度，是亟待解决的问题。

发明内容

本申请实施例提供一种固件程序检测方法和装置，用以在对固件程序进行检测时，降低固件程序的检测难度，以及提高固件程序检测的检出率。

一方面，提供一种固件程序检测方法，包括：

获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息；

确定读取速率变化信息与基准读取速率变化信息之间的偏离度，基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的；

当偏离度达到设定条件时，确定待检测固件程序异常。

一方面，提供一种固件程序检测装置，包括：

获得单元，用于获得读取待检测固件程序的固件镜像文件过程中的读取速率变化信息；

第一确定单元，用于确定读取速率变化信息与基准读取速率变化信息之间的偏离度，基准读取速率变化信息是根据读取正样本固件程序的固件镜像文件确定的；

第二确定单元，用于当偏离度达到设定条件时，确定待检测固件程序异常。

较佳的，获得单元用于：

按照指定的文件读取次数，读取固件镜像文件，并将读取的固件镜像文件并写入指定内存空间；

获取固件镜像文件在各次文件读取过程中的监控数据；

对监控数据进行线性回归处理，获得读取速率变化信息。

较佳的，获得单元用于：

每一次读取固件镜像文件时，采用以下方式中的任意一种：

按照该固件镜像文件的存储地址的地址顺序依次读取该固件镜像文件的相应内容；或者，按照在该固件镜像文件对应的各存储地址中随机选择的序列地址读取固件镜像文件的相应内容。

较佳的，获得单元还用于：

获取监控数据中还包含的各文件散列值，文件散列值为每一次读取固件镜像文件时确定的固件镜像文件的哈希值；

当各文件散列值不一致时，调整文件读取次数；