(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111664920.X (22)申请日 2021.12.31 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋 (72)发明人 吕晓滨　 (74)专利代理 机构 北京派特恩知识产权代理有 限公司 1 1270 代理人 孙静　张颖玲 (51)Int.Cl. G06F 21/55(2013.01) G06K 9/62(2022.01) (54)发明名称 异常检测方法、 装置、 电子设备及存 储介质 (57)摘要 本申请实施例公开了一种异常检测方法、 装 置、 设备及存储介质， 其中， 所述方法包括： 获取 系统的初始白名单， 其中， 所述初始白名单至少 包括所述系统中的系统进程对应的系统名单； 基 于所述系统名单， 匹配所述系统当前运行的进程 列表， 得到至少一条待确认进程； 对每一所述待 确认进程进行权限分析， 得到权 限分析结果； 基 于每一所述待确认进程的权限分析结果， 将具有 权限的待确认进程添加至所述初始白名单中， 形 成更新白名单； 基于所述更新白名单对所述系统 进行异常检测。 权利要求书2页 说明书13页 附图6页 CN 114417326 A 2022.04.29 CN 114417326 A 1.一种异常检测方法， 其特 征在于， 所述方法包括： 获取系统的初始白名单， 其中， 所述初始白名单至少包括所述系统中的系统进程对应 的系统名单； 基于所述系统名单， 匹配所述系统当前运行的进程列表， 得到 至少一条待确认进程； 对每一所述待确认进程进行权限分析， 得到 权限分析 结果； 基于每一所述待确 认进程的权限分析结果， 将具有权限的待确 认进程添加至所述初始 白名单中， 形成更新白名单； 基于所述更新白名单对所述系统进行异常检测。 2.如权利要求1所述的方法， 其特 征在于， 所述获取系统的初始白名单， 包括： 基于所述系统的系统进程对应的进程名称、 数字签名信 息和版权信 息确定所述系统进 程对应的系统名单； 将所述系统名单确定为所述初始白名单。 3.如权利要求1所述的方法， 其特征在于， 所述对每一所述待确认进程进行权限分析， 得到权限分析 结果， 包括： 对每一所述待确认进程进行病毒分析， 从所述至少一条待确认进程中确定出威胁进 程； 剔除所述至少一条待确认进程中的威胁进程； 对剔除所述威胁进程后剩余的每一所述待确认进程进行权限分析， 得到所述权限分析 结果。 4.如权利要求3所述的方法， 其特征在于， 所述系统包括系统程序， 所述异常检测方法 用于对所述系统程序进行异常检测； 所述对剔除所述威胁进程后剩余的每一所述待确认进 程进行权限分析， 得到所述权限分析 结果， 包括： 分析剔除所述威胁进程后剩余的每一所述待确 认进程的运行权限， 得到所述系统程序 的权限分析 结果。 5.如权利要求3所述的方法， 其特征在于， 所述系统包括系统程序中的预设目录， 所述 异常检测方法用于对所述预设目录进 行异常检测； 所述对剔除所述威胁进程后剩余的每一 所述待确认进程进行权限分析， 得到所述权限分析 结果， 包括： 分析所述预设目录对应的读写权限， 得到所述权限分析 结果； 对应地， 所述基于每一所述待确认进程的权限分析结果， 将具有权限的待确认进程添 加至所述初始白名单中， 形成更新白名单， 包括： 基于所述预设目录对应的读写权限， 将具有权限的预设目录添加至所述初始白名单 中， 形成所述更新白名单。 6.如权利要求4所述的方法， 其特征在于， 所述基于所述更新白名单对所述系统进行异 常检测， 包括： 获取所述系统当前运行状态下的当前进程； 基于所述更新白名单， 将不在所述更新白名单中的当前进程确定为 新增进程； 拦截所述 新增进程； 对所述新增进程进行权限分析， 得到新增权限分析 结果； 在所述新增权限分析结果表明所述新增进程具有运行权限的情况下， 将所述新增进程权　利　要　求　书 1/2 页 2 CN 114417326 A 2添加至所述更新白名单并运行 所述新增进程。 7.如权利要求5所述的方法， 其特征在于， 所述基于所述更新白名单对所述系统进行异 常检测， 包括： 获取所述系统程序中的预设目录的读写操作； 基于所述更新白名单， 拦截不在所述更新白名单中的所述预设目录的读和/或写操作。 8.一种异常检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取系统的初始白名单， 其中， 所述初始白名单包括所述系统中的系统 进程对应的系统名单； 匹配模块， 用于基于所述系统名单， 匹配所述系统当前运行的进程列表， 得到至少一条 待确认进程； 分析模块， 用于对每一所述待确认进程进行权限分析， 得到 权限分析 结果； 添加模块， 用于基于每一所述待确认进程的权限分析结果， 将具有权限的待确认进程 添加至所述初始白名单中， 形成更新白名单； 检测模块， 用于基于所述更新白名单对所述系统进行异常检测。 9.一种电子设备， 包括存储器和 处理器， 所述存储器存储有可在处理器上运行的计算 机程序， 其特征在于， 所述处理器执行所述程序时实现权利要求1至权利要求7任一项所述 方法中的步骤。 10.一种存储介质， 其特征在于， 存储有可执行指令， 用于引起处理器执行时， 实现权利 要求1至权利要求7任一项所述的方法中的步骤。权　利　要　求　书 2/2 页 3 CN 114417326 A 3