[发明专利]一种恶意行为检测方法及装置

权利要求书

1.一种恶意行为检测方法，其特征在于，所述方法包括：

在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，得到运行特征截图；

计算所述运行特征截图与预设的恶意行为特征图像的相似度；

根据所述计算的相似度，确定所述待检测对象是否存在恶意行为。

2.根据权利要求1所述方法，其特征在于，所述根据所述计算的相似度，确定所述待检测对象是否存在恶意行为，包括：

根据所述计算的相似度，判断所述相似度是否小于预设的第一阈值；

如果否，则确定所述待检测对象存在恶意行为。

3.根据权利要求1或2所述方法，其特征在于，所述在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，包括：

对所述待检测对象运行过程中的可视界面创建行为进行监测，如果监测到可视界面创建行为，则对所创建的可视界面进行截取。

4.根据权利要求1或2所述方法，其特征在于，所述预设的恶意行为特征图像，通过以下方法获得：

对已知存在恶意行为的对象进行加载；

在所述存在恶意行为的对象运行过程中对所述存在恶意行为的对象创建的可视界面进行截取；

根据截取结果，获取恶意行为特征图像；

记录获取的恶意行为特征图像。

5.根据权利要求1或2所述方法，其特征在于，所述计算所述运行特征截图与预设的恶意行为特征图像的相似度，包括：

a.获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa)，并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点；

b.从所述扫描起始点开始，在所述运行特征截图中查找像素点Pb，使得Pb的像素值X(Pb)满足：X(Pb)=X(Pa)；

c.以Pa和Pb为对应点，确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系；

d.判断Pa所在行像素点与其对应像素点的像素值是否完全相同，

如果是，则进一步执行步骤e；

如果否，则将当前像素点Pb的下一个像素点作为扫描起始点，重复执行步骤b-c，直到Pa所在行像素点与其对应像素点的像素值完全相同，则进一步执行步骤e；若无法满足所述像素值完全相同的条件，则设置相似度计算结果为0；

e.根据步骤c中所建立的像素点对应关系，判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同，统计像素值相同的像素点的个数C_E；计算C_E/C_T，得到所述运行特征截图与预设的恶意行为特征图像的相似度，其中，C_T为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。

6.根据权利要求5所述方法，其特征在于，

所述判断Pa所在行像素点与其对应像素点的像素值是否完全相同，包括：

判断Pa所在行中，以Pa为起始点，以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同。

7.根据权利要求6所述方法，其特征在于，

所述判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同，包括：

判断恶意行为特征图像中，以预先规定的像素点为起始点，以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同。

8.一种恶意行为检测装置，其特征在于，所述装置包括：

截取单元，用于在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，得到运行特征截图；

相似度计算单元，用于计算所述运行特征截图与预设的恶意行为特征图像的相似度；

恶意行为确定单元，用于根据所述计算的相似度，确定所述待检测对象是否存在恶意行为。

9.根据权利要求8所述的装置，其特征在于，所述恶意行为确定单元，包括：相似度判断子单元和恶意行为确定子单元；

所述相似度判断子单元，用于根据所述计算的相似度，判断所述相似度是否小于预设的第一阈值；

所述恶意行为确定子单元，用于在所述相似度判断子单元判定所述相似度不小于预设的第一阈值时，确定所述待检测对象存在恶意行为。