[发明专利]一种恶意行为检测方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别涉及一种恶意行为检测方法及装置。

背景技术

随着计算机技术的发展，计算机安全越来越重要，而一些黑客经常会向应用程序或文档中写入恶意代码，如果用户从网站或者其他途径获得这些程序或文档，使得恶意代码一并带入计算机，恶意代码会在用户计算机上产生恶意行为，从而对用户计算机造成危害或者给用户带来各种干扰。因此，有必要对应用程序或文档中是否存在恶意行为进行检测。

现有技术中，通过记录待检测对象（例如应用程序或文档）被加载运行时的所有行为特征信息、并将这些行为特征信息与已知的恶意行为特征信息进行对比，来判定该待检测对象是否存在恶意行为。但是，有些应用程序或文档在加载运行时所产生的行为很少，无法有效提取行为特征信息进行对比，导致无法准确判断出该对象是否存在恶意行为。

发明内容

本发明实施例提供了一种恶意行为检测方法及装置，以实现在待检测对象被加载运行时产生的行为特征信息少的情况下，也能够检测该对象是否存在恶意行为。

为达到上述目的，本发明实施例公开了一种恶意行为检测方法，所述方法包括：

在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，得到运行特征截图；

计算所述运行特征截图与预设的恶意行为特征图像的相似度；

根据所述计算的相似度，确定所述待检测对象是否存在恶意行为。

可选的，所述根据所述计算的相似度，确定所述待检测对象是否存在恶意行为，包括：

根据所述计算的相似度，判断所述相似度是否小于预设的第一阈值；

如果否，则确定所述待检测对象存在恶意行为。

可选的，所述在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，包括：

对所述待检测对象运行过程中的可视界面创建行为进行监测，如果监测到可视界面创建行为，则对所创建的可视界面进行截取。

可选的，所述预设的恶意行为特征图像，通过以下方法获得：

对已知存在恶意行为的对象进行加载；

在所述存在恶意行为的对象的运行过程中对所述存在恶意行为的对象创建的可视界面进行截取；

根据截取结果，获取恶意行为特征图像；

记录获取的恶意行为特征图像。

可选的，所述计算所述运行特征截图与预设的恶意行为特征图像的相似度，包括：

a.获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa)，并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点；

b.从所述扫描起始点开始，在所述运行特征截图中查找像素点Pb，使得Pb的像素值X(Pb)满足：X(Pb)=X(Pa)；

c.以Pa和Pb为对应点，确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系；

d.判断Pa所在行像素点与其对应像素点的像素值是否完全相同，

如果是，则进一步执行步骤e；

如果否，则将当前像素点Pb的下一个像素点作为扫描起始点，重复执行步骤b-c，直到Pa所在行像素点与其对应像素点的像素值完全相同，则进一步执行步骤e；若无法满足所述像素值完全相同的条件，则设置相似度计算结果为0；

e.根据步骤c中所建立的像素点对应关系，判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同，统计像素值相同的像素点的个数C_E；计算C_E/C_T，得到所述运行特征截图与预设的恶意行为特征图像的相似度，其中，C_T为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。

可选的，所述判断Pa所在行像素点与其对应像素点的像素值是否完全相同，包括：

判断Pa所在行中，以Pa为起始点，以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同。

可选的，所述判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同，包括：

判断恶意行为特征图像中，以预先规定的像素点为起始点，以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同。

为达到上述目的，本发明实施例公开了一种恶意行为检测装置，所述装置包括：

截取单元，用于在待检测对象的运行过程中，对所述待检测对象创建的可视界面进行截取，得到运行特征截图；