[发明专利]一种基于图像特征描述子的恶意样本同源检测方法

权利要求书

1.一种基于图像特征描述子的恶意样本同源检测方法，其特征在于，包括以下步骤：

步骤1，采用B2M算法将样本集中的各二进制的恶意文件转换为矩阵；

步骤2，将各矩阵分别看做是一幅图片，采用图像特征提取方法定位各图片的所有特征点；

步骤3，在特征点的邻域中进行特征描述子提取；

步骤4，将样本集中属于同一个家族的恶意文件的特征描述子的集合作为该家族的特征描述库；

步骤5，采用步骤1～步骤3的方式提取待检测恶意文件的特征描述子，将待检测恶意文件的特征描述子分别与各家族特征描述库中的所有特征描述子进行相似度计算，计算得到的相似度大于或等于设定阈值的，认为待检测恶意文件的特征描述子与该特征描述子匹配；各家族特征描述库中，与待检测恶意文件的特征描述子匹配数最多的家族即为待检测恶意文件的所属家族，完成恶意样本同源性检测。

2.如权利要求1所述的基于图像特征描述子的恶意样本同源检测方法，其特征在于，所述步骤1中，矩阵的列总数为恶意文件中PE文件段的长度。

3.如权利要求1所述的基于图像特征描述子的恶意样本同源检测方法，其特征在于，所述步骤2中，采用SIFT算法、SURF算法或FAST算法实现图片特征点的定位。

4.如权利要求1所述的基于图像特征描述子的恶意样本同源检测方法，其特征在于，所述步骤2中，对SIFT算法进行改进，采用改进后的SIFT算法实现图片特征点的定位，具体定位方法包括如下子步骤：

步骤2.1，针对各图片，使用SIFT算法中的构建算法，构建每组6层共3组高斯金字塔；

步骤2.2，针对步骤2.1中的高斯金字塔，使用SIFT算法中的构建算法，构建每组5层共3组高斯差分金字塔；

步骤2.3，针对步骤2.2中的高斯差分金字塔，扫描高斯差分金字塔中的每个点，保留以该点为中心，3×3×3邻域内的极大值或极小值点，组成极值点集合；

步骤2.4，针对步骤2.3中的极值点集合，保留集合中灰度值与3×3×3邻域内点灰度值差大于阈值T的点，完成特征点的定位，其中T≥0。

5.如权利要求1所述的基于图像特征描述子的恶意样本同源检测方法，其特征在于，所述步骤3中的特征点的邻域为以该特征点为中心的N×N区域，其中，N＝5～15；采用如下子步骤进行特征描述子提取：

步骤3.1，针对步骤2中定位得出的各特征点，按固定顺序采集以该特征点为中心的N×N邻域范围内的像素点灰度值，组成该特征点的邻域灰度值有序集合(G₁，G₂，G₃，……)；

步骤3.2，针对步骤3.1得到的的每个特征点的邻域灰度值有序集合，将集合中的灰度值G₁与灰度值G₂比较，若灰度值G₁大于灰度值G₂，则C₁＝1，否则C₁＝0；将集合中的灰度值G₁与灰度值G₃比较，若灰度值G₁大于灰度值G₃，则C₂＝1，否则C₂＝0，依次类推，直到邻域灰度值有序集合中的所有灰度值两两比较完毕，获得长度为的二进制序列，该二进制序列即为该特征点的特征描述子。

6.如权利要求5所述的基于图像特征描述子的恶意样本同源检测方法，其特征在于，所述步骤3.1中，对特征点的N×N邻域进行0/1采样权重分配，即：

特征点所在行L_n中，以特征点为中心的连续N个点的采样权重值为1；

特征点所在行的上一行L_n-1与下一行L_n+1，以特征点所在列为中心的连续N-2个点的采样权重值为1；

特征点所在行的上两行L_n-2与下两行L_n+2，以特征点所在列为中心的连续N-4个点的采样权重值为1；

其余点的采样权重值为0；

按固定顺序采集N×N邻域范围内采样权重值为1的像素点灰度值，组成该特征点的邻域灰度值有序集合。