CN103699843A - 一种恶意行为检测方法及装置 - Google Patents
一种恶意行为检测方法及装置 Download PDFInfo
- Publication number
- CN103699843A CN103699843A CN201310747287.XA CN201310747287A CN103699843A CN 103699843 A CN103699843 A CN 103699843A CN 201310747287 A CN201310747287 A CN 201310747287A CN 103699843 A CN103699843 A CN 103699843A
- Authority
- CN
- China
- Prior art keywords
- pixel
- malicious act
- similarity
- subelement
- characteristic image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Image Analysis (AREA)
Abstract
本发明实施例公开了一种恶意行为检测方法及装置,所述方法包括:在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;计算所述运行特征截图与预设的恶意行为特征图像的相似度;根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。应用本发明实施例,在待检测对象运行时的行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。
Description
技术领域
本发明涉及计算机安全技术领域,特别涉及一种恶意行为检测方法及装置。
背景技术
随着计算机技术的发展,计算机安全越来越重要,而一些黑客经常会向应用程序或文档中写入恶意代码,如果用户从网站或者其他途径获得这些程序或文档,使得恶意代码一并带入计算机,恶意代码会在用户计算机上产生恶意行为,从而对用户计算机造成危害或者给用户带来各种干扰。因此,有必要对应用程序或文档中是否存在恶意行为进行检测。
现有技术中,通过记录待检测对象(例如应用程序或文档)被加载运行时的所有行为特征信息、并将这些行为特征信息与已知的恶意行为特征信息进行对比,来判定该待检测对象是否存在恶意行为。但是,有些应用程序或文档在加载运行时所产生的行为很少,无法有效提取行为特征信息进行对比,导致无法准确判断出该对象是否存在恶意行为。
发明内容
本发明实施例提供了一种恶意行为检测方法及装置,以实现在待检测对象被加载运行时产生的行为特征信息少的情况下,也能够检测该对象是否存在恶意行为。
为达到上述目的,本发明实施例公开了一种恶意行为检测方法,所述方法包括:
在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;
计算所述运行特征截图与预设的恶意行为特征图像的相似度;
根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
可选的,所述根据所述计算的相似度,确定所述待检测对象是否存在恶意行为,包括:
根据所述计算的相似度,判断所述相似度是否小于预设的第一阈值;
如果否,则确定所述待检测对象存在恶意行为。
可选的,所述在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,包括:
对所述待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
可选的,所述预设的恶意行为特征图像,通过以下方法获得:
对已知存在恶意行为的对象进行加载;
在所述存在恶意行为的对象的运行过程中对所述存在恶意行为的对象创建的可视界面进行截取;
根据截取结果,获取恶意行为特征图像;
记录获取的恶意行为特征图像。
可选的,所述计算所述运行特征截图与预设的恶意行为特征图像的相似度,包括:
a.获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点;
b.从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa);
c.以Pa和Pb为对应点,确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系;
d.判断Pa所在行像素点与其对应像素点的像素值是否完全相同,
如果是,则进一步执行步骤e;
如果否,则将当前像素点Pb的下一个像素点作为扫描起始点,重复执行步骤b-c,直到Pa所在行像素点与其对应像素点的像素值完全相同,则进一步执行步骤e;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0;
e.根据步骤c中所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的像素点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
可选的,所述判断Pa所在行像素点与其对应像素点的像素值是否完全相同,包括:
判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同。
可选的,所述判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,包括:
判断恶意行为特征图像中,以预先规定的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同。
为达到上述目的,本发明实施例公开了一种恶意行为检测装置,所述装置包括:
截取单元,用于在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;
相似度计算单元,用于计算所述运行特征截图与预设的恶意行为特征图像的相似度;
恶意行为确定单元,用于根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
可选的,所述恶意行为确定单元,包括:相似度判断子单元和恶意行为确定子单元;
所述相似度判断子单元,用于根据所述计算的相似度,判断所述相似度是否小于预设的第一阈值;
所述恶意行为确定子单元,用于在所述相似度判断子单元判定所述相似度不小于预设的第一阈值时,确定所述待检测对象存在恶意行为。
可选的,所述截取单元,具体用于对所述待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
可选的,所述恶意行为检测装置还包括:恶意行为特征图像生成单元;
所述恶意行为特征图像生成单元,包括:加载子单元、截取子单元、获取子单元和记录子单元;
所述加载子单元,用于对已知存在恶意行为的对象进行加载;
所述截取子单元,用于在所述存在恶意行为的对象运行过程中对所述存在恶意行为的对象创建的可视界面进行截取;
所述获取子单元,用于根据截取结果,生成恶意行为特征图像;
所述记录子单元,用于记录获取的恶意行为特征图像。
可选的,所述相似度计算单元,包括:初始化子单元、扫描子单元、对应关系确定子单元、循环控制子单元和相似度计算子单元;
所述初始化子单元,用于获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点;
所述扫描子单元,用于从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa),触发所述对应关系确定子单元;
所述对应关系确定子单元,用于以Pa和Pb为对应点,确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系;
所述循环控制子单元,用于判断Pa所在行像素点与其对应像素点的像素值是否完全相同,
如果是,则触发所述相似度计算子单元进行相似度计算;
如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描,直到Pa所在行像素点与其对应像素点的像素值完全相同,触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0;
所述相似度计算子单元,用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
可选的,所述循环控制子单元,具体用于判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同,
如果是,则触发所述相似度计算子单元进行相似度计算;
如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描;直到Pa所在行中,以Pa为起始点,预设的第二阈值为点间间隔确定的像素点与其对应像素点的像素值完全相同,则进一步触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0。
可选的,所述相似度计算子单元,具体用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像中,以预先规定的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
由上述技术方案可见,本发明方案,是通过获取待检测对象被加载时界面截图的方式,检测待检测对象中是否存在恶意行为,而不需要使用待检测对象被加载时的行为特征信息,因此,在待检测对象被加载时行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意行为检测方法的流程示意图;
图2为本发明实施例提供的一种计算图像相似度的方法的流程示意图;
图3为本发明实施例提供的一种恶意行为检测装置的结构示意图;
图4为本发明实施例提供的另一种恶意行为检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供了一种恶意行为检测方法及装置,通过获取待检测对象被加载时的界面截图,及计算该界面截图与预设的恶意行为特征图像的相似度的方式,检测待检测对象中是否存在恶意行为。
下面通过具体实施例,对本发明进行详细说明。
图1为本发明实施例提供的一种恶意行为检测方法的流程示意图,该方法包括以下步骤:
步骤101:在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图。
本步骤中,可以为对待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
在实际应用过程中,可能在运行过程仅监测到一个可视界面创建行为,则只对所创建的一个可视界面进行截取;也可能在运行过程中检测到多个可视界面创建行为,则分别对所创建的多个可视界面进行截取。
本实施例中,待检测对象可以为应用程序,例如一个可执行文件,或者多个文件所组成的应用程序,也可以为文档、例如Word、Execl文档,甚至音频、视频文档等等,本发明对此不作限定。待检测对象的运行过程,例如可以是待检测对象被加载至内存并运行的过程。
步骤102:计算所述运行特征截图与预设的恶意行为特征图像的相似度。
其中,恶意行为特征图像是已经获取的、已知存在恶意行为的对象被加载时截取的特征图像,可以预先将一个恶意行为特征图像存储为一个特征文件,也可以预先将多个恶意行为特征图像存储到一个特征文件中。当多个恶意行为特征图像存储到一个特征文件中时,需逐个计算运行特征截图与特征文件中各个恶意行为特征图像的相似度,并根据相似度判定加载特征图像与特征文件中的一个或多个恶意行为特征图像相似。
在本发明的一种具体实施方式中,预设的恶意行为特征图像,可以通过以下方法获得:
对已知存在恶意行为的对象进行加载;在该对象的运行过程中对该对象创建的可视界面进行截取;根据截取结果,获取恶意行为特征图像;记录获取的恶意行为特征图像。其中,恶意行为特征图像可以为截取的加载界面截图的全部,也可以为截取的加载界面截图的一部分。当将截取的加载界面截图的一部分作为恶意行为特征图像时,可以通过人工方式确定将加载界面截图的哪一部分作为恶意行为特征图像,以得到更能突出恶意行为特征的图像。
步骤103:根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
在确定待检测对象是否存在恶意行为时,举例而言,具体的,可以根据所计算的相似度,判断该相似度是否小于预设的第一阈值,若不小于,则判定所述待检测对象存在恶意行为,否则,判定待检测对象中未检测出存在恶意行为。
本步骤中,预设的第一阈值用于判断运行特征截图与预设的恶意行为特征图像是否相似,例如,可以设置该值为90%,当然,本申请只是以上述为例进行说明,实际应用中预设的第一阈值的设定不限于此。
当将多个恶意行为特征图像存储在一个特征文件中时,可以对各个恶意行为特征图像分别设定用于判断与运行特征截图相似性的阈值,也可以多个恶意行为特征图像只设定一个阈值。
当比较得到运行特征截图与预设的恶意行为特征图像的相似度不小于预设的第一阈值时,则认为待检测对象被运行过程中,创建的可视界面的截图与预设的恶意行为特征图像足够相似,即可以判定待检测对象中存在与恶意行为特征图像对应的恶意行为。
恶意行为可能对用户计算机造成危害或者给用户带来各种干扰,例如,盗取用户登录密码等等。
当比较得到运行特征截图与预设的恶意行为特征图像的相似度小于预设的第一阈值时,则认为待检测对象被运行过程中,创建的可视界面的截图与预设的恶意行为特征图像不够相似,即可以判定待检测对象中不存在与恶意行为特征图像对应的恶意行为。
由以上可见,本实施例中,通过获取待检测对象被加载时界面截图的方式,检测待检测对象中是否存在恶意行为,而不需要使用待检测对象被加载时的行为特征信息,因此,在待检测对象被加载时行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。
结合本发明的实际应用场景,在本发明的一种实施方式中,还提供一种计算图像相似度的方法。
图2为本发明实施例提供的一种计算图像相似度的方法的流程示意图,该方法包括以下步骤:
步骤201:获得恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将运行特征截图的第一行第一列的像素点初始化为扫描起始点。
步骤202:从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa)。
步骤203:以Pa和Pb为对应点,确定恶意行为特征图像与运行特征截图中像素点的对应关系。
本步骤中,确定恶意行为特征图像与运行特征截图中像素点的对应关系时,以Pa和Pb为对应点,Pa所在行中其他点与Pb所在行中其他点为对应点,Pa所在行的下一行中Pa同列的点与Pb所在行的下一行中Pb同列的点为对应点,Pa所在行的下一行中其他点与Pb所在行的下一行中其他点为对应点,依此确定对应关系。
步骤204:判断Pa所在行像素点与其对应像素点的像素值是否完全相同,如果是,进行步骤208,否则,进行步骤205。
在本发明的另一实施例中,本步骤可以为:判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同。例如,预设的第二阈值可以为1,即,隔点判断对应像素点的像素值是否完全相同,不需要判断所有的像素点。当然,本申请只是以上述为例进行说明,实际应用中预设的第二阈值不限于此。
步骤205:判断Pb是否为运行特征截图中最后一个可与Pa对应的像素点,如果是,进行步骤206,否则,进行步骤207。
步骤206:将当前像素点Pb的下一个像素点作为扫描起始点,返回步骤202。
其中,像素点Pb的下一个像素点可以是与像素点Pb同一行、位于像素点Pb右侧的像素点,也可以是,像素点Pb所在行的下一行的像素点,例如,像素点Pb为当前所在行最右边的一个像素点时,则像素点Pb的下一个像素点为像素点Pb所在行的下一行的第一个像素点。上述是以“之”字形扫描顺序定义的像素点Pb的下一个像素点,实际应用中,还可以按照其他扫描顺序定义像素点Pb的下一个像素点,例如:锯齿形等等。
本步骤中,返回步骤202并重复步骤202~步骤203直到Pa所在行像素点与其对应像素点的像素值完全相同。
在本发明的另一实施例中,当步骤204为:判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同时,本步骤中需重复步骤202~步骤203直到Pa所在行中,以Pa为起始点,预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值完全相同。
步骤207:设置运行特征截图与预设的恶意行为特征图像的相似度计算结果为0。
步骤208:根据步骤203中所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的像素点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
在本发明的另一实施例中,本步骤可以为:判断恶意行为特征图像中,以预先规定的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同。其中,预先规定的像素可以是恶意行为特征图像中第一行第一列的像素点,预设的第三阈值可以与预设的第二阈值相同,也可以不相同。
由以上可见,本实施例中,通过预设的第二阈值和预设的第三阈值确定图像相似度计算过程中所使用的像素点,当预设值不为零时,可以提高图像相似度计算的效率。
下面结合具体实例对本申请再做详细说明。
假设,在待检测应用程序W的运行过程中,对加载界面进行截取,得到运行特征截图Pic1,对已知存在恶意行为的应用程序Y,在运行过程中创建的可视界面进行截取,得到截取图像,并通过人工方式从截取图像获取特征图像,即预设的恶意行为特征图像Pic2。
步骤201,获得恶意行为特征图像Pic2第一行第一列(即Pic2左上角)的像素点Pa的像素值X(Pa),并将运行特征截图Pic1的第一行第一列(即Pic1左上角)的像素点初始化为扫描起始点。
步骤202,从所述扫描起始点开始,在运行特征截图Pic1中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa)。假设,运行特征截图Pic1中第一行第二列的像素点,满足上述要求,即:Pic1中第一行第二列的像素点Pb与Pic2中第一行第一列的像素点Pa的像素值相同。
步骤203,按照前述步骤,以Pa和Pb为对应点,确定Pic1和Pic2中像素点的对应关系,即:Pic1中第一行的第2、4、6、8……像素点与Pic2中第一行的第1、3、5、7……像素点为对应点,Pic1中第二行的第2、4、6、8……像素点与Pic2中第二行的第1、3、5、7……像素点为对应点,后面各行依此类推。
步骤204,假设,预设的第二阈值为1,Pic2中第一行的第2、4像素点与Pic1中第一行的第1、3像素点的像素值分别对应相同,其它对应像素点的像素值不相同,则根据假设可判断知Pic2中的像素点Pa所在的第一行的像素点与其对应点不完全相同。
步骤205,因为Pb为Pic1中第一行第二列的像素点,所以Pb不是Pic1中最后一个可与Pa对应的像素点。
步骤206,将Pic1中第一行第三列的像素点作为扫描起始点,返回步骤202并重复步骤202~步骤203,直到得到Pa点,该点满足:在Pa所在行中,以Pa为起始点,点间间隔为1确定的像素点与其对应像素点的像素值完全相同。这里假设满足条件的Pa点为:Pic1中第二行第一列的点。
步骤208,假设,预设的第三阈值为1,则根据前述步骤203中以Pa(Pic1中第二行第一列的像素点)与Pb(Pic2中第一行第一列的像素点)为对应点,确定的对应关系,判断Pic2和Pic1各个对应行中第1、3、5、7、9……点是否相等,并统计CE和CT,计算CE/CT得P1和P2的相似度值。
在上述步骤的基础上,假设预设的第一阈值为90%,步骤208得到的相似度为95%,则可判定相似度大于预设的第一阈值,待检测对象A中存在恶意行为。
由以上可见,本实施例中,通过获取待检测对象被加载时界面截图的方式,检测待检测对象中是否存在恶意行为,而不需要使用待检测对象被加载时的行为特征信息,因此,在待检测对象被加载时行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。同时,本实施例中,采用隔点取点的方式计算图像相似度,提高了图像相似度的计算效率。
图3为本发明实施例提供的一种恶意行为检测装置的结构示意图,所述装置包括:截取单元301、相似度计算单元302和恶意行为确定单元303。
其中,截取单元301,用于在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;
相似度计算单元302,用于计算所述运行特征截图与预设的恶意行为特征图像的相似度;
恶意行为确定单元303,用于根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
本实施例中,恶意行为确定单元303可以包括:相似度判断子单元和恶意行为确定子单元(图中未示出)。其中,相似度判断子单元,用于根据所述计算的相似度,判断所述相似度是否小于预设的第一阈值;恶意行为确定子单元,用于在所述相似度判断子单元判定所述相似度不小于预设的第一阈值时,确定所述待检测对象存在恶意行为。
本实施例中,截取单元301,具体用于对待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
本实施例中,相似度计算单元302,可以包括:初始化子单元、扫描子单元、对应关系确定子单元、循环控制子单元和相似度计算子单元(图中未示出)。
其中,初始化子单元,用于获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点;
扫描子单元,用于从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa),触发所述对应关系确定子单元;
对应关系确定子单元,用于以Pa和Pb为对应点,确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系;
循环控制子单元,用于判断Pa所在行像素点与其对应像素点的像素值是否完全相同,如果是,则触发所述相似度计算子单元进行相似度计算;如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描,直到Pa所在行像素点与其对应像素点的像素值完全相同,触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0;
相似度计算子单元,用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
本实施例中,循环控制子单元,具体用于判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同,如果是,则触发所述相似度计算子单元进行相似度计算;如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描;直到Pa所在行中,以Pa为起始点,预设的第二阈值为点间间隔确定的像素点与其对应像素点的像素值完全相同,则进一步触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0。
本实施例中,相似度计算子单元,具体用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像中,以预先规定的像素点为起始点,例如第一行第一列的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
由以上可见,本实施例中,通过获取待检测对象被加载时界面截图的方式,检测待检测对象中是否存在恶意行为,而不需要使用待检测对象被加载时的行为特征信息,因此,在待检测对象被加载时行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。
图4为本发明实施例提供的另一种恶意行为检测装置的结构示意图,该装置包括:截取单元401、相似度计算单元402、恶意行为确定单元403和恶意行为特征图像生成单元404。
需要说明的是本实施例中,截取单元401、相似度计算单元402,和恶意行为确定单元403,可以分别与图3所示实施例中截取单元301、相似度计算单元302和恶意行为确定单元303完全相同,这里不再重复。
本实施例中,恶意行为特征图像生成单元404,可以包括:加载子单元、截取子单元、获取子单元和记录子单元(图中未示出)。
其中,加载子单元,用于对已知存在恶意行为的对象进行加载;
截取子单元,用于在所述存在恶意行为的对象的运行过程中对所述存在恶意行为的对象创建的可视界面进行截取;
获取子单元,用于根据截取结果,生成恶意行为特征图像;
所述记录子单元,用于记录获取的恶意行为特征图像。
由以上可见,本实施例中,通过获取待检测对象被加载时界面截图的方式,检测待检测对象中是否存在恶意行为,而不需要使用待检测对象被加载时的行为特征信息,因此,在待检测对象被加载时行为特征信息少的情况下,也能够实现对该对象中是否存在恶意行为的检测。
对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (14)
1.一种恶意行为检测方法,其特征在于,所述方法包括:
在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;
计算所述运行特征截图与预设的恶意行为特征图像的相似度;
根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
2.根据权利要求1所述方法,其特征在于,所述根据所述计算的相似度,确定所述待检测对象是否存在恶意行为,包括:
根据所述计算的相似度,判断所述相似度是否小于预设的第一阈值;
如果否,则确定所述待检测对象存在恶意行为。
3.根据权利要求1或2所述方法,其特征在于,所述在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,包括:
对所述待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
4.根据权利要求1或2所述方法,其特征在于,所述预设的恶意行为特征图像,通过以下方法获得:
对已知存在恶意行为的对象进行加载;
在所述存在恶意行为的对象运行过程中对所述存在恶意行为的对象创建的可视界面进行截取;
根据截取结果,获取恶意行为特征图像;
记录获取的恶意行为特征图像。
5.根据权利要求1或2所述方法,其特征在于,所述计算所述运行特征截图与预设的恶意行为特征图像的相似度,包括:
a.获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点;
b.从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa);
c.以Pa和Pb为对应点,确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系;
d.判断Pa所在行像素点与其对应像素点的像素值是否完全相同,
如果是,则进一步执行步骤e;
如果否,则将当前像素点Pb的下一个像素点作为扫描起始点,重复执行步骤b-c,直到Pa所在行像素点与其对应像素点的像素值完全相同,则进一步执行步骤e;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0;
e.根据步骤c中所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的像素点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
6.根据权利要求5所述方法,其特征在于,
所述判断Pa所在行像素点与其对应像素点的像素值是否完全相同,包括:
判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同。
7.根据权利要求6所述方法,其特征在于,
所述判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,包括:
判断恶意行为特征图像中,以预先规定的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同。
8.一种恶意行为检测装置,其特征在于,所述装置包括:
截取单元,用于在待检测对象的运行过程中,对所述待检测对象创建的可视界面进行截取,得到运行特征截图;
相似度计算单元,用于计算所述运行特征截图与预设的恶意行为特征图像的相似度;
恶意行为确定单元,用于根据所述计算的相似度,确定所述待检测对象是否存在恶意行为。
9.根据权利要求8所述的装置,其特征在于,所述恶意行为确定单元,包括:相似度判断子单元和恶意行为确定子单元;
所述相似度判断子单元,用于根据所述计算的相似度,判断所述相似度是否小于预设的第一阈值;
所述恶意行为确定子单元,用于在所述相似度判断子单元判定所述相似度不小于预设的第一阈值时,确定所述待检测对象存在恶意行为。
10.根据权利要求8或9所述装置,其特征在于,所述截取单元,具体用于对所述待检测对象运行过程中的可视界面创建行为进行监测,如果监测到可视界面创建行为,则对所创建的可视界面进行截取。
11.根据权利要求8或9所述装置,其特征在于,所述装置还包括:恶意行为特征图像生成单元;
所述恶意行为特征图像生成单元,包括:加载子单元、截取子单元、获取子单元和记录子单元;
所述加载子单元,用于对已知存在恶意行为的对象进行加载;
所述截取子单元,用于在所述存在恶意行为的对象的运行过程中对所述存在恶意行为的对象创建的可视界面进行截取;
所述获取子单元,用于根据截取结果,生成恶意行为特征图像;
所述记录子单元,用于记录获取的恶意行为特征图像。
12.根据权利要求8或9所述装置,其特征在于,所述相似度计算单元,包括:初始化子单元、扫描子单元、对应关系确定子单元、循环控制子单元和相似度计算子单元;
所述初始化子单元,用于获得所述恶意行为特征图像第一行第一列的像素点Pa的像素值X(Pa),并将所述运行特征截图的第一行第一列的像素点初始化为扫描起始点;
所述扫描子单元,用于从所述扫描起始点开始,在所述运行特征截图中查找像素点Pb,使得Pb的像素值X(Pb)满足:X(Pb)=X(Pa),触发所述对应关系确定子单元;
所述对应关系确定子单元,用于以Pa和Pb为对应点,确定所述恶意行为特征图像与所述运行特征截图中像素点的对应关系;
所述循环控制子单元,用于判断Pa所在行像素点与其对应像素点的像素值是否完全相同,
如果是,则触发所述相似度计算子单元进行相似度计算;
如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描,直到Pa所在行像素点与其对应像素点的像素值完全相同,触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0;
所述相似度计算子单元,用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
13.根据权利要求12所述装置,其特征在于,
所述循环控制子单元,具体用于判断Pa所在行中,以Pa为起始点,以预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否完全相同,
如果是,则触发所述相似度计算子单元进行相似度计算;
如果否,则将当前像素点Pb的下一个点设置为扫描起始点,触发所述扫描子单元进行扫描,直到Pa所在行中,以Pa为起始点,预设的第二阈值为像素点点间间隔确定的像素点与其对应像素点的像素值完全相同,触发所述相似度计算子单元进行相似度计算;若无法满足所述像素值完全相同的条件,则设置相似度计算结果为0。
14.根据权利要求13所述装置,其特征在于,
所述相似度计算子单元,具体用于根据所述对应关系确定子单元所建立的像素点对应关系,判断恶意行为特征图像中,以预先规定的像素点为起始点,以预设的第三阈值为像素点点间间隔确定的像素点与其对应像素点的像素值是否相同,统计像素值相同的点的个数CE;计算CE/CT,得到所述运行特征截图与预设的恶意行为特征图像的相似度,其中,CT为所述恶意行为特征图像中用于判断与其对应像素点是否相同的像素点的总个数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310747287.XA CN103699843A (zh) | 2013-12-30 | 2013-12-30 | 一种恶意行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310747287.XA CN103699843A (zh) | 2013-12-30 | 2013-12-30 | 一种恶意行为检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103699843A true CN103699843A (zh) | 2014-04-02 |
Family
ID=50361367
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310747287.XA Pending CN103699843A (zh) | 2013-12-30 | 2013-12-30 | 一种恶意行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103699843A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679512A (zh) * | 2015-02-12 | 2015-06-03 | 腾讯科技(深圳)有限公司 | 一种窗口程序响应时间的获取方法及装置 |
| CN106228156A (zh) * | 2016-07-18 | 2016-12-14 | 百度在线网络技术(北京)有限公司 | 一种确定信息提示内容的方法与装置 |
| WO2016197710A1 (zh) * | 2015-11-27 | 2016-12-15 | 中兴通讯股份有限公司 | 移动终端软件假界面识别方法及装置 |
| CN106485147A (zh) * | 2016-09-13 | 2017-03-08 | 四川长虹电器股份有限公司 | 基于智能移动终端界面图像变化的安全保护方法 |
| CN106936998A (zh) * | 2017-03-21 | 2017-07-07 | 北京小米移动软件有限公司 | 截屏方法及截屏装置 |
| CN108062463A (zh) * | 2016-11-07 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种基于截屏图片的重打包检测方法及系统 |
| WO2020048392A1 (zh) * | 2018-09-06 | 2020-03-12 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| CN113011449A (zh) * | 2019-12-20 | 2021-06-22 | 中移(上海)信息通信科技有限公司 | 行为确定方法、装置、设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101292252A (zh) * | 2005-10-18 | 2008-10-22 | 松下电器产业株式会社 | 信息处理装置及其方法 |
| CN101464951A (zh) * | 2007-12-21 | 2009-06-24 | 北大方正集团有限公司 | 图像识别方法及系统 |
| DE102008016667B3 (de) * | 2008-04-01 | 2009-07-23 | Siemens Aktiengesellschaft | Verfahren zur Detektion nahezu inhaltsgleicher oder inhaltsgleicher Bildnachrichten und dessen Verwendung zur Unterdrückung ungewollter Bildnachrichten |
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| US20120002839A1 (en) * | 2010-06-30 | 2012-01-05 | F-Secure Corporation | Malware image recognition |
| US20130004087A1 (en) * | 2011-06-30 | 2013-01-03 | American Express Travel Related Services Company, Inc. | Method and system for webpage regression testing |
-
2013
- 2013-12-30 CN CN201310747287.XA patent/CN103699843A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101292252A (zh) * | 2005-10-18 | 2008-10-22 | 松下电器产业株式会社 | 信息处理装置及其方法 |
| CN101464951A (zh) * | 2007-12-21 | 2009-06-24 | 北大方正集团有限公司 | 图像识别方法及系统 |
| DE102008016667B3 (de) * | 2008-04-01 | 2009-07-23 | Siemens Aktiengesellschaft | Verfahren zur Detektion nahezu inhaltsgleicher oder inhaltsgleicher Bildnachrichten und dessen Verwendung zur Unterdrückung ungewollter Bildnachrichten |
| CN101626368A (zh) * | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和系统 |
| US20120002839A1 (en) * | 2010-06-30 | 2012-01-05 | F-Secure Corporation | Malware image recognition |
| US20130004087A1 (en) * | 2011-06-30 | 2013-01-03 | American Express Travel Related Services Company, Inc. | Method and system for webpage regression testing |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104679512A (zh) * | 2015-02-12 | 2015-06-03 | 腾讯科技(深圳)有限公司 | 一种窗口程序响应时间的获取方法及装置 |
| WO2016197710A1 (zh) * | 2015-11-27 | 2016-12-15 | 中兴通讯股份有限公司 | 移动终端软件假界面识别方法及装置 |
| CN106815522A (zh) * | 2015-11-27 | 2017-06-09 | 中兴通讯股份有限公司 | 移动终端软件假界面识别方法及装置 |
| CN106228156A (zh) * | 2016-07-18 | 2016-12-14 | 百度在线网络技术(北京)有限公司 | 一种确定信息提示内容的方法与装置 |
| CN106228156B (zh) * | 2016-07-18 | 2019-09-20 | 百度在线网络技术(北京)有限公司 | 一种确定信息提示内容的方法与装置 |
| CN106485147A (zh) * | 2016-09-13 | 2017-03-08 | 四川长虹电器股份有限公司 | 基于智能移动终端界面图像变化的安全保护方法 |
| CN108062463A (zh) * | 2016-11-07 | 2018-05-22 | 武汉安天信息技术有限责任公司 | 一种基于截屏图片的重打包检测方法及系统 |
| CN106936998A (zh) * | 2017-03-21 | 2017-07-07 | 北京小米移动软件有限公司 | 截屏方法及截屏装置 |
| WO2020048392A1 (zh) * | 2018-09-06 | 2020-03-12 | 腾讯科技(深圳)有限公司 | 应用程序的病毒检测方法、装置、计算机设备及存储介质 |
| CN113011449A (zh) * | 2019-12-20 | 2021-06-22 | 中移(上海)信息通信科技有限公司 | 行为确定方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103699843A (zh) | 一种恶意行为检测方法及装置 | |
| EP2742442B1 (en) | A method for detecting a copy of a reference video, corresponding apparatus for extracting a spatio-temporal signature from video data and corresponding computer readable storage medium | |
| CN104217161B (zh) | 一种病毒扫描方法及系统、终端设备 | |
| WO2021114896A1 (zh) | 一种基于计算机视觉的异常检测方法、装置及电子设备 | |
| Yue et al. | My google glass sees your passwords | |
| CN103366170A (zh) | 图像二值化处理装置及其方法 | |
| CN102110284B (zh) | 信息处理设备及信息处理方法 | |
| CN109657431B (zh) | 用于识别用户身份的方法 | |
| CN104573440A (zh) | 一种数据查看方法及装置 | |
| US20110156999A1 (en) | Gesture recognition methods and systems | |
| US20140325409A1 (en) | Active & Efficient Monitoring of a Graphical User Interface | |
| EP3076674A1 (en) | Video quality detection method and device | |
| US20160328112A1 (en) | Method for processing touch signal and terminal device | |
| US10299117B2 (en) | Method for authenticating a mobile device and establishing a direct mirroring connection between the authenticated mobile device and a target screen device | |
| CN108762568B (zh) | 触摸屏的断线修复方法、装置和家用电器 | |
| CN104572123A (zh) | 一种脚本生成方法及装置 | |
| CN104572821A (zh) | 一种文件处理方法及装置 | |
| CN112749387A (zh) | 一种基于沙箱的恶意行为分析方法 | |
| KR20230060439A (ko) | 실물 촬영 이미지 여부 식별 방법 및 시스템 | |
| CN106778276B (zh) | 一种检测无实体文件恶意代码的方法及系统 | |
| CN118587636B (zh) | 一种异常检测方法、装置、设备及介质 | |
| CN111353332B (zh) | 指纹图像处理方法、装置和计算机可读存储介质 | |
| CN112782758B (zh) | 稀疏采样观测系统的状态确定方法和装置 | |
| KR101519966B1 (ko) | 기준판 기반의 비전 인식 방법 및 시스템 | |
| CN105607832B (zh) | 一种信息处理方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |
|
| RJ01 | Rejection of invention patent application after publication |