技術領域

本發明涉及計算機安全技術領域，特別涉及一種惡意行為檢測方法及裝置。

背景技術

隨著計算機技術的發展，計算機安全越來越重要，而一些黑客經常會向應用程序或文檔中寫入惡意代碼，如果用戶從網站或者其他途徑獲得這些程序或文檔，使得惡意代碼一并帶入計算機，惡意代碼會在用戶計算機上產生惡意行為，從而對用戶計算機造成危害或者給用戶帶來各種干擾。因此，有必要對應用程序或文檔中是否存在惡意行為進行檢測。

現有技術中，通過記錄待檢測對象（例如應用程序或文檔）被加載運行時的所有行為特征信息、并將這些行為特征信息與已知的惡意行為特征信息進行對比，來判定該待檢測對象是否存在惡意行為。但是，有些應用程序或文檔在加載運行時所產生的行為很少，無法有效提取行為特征信息進行對比，導致無法準確判斷出該對象是否存在惡意行為。

發明內容

本發明實施例提供了一種惡意行為檢測方法及裝置，以實現在待檢測對象被加載運行時產生的行為特征信息少的情況下，也能夠檢測該對象是否存在惡意行為。

為達到上述目的，本發明實施例公開了一種惡意行為檢測方法，所述方法包括：

在待檢測對象的運行過程中，對所述待檢測對象創建的可視界面進行截取，得到運行特征截圖；

計算所述運行特征截圖與預設的惡意行為特征圖像的相似度；

根據所述計算的相似度，確定所述待檢測對象是否存在惡意行為。

可選的，所述根據所述計算的相似度，確定所述待檢測對象是否存在惡意行為，包括：

根據所述計算的相似度，判斷所述相似度是否小于預設的第一閾值；

如果否，則確定所述待檢測對象存在惡意行為。

可選的，所述在待檢測對象的運行過程中，對所述待檢測對象創建的可視界面進行截取，包括：

對所述待檢測對象運行過程中的可視界面創建行為進行監測，如果監測到可視界面創建行為，則對所創建的可視界面進行截取。

可選的，所述預設的惡意行為特征圖像，通過以下方法獲得：

對已知存在惡意行為的對象進行加載；

在所述存在惡意行為的對象的運行過程中對所述存在惡意行為的對象創建的可視界面進行截取；

根據截取結果，獲取惡意行為特征圖像；

記錄獲取的惡意行為特征圖像。

可選的，所述計算所述運行特征截圖與預設的惡意行為特征圖像的相似度，包括：

a.獲得所述惡意行為特征圖像第一行第一列的像素點Pa的像素值X(Pa)，并將所述運行特征截圖的第一行第一列的像素點初始化為掃描起始點；

b.從所述掃描起始點開始，在所述運行特征截圖中查找像素點Pb，使得Pb的像素值X(Pb)滿足：X(Pb)=X(Pa)；

c.以Pa和Pb為對應點，確定所述惡意行為特征圖像與所述運行特征截圖中像素點的對應關系；

d.判斷Pa所在行像素點與其對應像素點的像素值是否完全相同，

如果是，則進一步執行步驟e；

如果否，則將當前像素點Pb的下一個像素點作為掃描起始點，重復執行步驟b-c，直到Pa所在行像素點與其對應像素點的像素值完全相同，則進一步執行步驟e；若無法滿足所述像素值完全相同的條件，則設置相似度計算結果為0；

e.根據步驟c中所建立的像素點對應關系，判斷惡意行為特征圖像的像素點與其對應像素點的像素值是否相同，統計像素值相同的像素點的個數C_E；計算C_E/C_T，得到所述運行特征截圖與預設的惡意行為特征圖像的相似度，其中，C_T為所述惡意行為特征圖像中用于判斷與其對應像素點是否相同的像素點的總個數。

可選的，所述判斷Pa所在行像素點與其對應像素點的像素值是否完全相同，包括：

判斷Pa所在行中，以Pa為起始點，以預設的第二閾值為像素點點間間隔確定的像素點與其對應像素點的像素值是否完全相同。

可選的，所述判斷惡意行為特征圖像的像素點與其對應像素點的像素值是否相同，包括：

判斷惡意行為特征圖像中，以預先規定的像素點為起始點，以預設的第三閾值為像素點點間間隔確定的像素點與其對應像素點的像素值是否相同。

為達到上述目的，本發明實施例公開了一種惡意行為檢測裝置，所述裝置包括：

截取單元，用于在待檢測對象的運行過程中，對所述待檢測對象創建的可視界面進行截取，得到運行特征截圖；