3.根據權利要求1所述的基于虛擬化平臺的虛擬機異常行為檢測方法，其特征在于：在步驟2)中，所述的使用圖像的方法描述上述內存轉儲文件中數據的特征，并獲得包含上述特征的灰度圖像的方法是：

2.1)根據實際需求在內存轉儲文件中選定部分數據，數據量大小與數據位置均可指定，按照順序從上述選定的部分數據中分多次讀取數據，每次讀取1024字節的數據并作為一組初始序列，然后將每組初始序列經過分詞、加權和合并在內的處理而提取出高維度的特征向量，從而獲得每組初始序列對應的SimHash值；

2.2)針對上述每組初始序列中1024字節的數據，將每一個字節轉換成一個ASCII字符，由此形成一個由1024個ASCII字符構成的字符串，然后將相鄰8個字符作為一組子串，計算每個子串在該字符串中出現的次數并據此分配權重；之后使用MD5算法計算每個子串的哈希值，由此獲得64位(bit)哈希序列S1，S2，…Sn；對于每一個哈希序列S，生成與其相對應的向量T，其中哈希序列S的每一位Si對應向量T的每個元素Ti；首先將向量T的每個元素初始化為0，然后判斷哈希序列S中每一位的值是1還是0，如果是1則向量T的對應位置的元素加上子串的權值，如果是0則向量T的對應位置的元素減去該子串的權值，得到新序列T1，T2，…Tn；

2.3)對于上述新序列T1，T2，…Tn，將其按位累加得到序列P；判斷序列P的每一位，小于0時將該位置0，反之則置1，得到的結果即為上述1024長度的字符串的SimHash值；此時獲得的SimHash值是64位，然后按照順序將每4位轉換成一個十六進制數字，得到兩個8位十六進制數；

2.4)對上述十六進制數的每一位，按照大于7設置為1，小于等于7設置為0的規則生成一個二進制序列，并將這個二進制序列轉化成取值范圍為0-255的十進制數；至此得到了兩個十進制數；

2.5)將這兩個十進制數按照生成的先后順序分別作為二維圖像的水平和垂直坐標并映射到初始為黑色、大小為256×256的灰度圖像上；其后生成的坐標點如果有重合，將對應的坐標點灰度值增加16；若某一個坐標點的灰度值已經達到255，則該坐標點的灰度值不再增加；

2.6)將內存轉儲文件中選定的部分數據對應的每一個初始序列所映射的坐標點的狀態進行疊加，得到包含該內存轉儲文件中選定的部分數據特征的灰度圖像。