[发明专利]恶意软件检测装置和方法

权利要求书

1.一种恶意软件检测方法，其特征在于，包括：

从文件生成图像；

生成所述图像的签名，其中，所述图像的所述签名指示所述图像的局部特征描述符；

将所述图像的所述签名与恶意软件签名存储库中的至少一个预定签名进行比较；

根据比较结果确定所述文件是否为恶意文件。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在生成所述图像的所述签名之前，对所述生成的图像应用至少一个滤波器，以减少噪音。

3.根据前述权利要求中任一项所述的方法，其特征在于，所述将所述图像的所述签名与恶意软件签名存储库中的至少一个预定签名进行比较的步骤包括：

计算所述图像的所述签名与所述恶意软件签名存储库中的所述至少一个预定签名中的每个预定签名之间的对应关系。

4.根据权利要求3所述的方法，其特征在于，在确定所述文件是否为恶意文件之前，所述方法还包括：

将所述计算出的对应关系与预定义阈值进行比较。

5.根据前述权利要求中任一项所述的方法，其特征在于，所述生成所述图像的签名的步骤包括：

检测所述图像中的第一关键点集合；

根据所述第一关键点集合生成第一描述符集合，其中，每个描述符对应于所述第一关键点集合中的一个关键点；

将所述第一描述符集合设置为所述图像的所述签名。

6.根据权利要求5所述的方法，其特征在于，所述恶意软件签名存储库中的所述预定签名中的每个预定签名包括第二描述符集合，所述第二描述符集合中的每个描述符对应于一个关键点。

7.根据权利要求6所述的方法，其特征在于，所述将所述图像的所述签名与恶意软件签名存储库中的至少一个预定签名进行比较的步骤包括：

对于每个第二描述符集合，

检测所述第一描述符集合与所述第二描述符集合之间的对应关系；

根据所述检测到的对应关系计算所述第一描述符集合与所述第二描述符集合之间的距离。

8.根据权利要求7所述的方法，其特征在于，所述根据比较结果确定所述文件是否为恶意文件的步骤包括：

根据所述计算出的距离确定所述文件是否为恶意文件。

9.根据权利要求7或8所述的方法，其特征在于，所述第一描述符集合与所述第二描述符集合之间的所述距离是检测到的所述第一描述符集合与所述第二描述符集合之间的对应关系的逆相关函数的结果。

10.一种生成恶意软件签名存储库的方法，其特征在于，包括：

加载至少两个恶意软件样本文件；

从所述至少两个恶意软件样本文件中的每个恶意软件样本文件生成图像；

为每个图像生成签名，其中，每个图像的所述签名指示所述图像的局部特征描述符；

根据对应于所述至少两个恶意软件样本文件的所述图像签名，生成至少一个签名簇；

从所述至少一个签名簇中的每个签名簇中选择至少一个签名，以生成所述恶意软件签名存储库。

11.根据权利要求10所述的方法，其特征在于，所述根据对应于所述至少两个恶意软件样本文件的所述图像签名生成至少一个签名簇包括：

确定距离矩阵，其中，所述距离矩阵包括至少一个距离元素，每个距离元素是对应于两个恶意软件样本文件的两个图像的签名对之间的距离；

根据聚类算法，基于所述距离矩阵生成至少一个签名簇。

12.根据权利要求11所述的方法，其特征在于，所述签名对之间的距离是检测到的所述签名对之间的对应关系的逆相关函数的结果。

13.根据前述权利要求中任一项所述的方法，其特征在于，所述图像的局部特征描述符包括多个关键点描述符。