一种PE文件图标检测方法、装置、电子设备及存储介质制造方法及图纸

本申请公开了一种PE文件图标检测方法、装置、电子设备及存储介质，该方法为：解析获取的待检测PE文件，获取待检测PE文件的候选图标颜色数据并计算各个像素点对应的灰度值，得到候选图标的灰度图；基于候选图标的灰度图确定候选图标的灰度直方图和候选图标的PHASH特征数据；分别计算候选图标的灰度直方图与参考图标集合中包含的每一参考图标的灰度直方图的第一余弦相似度，和候选图标的PHASH特征数据与参考图标集合中包含的每一参考图标的PHASH特征数据的第二余弦相似度；若确定任一参考图标类别相应的第一余弦相似度和第二余弦相似度组合满足设定规则，则确定候选图标为参考图标类别的参考图标的伪造图标。类别的参考图标的伪造图标。类别的参考图标的伪造图标。

【技术实现步骤摘要】
一种PE文件图标检测方法、装置、电子设备及存储介质


[0001]本申请涉及网络安全
，尤其涉及一种PE文件图标检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着网络技术的发展，通过浏览器、邮件、即时通信等工具用户可以方便、快速地与他人进行交流以及获取需要的信息，在通过这些工具进行通信的过程中会涉及到大量的文件，如用户主动或被动通过浏览器下载的文件、邮件的附件以及即时通信中用户之间互相传递的文件。随着安全意识的提高，大部分用户已经不会轻易点击系统上的可执行程序，而可能会点击自认为风险较低的Office文档、WPS文档、文件夹、图片或者带有用户熟悉图标的PE(Portable Executable，可移植的可执行的)文件，因此，很多恶意程序将自己的图标伪造成这类图标以迷惑用户点击，同时，伪造手法也从直接窃取想要伪造的图标发展到窃取到图标后进行缩放、加亮、模糊、删除图标的部分特征以及变换图标中特征的位置等图像处理后作为恶意程序的图标。由于经过处理后的恶意程序的伪造图标与原图标的差别细微，由于伪造图标用户难以辨认，容易误点击而产生安全风险。并且，防病毒程序若要适应图标的这种变化，就需要使用更高级的图像处理算法进行识别，否则可能导致防病毒程序对这类恶意程序的漏报。
[0003]相关技术中，对PE文件图标伪造的检测方案是：从待检测PE文件中提取图标后检测该图标是否为伪造图标，包括基于逐像素比较计算均方误差的检测方法和基于颜色直方图比较余弦相似度的检测方法。其中，基于逐像素比较计算均方误差的检测方法具体为：计算从待检测PE文件中提取的待检测图标的灰度图，逐像素累加每个灰度值与参考图标对应像素的灰度值的差值的平方，再除以像素个数得到均方误差，如果均方误差小于设定阈值，则可以确定待检测图标为伪造的参考图标，然而，这种检测方式仅仅适合直接盗取图标使用的情形，但对于图标已经过处理(如缩放、加亮、模糊、删除图标的部分特征以及变换图标中特征的位置等)的情况，其识别度较低，会存在严重的漏报。基于颜色直方图比较余弦相似度的检测方法具体为：计算从待检测PE文件中提取的待检测图标的灰度图，基于灰度图计算待检测图标的颜色直方图，再计算待检测图标的颜色直方图和参考图标的颜色直方图的余弦相似度，若余弦相似度大于设定的阈值，则判定待检测图标是伪造的参考图标，然而，这种检测方式利用的主要特征是颜色直方图，而颜色直方图关注的是图标的总体结构，对于内部结构复杂的图标的判定准确性不高，且对亮度变化敏感，容易出现误报。

技术实现思路

[0004]为了解决现有的PE文件图标伪造的检测方法的准确性不高，存在漏报和误报的问题，本申请实施例提供了一种PE文件图标检测方法、装置、电子设备及存储介质。
[0005]第一方面，本申请实施例提供了一种PE文件图标检测方法，包括：
[0006]解析获取的待检测PE文件，获取所述待检测PE文件的候选图标颜色数据；
[0007]基于所述候选图标的各个像素点的颜色数据计算各个像素点对应的灰度值，得到所述候选图标的灰度图；
[0008]基于所述候选图标的灰度图确定所述候选图标的灰度直方图和所述候选图标的感知哈希PHASH特征数据；
[0009]分别计算所述候选图标的灰度直方图与参考图标集合中包含的每一参考图标的灰度直方图的第一余弦相似度，以及所述候选图标的PHASH特征数据与所述参考图标集合中包含的每一参考图标的PHASH特征数据的第二余弦相似度，其中，所述参考图标集合中存储有参考图标类别、参考图标的灰度直方图与参考图标的PHASH特征数据的对应关系；
[0010]若确定任一参考图标类别相应的第一余弦相似度和第二余弦相似度组合满足设定规则，则确定所述候选图标为所述参考图标类别的参考图标的伪造图标。
[0011]在一种可能的实施方式中，所述参考图标集合中还存储有各参考图标的灰度图；所述方法，还包括：
[0012]若确定所有参考图标类别相应的第一余弦相似度和第二余弦相似度组合均不满足设定规则，则基于所述候选图标的灰度图与每一参考图标的灰度图分别计算所述候选图标与每一参考图标的结构相似性SSIM特征数据的相似度；
[0013]若确定存在大于设定阈值的SSIM特征数据的相似度，则确定将所述候选图标与相应的第一参考图标相似，将所述候选图标确定为所述第一参考图标的伪造图标；
[0014]若确定每一SSIM特征数据的相似度均小于或者等于所述设定阈值，则确定所述候选图标不是伪造图标。
[0015]在一种可能的实施方式中，解析获取的待检测PE文件，获取所述待检测PE文件的候选图标颜色数据，具体包括：
[0016]解析所述待检测PE文件，获取所述待检测PE文件中的图标关联数据和图标像素数据，所述图标关联数据包含图标头信息和图标标识信息，所述图标头信息中包含图标尺寸信息和位深信息；
[0017]基于各个图标的图标头信息和图标标识信息选取一个图标作为候选图标；
[0018]将候选图标像素数据转换成相应的候选图标RGB颜色数据。
[0019]在一种可能的实施方式中，基于各个图标的图标头信息和图标标识信息选取一个图标作为候选图标，具体包括：
[0020]按照图标尺寸选取设定尺寸的图标；
[0021]若确定仅有一个图标的图标尺寸为设定尺寸，则将所述图标作为候选图标；
[0022]若确定存在多个图标尺寸为设定尺寸的图标，则选取图标标识最小且位深最大的图标作为候选图标。
[0023]在一种可能的实施方式中，按照图标尺寸选取设定尺寸的图标，具体包括：
[0024]优先选取图标尺寸为第一设定尺寸的图标；
[0025]若不存在图标尺寸为第一设定尺寸的图标，则按照优先顺序依次选取第二设定尺寸的图标、第三设定尺寸的图标或者第四设定尺寸的图标。
[0026]在一种可能的实施方式中，确定任一参考图标类别相应的第一余弦相似度和第二余弦相似度组合满足设定规则，具体包括：
[0027]针对所述任一参考图标类别，若确定满足以下条件中的任一条件，则确定满足所
述设定规则：
[0028]所述候选图标的PHASH特征数据与所述任一参考图标类别的参考图标的PHASH特征数据的第二余弦相似度大于第一预设阈值；或者，
[0029]所述候选图标的灰度直方图与所述任一参考图标类别的参考图标的灰度直方图的第一余弦相似度大于第二预设阈值，且所述候选图标的PHASH特征数据与所述任一参考图标类别的参考图标的PHASH特征数据的第二余弦相似度大于第三预设阈值；或者，
[0030]所述候选图标的灰度直方图与所述任一参考图标类别的参考图标的灰度直方图的第一余弦相似度，以及所述候选图标的PHASH特征数据与所述任一参考图标类别的参考图标的PHASH特征数据的第二余弦相似度加权和大于第四预设阈值。
[0031]在一种可能的实施方式中，在解析获取的待检测PE文件之前，还包括：
[0032]对所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种PE文件图标检测方法，其特征在于，解析获取的待检测PE文件，获取所述待检测PE文件的候选图标颜色数据；基于所述候选图标的各个像素点的颜色数据计算各个像素点对应的灰度值，得到所述候选图标的灰度图；基于所述候选图标的灰度图确定所述候选图标的灰度直方图和所述候选图标的感知哈希PHASH特征数据；分别计算所述候选图标的灰度直方图与参考图标集合中包含的每一参考图标的灰度直方图的第一余弦相似度，以及所述候选图标的PHASH特征数据与所述参考图标集合中包含的每一参考图标的PHASH特征数据的第二余弦相似度，其中，所述参考图标集合中存储有参考图标类别、参考图标的灰度直方图与参考图标的PHASH特征数据的对应关系；若确定任一参考图标类别相应的第一余弦相似度和第二余弦相似度组合满足设定规则，则确定所述候选图标为所述参考图标类别的参考图标的伪造图标。2.如权利要求1所述的方法，其特征在于，所述参考图标集合中还存储有各参考图标的灰度图；所述方法，还包括：若确定所有参考图标类别相应的第一余弦相似度和第二余弦相似度组合均不满足设定规则，则基于所述候选图标的灰度图与每一参考图标的灰度图分别计算所述候选图标与每一参考图标的结构相似性SSIM特征数据的相似度；若确定存在大于设定阈值的SSIM特征数据的相似度，则确定将所述候选图标与相应的第一参考图标相似，将所述候选图标确定为所述第一参考图标的伪造图标；若确定每一SSIM特征数据的相似度均小于或者等于所述设定阈值，则确定所述候选图标不是伪造图标。3.如权利要求1所述的方法，其特征在于，解析获取的待检测PE文件，获取所述待检测PE文件的候选图标颜色数据，具体包括：解析所述待检测PE文件，获取所述待检测PE文件中的图标关联数据和图标像素数据，所述图标关联数据包含图标头信息和图标标识信息，所述图标头信息中包含图标尺寸信息和位深信息；基于各个图标的图标头信息和图标标识信息选取一个图标作为候选图标；将候选图标像素数据转换成相应的候选图标RGB颜色数据。4.如权利要求3所述的方法，其特征在于，基于各个图标的图标头信息和图标标识信息选取一个图标作为候选图标，具体包括：按照图标尺寸选取设定尺寸的图标；若确定仅有一个图标的图标尺寸为设定尺寸，则将所述图标作为候选图标；若确定存在多个图标尺寸为设定尺寸的图标，则选取图标标识最小且位深最大的图标作为候选图标。5.如权利要求4所述的方法，其特征在于，按照图标尺寸选取设定尺寸的图标，具体包括：优先选取图标尺寸为第一设定尺寸的图标；若不存在图标尺寸为第一设定尺寸的图标，则按照优先顺序依次选取第二设定尺寸的图标、第三设定尺寸的图标或者第四设定尺寸的图标。
6.如权利要...

【专利技术属性】
技术研发人员：毛春森，黄俊，何坤，汤旭，叶晓虎，
申请(专利权)人：北京神州绿盟科技有限公司，
类型：发明
国别省市：