本发明专利技术实施例提供了一种文件检测方法及沙箱。所述方法包括:沙箱控制器接收待检测文件,并检测所述待检测文件的文件运行环境类型;根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱;将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行;接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;当检测到所述运行轨迹中存在恶意行为时,进行告警。本实施例能够提高沙箱的检测性能。
【技术实现步骤摘要】
本专利技术涉及文件检测
,特别涉及一种文件检测方法及沙箱。
技术介绍
沙箱(Sandboxie),又名沙盘,是一种按照安全策略限制程序行为的执行环境,它允许用户在沙箱环境中运行文件,例如浏览器或其他程序,运行所产生的变化可以随后删除。通过在沙箱环境中运行文件,可以检测文件中是否存在恶意行为,当发现文件中存在恶意行为时可以发出告警。现有技术中,当接收到待检测文件时,通常根据待检测文件的运行环境类型在沙箱中创建相应的虚拟环境,并使该待检测文件在该虚拟环境中运行,获得待检测文件的运行轨迹,然后将该运行轨迹与保存的恶意行为特征进行比对,以便检测其运行轨迹中是否存在恶意行为并决定是否告警。当待检测文件运行完毕后,沙箱中的虚拟环境可以恢复到原始状态,也就是说,在运行待检测文件时所产生的影响可以被消除。但是,在实际使用过程中,由于所有类型的文件都会汇聚在传统沙箱中进行处理,加上沙箱对恶意行为的判断流程也较为繁琐,因此沙箱检测性能往往较低,并且成为网络拓扑中的性能瓶颈。
技术实现思路
本专利技术实施例的目的在于提供了一种文件检测方法及沙箱,以提高沙箱的检测性能。为了达到上述目的,本专利技术公开了一种文件检测方法,应用于沙箱控制器,所述沙箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境,所述方法包括:接收待检测文件,并检测所述待检测文件的文件运行环境类型;根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱;将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行;接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;当检测到所述运行轨迹中存在恶意行为时,进行告警。本专利技术还公开了一种沙箱,所述沙箱包括沙箱控制器和至少一个分类沙箱;沙箱控制器连接每个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境;沙箱控制器接收待检测文件,并检测所述待检测文件的文件运行环境类型;然后根据检测得到的文件运行环境类型,从每个分类沙箱中确定与所述文件运行环境类型对应的目标分类沙箱,并将所述待检测文件发送至所述目标分类沙箱;目标分类沙箱接收沙箱控制器发送的所述待检测文件,并在自身的虚拟环境中运行所述待检测文件,然后将待检测文件的运行轨迹发送至沙箱控制器;沙箱控制器接收所述运行轨迹后,当检测到所述运行轨迹中存在恶意行为时进行告警。由上述技术方案可见,本专利技术实施例中,沙箱控制器接收待检测文件,并检测待检测文件的运行环境类型,然后根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱,并将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行。沙箱控制器接收所述目标分类沙箱发送的所述待检测文件的运行轨迹,当检测到所述运行轨迹中存在恶意行为时进行告警。也就是说,本实施例中,沙箱控制器根据接收到的待检测文件的文件运行环境类型,从具有不同类型的虚拟运行环境的分类沙箱中确定出目标分类沙箱,使待检测文件在目标分类沙箱中运行,然后沙箱控制器再根据其运行轨迹确定是否进行告警。而现有技术中,所有运行环境类型的文件均在单一沙箱中运行,本实施例中,不同运行环境类型的文件运行在不同的分类沙箱中,因此应用本
实施例,能够提高沙箱的检测性能。另外,当分类沙箱出现故障时,其他分类沙箱仍然可以正常检测,因此,本实施例还能够解决现有技术中单一沙箱出现故障时无法对所有运行环境类型的文件进行检测的问题。当然,实施本专利技术的任一产品或方法并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为现有技术中沙箱工作的系统的一种示意图;图2为本专利技术实施例提供的沙箱工作的系统的一种示意图;图3为本专利技术实施例提供的文件检测方法的一种流程示意图;图4为本专利技术实施例提供的文件检测方法的另一种流程示意图;图5为本专利技术实施例提供的沙箱的一种结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整的描述。显然,所描述的实施例仅仅是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本专利技术保护的范围。为了理解沙箱的应用环境,下面简单介绍一下现有技术中沙箱的运行环境。图1所示为一种沙箱工作的系统的示意图,其中包括外网101、防火墙102、交换机103、沙箱104和内网105以及内网105中的多个终端1051。现有技术中,内网用户发出从外网下载文件的请求后,外网101响应该请求,并将相应的文件11通过防火墙102发送至交换机103,交换机103将接收到的文件11分别发送到内网105和沙箱104,沙箱104接收到文件11后对其进行检测,并给出是否告警
的信息。在图1中,沙箱104还可以位于交换机103与内网105之间,交换机103接收到文件11后将其发送至沙箱104,沙箱104检测接收到的文件,在无告警时将该文件转发至内网105。本专利技术实施例提供了一种文件检测方法及沙箱,能够提高沙箱的检测性能。本实施例中,沙箱204工作的系统可以如图2所示,其中,外网201、防火墙202、交换机203和内网205以及内网205中的多个终端2051分别与现有技术中的外网101、防火墙102、交换机103和内网105以及内网105中的多个终端1051相同,文件21的发送过程也与现有技术相同,此处均不再赘述。其中,沙箱204包括沙箱控制器2041和与其相连的至少一个分类沙箱2042。下面通过具体实施例,对本专利技术进行详细说明。图3为本专利技术实施例提供的文件检测方法的一种流程示意图,应用于沙箱控制器,所述沙箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境,所述方法包括:步骤S301:接收待检测文件,并检测所述待检测文件的文件运行环境类型。在实际应用中,待检测文件可以是其他设备发送给沙箱控制器的,也可以是用户选择输入的,当然还可以是采用其他方式接收到的,本专利技术对此不做具体限定。通常,待检测文件为能够在操作系统下直接运行的可执行文件。每个文件在运行时需要相应类型的操作系统支持。需要说明的是,检测待检测文件的文件运行环境类型属于现有技术,其具体过程此处不再赘述。步骤S302:根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱。例如,待检测文件的文件运行环境类型为Linux操作系统环境,则将已经创建有Linux操作系统的分类沙箱确定为目标分类沙箱。当然,在实际应用中,一个文件可能具有两种或以上的文件运行环境类型,这时,可以按照预设规则从所述两种或以上的文件运行环境类型中确定该文件的目标文件运行环境类型,并确定与该目标文件运行环境类型对应的目标分类沙箱。其中,目标文件
运行环境类型可以包括一种,本文档来自技高网...
【技术保护点】
一种文件检测方法,其特征在于,应用于沙箱控制器,所述沙箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境,所述方法包括:接收待检测文件,并检测所述待检测文件的文件运行环境类型;根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱;将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行;接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;当检测到所述运行轨迹中存在恶意行为时,进行告警。
【技术特征摘要】
1.一种文件检测方法,其特征在于,应用于沙箱控制器,所述沙箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境,所述方法包括:接收待检测文件,并检测所述待检测文件的文件运行环境类型;根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱;将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行;接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;当检测到所述运行轨迹中存在恶意行为时,进行告警。2.根据权利要求1所述的检测方法,其特征在于,所述沙箱控制器中保存有文件行为识别信息;所述文件行为识别信息中包括:已经检测过的每个文件的文件特征以及是否进行告警的信息;在检测所述待检测文件的文件运行环境类型之前,所述方法还包括:获得所述待检测文件的文件特征;根据获得的待检测文件的文件特征以及保存的文件行为识别信息中的每个文件的文件特征,检测所述文件行为识别信息中是否存在与所述待检测文件的文件特征相匹配的文件行为识别信息;如果是,则根据匹配的文件行为识别信息确定是否针对所述待检测文件进行告警;如果否,则执行所述检测所述待检测文件的文件运行环境类型的步骤。3.根据权利要求1或2所述的检测方法,其特征在于,所述方法还包括:在对所述运行轨迹的检测完成后,记录所述待检测文件的文件行为识别信息。4.根据权利要求2所述的检测方法,其特征在于,所述待检测文件的文件特征为采用消息摘要MD5算法计算出的所述待检测文件的MD5值。5.根据权利要求1所述的检测方法,其特征在于,在检测所述待检测文件的文件运行环境类型之前,所述方法还包括:检测所述待检测文件是否为可执行文...
【专利技术属性】
技术研发人员:房辉,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。