【技术实现步骤摘要】
避免沙箱逃逸的恶意文件检测方法
[0001]本申请涉及信息安全领域,尤其涉及一种避免沙箱逃逸的恶意文件检测方法
。
技术介绍
[0002]APT
攻击的原理相对于其他攻击,形式更为高级和先进,其高级性主要体现在
APT
在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的情报收集
。
攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉目标网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式
。
在情报收集的过程中,攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞,此种行为没有采取任何可能触发传统安全设备警报或者引起怀疑的行动,因此更接近于被攻击者的系统或程序
。
[0003]攻击者会利用
0day
漏洞
(
零日漏洞
)
,伪装成类似
office
等一系列办公文件,经过几十款国内外杀毒软件的交叉查杀测试后,投入使用,攻击者只需要一封邮件,即可突破现有的所有的传统信息安全防御体系,如果恶意文档的标题足够诱惑力,被攻击者只要点开恶意文件即可完成植入
。
而基于
CIDF(Common Intrusion Detection Framework
,通用入侵检测框架
)
模型的传统安全产品,安全运营人员每天会面对海量的攻击事件日志,而这些日志大部分为误报,所以运营人员每天的主要工作都是在处 ...
【技术保护点】
【技术特征摘要】
1.
一种避免沙箱逃逸的恶意文件检测方法,其特征在于,包括:当检测到沙箱中导入待检测文件时,执行恶意文件强制操作,其中,所述恶意文件强制操作用于迫使恶意文件执行恶意操作,使沙箱能够检测出恶意文件,避免沙箱逃逸;在执行完成所述恶意文件强制操作之后,在所述沙箱中测试所述待检测文件,生成测试结果;根据所述测试结果,判断所述待检测文件是否是恶意文件
。2.
根据权利要求1所述的避免沙箱逃逸的恶意文件检测方法,其特征在于,所述执行恶意文件强制操作,包括:模拟真实用户交互特征;和
/
或,将所述沙箱的信息更改为真实终端信息;和
/
或,调整所述沙箱内的当前时刻
。3.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法,其特征在于,所述模拟真实用户交互特征,包括:控制光标在屏幕上按照预设轨迹移动,其中,所述预设轨迹为通过
x
轴和
y
轴的形式录入的真实鼠标点击文件的运行轨迹,所述预设轨迹用于通过模拟真实鼠标移动来模拟真实执行环境
。4.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法,其特征在于,所述将所述沙箱的信息更改为真实终端信息,包括:将所述沙箱的信息中的虚拟机字样删除,并将所述沙箱的信息修改为真实终端信息
。5.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法,其特征在于,所述调整所述沙箱内的当前时刻,包括:将所述沙箱内的当前时刻相对于真实时刻向前或向后调整预设时长,以迫使延迟执行的恶意文件执行恶意操作,其中,所述预设时长大于恶意文件的休眠时长
。6.
根据权利要求2至5任一项所述的避免沙箱逃逸的恶意文件检测方法,其特征在于,所述在所述沙箱中测试所述待检测文件,生成测试结果,包括:在所述沙箱中测试所述待检测文件,获取所述待检测文件的静态特征,并获取所述待检测文件的动态行为,其中,所述静态特征是指所述待检测文件的静态语义信息,所述动态行为是指所述待检测文件在所述沙箱...
【专利技术属性】
技术研发人员:郭鑫,陈文,
申请(专利权)人:北京华圣龙源科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。