避免沙箱逃逸的恶意文件检测方法技术

本申请涉及一种避免沙箱逃逸的恶意文件检测方法，涉及信息安全领域

【技术实现步骤摘要】
避免沙箱逃逸的恶意文件检测方法


[0001]本申请涉及信息安全领域，尤其涉及一种避免沙箱逃逸的恶意文件检测方法
。

技术介绍

[0002]APT
攻击的原理相对于其他攻击，形式更为高级和先进，其高级性主要体现在
APT
在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的情报收集
。
攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉目标网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式
。
在情报收集的过程中，攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞，此种行为没有采取任何可能触发传统安全设备警报或者引起怀疑的行动，因此更接近于被攻击者的系统或程序
。
[0003]攻击者会利用
0day
漏洞
(
零日漏洞
)
，伪装成类似
office
等一系列办公文件，经过几十款国内外杀毒软件的交叉查杀测试后，投入使用，攻击者只需要一封邮件，即可突破现有的所有的传统信息安全防御体系，如果恶意文档的标题足够诱惑力，被攻击者只要点开恶意文件即可完成植入
。
而基于
CIDF(Common Intrusion Detection Framework
，通用入侵检测框架
)
模型的传统安全产品，安全运营人员每天会面对海量的攻击事件日志，而这些日志大部分为误报，所以运营人员每天的主要工作都是在处理误报上面，当
APT
攻击发生时，即使在海量日志里找到了线索，也是为时已晚
。
[0004]现如今攻击者手段不断丰富，各种未知手段层出不穷，为应对这种未知威胁，所衍生出虚拟执行检测技术来检测未知恶意文件，也就是业界口中的沙箱技术，原理是通过重定向技术，把程序生成和修改的文件定向到虚拟环境中
。
当某个程序试图发挥作用时，虚拟环境会针对一系列的动作进行精准记录，如果含有恶意行为，会进行预警，是一种基于文件行为检测技术
。
但同时，也同时暴露出了很多的缺点，攻击者也可能会利用这些缺点来绕过检测，攻击者知晓这种检测技术后，也会作出相应的逃逸技术
。
[0005]沙箱逃逸技术主要是指恶意文件为了逃避沙箱的检测，在释放真正的恶意行为之前，首先检查当前所处的环境是否位于可能被分析的沙箱环境之中，如果位于沙箱中，恶意文件就会自动退出或执行一些无害的行为，如果没有检测到沙箱分析环境，才会释放真实的攻击载荷
。

技术实现思路

[0006]本申请提供了一种避免沙箱逃逸的恶意文件检测方法，用以解决沙箱逃逸所导致的恶意文件无法被沙箱检测出来的问题
。
[0007]本申请实施例提供了一种避免沙箱逃逸的恶意文件检测方法，包括：
[0008]当检测到沙箱中导入待检测文件时，执行恶意文件强制操作，其中，所述恶意文件强制操作用于迫使恶意文件执行恶意操作，使沙箱能够检测出恶意文件，避免沙箱逃逸；
[0009]在执行完成所述恶意文件强制操作之后，在所述沙箱中测试所述待检测文件，生成测试结果；
[0010]根据所述测试结果，判断所述待检测文件是否是恶意文件
。
[0011]可选地，所述执行恶意文件强制操作，包括：
[0012]模拟真实用户交互特征；
[0013]和
/
或，
[0014]将所述沙箱的信息更改为真实终端信息；
[0015]和
/
或，
[0016]调整所述沙箱内的当前时刻
。
[0017]可选地，所述模拟真实用户交互特征，包括：
[0018]控制光标在屏幕上按照预设轨迹移动，其中，所述预设轨迹为通过
x
轴和
y
轴的形式录入的真实鼠标点击文件的运行轨迹，所述预设轨迹用于通过模拟真实鼠标移动来模拟真实执行环境
。
[0019]可选地，所述将所述沙箱的信息更改为真实终端信息，包括：
[0020]将所述沙箱的信息中的虚拟机字样删除，并将所述沙箱的信息修改为真实终端信息
。
[0021]可选地，所述调整所述沙箱内的当前时刻，包括：
[0022]将所述沙箱内的当前时刻相对于真实时刻向前或向后调整预设时长，以迫使延迟执行的恶意文件执行恶意操作，其中，所述预设时长大于恶意文件的休眠时长
。
[0023]可选地，所述在所述沙箱中测试所述待检测文件，生成测试结果，包括：
[0024]在所述沙箱中测试所述待检测文件，获取所述待检测文件的静态特征，并获取所述待检测文件的动态行为，其中，所述静态特征是指所述待检测文件的静态语义信息，所述动态行为是指所述待检测文件在所述沙箱中执行的操作；
[0025]计算所述静态特征和恶意代码特征库中的预设特征之间的相似度；
[0026]将所述动态行为和所述相似度作为测试结果
。
[0027]可选地，所述获取所述待检测文件的静态特征，包括：
[0028]从所述待检测文件中识别出各个子程序；
[0029]生成各个所述子程序的操作码特征和反编译代码，其中，所述操作码特征用于指示计算机所要执行具体操作的机器指令，是程序语义在底层的具体体现，所述反编译代码是指将可执行程序转化为人能够理解的语义；
[0030]将各个所述子程序的所述操作码特征和所述反编译代码，作为所述待检测文件的静态特征
。
[0031]可选地，所述计算所述静态特征和恶意代码特征库中的预设特征之间的相似度，包括：
[0032]获取所述预设特征中的预设操作码特征和预设反编译代码；
[0033]针对任一个所述子程序执行以下操作：
[0034]计算所述操作码特征和所述预设操作码特征之间的第一相似度；
[0035]计算所述反编译代码和所述预设反编译代码之间的第二相似度；
[0036]计算所述第一相似度和所述第二相似度的平均值，并将所述平均值作为所述子程序的特征和所述预设特征之间的相似度
。
[0037]可选地，所述计算所述操作码特征和所述预设操作码特征之间的第一相似度，包
括：
[0038]采用杰卡德相似系数，计算所述操作码特征和所述预设操作码特征之间的第一相似度；
[0039]所述计算所述反编译代码和所述预设反编译代码之间的第二相似度，包括：
[0040]采用模糊哈希算法，计算所述反编译代码和所述预设反编译代码之间的第二相似度
。
[0041]可选地，所述根据所述测试结果，判断所述待检测文件是否是恶意文件，包括：
[0042]若所述动态行为属于恶意操作，和
/
或，所述相似度大于预设相似度值，则确定所述待检测文件是恶意文件；
[0043]若所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种避免沙箱逃逸的恶意文件检测方法，其特征在于，包括：当检测到沙箱中导入待检测文件时，执行恶意文件强制操作，其中，所述恶意文件强制操作用于迫使恶意文件执行恶意操作，使沙箱能够检测出恶意文件，避免沙箱逃逸；在执行完成所述恶意文件强制操作之后，在所述沙箱中测试所述待检测文件，生成测试结果；根据所述测试结果，判断所述待检测文件是否是恶意文件
。2.
根据权利要求1所述的避免沙箱逃逸的恶意文件检测方法，其特征在于，所述执行恶意文件强制操作，包括：模拟真实用户交互特征；和
/
或，将所述沙箱的信息更改为真实终端信息；和
/
或，调整所述沙箱内的当前时刻
。3.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法，其特征在于，所述模拟真实用户交互特征，包括：控制光标在屏幕上按照预设轨迹移动，其中，所述预设轨迹为通过
x
轴和
y
轴的形式录入的真实鼠标点击文件的运行轨迹，所述预设轨迹用于通过模拟真实鼠标移动来模拟真实执行环境
。4.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法，其特征在于，所述将所述沙箱的信息更改为真实终端信息，包括：将所述沙箱的信息中的虚拟机字样删除，并将所述沙箱的信息修改为真实终端信息
。5.
根据权利要求2所述的避免沙箱逃逸的恶意文件检测方法，其特征在于，所述调整所述沙箱内的当前时刻，包括：将所述沙箱内的当前时刻相对于真实时刻向前或向后调整预设时长，以迫使延迟执行的恶意文件执行恶意操作，其中，所述预设时长大于恶意文件的休眠时长
。6.
根据权利要求2至5任一项所述的避免沙箱逃逸的恶意文件检测方法，其特征在于，所述在所述沙箱中测试所述待检测文件，生成测试结果，包括：在所述沙箱中测试所述待检测文件，获取所述待检测文件的静态特征，并获取所述待检测文件的动态行为，其中，所述静态特征是指所述待检测文件的静态语义信息，所述动态行为是指所述待检测文件在所述沙箱...

【专利技术属性】
技术研发人员：郭鑫，陈文，
申请(专利权)人：北京华圣龙源科技有限公司，
类型：发明
国别省市：