文件檢測方法及沙箱的制作方法
【專利摘要】本發明實施例提供了一種文件檢測方法及沙箱。所述方法包括:沙箱控制器接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型;根據檢測得到的文件運行環境類型,確定與所述文件運行環境類型對應的目標分類沙箱;將所述待檢測文件發送至所述目標分類沙箱,以使所述待檢測文件在所述目標分類沙箱的虛擬環境中運行;接收所述目標分類沙箱發送的所述待檢測文件的運行軌跡;當檢測到所述運行軌跡中存在惡意行為時,進行告警。本實施例能夠提高沙箱的檢測性能。
【專利說明】
文件檢測方法及沙箱
技術領域
[0001 ]本發明涉及文件檢測技術領域,特別涉及一種文件檢測方法及沙箱。
【背景技術】
[0002] 沙箱(Sandboxie),又名沙盤,是一種按照安全策略限制程序行為的執行環境,它 允許用戶在沙箱環境中運行文件,例如瀏覽器或其他程序,運行所產生的變化可以隨后刪 除。通過在沙箱環境中運行文件,可以檢測文件中是否存在惡意行為,當發現文件中存在惡 意行為時可以發出告警。
[0003] 現有技術中,當接收到待檢測文件時,通常根據待檢測文件的運行環境類型在沙 箱中創建相應的虛擬環境,并使該待檢測文件在該虛擬環境中運行,獲得待檢測文件的運 行軌跡,然后將該運行軌跡與保存的惡意行為特征進行比對,以便檢測其運行軌跡中是否 存在惡意行為并決定是否告警。當待檢測文件運行完畢后,沙箱中的虛擬環境可以恢復到 原始狀態,也就是說,在運行待檢測文件時所產生的影響可以被消除。
[0004] 但是,在實際使用過程中,由于所有類型的文件都會匯聚在傳統沙箱中進行處理, 加上沙箱對惡意行為的判斷流程也較為繁瑣,因此沙箱檢測性能往往較低,并且成為網絡 拓撲中的性能瓶頸。
【發明內容】
[0005] 本發明實施例的目的在于提供了一種文件檢測方法及沙箱,以提高沙箱的檢測性 能。
[0006] 為了達到上述目的,本發明公開了一種文件檢測方法,應用于沙箱控制器,所述沙 箱控制器連接至少一個分類沙箱,每個分類沙箱中存在已經創建完成的一種操作系統類型 的虛擬運行環境,所述方法包括:
[0007] 接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型;
[0008] 根據檢測得到的文件運行環境類型,確定與所述文件運行環境類型對應的目標分 類沙箱;
[0009] 將所述待檢測文件發送至所述目標分類沙箱,以使所述待檢測文件在所述目標分 類沙箱的虛擬環境中運行;
[0010]接收所述目標分類沙箱發送的所述待檢測文件的運行軌跡;
[0011] 當檢測到所述運行軌跡中存在惡意行為時,進行告警。
[0012] 本發明還公開了一種沙箱,所述沙箱包括沙箱控制器和至少一個分類沙箱;
[0013] 沙箱控制器連接每個分類沙箱,每個分類沙箱中存在已經創建完成的一種操作系 統類型的虛擬運行環境;
[0014] 沙箱控制器接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型;然后 根據檢測得到的文件運行環境類型,從每個分類沙箱中確定與所述文件運行環境類型對應 的目標分類沙箱,并將所述待檢測文件發送至所述目標分類沙箱;
[0015] 目標分類沙箱接收沙箱控制器發送的所述待檢測文件,并在自身的虛擬環境中運 行所述待檢測文件,然后將待檢測文件的運行軌跡發送至沙箱控制器;沙箱控制器接收所 述運行軌跡后,當檢測到所述運行軌跡中存在惡意行為時進行告警。
[0016] 由上述技術方案可見,本發明實施例中,沙箱控制器接收待檢測文件,并檢測待檢 測文件的運行環境類型,然后根據檢測得到的文件運行環境類型,確定與所述文件運行環 境類型對應的目標分類沙箱,并將所述待檢測文件發送至所述目標分類沙箱,以使所述待 檢測文件在所述目標分類沙箱的虛擬環境中運行。沙箱控制器接收所述目標分類沙箱發送 的所述待檢測文件的運行軌跡,當檢測到所述運行軌跡中存在惡意行為時進行告警。
[0017]也就是說,本實施例中,沙箱控制器根據接收到的待檢測文件的文件運行環境類 型,從具有不同類型的虛擬運行環境的分類沙箱中確定出目標分類沙箱,使待檢測文件在 目標分類沙箱中運行,然后沙箱控制器再根據其運行軌跡確定是否進行告警。而現有技術 中,所有運行環境類型的文件均在單一沙箱中運行,本實施例中,不同運行環境類型的文件 運行在不同的分類沙箱中,因此應用本實施例,能夠提高沙箱的檢測性能。另外,當分類沙 箱出現故障時,其他分類沙箱仍然可以正常檢測,因此,本實施例還能夠解決現有技術中單 一沙箱出現故障時無法對所有運行環境類型的文件進行檢測的問題。
[0018] 當然,實施本發明的任一產品或方法并不一定需要同時達到以上所述的所有優 點。
【附圖說明】
[0019] 為了更清楚地說明本發明實施例或現有技術中的技術方案,下面將對實施例或現 有技術描述中所需要使用的附圖作簡單的介紹。顯而易見地,下面描述中的附圖僅僅是本 發明的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以 根據這些附圖獲得其他的附圖。
[0020] 圖1為現有技術中沙箱工作的系統的一種示意圖;
[0021] 圖2為本發明實施例提供的沙箱工作的系統的一種示意圖;
[0022] 圖3為本發明實施例提供的文件檢測方法的一種流程示意圖;
[0023] 圖4為本發明實施例提供的文件檢測方法的另一種流程示意圖;
[0024] 圖5為本發明實施例提供的沙箱的一種結構示意圖。
【具體實施方式】
[0025]下面將結合本發明實施例中的附圖,對本發明實施例中的技術方案進行清楚、完 整的描述。顯然,所描述的實施例僅僅是本發明的一部分實施例,而不是全部的實施例。基 于本發明中的實施例,本領域普通技術人員在沒有做出創造性勞動的前提下所獲得的所有 其他實施例,都屬于本發明保護的范圍。
[0026]為了理解沙箱的應用環境,下面簡單介紹一下現有技術中沙箱的運行環境。圖1所 示為一種沙箱工作的系統的示意圖,其中包括外網101、防火墻102、交換機103、沙箱104和 內網105以及內網105中的多個終端1051。現有技術中,內網用戶發出從外網下載文件的請 求后,外網101響應該請求,并將相應的文件11通過防火墻102發送至交換機103,交換機103 將接收到的文件11分別發送到內網105和沙箱104,沙箱104接收到文件11后對其進行檢測, 并給出是否告警的信息。在圖1中,沙箱104還可以位于交換機103與內網105之間,交換機 103接收到文件11后將其發送至沙箱104,沙箱104檢測接收到的文件,在無告警時將該文件 轉發至內網105。
[0027]本發明實施例提供了一種文件檢測方法及沙箱,能夠提高沙箱的檢測性能。
[0028]本實施例中,沙箱204工作的系統可以如圖2所示,其中,外網201、防火墻202、交換 機203和內網205以及內網205中的多個終端2051分別與現有技術中的外網101、防火墻102、 交換機103和內網105以及內網105中的多個終端1051相同,文件21的發送過程也與現有技 術相同,此處均不再贅述。其中,沙箱204包括沙箱控制器2041和與其相連的至少一個分類 沙箱2042。
[0029] 下面通過具體實施例,對本發明進行詳細說明。
[0030] 圖3為本發明實施例提供的文件檢測方法的一種流程示意圖,應用于沙箱控制器, 所述沙箱控制器連接至少一個分類沙箱,每個分類沙箱中存在已經創建完成的一種操作系 統類型的虛擬運行環境,所述方法包括:
[0031 ]步驟S301:接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型。
[0032]在實際應用中,待檢測文件可以是其他設備發送給沙箱控制器的,也可以是用戶 選擇輸入的,當然還可以是采用其他方式接收到的,本發明對此不做具體限定。通常,待檢 測文件為能夠在操作系統下直接運行的可執行文件。每個文件在運行時需要相應類型的操 作系統支持。
[0033]需要說明的是,檢測待檢測文件的文件運行環境類型屬于現有技術,其具體過程 此處不再贅述。
[0034]步驟S302:根據檢測得到的文件運行環境類型,確定與所述文件運行環境類型對 應的目標分類沙箱。
[0035]例如,待檢測文件的文件運行環境類型為Linux操作系統環境,則將已經創建有 Linux操作系統的分類沙箱確定為目標分類沙箱。當然,在實際應用中,一個文件可能具有 兩種或以上的文件運行環境類型,這時,可以按照預設規則從所述兩種或以上的文件運行 環境類型中確定該文件的目標文件運行環境類型,并確定與該目標文件運行環境類型對應 的目標分類沙箱。其中,目標文件運行環境類型可以包括一種,也可以包括多種。也就是說, 可以使該文件運行在一個分類沙箱中,也可以運行在多個分類沙箱中。
[0036]在本實施例中,分類沙箱可以包括Linux分類沙箱、微軟Windows分類沙箱、蘋果 MAC分類沙箱和尤尼斯Unix分類沙箱等。當然,分類沙箱還可以包括其他種類的沙箱,本發 明對此不做限定。
[0037] 可以理解的是,當所述沙箱中的分類沙箱只包括一個時,即該分類沙箱只用于檢 測目標運行環境類型的目標文件,也就是說這種類型的沙箱只用于檢測目標文件,其中的 沙箱控制器可以根據該分類沙箱的運行環境類型,從待檢測文件中確定目標文件。
[0038] 可以理解的是,當所述沙箱中的分類沙箱包括至少兩個時,該沙箱可以實現對至 少兩種運行環境類型的文件進行檢測。
[0039] 步驟S303:將所述待檢測文件發送至所述目標分類沙箱,以使所述待檢測文件在 所述目標分類沙箱的虛擬環境中運行。
[0040] 步驟S304:接收所述目標分類沙箱發送的所述待檢測文件的運行軌跡。
[0041] 其中,運行軌跡包括待檢測文件在運行過程中創建、修改、刪除文件,以及創建、修 改、刪除注冊表等操作信息。當然,運行軌跡還可以包括其他種類的信息,本發明對此不做 限定。
[0042] 在實際應用中,待檢測文件在目標分類沙箱的虛擬運行環境中運行完畢后,目標 分類沙箱可以直接將待檢測文件的運行軌跡發送給沙箱控制器。也可以是,目標分類沙箱 在待檢測文件運行完畢后,向沙箱控制器發送運行完畢的標識信息。沙箱控制器在接收到 運行完畢的標識信息后,根據需要向目標分類沙箱索取待檢測文件的運行軌跡。
[0043]步驟S305:當檢測到所述運行軌跡中存在惡意行為時,進行告警。
[0044] 惡意行為包括上傳文件行為、對外發起建立鏈接行為、修改注冊表行為等敏感行 為。對應的,非敏感行為可以包括查找文件行為、讀取信息行為等。當然,本發明實施例中涉 及的惡意行為的具體內容不限于此。
[0045] 沙箱控制器根據接收的運行軌跡以及保存的行為特征庫,檢測該運行軌跡中是否 存在惡意行為,如果是,則進行告警,否則,不告警,即不做處理。具體的,在檢測運行軌跡中 是否存在惡意行為時,可以將運行軌跡與已保存的行為特征庫進行對比,如果發現該運行 軌跡與行為特征庫中的運行軌跡之間存在包括上傳文件、對外發起鏈接、修改注冊表等行 為差異,那么可以認為該運行軌跡中存在惡意行為。舉例來說,運行軌跡中包括1、2、3、4、5 這五個步驟,行為特征庫中對應的運行軌跡包括1、2、4、5這四個步驟,從而可以確定運行軌 跡比行為特征庫多出一個步驟3,而步驟3包括上傳文件的行為,這時,可以確定該運行軌跡 中存在惡意行為。
[0046] 更具體的,檢測運行軌跡中是否存在惡意行為屬于現有技術,其具體過程此處不 再贅述。
[0047] 在本實施例中,當檢測到所述運行軌跡中存在惡意行為時,進行告警,具體可以包 括:檢測所述運行軌跡中惡意行為的出現次數,判斷所述出現次數是否大于預設數量閾值, 如果是,則告警;否則不告警。
[0048] 在本實施例中,當檢測到所述運行軌跡中存在惡意行為時,進行告警,具體還可以 包括:檢測所述運行軌跡中惡意行為的行為種類,判斷所述行為種類是否屬于預設的行為 種類,如果是,則告警,否則不告警。
[0049] 在本實施例中,當檢測到所述運行軌跡中存在惡意行為時,進行告警,還可以包 括:檢測所述運行軌跡中惡意行為的出現次數以及惡意行為的行為種類,判斷所述出現次 數是否大于預設數量閾值,判斷所述行為種類是否屬于預設的行為種類,如果判斷結果都 為是,則進行告警,如果判斷結果都為否,則不告警。
[0050] 由上述內容可見,本實施例中,沙箱控制器根據接收到的待檢測文件的文件運行 環境類型,從具有不同類型的虛擬運行環境的分類沙箱中確定出目標分類沙箱,使待檢測 文件在目標分類沙箱中運行,然后沙箱控制器再檢測其運行軌跡,當該運行軌跡中存在惡 意行為時進行告警。而現有技術中,所有運行環境類型的文件均在單一沙箱中運行,本實施 例中,不同運行環境類型的文件運行在不同的分類沙箱中,因此應用本實施例,能夠提高沙 箱的檢測性能。另外,當分類沙箱出現故障時,其他分類沙箱仍然可以正常檢測,因此,本實 施例還能夠解決現有技術中單一沙箱出現故障時無法對所有運行環境類型的文件進行檢 測的問題。
[0051 ]在本發明的另一實施例中,在圖3所示實施例中,還可以包括:
[0052]在檢測到所述運行軌跡中存在惡意行為時進行告警之后,記錄是否針對所述待檢 測文件進行告警的信息。
[0053]在本實施例中,沙箱控制器可以將記錄的是否針對待檢測文件進行告警的信息保 存在文件行為識別?目息中,以便在后續的檢測中避免重復檢測,提尚檢測效率。
[0054]在本發明的另一實施例中,在圖3所示實施例的基礎上,在檢測所述待檢測文件的 文件運行環境類型之前,所述方法還可以包括:
[0055]檢測所述待檢測文件是否為可執行文件,如果是,則繼續執行檢測所述待檢測文 件的文件運行環境類型的步驟。
[0056]通常,文件包括可執行文件和不可執行文件。可執行文件包括后綴為eXe、d〇C、 txt、pdf等可以在操作系統中運行的文件,文件中除可執行文件之外的文件可以稱為不可 執行文件。
[0057]在本發明實施例中,可以根據文件的后綴檢測待檢測文件是否為可執行文件,當 然也可以根據其他特征檢測,本發明對此不做限定。需要說明的是,檢測文件是否為可執行 文件屬于現有技術,其具體過程此處不再贅述。
[0058]在本實施例中,在檢測待檢測文件的文件運行環境類型之前,檢測待檢測文件是 否為可執行文件,可以從待檢測文件中識別出不可執行文件,避免將不可執行文件發送至 沙箱中運彳丁,進而提尚沙箱的檢測效率。
[0059] 在本發明的另一實施例中,為了進一步提高沙箱的檢測性能,在圖3所示實施例的 基礎上,在檢測所述待檢測文件的文件運行環境類型之前,所述方法還可以包括按照圖4所 示流程示意圖進行的過程,其具體包括步驟:
[0060] 步驟S401:獲得所述待檢測文件的文件特征。
[0061]所述文件特征包括能夠唯一確定該文件的特征。具體的,所述待檢測文件的文件 特征可以包括采用消息摘要MD5算法計算出的所述待檢測文件的MD5值。當然,待檢測文件 的文件特征還可以采用其他方法得到,本發明對此不做限定。
[0062]步驟S402:根據獲得的待檢測文件的文件特征以及保存的文件行為識別信息中的 每個文件的文件特征,檢測所述文件行為識別信息中是否存在與所述待檢測文件的文件特 征相匹配的文件行為識別信息,如果是,則執行S403,否則執行S404。
[0063] 所述沙箱控制器中保存有文件行為識別信息,所述文件行為識別信息中包括:已 經檢測過的每個文件的文件特征以及是否進行告警的信息。可以理解的是,文件行為識別 信息中還可以包括文件標識即文件ID、文件的運行環境、是否為可執行文件、文件運行軌跡 中的惡意行為的出現次數等,當然,文件行為識別信息中還可以包括其他信息,本發明對此 不做限定。
[0064] 例如,文件行為識別信息的內容可以見表1。
[0065] 表 1
[0067]也就是說,在接收到待檢測文件之后,根據待檢測文件的文件特征,檢測所述文件 行為識別信息中是否存在與待檢測文件的文件特征相匹配的文件行為識別信息,即檢測該 待檢測文件是否已經被檢測過,如果被檢測過,那么直接根據匹配的文件行為識別信息中 記錄的是否告警的信息來給出檢測結果,如果該待檢測文件沒有被檢測過,那么繼續在分 類沙箱中運行待檢測文件,最終給出結果。
[0068]步驟S403:根據匹配的文件行為識別信息確定是否針對所述待檢測文件進行告 警。
[0069]步驟S404:檢測所述待檢測文件的文件運行環境類型,繼續執行S302的步驟。
[0070]由以上內容可知,在本實施例中,在接收到待檢測文件之后,根據待檢測文件的文 件特征,檢測預先保存的文件行為識別信息中是否存在與該文件特征匹配的文件行為識別 信息,如果存在,則直接給出是否告警的結果,這樣,避免了對文件的重復運行檢測,能夠提 尚沙箱的檢測性能。
[0071 ]在本實施例的另一實施方式中,在圖4所示實施例中,當檢測到所述文件行為識別 信息中不存在與所述待檢測文件的文件特征相匹配的文件行為識別信息時,繼續在分類沙 箱中運行待檢測文件,接收待檢測文件的運行軌跡,在對所述運行軌跡的檢測完成后,記錄 所述待檢測文件的文件行為識別信息。這樣,可以不斷增加文件行為識別信息中信息的數 量,提尚文件特征的匹配概率,進而提尚沙箱的檢測效率。
[0072] 可以理解的是,本實施例中,初始時,文件行為識別信息可以為空,這樣,在匹配文 件特征時,無法從文件行為識別信息中檢測到待檢測文件的文件特征,從而繼續執行步驟 S302,在得到待檢測文件中是否存在惡意行為的結果之后,則記錄所述待檢測文件的文件 行為識別信息。
[0073] 圖5為本發明實施例提供的沙箱的一種結構示意圖,與圖3所示方法實施例相對 應,所述沙箱包括沙箱控制器501和至少一個分類沙箱502;
[0074]其中,沙箱控制器501連接至少一個分類沙箱502,每個分類沙箱中存在已經創建 完成的一種操作系統類型的虛擬運行環境;
[0075] 沙箱控制器501接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型;然 后根據檢測得到的文件運行環境類型,從每個分類沙箱502中確定與所述文件運行環境類 型對應的目標分類沙箱502,并將所述待檢測文件發送至所述目標分類沙箱502;目標分類 沙箱502接收沙箱控制器501發送的所述待檢測文件,并在自身的虛擬環境中運行所述待檢 測文件,然后將待檢測文件的運行軌跡發送至沙箱控制器501;沙箱控制器501接收所述運 行軌跡后,當檢測到所述運行軌跡中存在惡意行為時進行告警。
[0076] 在本實施例中,所述沙箱控制器501中保存有文件行為識別信息;所述文件行為識 別信息中包括:已經檢測過的每個文件的文件特征以及是否進行告警的信息;
[0077]沙箱控制器501在檢測所述待檢測文件的文件運行環境類型之前,還獲得所述待 檢測文件的文件特征,并根據獲得的待檢測文件的文件特征以及保存的文件行為識別信息 中的每個文件的文件特征,檢測所述文件行為識別信息中是否存在與所述待檢測文件的文 件特征相匹配的文件行為識別信息,如果是,則根據匹配的文件行為識別信息確定是否針 對所述待檢測文件進行告警。
[0078]在本實施例中,所述沙箱控制器501,還在對所述運行軌跡的檢測完成后,記錄所 述待檢測文件的文件行為識別信息。
[0079]在本實施例中,所述沙箱控制器501,還在檢測所述待檢測文件的文件運行環境類 型之前,檢測所述待檢測文件是否為可執行文件,如果是,則繼續檢測所述待檢測文件的文 件運行環境類型。
[0080] 上述裝置實施例與方法實施例是相互對應的,具有與方法實施例相同的技術效 果,因此裝置實施例的技術效果在此不再贅述,可以參見方法實施例部分的描述。
[0081] 對于裝置實施例而言,由于其與方法實施例是相互對應的,所以描述得比較簡單, 相關之處參見方法實施例的部分說明即可。
[0082]需要說明的是,在本文中,諸如第一和第二等之類的關系術語僅僅用來將一個實 體或者操作與另一個實體或操作區分開來,而不一定要求或者暗示這些實體或操作之間存 在任何這種實際的關系或者順序。而且,術語"包括"、"包含"或者任何其他變體意在涵蓋非 排他性的包含,從而使得包括一系列要素的過程、方法、物品或者設備不僅包括那些要素, 而且還包括沒有明確列出的其他要素,或者是還包括為這種過程、方法、物品或者設備所固 有的要素。在沒有更多限制的情況下,由語句"包括一個……"限定的要素,并不排除在包括 所述要素的過程、方法、物品或者設備中還存在另外的相同要素。
[0083]本領域普通技術人員可以理解,上述實施方式中的全部或部分步驟是能夠通過程 序指令相關的硬件來完成的,所述的程序可以存儲于計算機可讀取存儲介質中。這里所稱 存儲介質,是指R0M/RAM、磁碟、光盤等。
[0084]以上所述僅為本發明的較佳實施例而已,并非用于限定本發明的保護范圍。凡在 本發明的精神和原則之內所做的任何修改、等同替換、改進等,均包含在本發明的保護范圍 內。
【主權項】
1. 一種文件檢測方法,其特征在于,應用于沙箱控制器,所述沙箱控制器連接至少一個 分類沙箱,每個分類沙箱中存在已經創建完成的一種操作系統類型的虛擬運行環境,所述 方法包括: 接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型; 根據檢測得到的文件運行環境類型,確定與所述文件運行環境類型對應的目標分類沙 箱; 將所述待檢測文件發送至所述目標分類沙箱,以使所述待檢測文件在所述目標分類沙 箱的虛擬環境中運行; 接收所述目標分類沙箱發送的所述待檢測文件的運行軌跡; 當檢測到所述運行軌跡中存在惡意行為時,進行告警。2. 根據權利要求1所述的檢測方法,其特征在于,所述沙箱控制器中保存有文件行為識 別信息;所述文件行為識別信息中包括:已經檢測過的每個文件的文件特征以及是否進行 告警的信息; 在檢測所述待檢測文件的文件運行環境類型之前,所述方法還包括: 獲得所述待檢測文件的文件特征; 根據獲得的待檢測文件的文件特征以及保存的文件行為識別信息中的每個文件的文 件特征,檢測所述文件行為識別信息中是否存在與所述待檢測文件的文件特征相匹配的文 件行為識別信息; 如果是,則根據匹配的文件行為識別信息確定是否針對所述待檢測文件進行告警; 如果否,則執行所述檢測所述待檢測文件的文件運行環境類型的步驟。3. 根據權利要求1或2所述的檢測方法,其特征在于,所述方法還包括: 在對所述運行軌跡的檢測完成后,記錄所述待檢測文件的文件行為識別信息。4. 根據權利要求2所述的檢測方法,其特征在于,所述待檢測文件的文件特征為采用消 息摘要MD5算法計算出的所述待檢測文件的MD5值。5. 根據權利要求1所述的檢測方法,其特征在于,在檢測所述待檢測文件的文件運行環 境類型之前,所述方法還包括: 檢測所述待檢測文件是否為可執行文件,如果是,則繼續執行檢測所述待檢測文件的 文件運行環境類型的步驟。6. -種沙箱,其特征在于,所述沙箱包括沙箱控制器和至少一個分類沙箱; 沙箱控制器連接每個分類沙箱,每個分類沙箱中存在已經創建完成的一種操作系統類 型的虛擬運行環境; 沙箱控制器接收待檢測文件,并檢測所述待檢測文件的文件運行環境類型;然后根據 檢測得到的文件運行環境類型,從每個分類沙箱中確定與所述文件運行環境類型對應的目 標分類沙箱,并將所述待檢測文件發送至所述目標分類沙箱; 目標分類沙箱接收沙箱控制器發送的所述待檢測文件,并在自身的虛擬環境中運行所 述待檢測文件,然后將待檢測文件的運行軌跡發送至沙箱控制器;沙箱控制器接收所述運 行軌跡后,當檢測到所述運行軌跡中存在惡意行為時進行告警。7. 根據權利要求6所述的沙箱,其特征在于,所述沙箱控制器中保存有文件行為識別信 息;所述文件行為識別信息中包括:已經檢測過的每個文件的文件特征以及是否進行告警 的信息; 沙箱控制器在檢測所述待檢測文件的文件運行環境類型之前,還獲得所述待檢測文件 的文件特征,并根據獲得的待檢測文件的文件特征以及保存的文件行為識別信息中的每個 文件的文件特征,檢測所述文件行為識別信息中是否存在與所述待檢測文件的文件特征相 匹配的文件行為識別信息,如果是,則根據匹配的文件行為識別信息確定是否針對所述待 檢測文件進行告警。8. 根據權利要求6或7所述的沙箱,其特征在于,所述沙箱控制器,還在對所述運行軌跡 的檢測完成后,記錄所述待檢測文件的文件行為識別信息。9. 根據權利要求7所述的沙箱,其特征在于,所述沙箱控制器,還在檢測所述待檢測文 件的文件運行環境類型之前,檢測所述待檢測文件是否為可執行文件,如果是,則繼續檢測 所述待檢測文件的文件運行環境類型。
【文檔編號】G06F21/53GK106055975SQ201610325817
【公開日】2016年10月26日
【申請日】2016年5月16日
【發明人】房輝
【申請人】杭州華三通信技術有限公司