文件检测方法及沙箱的制作方法
【专利摘要】本发明实施例提供了一种文件检测方法及沙箱。所述方法包括:沙箱控制器接收待检测文件,并检测所述待检测文件的文件运行环境类型;根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙箱;将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙箱的虚拟环境中运行;接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;当检测到所述运行轨迹中存在恶意行为时,进行告警。本实施例能够提高沙箱的检测性能。
【专利说明】
文件检测方法及沙箱
技术领域
[0001 ]本发明涉及文件检测技术领域,特别涉及一种文件检测方法及沙箱。
【背景技术】
[0002] 沙箱(Sandboxie),又名沙盘,是一种按照安全策略限制程序行为的执行环境,它 允许用户在沙箱环境中运行文件,例如浏览器或其他程序,运行所产生的变化可以随后删 除。通过在沙箱环境中运行文件,可以检测文件中是否存在恶意行为,当发现文件中存在恶 意行为时可以发出告警。
[0003] 现有技术中,当接收到待检测文件时,通常根据待检测文件的运行环境类型在沙 箱中创建相应的虚拟环境,并使该待检测文件在该虚拟环境中运行,获得待检测文件的运 行轨迹,然后将该运行轨迹与保存的恶意行为特征进行比对,以便检测其运行轨迹中是否 存在恶意行为并决定是否告警。当待检测文件运行完毕后,沙箱中的虚拟环境可以恢复到 原始状态,也就是说,在运行待检测文件时所产生的影响可以被消除。
[0004] 但是,在实际使用过程中,由于所有类型的文件都会汇聚在传统沙箱中进行处理, 加上沙箱对恶意行为的判断流程也较为繁琐,因此沙箱检测性能往往较低,并且成为网络 拓扑中的性能瓶颈。
【发明内容】
[0005] 本发明实施例的目的在于提供了一种文件检测方法及沙箱,以提高沙箱的检测性 能。
[0006] 为了达到上述目的,本发明公开了一种文件检测方法,应用于沙箱控制器,所述沙 箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型 的虚拟运行环境,所述方法包括:
[0007] 接收待检测文件,并检测所述待检测文件的文件运行环境类型;
[0008] 根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分 类沙箱;
[0009] 将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分 类沙箱的虚拟环境中运行;
[0010]接收所述目标分类沙箱发送的所述待检测文件的运行轨迹;
[0011] 当检测到所述运行轨迹中存在恶意行为时,进行告警。
[0012] 本发明还公开了一种沙箱,所述沙箱包括沙箱控制器和至少一个分类沙箱;
[0013] 沙箱控制器连接每个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系 统类型的虚拟运行环境;
[0014] 沙箱控制器接收待检测文件,并检测所述待检测文件的文件运行环境类型;然后 根据检测得到的文件运行环境类型,从每个分类沙箱中确定与所述文件运行环境类型对应 的目标分类沙箱,并将所述待检测文件发送至所述目标分类沙箱;
[0015] 目标分类沙箱接收沙箱控制器发送的所述待检测文件,并在自身的虚拟环境中运 行所述待检测文件,然后将待检测文件的运行轨迹发送至沙箱控制器;沙箱控制器接收所 述运行轨迹后,当检测到所述运行轨迹中存在恶意行为时进行告警。
[0016] 由上述技术方案可见,本发明实施例中,沙箱控制器接收待检测文件,并检测待检 测文件的运行环境类型,然后根据检测得到的文件运行环境类型,确定与所述文件运行环 境类型对应的目标分类沙箱,并将所述待检测文件发送至所述目标分类沙箱,以使所述待 检测文件在所述目标分类沙箱的虚拟环境中运行。沙箱控制器接收所述目标分类沙箱发送 的所述待检测文件的运行轨迹,当检测到所述运行轨迹中存在恶意行为时进行告警。
[0017]也就是说,本实施例中,沙箱控制器根据接收到的待检测文件的文件运行环境类 型,从具有不同类型的虚拟运行环境的分类沙箱中确定出目标分类沙箱,使待检测文件在 目标分类沙箱中运行,然后沙箱控制器再根据其运行轨迹确定是否进行告警。而现有技术 中,所有运行环境类型的文件均在单一沙箱中运行,本实施例中,不同运行环境类型的文件 运行在不同的分类沙箱中,因此应用本实施例,能够提高沙箱的检测性能。另外,当分类沙 箱出现故障时,其他分类沙箱仍然可以正常检测,因此,本实施例还能够解决现有技术中单 一沙箱出现故障时无法对所有运行环境类型的文件进行检测的问题。
[0018] 当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优 点。
【附图说明】
[0019] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单的介绍。显而易见地,下面描述中的附图仅仅是本 发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。
[0020] 图1为现有技术中沙箱工作的系统的一种示意图;
[0021] 图2为本发明实施例提供的沙箱工作的系统的一种示意图;
[0022] 图3为本发明实施例提供的文件检测方法的一种流程示意图;
[0023] 图4为本发明实施例提供的文件检测方法的另一种流程示意图;
[0024] 图5为本发明实施例提供的沙箱的一种结构示意图。
【具体实施方式】
[0025]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整的描述。显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基 于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有 其他实施例,都属于本发明保护的范围。
[0026]为了理解沙箱的应用环境,下面简单介绍一下现有技术中沙箱的运行环境。图1所 示为一种沙箱工作的系统的示意图,其中包括外网101、防火墙102、交换机103、沙箱104和 内网105以及内网105中的多个终端1051。现有技术中,内网用户发出从外网下载文件的请 求后,外网101响应该请求,并将相应的文件11通过防火墙102发送至交换机103,交换机103 将接收到的文件11分别发送到内网105和沙箱104,沙箱104接收到文件11后对其进行检测, 并给出是否告警的信息。在图1中,沙箱104还可以位于交换机103与内网105之间,交换机 103接收到文件11后将其发送至沙箱104,沙箱104检测接收到的文件,在无告警时将该文件 转发至内网105。
[0027]本发明实施例提供了一种文件检测方法及沙箱,能够提高沙箱的检测性能。
[0028]本实施例中,沙箱204工作的系统可以如图2所示,其中,外网201、防火墙202、交换 机203和内网205以及内网205中的多个终端2051分别与现有技术中的外网101、防火墙102、 交换机103和内网105以及内网105中的多个终端1051相同,文件21的发送过程也与现有技 术相同,此处均不再赘述。其中,沙箱204包括沙箱控制器2041和与其相连的至少一个分类 沙箱2042。
[0029] 下面通过具体实施例,对本发明进行详细说明。
[0030] 图3为本发明实施例提供的文件检测方法的一种流程示意图,应用于沙箱控制器, 所述沙箱控制器连接至少一个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系 统类型的虚拟运行环境,所述方法包括:
[0031 ]步骤S301:接收待检测文件,并检测所述待检测文件的文件运行环境类型。
[0032]在实际应用中,待检测文件可以是其他设备发送给沙箱控制器的,也可以是用户 选择输入的,当然还可以是采用其他方式接收到的,本发明对此不做具体限定。通常,待检 测文件为能够在操作系统下直接运行的可执行文件。每个文件在运行时需要相应类型的操 作系统支持。
[0033]需要说明的是,检测待检测文件的文件运行环境类型属于现有技术,其具体过程 此处不再赘述。
[0034]步骤S302:根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对 应的目标分类沙箱。
[0035]例如,待检测文件的文件运行环境类型为Linux操作系统环境,则将已经创建有 Linux操作系统的分类沙箱确定为目标分类沙箱。当然,在实际应用中,一个文件可能具有 两种或以上的文件运行环境类型,这时,可以按照预设规则从所述两种或以上的文件运行 环境类型中确定该文件的目标文件运行环境类型,并确定与该目标文件运行环境类型对应 的目标分类沙箱。其中,目标文件运行环境类型可以包括一种,也可以包括多种。也就是说, 可以使该文件运行在一个分类沙箱中,也可以运行在多个分类沙箱中。
[0036]在本实施例中,分类沙箱可以包括Linux分类沙箱、微软Windows分类沙箱、苹果 MAC分类沙箱和尤尼斯Unix分类沙箱等。当然,分类沙箱还可以包括其他种类的沙箱,本发 明对此不做限定。
[0037] 可以理解的是,当所述沙箱中的分类沙箱只包括一个时,即该分类沙箱只用于检 测目标运行环境类型的目标文件,也就是说这种类型的沙箱只用于检测目标文件,其中的 沙箱控制器可以根据该分类沙箱的运行环境类型,从待检测文件中确定目标文件。
[0038] 可以理解的是,当所述沙箱中的分类沙箱包括至少两个时,该沙箱可以实现对至 少两种运行环境类型的文件进行检测。
[0039] 步骤S303:将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在 所述目标分类沙箱的虚拟环境中运行。
[0040] 步骤S304:接收所述目标分类沙箱发送的所述待检测文件的运行轨迹。
[0041] 其中,运行轨迹包括待检测文件在运行过程中创建、修改、删除文件,以及创建、修 改、删除注册表等操作信息。当然,运行轨迹还可以包括其他种类的信息,本发明对此不做 限定。
[0042] 在实际应用中,待检测文件在目标分类沙箱的虚拟运行环境中运行完毕后,目标 分类沙箱可以直接将待检测文件的运行轨迹发送给沙箱控制器。也可以是,目标分类沙箱 在待检测文件运行完毕后,向沙箱控制器发送运行完毕的标识信息。沙箱控制器在接收到 运行完毕的标识信息后,根据需要向目标分类沙箱索取待检测文件的运行轨迹。
[0043]步骤S305:当检测到所述运行轨迹中存在恶意行为时,进行告警。
[0044] 恶意行为包括上传文件行为、对外发起建立链接行为、修改注册表行为等敏感行 为。对应的,非敏感行为可以包括查找文件行为、读取信息行为等。当然,本发明实施例中涉 及的恶意行为的具体内容不限于此。
[0045] 沙箱控制器根据接收的运行轨迹以及保存的行为特征库,检测该运行轨迹中是否 存在恶意行为,如果是,则进行告警,否则,不告警,即不做处理。具体的,在检测运行轨迹中 是否存在恶意行为时,可以将运行轨迹与已保存的行为特征库进行对比,如果发现该运行 轨迹与行为特征库中的运行轨迹之间存在包括上传文件、对外发起链接、修改注册表等行 为差异,那么可以认为该运行轨迹中存在恶意行为。举例来说,运行轨迹中包括1、2、3、4、5 这五个步骤,行为特征库中对应的运行轨迹包括1、2、4、5这四个步骤,从而可以确定运行轨 迹比行为特征库多出一个步骤3,而步骤3包括上传文件的行为,这时,可以确定该运行轨迹 中存在恶意行为。
[0046] 更具体的,检测运行轨迹中是否存在恶意行为属于现有技术,其具体过程此处不 再赘述。
[0047] 在本实施例中,当检测到所述运行轨迹中存在恶意行为时,进行告警,具体可以包 括:检测所述运行轨迹中恶意行为的出现次数,判断所述出现次数是否大于预设数量阈值, 如果是,则告警;否则不告警。
[0048] 在本实施例中,当检测到所述运行轨迹中存在恶意行为时,进行告警,具体还可以 包括:检测所述运行轨迹中恶意行为的行为种类,判断所述行为种类是否属于预设的行为 种类,如果是,则告警,否则不告警。
[0049] 在本实施例中,当检测到所述运行轨迹中存在恶意行为时,进行告警,还可以包 括:检测所述运行轨迹中恶意行为的出现次数以及恶意行为的行为种类,判断所述出现次 数是否大于预设数量阈值,判断所述行为种类是否属于预设的行为种类,如果判断结果都 为是,则进行告警,如果判断结果都为否,则不告警。
[0050] 由上述内容可见,本实施例中,沙箱控制器根据接收到的待检测文件的文件运行 环境类型,从具有不同类型的虚拟运行环境的分类沙箱中确定出目标分类沙箱,使待检测 文件在目标分类沙箱中运行,然后沙箱控制器再检测其运行轨迹,当该运行轨迹中存在恶 意行为时进行告警。而现有技术中,所有运行环境类型的文件均在单一沙箱中运行,本实施 例中,不同运行环境类型的文件运行在不同的分类沙箱中,因此应用本实施例,能够提高沙 箱的检测性能。另外,当分类沙箱出现故障时,其他分类沙箱仍然可以正常检测,因此,本实 施例还能够解决现有技术中单一沙箱出现故障时无法对所有运行环境类型的文件进行检 测的问题。
[0051 ]在本发明的另一实施例中,在图3所示实施例中,还可以包括:
[0052]在检测到所述运行轨迹中存在恶意行为时进行告警之后,记录是否针对所述待检 测文件进行告警的信息。
[0053]在本实施例中,沙箱控制器可以将记录的是否针对待检测文件进行告警的信息保 存在文件行为识别?目息中,以便在后续的检测中避免重复检测,提尚检测效率。
[0054]在本发明的另一实施例中,在图3所示实施例的基础上,在检测所述待检测文件的 文件运行环境类型之前,所述方法还可以包括:
[0055]检测所述待检测文件是否为可执行文件,如果是,则继续执行检测所述待检测文 件的文件运行环境类型的步骤。
[0056]通常,文件包括可执行文件和不可执行文件。可执行文件包括后缀为eXe、d〇C、 txt、pdf等可以在操作系统中运行的文件,文件中除可执行文件之外的文件可以称为不可 执行文件。
[0057]在本发明实施例中,可以根据文件的后缀检测待检测文件是否为可执行文件,当 然也可以根据其他特征检测,本发明对此不做限定。需要说明的是,检测文件是否为可执行 文件属于现有技术,其具体过程此处不再赘述。
[0058]在本实施例中,在检测待检测文件的文件运行环境类型之前,检测待检测文件是 否为可执行文件,可以从待检测文件中识别出不可执行文件,避免将不可执行文件发送至 沙箱中运彳丁,进而提尚沙箱的检测效率。
[0059] 在本发明的另一实施例中,为了进一步提高沙箱的检测性能,在图3所示实施例的 基础上,在检测所述待检测文件的文件运行环境类型之前,所述方法还可以包括按照图4所 示流程示意图进行的过程,其具体包括步骤:
[0060] 步骤S401:获得所述待检测文件的文件特征。
[0061]所述文件特征包括能够唯一确定该文件的特征。具体的,所述待检测文件的文件 特征可以包括采用消息摘要MD5算法计算出的所述待检测文件的MD5值。当然,待检测文件 的文件特征还可以采用其他方法得到,本发明对此不做限定。
[0062]步骤S402:根据获得的待检测文件的文件特征以及保存的文件行为识别信息中的 每个文件的文件特征,检测所述文件行为识别信息中是否存在与所述待检测文件的文件特 征相匹配的文件行为识别信息,如果是,则执行S403,否则执行S404。
[0063] 所述沙箱控制器中保存有文件行为识别信息,所述文件行为识别信息中包括:已 经检测过的每个文件的文件特征以及是否进行告警的信息。可以理解的是,文件行为识别 信息中还可以包括文件标识即文件ID、文件的运行环境、是否为可执行文件、文件运行轨迹 中的恶意行为的出现次数等,当然,文件行为识别信息中还可以包括其他信息,本发明对此 不做限定。
[0064] 例如,文件行为识别信息的内容可以见表1。
[0065] 表 1
[0067]也就是说,在接收到待检测文件之后,根据待检测文件的文件特征,检测所述文件 行为识别信息中是否存在与待检测文件的文件特征相匹配的文件行为识别信息,即检测该 待检测文件是否已经被检测过,如果被检测过,那么直接根据匹配的文件行为识别信息中 记录的是否告警的信息来给出检测结果,如果该待检测文件没有被检测过,那么继续在分 类沙箱中运行待检测文件,最终给出结果。
[0068]步骤S403:根据匹配的文件行为识别信息确定是否针对所述待检测文件进行告 警。
[0069]步骤S404:检测所述待检测文件的文件运行环境类型,继续执行S302的步骤。
[0070]由以上内容可知,在本实施例中,在接收到待检测文件之后,根据待检测文件的文 件特征,检测预先保存的文件行为识别信息中是否存在与该文件特征匹配的文件行为识别 信息,如果存在,则直接给出是否告警的结果,这样,避免了对文件的重复运行检测,能够提 尚沙箱的检测性能。
[0071 ]在本实施例的另一实施方式中,在图4所示实施例中,当检测到所述文件行为识别 信息中不存在与所述待检测文件的文件特征相匹配的文件行为识别信息时,继续在分类沙 箱中运行待检测文件,接收待检测文件的运行轨迹,在对所述运行轨迹的检测完成后,记录 所述待检测文件的文件行为识别信息。这样,可以不断增加文件行为识别信息中信息的数 量,提尚文件特征的匹配概率,进而提尚沙箱的检测效率。
[0072] 可以理解的是,本实施例中,初始时,文件行为识别信息可以为空,这样,在匹配文 件特征时,无法从文件行为识别信息中检测到待检测文件的文件特征,从而继续执行步骤 S302,在得到待检测文件中是否存在恶意行为的结果之后,则记录所述待检测文件的文件 行为识别信息。
[0073] 图5为本发明实施例提供的沙箱的一种结构示意图,与图3所示方法实施例相对 应,所述沙箱包括沙箱控制器501和至少一个分类沙箱502;
[0074]其中,沙箱控制器501连接至少一个分类沙箱502,每个分类沙箱中存在已经创建 完成的一种操作系统类型的虚拟运行环境;
[0075] 沙箱控制器501接收待检测文件,并检测所述待检测文件的文件运行环境类型;然 后根据检测得到的文件运行环境类型,从每个分类沙箱502中确定与所述文件运行环境类 型对应的目标分类沙箱502,并将所述待检测文件发送至所述目标分类沙箱502;目标分类 沙箱502接收沙箱控制器501发送的所述待检测文件,并在自身的虚拟环境中运行所述待检 测文件,然后将待检测文件的运行轨迹发送至沙箱控制器501;沙箱控制器501接收所述运 行轨迹后,当检测到所述运行轨迹中存在恶意行为时进行告警。
[0076] 在本实施例中,所述沙箱控制器501中保存有文件行为识别信息;所述文件行为识 别信息中包括:已经检测过的每个文件的文件特征以及是否进行告警的信息;
[0077]沙箱控制器501在检测所述待检测文件的文件运行环境类型之前,还获得所述待 检测文件的文件特征,并根据获得的待检测文件的文件特征以及保存的文件行为识别信息 中的每个文件的文件特征,检测所述文件行为识别信息中是否存在与所述待检测文件的文 件特征相匹配的文件行为识别信息,如果是,则根据匹配的文件行为识别信息确定是否针 对所述待检测文件进行告警。
[0078]在本实施例中,所述沙箱控制器501,还在对所述运行轨迹的检测完成后,记录所 述待检测文件的文件行为识别信息。
[0079]在本实施例中,所述沙箱控制器501,还在检测所述待检测文件的文件运行环境类 型之前,检测所述待检测文件是否为可执行文件,如果是,则继续检测所述待检测文件的文 件运行环境类型。
[0080] 上述装置实施例与方法实施例是相互对应的,具有与方法实施例相同的技术效 果,因此装置实施例的技术效果在此不再赘述,可以参见方法实施例部分的描述。
[0081] 对于装置实施例而言,由于其与方法实施例是相互对应的,所以描述得比较简单, 相关之处参见方法实施例的部分说明即可。
[0082]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存 在任何这种实际的关系或者顺序。而且,术语"包括"、"包含"或者任何其他变体意在涵盖非 排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素, 而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固 有的要素。在没有更多限制的情况下,由语句"包括一个……"限定的要素,并不排除在包括 所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0083]本领域普通技术人员可以理解,上述实施方式中的全部或部分步骤是能够通过程 序指令相关的硬件来完成的,所述的程序可以存储于计算机可读取存储介质中。这里所称 存储介质,是指R0M/RAM、磁碟、光盘等。
[0084]以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在 本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围 内。
【主权项】
1. 一种文件检测方法,其特征在于,应用于沙箱控制器,所述沙箱控制器连接至少一个 分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类型的虚拟运行环境,所述 方法包括: 接收待检测文件,并检测所述待检测文件的文件运行环境类型; 根据检测得到的文件运行环境类型,确定与所述文件运行环境类型对应的目标分类沙 箱; 将所述待检测文件发送至所述目标分类沙箱,以使所述待检测文件在所述目标分类沙 箱的虚拟环境中运行; 接收所述目标分类沙箱发送的所述待检测文件的运行轨迹; 当检测到所述运行轨迹中存在恶意行为时,进行告警。2. 根据权利要求1所述的检测方法,其特征在于,所述沙箱控制器中保存有文件行为识 别信息;所述文件行为识别信息中包括:已经检测过的每个文件的文件特征以及是否进行 告警的信息; 在检测所述待检测文件的文件运行环境类型之前,所述方法还包括: 获得所述待检测文件的文件特征; 根据获得的待检测文件的文件特征以及保存的文件行为识别信息中的每个文件的文 件特征,检测所述文件行为识别信息中是否存在与所述待检测文件的文件特征相匹配的文 件行为识别信息; 如果是,则根据匹配的文件行为识别信息确定是否针对所述待检测文件进行告警; 如果否,则执行所述检测所述待检测文件的文件运行环境类型的步骤。3. 根据权利要求1或2所述的检测方法,其特征在于,所述方法还包括: 在对所述运行轨迹的检测完成后,记录所述待检测文件的文件行为识别信息。4. 根据权利要求2所述的检测方法,其特征在于,所述待检测文件的文件特征为采用消 息摘要MD5算法计算出的所述待检测文件的MD5值。5. 根据权利要求1所述的检测方法,其特征在于,在检测所述待检测文件的文件运行环 境类型之前,所述方法还包括: 检测所述待检测文件是否为可执行文件,如果是,则继续执行检测所述待检测文件的 文件运行环境类型的步骤。6. -种沙箱,其特征在于,所述沙箱包括沙箱控制器和至少一个分类沙箱; 沙箱控制器连接每个分类沙箱,每个分类沙箱中存在已经创建完成的一种操作系统类 型的虚拟运行环境; 沙箱控制器接收待检测文件,并检测所述待检测文件的文件运行环境类型;然后根据 检测得到的文件运行环境类型,从每个分类沙箱中确定与所述文件运行环境类型对应的目 标分类沙箱,并将所述待检测文件发送至所述目标分类沙箱; 目标分类沙箱接收沙箱控制器发送的所述待检测文件,并在自身的虚拟环境中运行所 述待检测文件,然后将待检测文件的运行轨迹发送至沙箱控制器;沙箱控制器接收所述运 行轨迹后,当检测到所述运行轨迹中存在恶意行为时进行告警。7. 根据权利要求6所述的沙箱,其特征在于,所述沙箱控制器中保存有文件行为识别信 息;所述文件行为识别信息中包括:已经检测过的每个文件的文件特征以及是否进行告警 的信息; 沙箱控制器在检测所述待检测文件的文件运行环境类型之前,还获得所述待检测文件 的文件特征,并根据获得的待检测文件的文件特征以及保存的文件行为识别信息中的每个 文件的文件特征,检测所述文件行为识别信息中是否存在与所述待检测文件的文件特征相 匹配的文件行为识别信息,如果是,则根据匹配的文件行为识别信息确定是否针对所述待 检测文件进行告警。8. 根据权利要求6或7所述的沙箱,其特征在于,所述沙箱控制器,还在对所述运行轨迹 的检测完成后,记录所述待检测文件的文件行为识别信息。9. 根据权利要求7所述的沙箱,其特征在于,所述沙箱控制器,还在检测所述待检测文 件的文件运行环境类型之前,检测所述待检测文件是否为可执行文件,如果是,则继续检测 所述待检测文件的文件运行环境类型。
【文档编号】G06F21/53GK106055975SQ201610325817
【公开日】2016年10月26日
【申请日】2016年5月16日
【发明人】房辉
【申请人】杭州华三通信技术有限公司