1.一种用于提供对象是否为躲避的恶意对象的指示的安全设备,所述安全设备包括:
用于接收与所述对象相关联的实际行为信息的装置,
其中所述实际行为信息标识与在真实环境中执行所述对象相关联的第一行为集合;
用于确定与所述对象相关联的测试行为信息的装置,
其中所述测试行为信息标识与在测试环境中测试所述对象相关联的第二行为集合;
用于比较所述第一行为集合和所述第二行为集合以确定在所述第一行为集合和所述第二行为集合之间的差别的装置;
用于基于在所述第一行为集合和所述第二行为集合之间的所述差别标识所述对象是否为所述躲避的恶意对象的装置;以及
用于提供所述对象是否为所述躲避的恶意对象的所述指示的装置。
2.根据权利要求1所述的安全设备,进一步包括:
用于接收所述对象的装置;
用于在所述测试环境内执行所述对象以确定所述测试行为信息的装置;
用于存储所述测试行为信息的装置;并且
其中用于确定与所述对象相关联的所述测试行为信息的装置包括:
用于基于存储的所述测试行为信息确定所述测试行为信息的装置。
3.根据权利要求2所述的安全设备,进一步包括:
用于向用户设备提供所述对象的装置,
其中向所述用户设备提供所述对象以允许所述用户设备在所述真实环境中执行所述对象以确定所述实际行为信息。
4.根据权利要求1所述的安全设备,进一步包括:
用于接收与用户动作相关联的信息的装置,所述用户动作与在所述真实环境中执行所述对象相关联;以及
用于基于与所述用户动作相关联的所述信息执行所述对象的分析的装置,
其中执行所述分析以使得在所述测试环境中重新创建所述用户动作,并且
其中所述分析与标识所述对象是否为所述躲避的恶意对象相关联。
5.根据权利要求1所述的安全设备,进一步包括:
用于接收与在所述真实环境中执行所述对象相关联的存储器快照的装置,
其中所述存储器快照对应于与在所述真实环境中执行所述对象相关联的存储器空间;以及
用于基于所述存储器快照执行所述对象的分析的装置,
其中执行所述分析以使得在所述测试环境内重新建立所述存储器空间,并且
其中所述分析与标识所述对象是否为所述躲避的恶意对象相关联。
6.根据权利要求1所述的安全设备,其中用于比较所述第一行为集合和所述第二行为集合的装置包括:
用于确定所述第一行为集合标识恶意行为的装置;
用于确定所述第二行为集合没有标识所述恶意行为的装置;并且
其中用于标识所述对象是否为所述躲避的恶意对象的装置包括:
用于基于确定所述第一行为集合标识所述恶意行为以及确定所述第二行为集合没有标识所述恶意行为将所述对象标识为所述躲避的恶意对象的装置。
7.根据权利要求1所述的安全设备,其中所述测试环境包括与所述安全设备相关联的沙盒环境。
8.一种用于提供指示对象是否为躲避的恶意对象的信息的系统,所述系统包括:
用于确定与所述对象相关联的测试行为信息的装置,
其中所述测试行为信息标识与在测试环境中测试所述对象相关联的测试行为集合;
用于获得与所述对象相关联的实际行为信息的装置,
其中所述实际行为信息标识与在真实环境中执行或者安装所述对象相关联的实际行为集合;
用于比较所述实际行为集合和所述测试行为集合以确定在所述实际行为集合和所述测试行为集合之间的差别的装置;
用于基于在所述实际行为集合和所述测试行为集合之间的所述差别确定所述对象是否为所述躲避的恶意对象的装置;以及
用于提供指示所述对象是否为所述躲避的恶意对象的所述信息的装置。
9.根据权利要求8所述的系统,进一步包括:
用于接收所述对象的装置;
用于在所述测试环境内执行或者安装所述对象以确定所述测试行为信息的装置;
用于存储所述测试行为信息的装置;并且
其中用于确定与所述对象相关联的所述测试行为信息的装置包括:
用于基于存储的所述测试行为信息确定所述测试行为信息的装置。
10.根据权利要求8所述的系统,进一步包括:
用于向用户设备提供所述对象的装置,
其中向所述用户设备提供所述对象以允许所述用户设备在所述真实环境中执行或者安装所述对象以确定所述实际行为信息。
11.根据权利要求8所述的系统,进一步包括:
用于接收与用户动作相关联的信息的装置,所述用户动作与在所 述真实环境中执行或者安装所述对象相关联;以及
用于基于与所述用户动作相关联的所述信息分析所述对象的装置,
其中执行所述分析以使得在所述测试环境中重新创建所述用户动作,并且
其中所述分析与确定所述对象是否为所述躲避的恶意对象相关联。
12.根据权利要求8所述的系统,进一步包括:
用于接收与在所述真实环境中执行或者安装所述对象相关联的存储器快照的装置,
其中所述存储器快照对应于与在所述真实环境中执行或者安装所述对象相关联的存储器空间;以及
用于基于所述存储器快照执行所述对象的分析的装置,
其中所述分析是与所述存储器快照相关联的静态分析,并且
其中所述分析与确定所述对象是否为所述躲避的恶意对象相关联。
13.根据权利要求8所述的系统,其中用于比较所述实际行为集合和所述测试行为集合的装置包括:
用于确定所述实际行为集合标识恶意行为集合的装置;
用于确定所述测试行为集合没有包括所述恶意行为集合中的一种或者多种恶意行为的装置;并且
其中用于确定所述对象是否为所述躲避的恶意对象的装置包括:
用于基于确定所述实际行为集合标识所述恶意行为集合以及确定所述测试行为集合没有标识所述一种或者多种恶意行为将所述对象确定为所述躲避的恶意对象的装置。
14.根据权利要求8所述的系统,其中所述测试环境包括与安全设备相关联的沙盒环境,并且所述真实环境包括用户设备的环境。
15.一种用于提供与将对象标识为躲避的恶意对象相关联的信息的方法,所述方法包括:
由安全设备接收与所述对象相关联的实际行为信息,
其中所述实际行为信息标识与在用户设备上执行所述对象相关联的第一行为组;
由所述安全设备确定与所述对象相关联的测试行为信息,
其中所述测试行为信息标识与在所述安全设备上测试所述对象相关联的第二行为组;
由所述安全设备确定在所述第一行为组和所述第二行为组之间的差别;
由所述安全设备基于在所述第一行为组和所述第二行为组之间的所述差别将所述对象标识为所述躲避的恶意对象;以及
由所述安全设备提供与将所述对象标识为所述躲避的恶意对象相关联的所述信息。
16.根据权利要求15所述的方法,进一步包括:
接收所述对象;
在测试环境内测试所述对象以确定所述测试行为信息,
其中所述测试环境由所述安全设备主控;存储所述测试行为信息;并且
其中确定与所述对象相关联的所述测试行为信息进一步包括:基于存储的所述测试行为信息确定所述测试行为信息。
17.根据权利要求15所述的方法,进一步包括:
接收与用户动作相关联的信息,所述用户动作与在所述用户设备上执行所述对象相关联;以及
基于与所述用户动作相关联的所述信息执行所述对象的分析,
其中执行所述分析以使得在所述安全设备上重新创建所述用户动作,并且
其中所述分析与将所述对象标识为所述躲避的恶意对象相关联。
18.根据权利要求15所述的方法,进一步包括:
接收与在所述用户设备上执行所述对象相关联的存储器快照,
其中所述存储器快照对应于与在所述用户设备上执行所述对象相关联的存储器空间;以及
基于所述存储器快照执行所述对象的分析,
其中执行所述分析以使得在所述安全设备上重新建立所述存储器空间,并且
其中所述分析与将所述对象标识为所述躲避的恶意对象相关联。
19.根据权利要求15所述的方法,包括:
确定所述第一行为组标识恶意行为;
确定所述第二行为组没有标识所述恶意行为;并且
其中将所述对象标识为所述躲避的恶意对象进一步包括:
基于确定所述第一行为组标识所述恶意行为以及确定所述第二行为组没有标识所述恶意行为将所述对象标识为所述躲避的恶意对象。
20.根据权利要求15所述的方法,其中所述测试环境包括由所述安全设备主控的沙盒环境,
其中所述沙盒环境允许所述安全设备测试所述对象以便确定与所述对象相关联的所述测试行为信息。