本发明专利技术涉及恶意软件监测技术领域,公开了一种基于沙箱的恶意软件监测方法、设备、存储介质及装置。本发明专利技术通过在检测到沙箱中运行有恶意软件时,通过外部调用模块调用应用程序接口,以使所述应用程序接口调用交互函数;通过所述交互函数在所述沙箱中生成交互事件;在所述交互事件完成后,对所述沙箱中的所述恶意软件进行测试,以监测所述恶意软件的运行信息;根据所述运行信息得到监测结果,从而通过调用交互函数生成交互事件,模拟用户交互动作,避免普通沙箱不存在人机交互动作这一缺陷,对抗恶意软件的逃逸行为,达到提高恶意软件监测的准确性的目的。
【技术实现步骤摘要】
基于沙箱的恶意软件监测方法、设备、存储介质及装置
本专利技术涉及恶意软件监测
,尤其涉及基于沙箱的恶意软件监测方法、设备、存储介质及装置。
技术介绍
沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。目前沙箱技术已是检测恶意软件常用技术,其相对于传统反病毒产品,该技术可使恶意软件在真实环境中得以运行,并从中采集恶意行为数据。但是,传统沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,而随着沙箱动态行为分析技术的普及,恶意软件也逐渐发展出了针对沙箱检测的对抗技术,从而无法更准确有效的识别出恶意软件。
技术实现思路
本专利技术的主要目的在于提供基于沙箱的恶意软件监测方法、设备、存储介质及装置,旨在解决如何提高恶意软件监测的准确性。为实现上述目的,本专利技术提供一种基于沙箱的恶意软件监测方法,所述基于沙箱的恶意软件监测方法包括以下步骤:在检测到沙箱中运行有恶意软件时,通过外部调用模块调用应用程序接口,以使所述应用程序接口调用交互函数;通过所述交互函数在所述沙箱中生成交互事件;在所述交互事件完成后,对所述沙箱中的所述恶意软件进行测试,以监测所述恶意软件的运行信息;根据所述运行信息得到监测结果。可选的,所述通过所述交互函数在所述沙箱中生成交互事件,包括:通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件。可选的,所述交互函数为鼠标模拟函数;所述通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件,包括:通过所述鼠标模拟函数得到鼠标按下事件以及鼠标抬起事件的交互策略;根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件。可选的,所述根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件,包括:获取所述鼠标按下事件以及鼠标抬起事件的循环次数;根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件的循环次数在所述沙箱中生成交互事件。可选的,所述根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件,包括:获取所述鼠标按下事件以及鼠标抬起事件之间的间隔时间;根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的间隔时间在所述沙箱中生成交互事件。可选的,所述根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的间隔时间在所述沙箱中生成交互事件之前,所述方法还包括:获取预设时间交互策略,根据所述预设时间交互策略对所述所述鼠标按下事件以及鼠标抬起事件之间的间隔时间进行时间调整,得到调整后的间隔时间;所述根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的间隔时间在所述沙箱中生成交互事件,包括:根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的调整后的间隔时间在所述沙箱中生成交互事件。可选的,所述交互函数为光标控制函数;所述通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件,包括:通过所述光标控制函数得到光标在屏幕上移动事件的交互策略;根据所述光标在屏幕上移动事件在所述沙箱中生成交互事件。可选的,所述根据所述光标在屏幕上移动事件在所述沙箱中生成交互事件,包括:获取光标目标坐标位置定位策略;根据所述光标在屏幕上移动事件以及光标目标坐标位置定位策略在所述沙箱中生成交互事件。可选的,所述交互函数为窗口操作函数;所述通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件,包括:通过所述窗口操作函数得到弹窗事件的交互策略;根据所述弹窗事件在所述沙箱中生成交互事件。可选的,所述通过所述窗口操作函数得到弹窗事件的交互策略,包括:通过窗口操作函数遍历窗口信息,并生成回调事件;根据所述回调事件遍历所述窗口信息对应的子窗口信息,根据所述子窗口信息生成弹窗事件。可选的,所述根据所述回调事件遍历所述窗口信息对应的子窗口信息,根据所述子窗口信息生成弹窗事件之前,所述方法还包括:调用窗口可视应用程序接口判断所述窗口信息的属性信息是否为可见状态;在所述窗口信息的属性信息为可见状态时,则执行所述根据所述回调事件遍历所述窗口信息对应的子窗口信息,根据所述子窗口信息生成弹窗事件的步骤。可选的,所述根据所述回调事件遍历所述窗口信息对应的子窗口信息,根据所述子窗口信息生成弹窗事件,包括:根据所述回调事件遍历所述窗口信息对应的子窗口信息,通过调用窗口所属的类的类名函数得到所述子窗口信息的窗口类名信息;在所述窗口类名信息中含有按钮信息时,则调用字符发送函数获取按钮文本,根据所述按钮文本对所述按钮信息进行更新,以得到窗口中含有所述按钮文本的按钮;调用字符发送函数向所述窗口发动窗口点击事件;根据所述按钮以及窗口点击事件生成弹窗事件。可选的,所述根据所述回调事件遍历所述窗口信息对应的子窗口信息,通过调用窗口所属的类的类名函数得到所述子窗口信息的窗口类名信息,包括:根据所述回调事件遍历所述窗口信息对应的子窗口信息,根据所述子窗口信息的窗口标题信息以及静态文本信息对所述子窗口信息进行过滤,得到过滤后的子窗口信息;通过调用窗口所属的类的类名函数得到所述过滤后的子窗口信息的窗口类名信息。此外,为实现上述目的,本专利技术还提出一种基于沙箱的恶意软件监测装置,所述基于沙箱的恶意软件监测装置包括:调用模块,用于在检测到沙箱中运行有恶意软件时,通过外部调用模块调用应用程序接口,以使所述应用程序接口调用交互函数;生成模块,用于通过所述交互函数在所述沙箱中生成交互事件;测试模块,用于在所述交互事件完成后,对所述沙箱中的所述恶意软件进行测试,以监测所述恶意软件的运行信息;监测模块,用于根据所述运行信息得到监测结果。可选的,所述生成模块,还用于通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件。可选的,所述交互函数为鼠标模拟函数;所述生成模块,还用于通过所述鼠标模拟函数得到鼠标按下事件以及鼠标抬起事件的交互策略;根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件。可选的,所述生成模块,还用于获取所述鼠标按下事件以及鼠标抬起事件的循环次数;根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的循环次数在所述沙箱中生成交互事件。可选的,所述生成模块,还用于获取所述鼠标按下事件以及鼠标抬起事件之间的间隔时间;根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的间隔时间在所述沙箱中生成交互事件。此外,为实现上述目的,本专利技术还提出一种本文档来自技高网...
【技术保护点】
1.一种基于沙箱的恶意软件监测方法,其特征在于,所述基于沙箱的恶意软件监测方法包括以下步骤:/n在检测到沙箱中运行有恶意软件时,通过外部调用模块调用应用程序接口,以使所述应用程序接口调用交互函数;/n通过所述交互函数在所述沙箱中生成交互事件;/n在所述交互事件完成后,对所述沙箱中的所述恶意软件进行测试,以监测所述恶意软件的运行信息;/n根据所述运行信息得到监测结果。/n
【技术特征摘要】
1.一种基于沙箱的恶意软件监测方法,其特征在于,所述基于沙箱的恶意软件监测方法包括以下步骤:
在检测到沙箱中运行有恶意软件时,通过外部调用模块调用应用程序接口,以使所述应用程序接口调用交互函数;
通过所述交互函数在所述沙箱中生成交互事件;
在所述交互事件完成后,对所述沙箱中的所述恶意软件进行测试,以监测所述恶意软件的运行信息;
根据所述运行信息得到监测结果。
2.如权利要求1所述的基于沙箱的恶意软件监测方法,其特征在于,所述通过所述交互函数在所述沙箱中生成交互事件,包括:
通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件。
3.如权利要求2所述的基于沙箱的恶意软件监测方法,其特征在于,所述交互函数为鼠标模拟函数;
所述通过所述交互函数得到对应的交互策略,根据所述交互策略在所述沙箱中生成交互事件,包括:
通过所述鼠标模拟函数得到鼠标按下事件以及鼠标抬起事件的交互策略;
根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件。
4.如权利要求3所述的基于沙箱的恶意软件监测方法,其特征在于,所述根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件,包括:
获取所述鼠标按下事件以及鼠标抬起事件的循环次数;
根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件的循环次数在所述沙箱中生成交互事件。
5.如权利要求3所述的基于沙箱的恶意软件监测方法,其特征在于,所述根据所述鼠标按下事件以及鼠标抬起事件在所述沙箱中生成交互事件,包括:
获取所述鼠标按下事件以及鼠标抬起事件之间的间隔时间;
根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标抬起事件之间的间隔时间在所述沙箱中生成交互事件。
6.如权利要求5所述的基于沙箱的恶意软件监测方法,其特征在于,所述根据所述鼠标按下事件、鼠标抬起事件以及所述鼠标按下事件以及鼠标...
【专利技术属性】
技术研发人员:罗曼,
申请(专利权)人:苏州三六零智能安全科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。