买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：华能信息技术有限公司;中国华能集团有限公司北京招标分公司

摘要：本发明公开了一种反逃逸检测方法，涉及安全检测技术领域，对多个沙箱环境进行样本逃逸模拟，依次检测沙箱的硬件信息、环境信息、时间信息和交互信息是否存在异常，若存在异常，则进行对应调整，直至通过样本逃逸模拟；样本逃逸模拟通过后，将待检测样本在多个沙箱环境下分别运行多次，并得到行为文件；根据行为文件得到距离信息，基于距离信息确定沙箱环境间的行为异常度，基于行为异常度和阈值之间的关系判断是否存在异常行为，若存在异常行为，则根据系统调用序列定位逃逸行为；获取每个沙箱的评价参数，根据评价参数建立阈值更新数组，根据阈值更新数组更新阈值。提高了检测精度，防止了恶意样本进行检测逃逸，保证了检测的可靠性。

主权项：1.一种反逃逸检测方法，其特征在于，所述方法包括：对多个沙箱环境进行样本逃逸模拟，依次检测沙箱的硬件信息、环境信息、时间信息和交互信息是否存在异常，若存在异常，则进行对应调整，直至通过样本逃逸模拟；样本逃逸模拟通过后，获取待检测样本，将待检测样本在多个沙箱环境下分别运行多次，并得到行为文件；根据行为文件得到距离信息，基于距离信息确定沙箱环境间的行为异常度，基于行为异常度和阈值之间的关系判断是否存在异常行为，若存在异常行为，则获取异常行为对应的系统调用序列，根据系统调用序列定位逃逸行为；获取每个沙箱的评价参数，根据评价参数建立阈值更新数组，根据阈值更新数组更新阈值；若存在异常，则进行对应调整，包括：若硬件信息存在异常，则获取真实主机的硬件信息，基于真实主机的硬件信息和沙箱的硬件信息确定差异硬件，根据差异硬件及其对应的成本调整沙箱硬件信息；则进行对应调整，包括：若环境信息存在异常，则获取真实环境特征和沙箱环境特征，对比真实环境特征和沙箱环境特征确定沙箱环境存在的特征，获取沙箱运行所必需的环境特征，根据沙箱环境存在的特征和沙箱运行所必需的环境特征调整沙箱环境特征；则进行对应调整，包括：若时间信息存在异常，则检测样本中是否存在休眠函数或循环函数，根据休眠函数或循环函数确定沙箱检测的起始时间，获取沙箱不同检测时长所耗费资源，获取多个恶意样本有效检测时间，基于沙箱不同检测时长所耗费资源和多个恶意样本有效检测时间确定平衡量，基于平衡量确定沙箱检测的持续时间，基于沙箱检测的起始时间和沙箱检测的持续时间进行检测；基于沙箱不同检测时长所耗费资源和多个恶意样本有效检测时间确定平衡量，基于平衡量确定沙箱检测的持续时间，包括：基于沙箱不同检测时长所耗费资源、多个恶意样本有效检测时间和第一预设权重确定多个平衡量，在多个平衡量中取最大值作为所需的平衡量，将该平衡量代入转换公式得到沙箱检测的持续时间；转换公式为，T=L*M，其中，T为沙箱检测的持续时间，M为平衡量，L为转换系数，不同沙箱所对应的第一预设权重和转换系数不同；若存在异常，则进行对应调整，还包括：若交互信息存在异常，则获取真实主机的交互信息，根据真实主机的交互信息设置沙箱的交互信息；根据行为文件得到距离信息，基于距离信息确定沙箱环境间的行为异常度，包括：距离信息包括横向距离和纵向距离，横向距离为不同环境下行为文件的距离，纵向距离为同一环境下行为文件的距离，基于横向距离和纵向距离之差得到行为异常度；根据评价参数建立阈值更新数组，包括：评价参数包括正确率、检测率和错误率；基于正确率、检测率和错误率的大小确定位置顺序，基于正确率、检测率、错误率和位置顺序构建阈值更新数组；将正确率、检测率和错误率的大小进行同化处理，计算三者分别与对应的常数的积，比较大小值，值越大位置顺序越靠前；根据阈值更新数组更新阈值，包括：根据阈值更新数组和与位置顺序对应的本位因子更新阈值。

全文数据：

权利要求：

百度查询： 华能信息技术有限公司 中国华能集团有限公司北京招标分公司 一种反逃逸检测方法