本发明涉及计算机,具体涉及恶意代码防护领域,特别涉及一种基于反沙箱的动态沙箱配置方法、装置及计算设备。
背景技术:
1、随着网络攻击手段的不断演进,恶意代码变得越来越复杂和隐蔽,给网络安全带来了巨大挑战。传统的恶意代码检测方法主要依赖于特征码匹配和静态分析技术,无法有效应对变种恶意代码和零日攻击。为此,动态沙箱技术应运而生,通过在隔离的虚拟环境中运行和分析恶意代码的行为,提供更全面和细致的检测。
2、然而,恶意代码开发者也在不断进化,通过采用一种用于检测和规避沙箱环境的反沙箱技术,使恶意软件能够在沙箱尝试分析或执行恶意操作时识别出自身正处于沙箱中,并采取相应措施以保持隐蔽性或绕过沙箱环境的检测。现有的沙箱系统在面对这些复杂多变的反沙箱技术时,往往难以做到全面有效的检测,难以对恶意代码防护提供有力支持。
技术实现思路
1、为了解决上述问题,本发明实施例提供了一种基于反沙箱的动态沙箱配置方法、装置及计算机设备,该方法能够规避反沙箱检测,通过动态配置确保恶意代码能够在沙箱中完整地执行其行为,从而提高沙箱检测的精准性和全面性,为恶意代码防护提供有力支持。
2、第一方面,本发明实施例提供了一种基于反沙箱的动态沙箱配置方法,包括:
3、构建针对不同家族的恶意代码的反沙箱数据库;所述反沙箱数据库中包括每个家族的反沙箱特征信息;
4、响应于待配置沙箱接收到待检测恶意代码,确定所述待检测恶意代码的目标家族;
5、从所述反沙箱数据库中确定所述目标家族的目标反沙箱特征信息,并基于所述目标反沙箱特征信息对所述待配置沙箱进行动态配置,得到目标沙箱。
6、第二方面,本发明实施例还提供了一种基于反沙箱的动态沙箱配置装置,包括:
7、构建模块,用于构建针对不同家族的恶意代码的反沙箱数据库;所述反沙箱数据库中包括每个家族的反沙箱特征信息;
8、匹配模块,用于响应于待配置沙箱接收到待检测恶意代码,确定所述待检测恶意代码的目标家族;
9、配置模块,用于从所述反沙箱数据库中确定所述目标家族的目标反沙箱特征信息,并基于所述目标反沙箱特征信息对所述待配置沙箱进行动态配置,得到目标沙箱。
10、第三方面,本发明实施例还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现上述任一项所述的基于反沙箱的动态沙箱配置方法。
11、第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行上述任一项所述的基于反沙箱的动态沙箱配置方法。
12、第五方面,本发明实施例还提供了一种计算机程序产品,包括计算机指令,所述计算机指令被处理器执行时实现本说明书任一第一方面所述的方法的步骤。
13、本发明实施例提供了一种基于反沙箱的动态沙箱配置方法、装置及计算设备,该方法通过构建包含反沙箱特征信息的反沙箱数据库,以在出现待检测恶意代码时,按照恶意代码所属的目标家族从反沙箱数据库中获取对应的目标反沙箱特征信息,进而按照该目标反沙箱特征信息对沙箱进行配置,在沙箱系统中实现自动化配置调整,无需依赖大量人工干预,降低了系统资源和人力成本,同时确定待检测恶意代码能够在配置后的目标沙箱中完整执行其行为,从而提高了检测的准确性和全面性。
1.一种基于反沙箱的动态沙箱配置方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述构建针对不同家族的恶意代码的反沙箱数据库,包括:
3.根据权利要求1所述的方法,其特征在于,在所述构建针对不同家族的恶意代码的反沙箱数据库之前,还包括:
4.根据权利要求3所述的方法,其特征在于,所述确定所述待检测恶意代码的目标家族,包括:
5.根据权利要求1所述的方法,其特征在于,在所述构建针对不同家族的恶意代码的反沙箱数据库之后,还包括:
6.根据权利要求1至5中任一所述的方法,其特征在于,所述反沙箱数据库中还包括每个家族在规避反沙箱后的真实行为信息;
7.一种基于反沙箱的动态沙箱配置装置,其特征在于,包括:
8.一种计算设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-6中任一项所述的方法。
10.一种计算机程序产品,其特征在于,包括计算机指令,所述计算机指令被处理器执行时实现如权利要求1-6中任一项所述的方法的步骤。
