论文研究 基于多层次行为差异的沙箱逃逸检测及其实现.pdf

针对单一沙箱检测模式较为固定、易被恶意样本逃逸的问题，分析了当前恶意软件沙箱逃逸典型技术，提出了一种恶意样本逃逸行为检测框架。对恶意样本在不同层次的沙箱以及真实环境中生成的文件操作、网络通信、进程操作、注册表操作等行为进行记录，进行特征筛选以及标准化处理，通过Jaccard相似度算法来比较行为之间的相似度差异，进行层次划分并判定恶意样本逃逸行为。实验结果显示，整体准确率为95.6%，检出率为90.1%，同时误报率低于5%，可以检测多种已知和未知逃逸行为，通过进一步分析可定位到样本具体逃逸行为。