WO2016078323A1 - 检测恶意软件的方法及装置 - Google Patents

Abstract

一种检测恶意软件的方法及装置，该方法包括：在沙箱中运行待检测软件并记录至少一个操作的过程；在记录所述至少一个操作的过程中，检测到沙箱中的任意一个具有延时属性的接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长，如果大于预设时长，则认为恶意行为要延迟执行，此时，缩短延迟执行的延时时长，使恶意行为在记录所述待检测软件在开始运行后预设时长内执行的至少一个操作的过程中执行，那么恶意行为就可以提前暴露，从而实现有效监控，提高检测恶意软件的准确度。

Description

检测恶意软件的方法及装置

本申请要求于2014年11月20日提交中国专利局、申请号为201410667648.4、发明名称为“检测恶意软件的方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明涉及计算机技术领域，特别涉及一种检测恶意软件的方法及装置。

背景技术

计算机软件(Software)是指一系列按照特定顺序组织的计算机数据和指令的集合。从计算机软件诞生不久，恶意软件就出现了。合法软件的开发目的，是加强和扩展计算机的工作能力。而恶意软件的开发目的，则是为了对计算机数据进行窃取和破坏。传统的恶意软件的检测方法，是基于特征码的比对来实现，但是，恶意软件常常通过变形、加壳等手段逃避特征码对比，其中，变形，是指在软件的程序代码中加入大量混淆代码，令原有的特征码失效；加壳，是将软件的程序代码进行加密和打包，令原有的特征码失效。

为了避免上述缺陷，提出了采用沙箱技术检测恶意软件的方法，沙箱(也称沙盒，Sandbox)是一种软件的隔离运行机制，其目的是限制不可信软件的权限，沙箱技术经常被用于执行未经测试的或不可信的软件。为了避免不可信软件可能破坏其他软件的运行，沙箱技术通过采用为不可信软件提供虚拟化的磁盘、内存以及网络资源的方式来达到保护操作系统的原有状态的目的。沙箱技术在具体实现过程中，不可信软件在沙箱内运行时所创建、修改、删除的所有文件和注册表表项都虚拟化重定向到虚拟的操作系统，因此，不可信软件的所有操作都是虚拟的，真实的文件系统和注册表不会被改动，这样可以确保携带病毒的恶意软件无法对操作系统关键部位进行改动，破坏操作系统。

采用沙箱技术检测恶意软件的具体的工作原理，是模拟出一个完全正常的环境，供不可信软件在其中运行，并记录不可信文件在执行时的所有动作。 将这些动作和恶意行为库进行匹配，如果有匹配到恶意行为，则可以认为该不可信软件是恶意软件。由于该方法能直接让恶意软件在沙箱中运行起来，所以能避免恶意软件通过变形、加壳等手段躲避检测，因此，可以提高检测恶意软件的准确度。相对于传统的检测方法，利用沙箱检测恶意软件的方法在检测能力上有了极大的提升。又由于它使用了通用的恶意行为库作为匹配方式，所以可以避免相同类型恶意样本基数过大的问题。

但是，在实际应用中，由于硬件资源和软件规格的限制，过长时间的监控是不现实的，沙箱一般只能监控不可信软件开始运行后数分钟之内的行为。恶意软件利用该限制，在恶意行为爆发前加入延时操作，例如，加入长时间的Sleep语句，此语句可以让软件运行过程中的某些操作延后几十分钟甚至数小时，从而躲避检测，因此，目前检测恶意软件的方法存在准确度较低的缺陷。

发明内容

本发明实施例提供一种检测恶意软件的方法及装置，用以解决现有技术中存在的准确度较低的缺陷。

本发明实施例提供的具体技术方案如下：

第一方面，提供一种检测恶意软件的方法，包括：

在沙箱中运行待检测软件，并记录所述待检测软件在开始运行后预设时长内执行的至少一个操作；

在记录所述至少一个操作的过程中，检测所述沙箱中的至少一个具有延时属性的接口是否被调用；

在检测到任意一所述接口被调用时，判断被调用的所述接口的第一延时长度参数对应的延时时长是否大于所述预设时长；

若判定所述第一延时长度参数对应的延时时长大于所述预设时长，则将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，所述第二延时长度参数对应的延时时长小于所述预设时长；

将已记录的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。

结合第一方面，在第一种可能的实现方式中，将被调用的所述接口的第一延时长度参数调整为第二延时长度参数，具体包括：

将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数和预设的调整参数的乘积，所述调整参数大于0且小于1。

结合第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述预设的调整参数包括第一调整参数和第二调整参数，所述第一调整参数大于所述第二调整参数；

所述将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，具体包括：

获取所述沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第一调整参数的乘积；或者

基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。

结合第一方面，在第三种可能的实现方式中，所述将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，具体包括：

获取所述沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数；或者

基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第三延时长度参数；

其中，所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时时长。

结合第一方面，以及第一方面的第一种至第三种可能的实现方式，在第四种可能的实现方式中，还包括：

在所述预设时长到达前的预定时刻，将已记录的所述至少一个操作与恶 意行为的操作进行比较；

基于已记录的所述至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向所述沙箱发送软件运行结束消息；

记录所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的至少一个操作；

将已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。

结合第一方面，以及第一方面的第一种至第四种可能的实现方式，在第五种可能的实现方式中，所述接口包括以下至少一个接口或多个接口的组合：

延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间的接口。

第二方面，提供一种检测恶意软件的装置，包括：

运行单元，用于在沙箱中运行待检测软件；

记录单元，用于记录所述待检测软件在开始运行后预设时长内执行的至少一个操作；

检测单元，用于在记录所述至少一个操作的过程中，检测所述沙箱中的至少一个具有延时属性的接口是否被调用；

判断单元，用于在检测到任意一所述接口被调用时，判断被调用的所述接口的第一延时长度参数对应的延时时长是否大于所述预设时长；

调整单元，用于若判定所述第一延时长度参数对应的延时时长大于所述预设时长，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，所述第二延时长度参数对应的延时时长小于所述预设时长；

比较单元，用于将已记录的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。

结合第二方面，在第一种可能的实现方式中，所述调整单元具体用于：

将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度 参数和预设的调整参数的乘积，所述调整参数大于0且小于1。

结合第二方面的第一种可能的实现方式，在第二种可能的实现方式中，所述预设的调整参数包括第一调整参数和第二调整参数，所述第一调整参数大于所述第二调整参数；

所述调整单元将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数时，具体为：

获取所述沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第一调整参数的乘积；或者

基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。

结合第二方面，在第三种可能的实现方式中，所述调整单元具体用于：

获取所述沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数；或者

基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第三延时长度参数；

其中，所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时时长。

结合第二方面，以及第二方面的第一种至第三种可能的实现方式，在第四种可能的实现方式中，所述比较单元还用于：

在所述预设时长到达前的预定时刻，将已记录的所述至少一个操作与恶意行为的操作进行比较；

还包括发送单元，用于基于已记录的所述至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向所述沙箱发送软件运行结束消息；

所述记录单元还用于：记录所述待检测软件在所述预定时刻至所述预设 时长到达之间的时间段内执行的至少一个操作；

所述比较单元还用于：将已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。

结合第二方面，以及第二方面的第一种至第四种可能的实现方式，在第五种可能的实现方式中，所述检测单元检测的接口包括以下至少一个接口或多个接口的组合：

延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间的接口。

现有技术中，通过对恶意操作延时进而躲避检测，导致检测的准确度较低，本发明实施例中，在沙箱中运行待检测软件，并记录待检测软件在开始运行后预设时长内执行的至少一个操作；在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；若判定第一延时长度参数对应的延时时长大于预设时长，则将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件，在该方案中，在记录至少一个操作的过程中，检测到沙箱中的任意一个具有延时属性的接口被调用，及判定第一延时长度参数对应的延时时长大于预设时长时，认为恶意行为要延迟执行，此时，缩短延迟执行的延时时长，让恶意行为在记录待检测软件在开始运行后预设时长内执行的至少一个操作的过程中执行，那么恶意行为就可以提前暴露，可以实现有效监控，因此，可以提高检测恶意软件的准确度。

附图说明

图1A为本发明实施例中检测恶意软件的流程图；

图1B为本发明实施例中检测恶意软件的示意图；

图2为本发明实施例中检测恶意软件的实施例；

图3为本发明实施例中检测恶意软件的装置的第一结构示意图；

图4为本发明实施例中检测恶意软件的装置的第二结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

另外，本文中术语“系统”和“网络”在本文中常被可互换使用。本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字母“/”，一般表示前后关联对象是一种“或”的关系。

下面结合说明书附图对本发明优选的实施方式进行详细说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

下面结合附图对本发明优选的实施方式进行详细说明。

参阅图1A所示，本发明实施例中，提供一种检测恶意软件的流程示意图：

步骤100：在沙箱中运行待检测软件，并记录待检测软件在开始运行后预设时长内执行的至少一个操作；

步骤110：在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；

步骤120：在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；

步骤130：若判定第一延时长度参数对应的延时时长大于预设时长，则将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；

步骤140：将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确 定待检测软件为恶意软件。

本发明实施例中所说的接口是操作系统向除操作系统提供商和用户之外的第三方应用软件开发者提供的编程接口，应用软件可以通过调用该接口实现该接口提供的特定功能，与实际应用中讲述的物理接口是不同的，如与以太网接口是不同的。

接口具有延时属性指的是，应用软件通过调用该接口，该应用软件所执行的一些操作将被延迟执行，具体要延迟的时间长度可以根据该接口的延时长度参数对应的延时时长来确定。

实际中，具有延时属性的接口可以为如下形式，例如：

本发明实施例中，如果调用以上述接口为例的任意一具有延时属性的接口，应用软件有些操作将被延迟执行，延迟执行的时长为被调用的具有延时属性的接口的第一延时长度参数对应的延时时长，而延迟执行的时间起始点为待检测软件开始运行的时间点。

本发明实施例中，还存在一类获取时间的接口。这类接口是与上述具有延时属性的接口存在关系的，获取时间的接口可以为如下形式：

上述列举的具有延时属性的接口是Windows操作系统中预先提供的一些函数，这些接口很大程度上是与操作系统相关的，也就是说，Linux系统或者其他操作系统也可能提供其他具有延时属性的接口，虽然这些API(Application Programming Interface，应用程序编程接口)在命名、参数格式等形式上有所差异，但实现的功能大多类似。由于操作系统种类较多，同时一个操作系统的不同版本也有所差异，难以在这里列举所有具有延时属性的接口，仅以Windows操作系统中常见的一些具有延时属性的接口为例来进行说明。

如果是恶意软件调用这些具有延时属性的接口进行延时，当达到根据该接口的第一延时长度参数确定的某个时间点时，恶意软件将开始执行恶意行为。

本发明实施例中，将被调用的接口中的第一延时长度参数调整为第二延时长度参数的方式有多种，例如，可以采用如下方式：

将被调用的接口的第一延时长度参数调整为第一延时长度参数和预设的调整参数的乘积，调整参数大于0且小于等于1。

例如，对于具有延时属性的接口，按照倍率g_uiRate修改第一延时长度参数，如果第一延时长度参数为100，则将第一延时长度参数修改为100*g_uiRate。可选地，如果需要将操作系统时间和采用具有延时属性的接口延时后的时间相匹配，从而避免恶意软件发觉具有延时属性的接口的第一延时长度参数已经被修改，可以通过上述介绍的获取时间的接口同步地修改恶意软件获取的操作系统的时间，具体地，如果当前的操作系统时间为100，则需要在恶意软件调用获取时间的接口时，通过这类接口的返回值将调用结果修改为100/g_uiRate。

实际应用中，恶意软件延时爆发的躲避手段，一般都需要通过调用具有延时属性的接口来实现，这样，即使恶意软件调用了具有延时属性的接口，但是，由于将该接口中的第一延时长度参数调整为第二延时长度参数，而第二延时长度参数对应的延时时长又小于预设时长，这样，恶意行为还是会在 预设时长内暴露，提高了检测的准确度。

本发明实施例中，可选的，预设的调整参数包括第一调整参数和第二调整参数，第一调整参数大于第二调整参数。

进一步的，为了避免为了检测恶意软件而影响沙箱所在设备中的其他进程，将被调用的接口的第一延时长度参数调整为第二延时长度参数时，具体可以采用如下操作：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第一调整参数的乘积，即第二延时时间长度参数为第一延时长度参数与第一调整参数的乘积；

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第二调整参数的乘积，即第二延时时间长度参数为第一延时长度参数与第二调整参数的乘积；

其中，第一调整参数大于第二调整参数。

本发明实施例中，将被调用的接口的第一延时长度参数调整为第二延时长度参数时，还可以采用如下方式：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第二延时长度参数；或者

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第三延时长度参数；

其中，第三延时长度参数对应的延时时长小于第二延时长度参数对应的延时时长。

本发明实施例中，在上述过程中，获取沙箱所在设备的中央处理器的使用率时，可以Nt Query System Information接口来获取中央处理器的使用率，当然，也可以采用其他方法，在此不再进行一一详述。

上述过程中，当使用率大于或者等于预设使用率门限值时，判断出系统繁忙，此时，增加调整后的延时长度参数对应的延时时长，进而降低沙箱运 行对中央处理器的使用率，当使用率小于预设使用率门限值时，判断出系统不繁忙，此时，减小调整后的延时长度参数对应的延时时长，使待检测软件的行为加快暴露，进而提升沙箱运行对中央处理器的使用率。

在实际应用中，有些恶意行为是在延迟一定时长后执行，此时，可以通过调整具有延时属性的接口的第一延时长度参数而检测待检测软件是否为恶意软件，但是，有些恶意行为是在运行结束时才执行，不需要调用具有延时属性的接口，因此，本发明实施例中，还可以包括如下操作：

在预设时长到达前的预定时刻，将已记录的至少一个操作与恶意行为的操作进行比较；

基于已记录的至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向沙箱发送软件运行结束消息；

记录待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作；

将已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作与恶意行为的操作进行比较，基于已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。

例如，预设时长为5分钟，但是在待检测软件在沙箱中已经运行4分50秒时，已记录的至少一个操作中不存在与恶意行为的操作相匹配的操作时，向沙箱发送软件运行结束消息，此时，再记录待检测软件在4分50秒至5分钟到达之间的时间段内执行的至少一个操作，将待检测软件在4分50秒至5分钟到达之间的时间段内执行的至少一个操作与恶意行为的操作进行比较，若待检测软件在4分50秒至5分钟到达之间的时间段内执行的至少一个操作中存在与恶意行为相匹配的操作时，确定待检测软件为恶意软件。这样，同样可以达到迫使恶意样本暴露出恶意行为的目的。

本发明实施例中，接口为延时一个进程的接口、延时多个进程的接口、延时定时器的接口、获取系统时间的接口中的一个接口或者任意接口组合。

本发明实施例中，已记录的至少一个操作中存在与恶意行为的操作相匹配的操作，是指已记录的至少一个操作中每一个操作分别对应的行为序列(例如API调用序列)中存在与恶意行为的操作对应的行为序列(例如API调用 序列)完全相同的操作，或者，已记录的至少一个操作中每一个操作分别对应的行为序列中存在与恶意行为的操作对应的行为序列部分相同的操作。

本发明实施例中，具有延时属性的接口可以是在API层，也可以是位于NTAPI层，如果接口是位于API层时，调整接口的第一延时长度参数时，可以通过驱动层，也可以不通过驱动层；如果接口是位于NTAPI层时，调整接口的第一延时长度参数时，必须通过驱动层。待检测软件在开始运行后的预设时长内执行的操作可以是网络操作，此时可以通过网络监视实现，也可以是文件操作，此时可以通过文件监视实现，还可以是注册表操作，此时可以通过注册表监视实现，有些操作无法通过上述监视实现的，因此，可以通过系统监视来实现，如图1B所示。

为了更好地理解本发明实施例，以下给出具体应用场景，针对检测恶意软件的过程，作出进一步详细描述，如图2所示：

步骤200：将待检测软件在沙箱内运行，并记录待检测软件在开始运行后的5分钟内所执行的至少一个操作；

步骤210：在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；

步骤220：检测到具有延时属性的任意一个接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于5分钟，若是，执行步骤230，否则，返回步骤210；

步骤230：将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于5分钟；

步骤240：在待检测软件运行4分50秒时，判断在4分50秒之内已经记录的至少一个操作中是否存在与恶意行为的操作相匹配的操作，若是，确定待检测软件为恶意软件，否则，执行步骤250；

步骤250：向沙箱发送软件运行结束消息，记录待检测软件在运行4分50秒的时刻至5分钟到达之间的时间段内执行的至少一个操作；

步骤260：将已记录的待检测软件在运行4分50秒的时刻至运行5分钟到达之间的时间段内执行的至少一个操作与恶意行为的操作进行比较；

步骤270：判断已记录的待检测软件在运行4分50秒的时刻至运行5分钟到达之间的时间段内执行的至少一个操作中是否存在与恶意行为的操作相 匹配的操作，若是，确定待检测软件为恶意软件，否则，确定待检测软件为非恶意软件。

综上所述，本发明实施例中，在沙箱中运行待检测软件，并记录待检测软件在开始运行后预设时长内执行的至少一个操作；在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；若判定第一延时长度参数对应的延时时长大于预设时长，则将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件，在该方案中，在记录至少一个操作的过程中，检测到沙箱中的任意一个具有延时属性的接口被调用，及判定第一延时长度参数对应的延时时长大于预设时长时，认为恶意行为要延迟执行，此时，缩短延迟执行的延时时长，让恶意行为在记录待检测软件在开始运行后预设时长内执行的至少一个操作的过程中执行，那么恶意行为就可以提前暴露，可以实现有效监控，因此，可以提高检测恶意软件的准确度。

基于上述相应方法的技术方案，参阅图3所示，本发明实施例提供一种检测恶意软件的装置3000，该检测恶意软件的装置3000包括运行单元30、记录单元31、检测单元32、判断单元33、调整单元34、比较单元35，其中：

运行单元30，用于在沙箱中运行待检测软件；

记录单元31，用于记录待检测软件在开始运行后预设时长内执行的至少一个操作；

检测单元32，用于在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；

判断单元33，用于在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；

调整单元34，用于若判定第一延时长度参数对应的延时时长大于预设时长，将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；

比较单元35，用于将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。

本发明实施例中，可选的，调整单元34具体用于：

将被调用的接口的第一延时长度参数调整为第一延时长度参数和预设的调整参数的乘积，调整参数大于0且小于1。

本发明实施例中，可选的，预设的调整参数包括第一调整参数和第二调整参数，第一调整参数大于第二调整参数；

调整单元34将被调用的接口的第一延时长度参数调整为第二延时长度参数时，具体为：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第一调整参数的乘积；或者

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第二调整参数的乘积。

本发明实施例中，可选的，调整单元34具体用于：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第二延时长度参数；或者

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第三延时长度参数；

其中，第三延时长度参数对应的延时时长小于第二延时长度参数对应的延时时长。

本发明实施例中，进一步的，比较单元35还用于：

在预设时长到达前的预定时刻，将已记录的至少一个操作与恶意行为的操作进行比较；

还包括发送单元，用于基于已记录的至少一个操作中不存在与恶意行为 的操作相匹配的操作的比较结果，向沙箱发送软件运行结束消息；

记录单元31还用于：记录待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作；

比较单元35还用于：将已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作与恶意行为的操作进行比较，基于已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。

本装置实施例中提供的检测恶意软件的装置可以是方法实施例中沙箱所在的设备，或者设备中的一个功能模块，该装置可以集成在防火墙、网关设备等网络设备中，还可以集成于文件服务器或网页服务器中。检测恶意软件的装置可以实现的其他附加功能，请参照方法实施例中的描述，在这里不再赘述。

本发明实施例提供的检测恶意软件的装置在沙箱中运行待检测软件，并记录待检测软件在开始运行后预设时长内执行的至少一个操作；在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；若判定第一延时长度参数对应的延时时长大于预设时长，则将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。该装置通过在具有延时属性的接口被调用时，缩短延迟执行的延时时长，让恶意行为在记录待检测软件在开始运行后预设时长内执行的至少一个操作的过程中执行，那么恶意行为就可以提前暴露，可以实现有效监控，因此，可以提高检测恶意软件的效率和准确度。

如图4所示，为本发明实施例提供的检测恶意软件的装置3000的另一种结构示意图，包括至少一个处理器401，通信总线402，存储器403以及至少一个通信接口404。

其中，通信总线402用于实现上述组件之间的连接并通信，通信接口404 用于与外部设备连接并通信。

其中，存储器403用于存储有可执行的程序代码，处理器401通过执行这些程序代码，以用于：

在沙箱中运行待检测软件，并记录待检测软件在开始运行后预设时长内执行的至少一个操作；

在记录至少一个操作的过程中，检测沙箱中的至少一个具有延时属性的接口是否被调用；

在检测到任意一接口被调用时，判断被调用的接口的第一延时长度参数对应的延时时长是否大于预设时长；

若判定第一延时长度参数对应的延时时长大于预设时长，则将被调用的接口的第一延时长度参数调整为第二延时长度参数，第二延时长度参数对应的延时时长小于预设时长；

将已记录的至少一个操作与恶意行为的操作进行比较，基于已记录的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。

处理器401还用于：

将被调用的接口的第一延时长度参数调整为第一延时长度参数和预设的调整参数的乘积，调整参数大于0且小于1。

预设的调整参数包括第一调整参数和第二调整参数，第一调整参数大于第二调整参数；

处理器401还用于：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第一调整参数的乘积；或者

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第一延时长度参数与第二调整参数的乘积。

处理器401还用于：

获取沙箱所在设备的中央处理器的使用率；

将获取的使用率与预设使用率门限值进行比较；

基于使用率大于或者等于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第二延时长度参数；或者

基于使用率小于预设使用率门限值的比较结果，将被调用的接口的第一延时长度参数调整为第三延时长度参数；

其中，第三延时长度参数对应的延时时长小于第二延时长度参数对应的延时时长。

处理器401还用于：

在预设时长到达前的预定时刻，将已记录的至少一个操作与恶意行为的操作进行比较；

基于已记录的至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向沙箱发送软件运行结束消息；

记录待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作；

将已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作与恶意行为的操作进行比较，基于已记录的待检测软件在预定时刻至预设时长到达之间的时间段内执行的至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定待检测软件为恶意软件。

本发明实施例中，接口包括以下至少一个接口或多个接口的组合：

延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间的接口。

本装置实施例中提供的检测恶意软件的装置可以是方法实施例中沙箱所在的设备，该装置可以是防火墙、网关设备等网络设备，还可以是文件服务器或网页服务器。检测恶意软件的装置可以实现的其他附加功能，请参照方法实施例中的描述，在这里不再赘述。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通 过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (11)

1. 一种检测恶意软件的方法，其特征在于，包括：

   在沙箱中运行待检测软件，并记录所述待检测软件在开始运行后预设时长内执行的至少一个操作；

   在记录所述至少一个操作的过程中，检测所述沙箱中的至少一个具有延时属性的接口是否被调用；

   在检测到任意一所述接口被调用时，判断被调用的所述接口的第一延时长度参数对应的延时时长是否大于所述预设时长；

   若判定所述第一延时长度参数对应的延时时长大于所述预设时长，则将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，所述第二延时长度参数对应的延时时长小于所述预设时长；

   将已记录的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。
2. 如权利要求1所述的方法，其特征在于，将被调用的所述接口的第一延时长度参数调整为第二延时长度参数，具体包括：

   将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数和预设的调整参数的乘积，所述调整参数大于0且小于1。
3. 如权利要求2所述的方法，其特征在于，所述预设的调整参数包括第一调整参数和第二调整参数，所述第一调整参数大于所述第二调整参数；

   所述将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，具体包括：

   获取所述沙箱所在设备的中央处理器的使用率；

   将获取的使用率与预设使用率门限值进行比较；

   基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所 述第一调整参数的乘积；或者

   基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。
4. 如权利要求1所述的方法，其特征在于，所述将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，具体包括：

   获取所述沙箱所在设备的中央处理器的使用率；

   将获取的使用率与预设使用率门限值进行比较；

   基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数；或者

   基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第三延时长度参数；

   其中，所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时时长。
5. 如权利要求1-4任一项所述的方法，其特征在于，还包括：

   在所述预设时长到达前的预定时刻，将已记录的所述至少一个操作与恶意行为的操作进行比较；

   基于已记录的所述至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向所述沙箱发送软件运行结束消息；

   记录所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的至少一个操作；

   将已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。
6. 如权利要求1-5任一项所述的方法，其特征在于，所述接口包括以下 至少一个接口或多个接口的组合：

   延时一个进程的接口、延时多个进程的接口、延时定时器的接口、或获取系统时间的接口。
7. 一种检测恶意软件的装置，其特征在于，包括：

   运行单元，用于在沙箱中运行待检测软件；

   记录单元，用于记录所述待检测软件在开始运行后预设时长内执行的至少一个操作；

   检测单元，用于在记录所述至少一个操作的过程中，检测所述沙箱中的至少一个具有延时属性的接口是否被调用；

   判断单元，用于在检测到任意一所述接口被调用时，判断被调用的所述接口的第一延时长度参数对应的延时时长是否大于所述预设时长；

   调整单元，用于若判定所述第一延时长度参数对应的延时时长大于所述预设时长，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数，所述第二延时长度参数对应的延时时长小于所述预设时长；

   比较单元，用于将已记录的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述至少一个操作中存在与恶意行为的操作相匹配的操作的比较结果，确定所述待检测软件为恶意软件。
8. 如权利要求7所述的装置，其特征在于，所述调整单元具体用于：

   将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数和预设的调整参数的乘积，所述调整参数大于0且小于1。
9. 如权利要求8所述的装置，其特征在于，所述预设的调整参数包括第一调整参数和第二调整参数，所述第一调整参数大于所述第二调整参数；

   所述调整单元将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数时，具体为：

   获取所述沙箱所在设备的中央处理器的使用率；

   将获取的使用率与预设使用率门限值进行比较；

   基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被 调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第一调整参数的乘积；或者

   基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为所述第一延时长度参数与所述第二调整参数的乘积。
10. 如权利要求7所述的装置，其特征在于，所述调整单元具体用于：

    获取所述沙箱所在设备的中央处理器的使用率；

    将获取的使用率与预设使用率门限值进行比较；

    基于所述使用率大于或者等于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第二延时长度参数；或者

    基于所述使用率小于所述预设使用率门限值的比较结果，将被调用的所述接口的所述第一延时长度参数调整为第三延时长度参数；

    其中，所述第三延时长度参数对应的延时时长小于所述第二延时长度参数对应的延时时长。
11. 如权利要求7-10任一项所述的装置，其特征在于，所述比较单元还用于：

    在所述预设时长到达前的预定时刻，将已记录的所述至少一个操作与恶意行为的操作进行比较；

    还包括发送单元，用于基于已记录的所述至少一个操作中不存在与恶意行为的操作相匹配的操作的比较结果，向所述沙箱发送软件运行结束消息；

    所述记录单元还用于：记录所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的至少一个操作；

    所述比较单元还用于：将已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作与恶意行为的操作进行比较，基于已记录的所述待检测软件在所述预定时刻至所述预设时长到达之间的时间段内执行的所述至少一个操作中存在与恶意行为的操作相匹配

    的操作的比较结果，确定所述待检测软件为恶意软件。

Images