基于沙箱的恶意文件与APT攻击检测方法改进研究

本文对基于沙箱技术的恶意文件与APT攻击检测方法进行了研究,并提出一种轻量级多元融合检测方法。该方法利用虚拟机技术结合内核驱动实现轻量化的容器,在一个虚拟机中同时对多个可疑文件进行检测,互不干扰,达到快速检测的目的;通过加强沙箱逃逸对抗,提高检出率。此方法可以采集和分析网络流量,识别其中的可疑C&C IP/URL,根据APT攻击各个阶段的行为特征,从多个维度进行深层次的分析检测。测试结果表明,本文方法大大提高了恶意文件检测速率和检出比例,有效降低检测结果误报比率。