[发明专利]恶意文件的检测方法、装置、设备及存储介质

说明书

本申请提供了一种恶意文件的检测方法、装置、设备及存储介质，属于计算机技术领域。本申请提供了能实现跨平台动态检测恶意文件的方案，通过基于容器技术生成的虚拟运行环境，模拟出兼容测试文件的操作系统提供的运行环境，测试文件调用了虚拟运行环境提供的API后，则将虚拟运行环境被测试文件调用的API，转换为检测设备的操作系统提供的API，在检测设备的操作系统中执行转换后的API。由于通过执行检测设备的操作系统的API，达到了模拟执行第一操作系统的API的效果。因此，检测设备提供的虚拟运行环境能够兼容测试文件的正常运行，从而摆脱了测试文件对特定操作系统的依赖，因此实现了跨平台的恶意文件检测。

技术领域

本申请涉及计算机技术领域，特别涉及一种恶意文件的检测方法、装置、设备及存储介质。

背景技术

恶意文件是指包含有程序设计者出于攻击意图所编写的一段程序的文件。恶意文件能够在网络中传播，计算机能够从网络中接收到恶意文件。当计算机运行恶意文件时，会根据恶意文件包含的程序，执行信息窃取、感染或者勒索等恶意操作，极大地影响网络系统的安全性。有鉴于此，恶意文件的检测技术成为本领域的研究热点。

基于虚拟化运行环境的动态行为检测是一种新型的恶意文件检测技术。这一检测技术的优势在于能够发现未知的新的恶意文件。这一技术的基本原理是利用虚拟化技术生成一个和用户主机类似的虚拟化运行环境，例如一个虚拟机。在虚拟化运行环境中设置钩子函数，钩子函数用于拦截预定的应用编程接口(application programming interface，API)调用。在虚拟化运行环境中运行测试文件(即待检测的文件)，通过钩子函数获取待检测文件在运行过程中的一系列API调用，从而得到测试文件的动态行为。进一步根据得到的测试文件的动态行为判断测试文件是否是恶意文件。

目前的检测技术存在应用的局限性。例如从使用场景上看，目前的虚拟化技术只能运行于支持微软视窗操作系统(Windows)操作系统的检测设备中，否则测试文件无法运行而无法实现检测。

发明内容

本申请实施例提供了一种恶意文件的检测方法、装置、设备及存储介质，能够一定程度上解决现有恶意文件检测技术的局限性。

第一方面，提供了一种恶意文件的检测方法，在该方法中，检测设备获取测试文件，所述测试文件为基于第一操作系统运行的可执行文件；所述检测设备在虚拟运行环境中运行所述测试文件，所述虚拟运行环境是基于容器技术生成的；所述检测设备获取所述测试文件在运行过程中调用的第一API序列，所述第一API序列中包括至少一个API，所述第一API序列包括的API为第一API集合中的API，所述第一API集合包括所述虚拟运行环境提供的软件运行所需的多个API，所述第一API集合中的API的标识与第二API集合中的API的标识相同，所述第二API集合包括所述第一操作系统提供的软件运行所需的多个API；所述检测设备在第二操作系统中执行第二API序列，所述第二API序列中包括至少一个API，所述第二API序列包括的API为所述第二操作系统中的API，所述第二API序列中的第一API与所述第一API序列中的第一API具有映射关系，所述第二操作系统是基于所述检测设备的计算机指令集架构的操作系统；所述检测设备基于所述第一API序列被调用过程中所述测试文件的行为特征，判断所述测试文件是否为恶意文件。