随着网络威胁的提升和APT攻击的出现,传统的恶意代码检测手段已经无法满足当前严峻的网络环境的要求,新型的网络威胁具有高隐蔽性、逃逸分析等特点。传统的杀毒软件及反病毒引擎均将特征码检测作为最基本的检测手段来检测已知类型的病毒。然而由于恶意样本处于不停的更新变化之中,因此恶意软件病毒特征库中的样本特征出现了极大幅度的增加,同时基于特征码的检测较易被针对性的绕过,使查杀识别率相对较低。为了克服静态扫描方法的缺陷,人们开始使用动态分析软件行为的方法来检测恶意软件。动态分析的方式包括行为分析、云查杀技术和沙箱分析技术。行为分析的检测手段将样本行为作为分析依据,可以识别未知的恶意样本,但存在误报的问题。云查杀技术是将样本上传至云端,利用云端的服务器对样本进行综合分析的技术,但是云查杀技术在较大用户量的基础上才能体现出优势性,并且对于用户隐私数据的侵犯一直饱受争议。沙箱技术作为一种较为安全的动态分析环境,可以自动化的分析未知的样本,记录样本在沙箱环境内的各种行为、网络通信、系统调用、注册表修改等操作,从而对样本的真实意图进行判定,同时恶意样本在沙箱内的运行不会对真实环境产生任何修改,因此是较为理想的分析环境。但是随着恶意软件的发展,部分恶意样本,包括APT攻击中出现的特种木马都具有了逃逸沙箱检测的能力,因此解决沙箱检测的逃逸的问题是现在的沙箱技术需要解决的难题。针对单一沙箱检测模式较为固定、易被恶意样本逃逸的问题,本文分析了当前恶意软件沙箱逃逸典型技术,提出了一种基于多层次行为差异的恶意样本逃逸行为检测框架。对恶意样本在不同层次的沙箱以及真实环境中生成的文件操作、网络通信、进程操作、注册表操作等行为进行记录,进行特征筛选以及标准化处理,通过Jaccard相似度算法来比较行为之间的相似度差异,进行层次划分并判定恶意样本逃逸行为,通过系统调用序列的对比确定出现的逃逸行为。实验结果显示,整体准确率为95.6%,检出率为90.1%,同时误报率低于5%。可以检测多种已知和未知逃逸行为,通过进一步分析可定位到样本具体逃逸行为。