本文针对恶意软件分析沙箱中样本执行时间的设置问题进行了首次大规模研究。沙箱在执行恶意软件样本时，执行时间是关键参数：时间过短可能导致恶意行为未被触发，从而漏报；时间过长则会浪费计算资源，降低分析吞吐量。然而，目前缺乏明确的指导原则来选择最佳执行时间。为了填补这一空白，作者基于大规模数据集，系统研究了执行时间对收集到的事件数量和质量的影响。通过测量系统调用序列和代码覆盖率随时间的变化，作者刻画了在沙箱中能够观察到的运行时行为比例。此外，作者还实现了一种基于机器学习的恶意软件检测方法，并将其应用于不同时间窗口收集的数据，以评估不同时间点观察到的事件对检测能力的贡献。实验结果表明，较短的执行时间（如数秒）即可捕获大部分恶意行为的关键特征，但某些样本需要更长时间才能展现完整行为。研究为安全分析师提供了优化沙箱配置的量化依据，有助于在检测效果和资源消耗之间取得平衡。