本发明公开了一种基于沙箱分析的恶意软件检测IOC指示器生成方法及装置，所述方法包括：构建类型‑行为数据库和家族‑行为数据库；获取目标软件和目标软件类型；将目标软件放入沙箱中进行分析，获得分析结果，将分析结果模糊化处理，得到模糊化后的动态行为；基于所述类型‑行为数据库，获取所述目标软件类型的模糊化后的恶意行为，并对模糊化后的动态行为和模糊化后的恶意行为交集，得到恶意行为集合；基于所述家族‑行为数据库，对所述恶意行为集合中的每一恶意行为进行评分，以得到IOC指示器生成结果。本发明在使用过程中无需重复训练模型，并且生成的IOC具有可解释性。