一种恶意样本养殖高交互转化低交互的系统及方法技术方案

技术编号:15749879 阅读:64 留言:0更新日期:2017-07-03 15:37
本发明专利技术公开了一种恶意样本养殖高交互转化低交互的系统,包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息。本发明专利技术解决了现有技术中高交互的方式获取样本的网络信息,达到监控命令与控制服务器或攻击行为效率低下,需要耗费大量网络和实体资源来实现运行环境,才能达到效果的技术问题。

【技术实现步骤摘要】
一种恶意样本养殖高交互转化低交互的系统及方法
本专利技术涉及计算机安全
,更具体地涉及一种恶意样本养殖蜜网高交互转化低交互的系统及方法。
技术介绍
在现有技术中,根据养殖蜜网数据的交互程度可以将养殖蜜网技术分为两类:低交互养殖蜜网和高交互养殖蜜网。低交互养殖蜜网采用模拟技术,没有真实的操作系统和服务,交互程度低,只能根据已知漏洞模拟操作系统和应用程序的应答行为;高交互养殖蜜网运行在真实的操作系统上,部署真实的应用程序,可以构造真实的服务环境,捕获更丰富的攻击数据。目前,需要研究人员在沙箱内养殖大量恶意样本来通过获取样本的网络信息,达到监控命令与控制服务器或攻击行为,这种方式称为高交互的养殖方法。高交互的方式实现的效率较为低下,风险较高,需要耗费大量网络和实体资源来实现运行环境,才能达到效果,长期高并发的实现代价较大。
技术实现思路
为了解决上述技术问题,提供了根据本专利技术的一种恶意样本养殖高交互转化低交互的系统及方法。根据本专利技术的第一方面,提供了一种恶意样本养殖高交互转化低交互的系统。该系统包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息。在一些实施例中,所述高交互模块包括:获取子模块,用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据;比对子模块,用于比对不少于二次的首包数据,所述首包数据保持不变的记录为模拟重放数据。在一些实施例中,还包括:运行模块,用于模拟网络运行环境运行恶意行为,并在每次获取所述首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。在一些实施例中,所述获取子模块,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。在一些实施例中,所述首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。根据本专利技术的第二方面,提供一种恶意样本养殖高交互转化低交互的方法,包括:基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;基于模拟重放数据,对相同家族恶意行为发送首包数据,监听并获取恶意行为通信的网络信息。在一些实施例中,所述基于运行环境中不少于二次重运行恶意行为,获取恶意行为通信的首包数据,运行中保持不变的首包数据为模拟重放数据,包括:获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据;比对不少于二次的首包数据,首包数据保持不变的记录为模拟重放数据。在一些实施例中,还包括:模拟网络运行环境运行恶意行为,并在每次获取首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。在一些实施例中,所述获取不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。在一些实施例中,所述首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。通过使用本专利技术的方法和系统,利用沙箱的网络监控,获取真实的恶意行为首包,利用有限的网络和实体资源,仅发送高仿真的恶意行为首包,发挥最大限度的并发能力,依据持续运转的自动化模块,实现持续、自动化的监控恶意行为活动。可以满足自动化、高效的恶意样本的监控,利用有限的网络资源和其他实体资源实现高效的恶意样本监控,获取最新的恶意样本的情报资源。附图说明为了更清楚地说明本专利技术的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为根据本专利技术实施例的通信系统100的应用场景的示意图;图2为根据本专利技术实施例的一种恶意样本养殖高交互转化低交互的系统的框图;图3为根据本专利技术实施例的一种恶意样本养殖高交互转化低交互的系统高交互模块的框图;图4为根据本专利技术实施例的一种恶意样本养殖高交互转化低交互的方法的流程图。具体实施方式下面参照附图对本专利技术的优选实施例进行详细说明,在描述过程中省略了对于本专利技术来说是不必要的细节和功能,以防止对本专利技术的理解造成混淆。虽然附图中显示了示例性实施例,然而应当理解,可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本专利技术的范围完整的传达给本领域的技术人员。图1是示出了根据本专利技术的通信系统100的应用场景的示意图。如图1所示,通信系统100可以包括生产网络服务器110和命令与控制服务器120。生产网络服务器110可以通过通信网络130与命令与控制服务器120相连并与之进行通信。通信网络130可以是有线的或无线的。具体地,通信网络130的示例可以包括(但不限于):有线电缆或光纤型网络、或WLAN(“无线局域网”,可能是WiFi或者WiMAX型的)、或者还可能是蓝牙型的无线短距离通信网络。生产网络服务器110在网络环境下向命令与控制服务器120发送数据包,并接收命令与控制服务器120传过来的数据包,进行网络通信。生产网络服务器110中包括高交互沙箱111和低交互服务器112,低交互服务器112可以由用户A操作。根据本专利技术,高交互沙箱111能多次养殖并运行恶意代码样本,并向命令与控制服务器120发送并获取真实的数据包,通过部署在沙箱中的网络接口,可获取多次的首包数据,找到不变化的首包数据发送给低交互服务器112,通过低交互服务器112向命令与控制服务器120模拟重发这一首包数据,同时进行监听,以获取相同家族样本的网络信息。图2是示出了根据本专利技术的一种恶意样本养殖高交互转化低交互的系统的框图,如图2所示,系统包括:高交互模块210、低交互模块220和运行模块230,其中,运行模块230是可选的。高交互模块210,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;基于恶意代码行为样本,在沙箱运行环境中对样本进行养殖,通过部署在沙箱的网络接口中的高交互模块210获取命令与控制首包数据相关网络信息并储存。然后进行清洗数据环节,在沙箱中进行第二次养殖并再次获取命令与控制首包数据,也可多次养殖并获取首包数据,若两次首包数据不变则作为低交互的模拟重放数据。这里主要关注的信息是命令与控制首包数据,即沙箱的网络通信中高交互模块210第一次与命令与控制服务器三次握手后的首包,这个首包是由本地的高交互模块210向命令与控制服务器发出的第一个有通信内容的数据包。因为命令与控制服务器首包通常是内置在样本中的指令进行自动发送的,理论上来说,只要模拟样本中的指令自动发包的情况,就可以真实的收到命令与控制服务器发回的网络信息。进一步的,还可进行命令与控制行为,这时,可以对高交互产生的有害通信数据(比如DDoS数据)进行无害化处理,能有效阻止攻击行为。第一次运行恶意行为样本的目的是本文档来自技高网...
一种恶意样本养殖高交互转化低交互的系统及方法

【技术保护点】
一种恶意样本养殖高交互转化低交互的系统,其特征在于,包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息。

【技术特征摘要】
1.一种恶意样本养殖高交互转化低交互的系统,其特征在于,包括:高交互模块,用于基于运行环境中不少于二次重运行恶意行为,获取恶意行为网络通信的首包数据,运行中保持不变的首包数据为模拟重放数据;低交互模块,用于基于所述模拟重放数据,对相同家族恶意行为发送所述首包数据,监听并获取恶意行为通信的网络信息。2.根据权利要求1所述的系统,其特征在于,所述高交互模块包括:获取子模块,用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据;比对子模块,用于比对不少于二次的首包数据,所述首包数据保持不变的记录为模拟重放数据。3.根据权利要求1所述的系统,其特征在于,还包括:运行模块,用于模拟网络运行环境运行恶意行为,并在每次获取所述首包数据之后,重运行恶意行为前对所述模拟网络运行环境进行数据清洗。4.根据权利要求2所述的系统,其特征在于,所述获取子模块,用于部署在网络接口,监控连接网络发送数据,获取所述首包数据。5.根据权利要求1至4任一项所述的系统,其特征在于,所述首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包,由内置在所述恶意行为中的指令进行自动发送。6.一种恶意样本养殖高交互转化低交...

【专利技术属性】
技术研发人员:康学斌李拾萱肖新光
申请(专利权)人:深圳市安之天信息技术有限公司
类型:发明
国别省市:广东,44

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1