一种队列式沙箱文件处理方法技术

本发明专利技术公开了一种队列式沙箱文件处理方法，该发明专利技术通过更改沙箱处理文件的模式，将原来的纯数据库处理优化成数据库+文件队列处理。这种新型的处理方式修正了沙箱原有的行为，减少了内置数据库负载，大大降低了沙箱假死的机率。

【技术实现步骤摘要】
一种队列式沙箱文件处理方法
本专利技术涉及恶意文件检测及处理领域，特别涉及一种队列式沙箱文件处理方法。
技术介绍
随着计算机技术不断发展，网络安全已经成为信息互联绕不过去的一个问题。在企业应用中，多台计算机连接成局域网的情况并不少见，由于这些局域网一般与业务主机连通，数据能在局域网内自由传递。假如局域网内有一台计算机受到到恶意文件的攻击，全网的安全也就岌岌可危。尤其是业务主机或网关被攻击时，更是会让整个局域网完全瘫痪。然而，由于局域网的规模一般比较大，无法在各主机中监控主机使用者的网络行为，所以一般会采取在网关处架设防火墙等方式来检测来往流量。同时，对于网络封包中的文件，也会采用一些隔离与保护措施。而沙箱就是其中之一。沙箱是一种动态监测技术，通过搭建一个模拟的计算机环境，让恶意文件与代码在这个模拟的计算机环境中运行，通过钩子程序注入与事件监听，获取恶意文件的动态运行情况，再根据这些情况来判别文件的恶意程度。根据这些有效的信息，就可以从大量的文件中筛选出攻击系统的恶意病毒。其中的一个应用典范使用多种虚拟机软件作为其模拟环境，模拟出不同的操作系统，以满足不同平台下的文件检测。沙箱一般由宿主机(host)、客户机(guest)两部分构成。通过创建Socket绑定端口进行网络通信，沙箱在客户机上搭建服务端(server)，在宿主机上搭建客户端(client)，通过HTTP通信中的HOST与GET方法在宿主机与客户机之间相互传递命令与数据。用户可以对有疑问的文件进行沙箱文件提交操作。接受到提交的文件之后，沙箱寻找打开文件的打开方式，通过调用客户机的命令行唤醒相应的应用程序，然后注入钩子开始监听。监听的结果将被传递到宿主机，并以json文件格式记录。之后沙箱再根据json文件和相应的规则脚本计算出文件的恶意程度。现有的大部分沙箱只用到纯数据库操作，沙箱主程序不断读取数据库，根据数据库结果来执行文件。然而，由于沙箱绑定的数据库是多态的，难以对用户使用的数据库进行控制，无法判断沙箱数据表当前的状态。因此，当出现文件任务运行假死的情况时，整个沙箱系统就会趋近瘫痪。如果通过杀死沙箱进程的方法来停止任务，就需要重新提交文件，用户体验较差，其不稳定性也导致了难以作为工业应用。为解决沙箱的瘫痪问题，保持沙箱任务链的持续运转，本专利技术采取了一种新型的队列式文件处理方法。使用此方法后，沙箱假死的情况基本消失。
技术实现思路
为克服现有技术的不足，本专利技术通过缓存任务队列，实时监测沙箱状态，根据沙箱运行状态及任务运行状态进行合理提交任务至沙箱处理。并且，优化了沙箱任务处理内容，根据文件类型与前置病毒检测进一步减少沙箱任务数量。本专利技术本专利技术技术方案带来的有益效果：本专利技术减少了沙箱查询数据库的次数，减少了沙箱任务检测数量。本专利技术优化了多个沙箱任务检测均衡分配，最大化合理分配检测任务。自封装和解析JSON组件，JSON支持多种开发语言，便于服务端解析，数据库格式比较简单，易于读懂，而且是一种轻量级的数据交换格式。在本方案中作为一种中间中转组件，实现数据封装，类型转换，数据解析，实现任意两个数据库之间数据同步，并且具有很好的扩展性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1是本专利技术的流程图；具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，及本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。系统中提供不同模块的同步方法，其特征包括以下步骤：1.外端程序使用tcpsocket连接沙箱优化程序，外端程序进行协议还原与文件还原，调用JSON组件将数据按照自定义格式封装成JSON格式的字串发送给沙箱优化程序；1.1启动外端程序实时检测协议，并进行协议还原与文件还原；1.2调用JSON组件封装数据，转换类型为自定义类型，生成JSON字串。2.使用tcp协议通过socket发送JSON字串至沙箱优化程序；3.沙箱优化程序使用tcp协议通过socket接收，根据配置信息，调用解析JSON组件，解析JSON字串，进行病毒扫描与沙箱任务导入，重组数据，导入数据到目的数据库。3.1沙箱优化程序接收JSON字串后调用解析组件，解析数据；3.2沙箱优化程序获取本地配置表参数；3.3根据配置参数进行病毒扫描。3.4根据配置参数进行沙箱任务导入。3.5重组数据将数据导入相应的目的数据库。。具体实施步骤如下：1)数据收集封装：外端程序实时检测协议，并进行协议还原与文件还原，之后将数据进行内部格式转换，封装成JSON格式的数据包；a.调用发送模块将JSON数据包发送至沙箱优化接收程序。2)数据分发解析：沙箱优化接收程序调用JSON组件解析数据包，进行病毒扫描与沙箱任务缓存，将接收数据重组，将数据导入目的数据库；a.沙箱优化接收程序监听指定端口，读取JSON数据包；b.读取本地配置参数；c.沙箱优化接收程序调用JSON组件，解析数据包，根据本地配置参数进行病毒扫描与沙箱任务缓存；d.重组数据，连接目的数据库，导入数据。案例说明：1.PostgreSQL作为目的数据库，沙箱优化程序导入目的数据库的3条语句：2.通过组件封装成JSON数据包：3.解析后进行病毒扫描重组数据，通过组件封装成JSON数据包：以上对本专利技术实施例所提供的一种队列式沙箱文件处理方法进行了详细介绍。本文中应用了具体个例对本专利技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本专利技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本专利技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本专利技术的限制。本文档来自技高网...

【技术保护点】
1.一种队列式沙箱文件处理方法，其特征在于启动外端程序实时检测协议进行协议还原与文件还原；调用JSON组件封装数据，转换类型为自定义类型，生成JSON字串。

【技术特征摘要】
1.一种队列式沙箱文件处理方法，其特征在于启动外端程序实时检测协议进行协议还原与文件还原；调用JSON组件封装数据，转换类型为自定义类型，生成JSON字串。2.如权利要求1所述的文件处理方法，使用tcp协议通过socket发送JSON字串至沙箱优化程序；沙箱优化程序使用tcp协议通过socket接收，根据配置信...

【专利技术属性】
技术研发人员：杨育斌，唐硕，柯宗贵，
申请(专利权)人：蓝盾信息安全技术有限公司，
类型：发明
国别省市：广东,44