一种基于拟态思想的沙箱构建方法技术

本发明专利技术公开了一种基于拟态思想的沙箱构建方法，该方法能够主动防御对文件系统的恶意攻击。本发明专利技术设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块，通过对沙箱异构体构建模块来实现拟态沙箱的构造，通过对操作系统、恶意软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等方面对沙箱进行异构化处理，使得沙箱具有主动防御能力。当流量经过沙箱系统模块时，该模块会从全部沙箱异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体的异常率高于某个值时，对该异构体采取下线自清洗操作，最后，将裁决结果传输给监控平台，同时返回给业务系统。给业务系统。给业务系统。

【技术实现步骤摘要】
一种基于拟态思想的沙箱构建方法


[0001]本专利技术属于网络安全
，尤其涉及一种基于拟态思想的沙箱构建方法。

技术介绍

[0002]沙箱系统，又被称为未知威胁检测系统，主要在应用层面针对文件进行检测保护，防止恶意、有害的文件进入企业系统或在企业网络中流传，从而规避安全危害。沙箱系统主要部署在安全边界上，如“内外网边界”、“逻辑独立的两个DMZ区边界”、“物理边界”等，“内外网边界”主要指互联网与企业内网的边界，这个边界是最容易被人攻击的；“逻辑独立的两个DMZ区的边界”一般是指企业内网抽象出来的内部边界，各个区域之间物理隔离，或者物理项链但逻辑隔离，或逻辑上相连但资源上隔离；“物理接口边界”指的是USB接口等媒介边界问题，通过U盘将病毒木马从外部带入企业办公网，然后通过病毒木马的横向能力起到传播的效果。在这些边界上，沙箱系统一般保护三类系统：邮箱系统、有附件上传功能的业务系统、企业网盘等。传统的沙箱系统很难做到对恶意流量的精确检测，主动防御对文件系统的恶意攻击。

技术实现思路

[0003]本专利技术的目的在于针对现有技术的不足，提供一种基于拟态思想的沙箱构建方法。本专利技术将流量调度到异构模块的异构沙箱中，使得沙箱具有异构性，多样性和动态性，在完成沙箱应有功能的同时，使得攻击者攻击成功的概率大大降低。
[0004]本专利技术的目的是通过以下技术方案来实现的：一种基于拟态思想的沙箱构建方法，该方法包括以下步骤：
[0005](1)将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块；
[0006](2)搭建多个沙箱异构体，具体为：
[0007](2.1)部署N个沙箱系统A＝{e
i
|i＝1,2,...,N}，其中e
i
为第i个沙箱异构体；
[0008](2.2)在每个沙箱异构体e
i
中部署n个异构元素R＝{r
ij
,i＝1,2,...N；j＝1,2,...,n}，其中r
ij
表示第i个执行体上的第j个异构元素；
[0009](3)当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构体中等可能随机选择k个异构体，对选到的异构体e
i
进行计数，计数初始值A
i
＝0，若被选择到，则A
i
＝A
i
+1；
[0010](4)将流量分配到k个沙箱异构体上进行检测，得到k个检测结果H
l
，l＝1～k，其中H
l
∈{0,1}；
[0011](5)将异构体裁决结果H
l
发送给拟态裁决模块，拟态裁决模块通过加权投票方式得到最终裁决结果H，具体为：
[0012](5.1)计算加权和
[0013](5.2)若W＜0.5，则记H＝0。
[0014](5.3)若W≥0.5，则记H＝1；
[0015](6)根据步骤(5)中得到的H对k个异构体的误判结果进行计数，初始误判结果计数B
l
＝0，若H
l
≠H，则计B
l
＝B
l
+1；
[0016](7)计算k个异构体的误判率D
l
(l＝1,2,..,k)，取D
l
最大的异构体进行下线清洗操作；
[0017](8)将步骤(5)中得到的最终裁决结果H发送到监控平台同时返回给文件系统。
[0018]进一步地，所述步骤(2.2)中，对异构元素r
ij
的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容和文件分析检测的苛责要求等。
[0019]与现有技术相比，本专利技术具有如下有益效果：本专利技术采用拟态防御思想对沙箱架构进行优化，基于沙箱的性能及安全要求进行改进，具有如下特点：
[0020](1)采用拟态防御思想，能够扰乱攻击者对目标对象内部特征的探索和了解，防止沙箱被攻破，增加内部渗透者以及外部攻击者对沙箱的认知以及攻击难度；
[0021](2)采用拟态裁决的方法，确保流量过滤的正确性，降低了误报率；
[0022](3)优先替换异常率高的执行体，节省资源，加强系统可用性。
附图说明
[0023]图1是拟态沙箱系统总体架构图；
[0024]图2是沙箱系统详细架构图；
[0025]图3是拟态裁决模块架构图。
具体实施方式
[0026]本专利技术基于拟态防御思想设计了一种沙箱构造方法，能够主动防御对文件系统的恶意攻击。本专利技术设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块，通过对沙箱异构体构建模块来实现拟态沙箱的构造，通过对操作系统、模拟速度、恶意软件检测行为等方面对沙箱进行异构化处理，使得沙箱具有主动防御能力。当流量经过沙箱系统模块时，该模块会从全部沙箱异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体的异常率高于某个值时，对该异构体采取下线自清洗操作，最后，将裁决结果传输给监控平台，同时，返回给业务系统，通过设计多个异构模块优化了沙箱检测的准确率。
[0027]如图1所示，本专利技术一种基于拟态思想的沙箱构建方法，包括以下步骤：
[0028]1、将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块。
[0029]2、搭建多个沙箱异构体，如图2所示，具体为：
[0030]2.1、部署N个异构的沙箱系统A＝{e
i
|i＝1,2,...,N}，其中e
i
为第i个沙箱系统。
[0031]2.2、在每个沙箱系统e
i
中部署n个异构元素R＝{r
ij
,i＝1,2,...N；j＝1,2,...,n}，其中r
ij
为第i个沙箱系统e
i
上的第j个异构元素，对异构元素r
ij
的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等。
[0032]3、当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构的沙箱系统中等可能地随机选择k个沙箱系统，对选到的沙箱系统e
i
进行计数，计数器初始值A
i
＝0，若被选择到，则A
i
+1。
[0033]4、将流量分配到k个沙箱系统上进行检测，得到k个检测结果H
l
，l＝1～k，其中H
l
∈{0,1}；H
l
＝0表示为正常流量，H
l
＝1表示恶意流量。
[0034]5、将沙箱系统检测结果H
l
发送给拟态裁决模块，拟态裁决模块通过加权投票方式得到最终裁决结果H，如图3所示，具体为：
[0035]5.1、计算加权和其中，w<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于拟态思想的沙箱构建方法，其特征在于，该方法包括以下步骤：(1)将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块；(2)搭建多个沙箱异构体，具体为：(2.1)部署N个沙箱系统A＝{e
i
|i＝1,2,...,N}，其中e
i
为第i个沙箱异构体；(2.2)在每个沙箱异构体e
i
中部署n个异构元素R＝{r
ij
,i＝1,2,...N；j＝1,2,...,n}，其中r
ij
表示第i个执行体上的第j个异构元素；(3)当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构体中等可能随机选择k个异构体，对选到的异构体e
i
进行计数，计数初始值A
i
＝0，若被选择到，则A
i
＝A
i
+1；(4)将流量分配到k个沙箱异构体上进行检测，得到k个检测结果H
l
，l＝1～k，其中H...

【专利技术属性】
技术研发人员：吴春明，陈双喜，赵若琰，
申请(专利权)人：浙江大学，
类型：发明
国别省市：