【技术实现步骤摘要】
基于沙箱的恶意程序行为分析处理方法及系统
[0001]本公开属于恶意程序行为互联
,尤其涉及一种基于沙箱的恶意程序行为分析处理方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
[0003]近年来随着互联网快速发展,很多接入Internet的新型势力设备应运而生,使得全球接入互联网的设备数量快速提升,由此产生的新的商业模式以及人类与世界更紧密交互的需求也在逐渐发展起来,人们和硬件、机器与互联网之间的关联程度不断增强。毫不夸张的说,当今物联网以及嵌入式设备广泛分布于世界的各个角落,尽管其带来的优势是显而易见的,但由于这些设备或其中运行的程序的设计与实现缺乏安全性能,使得这些设备正成为当前网络犯罪分子的首选的攻击目标。而且恶意代码不仅会传播到个人设备上,还会以企业、组织和政府为目标进行定向化传播。许多研究表明在世界范围内,诸如Bashlite,Mirai,Tsunami,Psyb0t等恶意代码具有越来越高的危险性,尤其是受感染的设备超过100万,甚至包含IP...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱的恶意程序行为分析处理方法,其特征在于,其执行于网络编程虚拟执行环境中,所述方法包括:守护程序接收用户指令或根据配置信息,加载并启动沙箱程序的主要组件;通过任务管理组件监听通信接口,构建本地任务列表并连接到恶意样本数据库;根据沙箱配置文件运行来自恶意样本数据库中的任务;通过任务调度组件对获取的任务进行相关环境部署并生成配置文件,注册并启动沙箱实例控制组件;通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例;通过沙箱虚拟机代理组件监听通信接口,接收样本和配置信息,并运行恶样本;基于沙箱实例控制组件在沙箱实例全生命周期内进行恶意样本监控;同时,通过网络组件实时响应每个沙箱实例的网络请求;利用任务调度组件收集完成分析的任务,并对完成分析的任务进行后续处理。2.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例,具体为:进入从任务调度组件获得的任务工作目录,检查目录权限;读取并处理任务调度组件生成的配置文件;运行网络接口通信监听组件;运行沙箱实例并监控其状态,直至完成启动。3.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述通过网络组件实时响应每个沙箱实例的网络请求,具体为:利用通信转发组件充当源端第二跳、目的端第一跳路由器的角色,对通信流量进行截获,使用内置的网络流量识别组件分析流量性质;将扫描流量进行记录,并根据配置文件决定进行丢弃或转发;将C&C流量进行转发,并调用C&C处理组件对此类型流量进行处理;将攻击流量进行记录,并交由攻击交互处理组件进行处理;将其它类型流量交给在沙箱程序中注册的扩展组件进行处理或直接丢弃。4.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述主要组件包括任务管理组件、任务调度组件、沙箱实例控制组件及网络组件...
【专利技术属性】
技术研发人员:陈贞翔,李恩龙,朱宇辉,荆山,杨波,彭立志,赵川,
申请(专利权)人:济南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。