本公开提供了一种基于沙箱的恶意程序行为分析处理方法及系统,其执行于网络编程虚拟执行环境中,所述方法包括:沙箱守护程序启动,加载配置信息并加载沙箱程序主要组件;任务管理组件进行一切必要初始化操作,并监听通信接口;任务管理组件开始运行任务针对每个任务生成工作环境;任务实例控制组件进入工作目录并准备开始任务;沙箱虚拟机代理组件配合任务实例控制组件开始任务;任务控制实例控制并报告任务状态;任务调度组件收集完成的任务,并调用各功能组件对任务进行处理并归档。用各功能组件对任务进行处理并归档。用各功能组件对任务进行处理并归档。
【技术实现步骤摘要】
基于沙箱的恶意程序行为分析处理方法及系统
[0001]本公开属于恶意程序行为互联
,尤其涉及一种基于沙箱的恶意程序行为分析处理方法及系统。
技术介绍
[0002]本部分的陈述仅仅是提供了与本公开相关的
技术介绍
信息,不必然构成在先技术。
[0003]近年来随着互联网快速发展,很多接入Internet的新型势力设备应运而生,使得全球接入互联网的设备数量快速提升,由此产生的新的商业模式以及人类与世界更紧密交互的需求也在逐渐发展起来,人们和硬件、机器与互联网之间的关联程度不断增强。毫不夸张的说,当今物联网以及嵌入式设备广泛分布于世界的各个角落,尽管其带来的优势是显而易见的,但由于这些设备或其中运行的程序的设计与实现缺乏安全性能,使得这些设备正成为当前网络犯罪分子的首选的攻击目标。而且恶意代码不仅会传播到个人设备上,还会以企业、组织和政府为目标进行定向化传播。许多研究表明在世界范围内,诸如Bashlite,Mirai,Tsunami,Psyb0t等恶意代码具有越来越高的危险性,尤其是受感染的设备超过100万,甚至包含IP摄像机,DVR和路由器等家用常见设备。在完成感染和控制之后,Bashlite等恶意代码可以通过简单协议或技术(例如UDP或TCP Flood)发起高达400Gbps的DDoS攻击。类似的恶意代码和由此产生的网络攻击事件严重危害了当今互联网安全。
[0004]恶意代码其实一直都存在,不过在过去相当长的一段时间内恶意代码主要是针对Windows系统的,鲜有Linux恶意代码,而且,即便是针对同一操作系统的恶意代码,也会因为具体的操作系统版本或不同的发行版而产生区别。此外,专利技术人发现,之前的恶意代码往往针对x86或x64架构进行设计,而目前随着个人移动终端、物联网以及嵌入式设备的广泛应用,这些设备的硬件平台上使用的往往不是上述两种架构,而是像MIPS、ARM架构的多架构实现,这一系列变化加之缺乏安全性方面的设计缺陷等诸多因素共同导致了如今网络上传播的各式各样的恶意代码。此外,对于不同硬件架构和系统,可能被其识别从而无法使其尽可能充分的暴露运行行为。而且目前恶意样本运行时会与真实网络进行通信,在分析恶意代码时如果直接放任其产生的流量至真实互联网,则无法确保网络上其他设备的安全性。
技术实现思路
[0005]本公开为了解决上述问题,提供了一种基于沙箱的恶意程序行为分析处理方法及系统,所述方案通过为不同架构、不同系统的恶意样本构建综合的适应性运行环境,模拟真实的设备信息以及虚拟网络,并配合灵活综合的分析,以获得尽可能全面的网络行为,进而提高恶意程序行为提取的实时性及准确性。
[0006]根据本公开实施例的第一个方面,提供了一种基于沙箱的恶意程序行为分析处理方法,其执行于网络编程虚拟执行环境中,所述方法包括:
[0007]守护程序接收用户指令或根据配置信息,加载并启动沙箱程序的主要组件;
[0008]通过任务管理组件监听通信接口,构建本地任务列表并连接到恶意样本数据库;
[0009]根据沙箱配置文件运行来自恶意样本数据库中的任务;
[0010]通过任务调度组件对获取的任务进行相关环境部署并生成配置文件,注册并启动沙箱实例控制组件;
[0011]通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例;
[0012]通过沙箱虚拟机代理组件监听通信接口,接收样本和配置信息,并运行恶样本;
[0013]基于沙箱实例控制组件在沙箱实例全生命周期内进行恶意样本监控;同时,通过网络组件实时响应每个沙箱实例的网络请求;
[0014]利用任务调度组件收集完成分析的任务,并对完成分析的任务进行后续处理。
[0015]进一步的,所述通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例,具体为:
[0016]进入从任务调度组件获得的任务工作目录,检查目录权限;
[0017]读取并处理任务调度组件生成的配置文件;
[0018]运行网络接口通信监听组件;
[0019]运行沙箱实例并监控其状态,直至完成启动。
[0020]进一步的,所述通过网络组件实时响应每个沙箱实例的网络请求,具体为:
[0021]利用通信转发组件充当源端第二跳、目的端第一跳路由器的角色,对通信流量进行截获,使用内置的网络流量识别组件分析流量性质;
[0022]将扫描流量进行记录,并根据配置文件决定进行丢弃或转发;
[0023]将C&C流量进行转发,并调用C&C处理组件对此类型流量进行处理;
[0024]将攻击流量进行记录,并交由攻击交互处理组件进行处理;
[0025]将其它类型流量交给在沙箱程序中注册的扩展组件进行处理或直接丢弃。
[0026]进一步的,所述主要组件包括任务管理组件、任务调度组件、沙箱实例控制组件及网络组件。
[0027]进一步的,所述方法还包括:通过任务管理组件对任务调度组件已报告完成的任务进行存储归档。
[0028]根据本公开实施例的第二个方面,提供了一种基于沙箱的恶意程序行为分析处理系统,包括:
[0029]预处理模块,其用于守护程序接收用户指令或根据配置信息,加载并启动沙箱程序的主要组件;通过任务管理组件监听通信接口,构建本地任务列表并连接到恶意样本数据库;
[0030]任务恶意行为分析处理模块,其用于根据沙箱配置文件运行来自恶意样本数据库中的任务;通过任务调度组件对获取的任务进行相关环境部署并生成配置文件,注册并启动沙箱实例控制组件;通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例;通过沙箱虚拟机代理组件监听通信接口,接收样本和配置信息,并运行恶样本;基于沙箱实例控制组件在沙箱实例全生命周期内进行恶意样本监控;同时,通过网络组件实时响应每个沙箱实例的网络请求;利用任务调度组件收集完成分析的任务,
并对完成分析的任务进行后续处理。
[0031]根据本专利技术实施例的第三方面,提供了一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的一种基于沙箱的恶意程序行为分析处理方法。
[0032]根据本专利技术实施例的第四方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的程序,所述处理器执行所述程序时实现如上所述的一种基于沙箱的恶意程序行为分析处理方法。
[0033]与现有技术相比,本公开的有益效果是:
[0034](1)本公开提出一种基于沙箱的恶意程序行为分析处理方法及系统,所述方案能够在同时分析多个恶意样本而不必担心系统资源问题,多个沙箱实例之间不会出现横向通信,有效避免了沙箱之间的干扰问题,其中发生沙箱实例终端或结束情况时,对其它正在运行的沙箱不构成影响。
[0035](2)本公开所述方案配合网络组件的扩展功能,能够实现再闭环网络流量分析,即不必借助真实互联网也能本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱的恶意程序行为分析处理方法,其特征在于,其执行于网络编程虚拟执行环境中,所述方法包括:守护程序接收用户指令或根据配置信息,加载并启动沙箱程序的主要组件;通过任务管理组件监听通信接口,构建本地任务列表并连接到恶意样本数据库;根据沙箱配置文件运行来自恶意样本数据库中的任务;通过任务调度组件对获取的任务进行相关环境部署并生成配置文件,注册并启动沙箱实例控制组件;通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例;通过沙箱虚拟机代理组件监听通信接口,接收样本和配置信息,并运行恶样本;基于沙箱实例控制组件在沙箱实例全生命周期内进行恶意样本监控;同时,通过网络组件实时响应每个沙箱实例的网络请求;利用任务调度组件收集完成分析的任务,并对完成分析的任务进行后续处理。2.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述通过沙箱实例控制组件接收任务调度组件的配置文件,并基于所述配置文件启动沙箱实例,具体为:进入从任务调度组件获得的任务工作目录,检查目录权限;读取并处理任务调度组件生成的配置文件;运行网络接口通信监听组件;运行沙箱实例并监控其状态,直至完成启动。3.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述通过网络组件实时响应每个沙箱实例的网络请求,具体为:利用通信转发组件充当源端第二跳、目的端第一跳路由器的角色,对通信流量进行截获,使用内置的网络流量识别组件分析流量性质;将扫描流量进行记录,并根据配置文件决定进行丢弃或转发;将C&C流量进行转发,并调用C&C处理组件对此类型流量进行处理;将攻击流量进行记录,并交由攻击交互处理组件进行处理;将其它类型流量交给在沙箱程序中注册的扩展组件进行处理或直接丢弃。4.如权利要求1所述的一种基于沙箱的恶意程序行为分析处理方法,其特征在于,所述主要组件包括任务管理组件、任务调度组件、沙箱实例控制组件及网络组件...
【专利技术属性】
技术研发人员:陈贞翔,李恩龙,朱宇辉,荆山,杨波,彭立志,赵川,
申请(专利权)人:济南大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。