蜜罐和沙箱相互增强的恶意程序行为处理方法及系统技术方案

本发明专利技术公开了蜜罐和沙箱相互增强的恶意程序行为处理方法及系统，蜜罐对恶意代码进行诱导捕获；将捕获的恶意代码及产生的信息发送给沙箱；沙箱生成代码运行环境配置文件；沙箱根据恶意代码运行环境配置文件，生成恶意代码运行环境；在恶意代码运行环境中，沙箱触发恶意代码的运行分析恶意代码的运行过程；沙箱对运行过程中的网络通信行为进行分析，并将网络通信行为发送给蜜罐和虚拟网络；蜜罐接收网络通信行为后，对已知网络通信行为进行交互，对未知网络通信行为通过记录沙箱与虚拟网络的交互过程进行学习提升捕获能力；学习过后的蜜罐，重新对恶意代码进行诱导捕获。使蜜罐更高效的捕获恶意样本以及使沙箱更高效安全的分析恶意样本。析恶意样本。析恶意样本。

【技术实现步骤摘要】
蜜罐和沙箱相互增强的恶意程序行为处理方法及系统


[0001]本专利技术涉及恶意程序处理
，特别是涉及蜜罐和沙箱相互增强的恶意程序行为处理方法及系统。

技术介绍

[0002]本部分的陈述仅仅是提到了与本专利技术相关的
技术介绍
，并不必然构成现有技术。
[0003]在传统的概念中，蜜罐是一种用于捕获恶意样本的装置获程序，而沙箱则可以对恶意样本进行各种详尽的分析，这两个概念从原理上是彼此隔离的。但是在目前的蜜罐和沙箱布署情况来看，二者往往在进行彼此隔离的工作而仅有较少的交互行为。对于蜜罐来说，蜜罐捕获恶意代码后会将其送至沙箱子程序处进行分析，但在此过程中，蜜罐子程序会先于沙箱子程序与恶意代码进行通信，同时由于恶意代码通常存在于网络当中，所以蜜罐子程序也通常会先进性网络层面的交互，随后才会有其它行为。那么在此过程中，网络通信时如果蜜罐的模拟交互足够逼真，则可以尽可能多的使恶意代码暴露更多的行为，而这些行为往往会包含非常多且重要的信息，例如恶意代码使用何种协议通、过何种端口以何种形式进行何种行为等，这些信息恰好就是沙箱子程序分析恶意代码所需要的，如果能够将这些信息进行利用，则可以大大强化沙箱子程序前期准备的过程。同时对于沙箱而言，恶意代码在其中运行则可以暴露更加丰富的恶意行为，这些行为可以被收集起来用以帮助蜜罐强化捕获能力。此外，蜜罐在进行恶意样本捕获时，为了能够提升捕获安全性，也需要对恶意代码的一些网络行为进行无害化处理，而这种需求在沙箱中也是存在的，如果能够将相关的网络功能解耦出来，那么我们就能够更加灵活的相关网络功能进行开发和维护，从而尽可能提升蜜罐和沙箱对虚拟网络使用效率。但是上述考虑目前并未有相关技术实现。

技术实现思路

[0004]为了解决现有技术的不足，本专利技术提供了蜜罐和沙箱相互增强的恶意程序行为处理方法及系统；该系统能够使蜜罐先行接触样本并预收集基本的恶意样本运行信息，并将这些信息告知沙箱子程序；随后沙箱根据这些信息运行恶意样本，并将恶意样本产生的恶意流量重定向至蜜罐，以此帮助蜜罐充分了解恶意样本的其它交互过程，以帮助自身提升样本捕获能力。上述过程周而复始，最终使得蜜罐子程序与沙箱子程序互相强化，使蜜罐更高效的捕获恶意样本以及使沙箱更高效安全的分析恶意样本。
[0005]第一方面，本专利技术提供了蜜罐和沙箱相互增强的恶意程序行为处理方法；
[0006]蜜罐和沙箱相互增强的恶意程序行为处理方法，包括：
[0007]蜜罐系统和沙箱系统建立通信连接；
[0008]蜜罐系统对恶意代码进行诱导和捕获；
[0009]蜜罐系统将捕获的恶意代码、蜜罐系统与恶意代码交互的信息以及捕获过程中产生的信息发送给沙箱系统；沙箱系统根据蜜罐系统传递过来的信息，生成恶意代码的运行环境配置文件；
[0010]沙箱系统根据恶意代码的运行环境配置文件，生成恶意代码的运行环境；在恶意代码的运行环境中，沙箱系统触发恶意代码的运行，并分析恶意代码的运行过程；
[0011]沙箱系统对运行过程中的网络通信行为进行分析，并将网络通信行为发送给蜜罐系统和虚拟网络；
[0012]蜜罐系统接收网络通信行为后，对已知网络通信行为进行交互，对未知网络通信行为，通过记录沙箱系统与虚拟网络的交互过程进行学习，以提升蜜罐系统的捕获能力；
[0013]学习过后的蜜罐系统，重新对恶意代码进行诱导和捕获。
[0014]第二方面，本专利技术提供了蜜罐和沙箱相互增强的恶意程序行为处理系统；
[0015]蜜罐和沙箱相互增强的恶意程序行为处理系统，包括：
[0016]通信连接模块，其被配置为：蜜罐系统和沙箱系统建立通信连接；
[0017]诱导和捕获模块，其被配置为：蜜罐系统对恶意代码进行诱导和捕获；
[0018]配置文件生成模块，其被配置为：蜜罐系统将捕获的恶意代码、蜜罐系统与恶意代码交互的信息以及捕获过程中产生的信息发送给沙箱系统；沙箱系统根据蜜罐系统传递过来的信息，生成恶意代码的运行环境配置文件；
[0019]运行过程分析模块，其被配置为：沙箱系统根据恶意代码的运行环境配置文件，生成恶意代码的运行环境；在恶意代码的运行环境中，沙箱系统触发恶意代码的运行，并分析恶意代码的运行过程；
[0020]发送模块，其被配置为：沙箱系统对运行过程中的网络通信行为进行分析，并将网络通信行为发送给蜜罐系统和虚拟网络；
[0021]能力提升模块，其被配置为：蜜罐系统接收网络通信行为后，对已知网络通信行为进行交互，对未知网络通信行为，通过记录沙箱系统与虚拟网络的交互过程进行学习，以提升蜜罐系统的捕获能力；
[0022]返回模块，其被配置为：学习过后的蜜罐系统，重新对恶意代码进行诱导和捕获。
[0023]与现有技术相比，本专利技术的有益效果是：
[0024](1)我们提出了一种蜜罐和沙箱相互增强的恶意程序行为处理方法及系统，在该系统中我们在软件和网络层面打通了蜜罐系统与沙箱系统的壁垒，使其成为一个能够综合处理恶意代码的系统。这个系统能够对从系统和网络两个方面使用一个样本同时为蜜罐系统和沙箱系统提供各自有用的数据。
[0025](2)在我们提出的系统中，蜜罐系统能够利用先于沙箱系统与恶意代码交互的优势，获得能够支持恶意代码正确运行的先决条件和情报，帮助沙箱系统对分析环境进行仿真和复现，提升沙箱系统的综合性能。
[0026](3)沙箱系统在运行的过程中，能够利用环境的隔离特性和沙箱分析能力尽可能多大触发恶意代码的行为，其中的网络通信行为就可以被用来进行闭环网络通信分析以降低恶意行为对外泄露的风险，同时因为暴露的更多的恶意行为和离线分析，蜜罐系统基本无需担心被恶意代码识别从而导致与蜜罐交互的风险，而且在交互过程中，对于未知的通信协议和通信方式，蜜罐系统能够对交互过程进行学习，从而提升自己对新协议的识别和兼容能力。
[0027](4)捕获能力增强后的蜜罐系统能够捕获更多家族和类型的恶意代码，这些代码可以暴露更多的恶意行为，结合沙箱系统的闭环分析过程，蜜罐和沙箱相互增强的恶意程
序行为处理系统不断积极正向的增强。
附图说明
[0028]构成本专利技术的一部分的说明书附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。
[0029]图1为本专利技术实施例一的整体流程图；
[0030]图2为本专利技术实施例一的蜜罐指导沙箱环境布署流程图；
[0031]图3为本专利技术实施例一的沙箱引导流量状态变化流程图；
[0032]图4为本专利技术实施例一的流量连接状态追踪流程图。
具体实施方式
[0033]应该指出，以下详细说明都是示例性的，旨在对本专利技术提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本专利技术所属
的普通技术人员通常理解的相同含义。
[0034]需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本专利技术的示本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，包括：蜜罐系统和沙箱系统建立通信连接；蜜罐系统对恶意代码进行诱导和捕获；蜜罐系统将捕获的恶意代码、蜜罐系统与恶意代码交互的信息以及捕获过程中产生的信息发送给沙箱系统；沙箱系统根据蜜罐系统传递过来的信息，生成恶意代码的运行环境配置文件；沙箱系统根据恶意代码的运行环境配置文件，生成恶意代码的运行环境；在恶意代码的运行环境中，沙箱系统触发恶意代码的运行，并分析恶意代码的运行过程；沙箱系统对运行过程中的网络通信行为进行分析，并将网络通信行为发送给蜜罐系统和虚拟网络；蜜罐系统接收网络通信行为后，对已知网络通信行为进行交互，对未知网络通信行为，通过记录沙箱系统与虚拟网络的交互过程进行学习，以提升蜜罐系统的捕获能力；学习过后的蜜罐系统，重新对恶意代码进行诱导和捕获。2.如权利要求1所述的蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，蜜罐系统和沙箱系统建立通信连接；具体过程包括：通过通信接口建立蜜罐系统和沙箱系统之间的第一传输通道；所述第一传输通道，用于传输蜜罐系统发送给沙箱系统的恶意代码软件层面交互数据；所述软件层面交互数据，包括：所使用通信协议、运行环境、基础依赖库、交互方式和认证信息；通过虚拟网络建立蜜罐系统和沙箱系统之间的第二传输通道；所述第二传输通道，用于实现沙箱系统将恶意代码运行时交互通信行为发送给蜜罐系统，以及实现蜜罐系统与沙箱系统之间的交互响应通信。3.如权利要求1所述的蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，蜜罐系统对恶意代码进行诱导和捕获；具体包括：蜜罐系统与设定协议或设定交互方式的恶意代码进行交互；在交互过程中，蜜罐系统记录恶意代码的登录方式、恶意代码的系统信息、恶意代码所调用网络功能、恶意代码的命令调用参数以及恶意代码的操作信息；在交互过程中，蜜罐系统对写入操作和修改操作进行审计处理，记录写入数据或修改数据；记录写入操作和修改操作所涉及的文件路径和数据变量；记录写入操作和修改操作的执行顺序；蜜罐系统对远端交互程序进行诱骗，捕获恶意代码的可执行文件。4.如权利要求1所述的蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，蜜罐系统将捕获的恶意代码、蜜罐系统与恶意代码交互的信息以及捕获过程中产生的信息发送给沙箱系统；沙箱系统根据蜜罐系统传递过来的信息，生成恶意代码的运行环境配置文件；具体包括：蜜罐系统将捕获的恶意代码、蜜罐系统与恶意代码交互过程中获取的信息存储于共享存储数据库中，并且通过通信接口通知沙箱系统当前记录的基本信息，同时根据预先配置追加紧急程度标识；沙箱系统监控与蜜罐系统的通信接口，并在内部维护一张任务列表，根据列表中的任务数量以及任务紧急程度决定将新任务加入到任务列表中的时间；
沙箱系统读取共享存储数据库的数据，根据共享存储数据库的数据进行分析处理生成沙箱的运行配置文件；对沙箱的运行配置文件进行预处理，得到恶意代码的运行环境配置文件。5.如权利要求4所述的蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，所述根据列表中的任务数量以及任务紧急程度决定将新任务加入到任务列表中的时间；具体包括：如果沙箱系统被配置为顺序执行且任务并不紧急，则沙箱忽略通信接口的当前新追加条目所产生的记录信息；如果任务紧急，则根据紧急程度标识，调整新任务至任务队列的设定位置；如果沙箱系统当前空闲或者被配置为蜜罐系统提交任务优先，则沙箱系统从与蜜罐系统的通信接口接收消息并且立刻开始任务；或者，沙箱系统读取共享存储数据库的数据，根据共享存储数据库的数据进行分析处理生成沙箱的运行配置文件；具体包括：沙箱系统读取共享存储数据库的数据，根据共享存储数据库中的信息，读取对应的文件，为分析任务创建工作目录作为独立工作环境，并将获取的文件存入工作环境；使用静态分析工具提取待分析样本的架构信息、版本信息、依赖库信息、编译信息，并依据上述各项信息整理成静态分析输出；将静态分析输出与从蜜罐获取的样本信息进行比对，对于不一致的项进行比对，如果不一致的项为互斥选项，则交由沙箱系统对样本信息进行核对；对于非互斥选项，则将双方信息进行汇总整理；根据汇总后的信息生成沙箱最终运行的配置文件，成为运行配置文件；或者，对沙箱的运行配置文件进行预处理，得到恶意代码的运行环境配置文件；具体包括：将架构信息、网络硬件配置信息和硬件基本配置信息用于构建沙箱运行环境的配置信息作为运行配置文件内容；将蜜罐系统命令执行顺序、文件操作现场、系统服务操作及调用现场和环境变量等系统层面信息作为运行环境配置文件；对于涉及的待还原的系统软件包和文件操作均被存放在沙箱工作目录中以文件形式存放，将文件的作用以及使用过程记录在运行环境配置中；最终，沙箱系统根据运行配置文件，生成并写入执行配置文件和运行环境配置文件。6.如权利要求1所述的蜜罐和沙箱相互增强的恶意程序行为处理方法，其特征是，沙箱系统根据恶意代码的运行环境配置文件，生成恶意代码的运行环境；在恶意代码的运行环境中，沙箱系统触发恶意代码的运行，并分析恶意代码的运行过程；具体包括：沙箱系统读取执行配置文件，并根据内容选择对应的硬件架构进行模拟，启动沙箱实例；所述沙箱实例，是指分析一个沙箱任务的进程；沙箱实例运行后，沙箱系统跟踪沙箱实例启动状态并与沙箱实例中的代理程序进行通信，沙箱系统读取运行环境配置文件，将运行环境配置文件涉及到的所有文件发送至沙箱实例内部，等待沙箱实例内代理程序读取配置文件以及完成所有布署工作；
沙箱实例内的代理程序接收所有文件后，读取运行环境配置文件，根据运行环境配置文件的配置安装所需要的文件；配置操作完成后，沙箱系统根据执行配置文件调整系统防火墙以及网络通信捕获策略，随后进行基本分析功能测试以检查各沙箱实例内部模块运行情况；沙箱系统开始对沙箱实例网络通信进行监听和捕获并且触发待分析样本；沙箱实例内部持续监控样本的系统层面活动，沙箱实例外部的通信监听模块负责持续记录样本运行过程中产生的一切网络通信，并且实时监测其网络通信状况。7.如权利要求1所述的蜜罐和沙箱相互增强的恶意...

【专利技术属性】
技术研发人员：陈贞翔，李恩龙，朱宇辉，荆山，赵煜，安茂波，杨波，彭立志，潘泉波，
申请(专利权)人：国家计算机网络与信息安全管理中心山东分中心，
类型：发明
国别省市：