本申请公开了一种沙箱检测方法、装置、设备及存储介质,涉及容器技术领域,包括:通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并根据所述目标虚拟机所在宿主机的硬件配置确定出待安装的容器的个数,得到目标容器个数;按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器;当所述目标虚拟机中的所述容器通过容器接口接收到外部提交的样本检测任务时,通过所述容器对所述样本检测任务中的样本进行执行。本申请通过在单台虚拟机中使用容器隔离技术,实现了进程执行环境的隔离,并在单台虚拟机中创建多个容器来并发检测样本,从而提高了单位时间内检测样本的数量及沙箱资源的利用率,有效减少了硬件资源的消耗。耗。耗。
【技术实现步骤摘要】
一种沙箱检测方法、装置、设备及存储介质
[0001]本申请涉及容器
,特别涉及一种沙箱检测方法、装置、设备及存储介质。
技术介绍
[0002]在APT(Advanced Persistent Threat,高级持续性威胁)攻击防御领域,通常使用沙箱技术来检测文件类型的病毒,沙箱技术是一种安全机制,为运行中的程序提供一个与真实操作系统的运行环境相隔离的虚拟运行环境。其中,虚拟运行环境包括虚拟文件系统、虚拟注册表和虚拟内存等。
[0003]目前,通常使用沙箱将恶意样本置于虚拟环境中运行并监控他的行为,沙箱所使用的隔离措施都是通过虚拟机实现的,然而虚拟机在运行过程中会消耗大量的硬件资源(如CPU(Central Processing Unit,中央处理器)、内存、磁盘等),因此影响了沙箱检测的效率。另外,为保证每次虚拟机运行样本的环境是干净的且不会受之前运行样本的干扰,每次样本运行前都要将虚拟运行环境重置为初始状态,并且每个虚拟机同时只能检测一个样本,上述重置过程也要消耗大量的磁盘和处理器资源,从而导致了样本沙箱分析的效率和性能低下。例如,通过虚拟机分析文件,并在每次分析完一个文件后都通过恢复虚拟机的快照的方式来还原虚拟机的操作系统,从而消耗了大量的时间和资源,并且在一个虚拟机中无法并行分析多个文件,严重拖慢了分析的效率。
[0004]综上,如何解决因沙箱需要运行在虚拟机中所带来的占用设备资源较高问题是本领域技术人员目前需要解决的问题。
技术实现思路
[0005]有鉴于此,本申请的目的在于提供一种沙箱检测方法、装置、设备及存储介质,能够并发检测样本,提高单位时间内检测样本的数量及沙箱资源的利用率,有效减少硬件资源的消耗。其具体方案如下:
[0006]第一方面,本申请公开了一种沙箱检测方法,包括:
[0007]通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并根据所述目标虚拟机所在宿主机的硬件配置确定出待安装的容器的个数,得到目标容器个数;
[0008]按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器;
[0009]当所述目标虚拟机中的所述容器通过容器接口接收到外部提交的样本检测任务时,通过所述容器对所述样本检测任务中的样本进行执行。
[0010]可选的,所述通过虚拟化技术安装待进行沙箱检测的目标虚拟机之前,还包括:
[0011]通过所述虚拟化技术分别为所述目标虚拟机及所述目标虚拟机中的所述容器创建虚拟网卡,得到虚拟机网卡和容器网卡,并为所述虚拟机网卡和所述容器网卡配置不同的IP网段,得到虚拟机IP网段和容器IP网段。
[0012]可选的,所述通过虚拟化技术安装待进行沙箱检测的目标虚拟机,包括:
[0013]通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并为所述目标虚拟机分配一
个空闲的IP地址,得到虚拟机IP地址;其中,所述虚拟机IP地址位于所述虚拟机IP网段内。
[0014]可选的,所述按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器,包括:
[0015]按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器,并为所述容器分配一个空闲的IP地址,得到容器IP地址;其中,所述容器IP地址位于所述容器IP网段内;
[0016]检验所述虚拟机IP地址和所述容器IP地址与外部之间的通信是否成功,若成功则制作所述目标虚拟机和所述容器的快照,得到初始快照。
[0017]可选的,所述通过所述容器对所述样本检测任务中的样本进行执行之后,还包括:
[0018]对所述检测任务中的所述样本的数量进行统计,得到统计结果;
[0019]判断所述统计结果是否达到预设检测值,若所述统计结果达到所述预设检测值则利用所述初始快照对所述目标虚拟机和所述容器的当前快照进行恢复。
[0020]可选的,所述通过所述容器对所述样本检测任务中的样本进行执行之后,还包括:
[0021]对所述样本执行结束后的日志进行获取,得到执行日志,以便通过所述执行日志判断所述样本是否为恶意样本。
[0022]可选的,所述沙箱检测方法,还包括:
[0023]在所述样本的执行过程中,对所述样本的执行时长进行统计,并判断所述执行时长是否超过了预设的时间阈值;
[0024]若所述执行时长超过了预设的所述时间阈值,则强制停止执行所述样本。
[0025]第二方面,本申请公开了一种沙箱检测装置,包括:
[0026]虚拟机安装模块,用于通过虚拟化技术安装待进行沙箱检测的目标虚拟机;
[0027]容器个数确定模块,用于根据所述目标虚拟机所在宿主机的硬件配置确定出待安装的容器的个数,得到目标容器个数;
[0028]容器创建模块,用于按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器;
[0029]样本执行模块,用于当所述目标虚拟机中的所述容器通过容器接口接收到外部提交的样本检测任务时,通过所述容器对所述样本检测任务中的样本进行执行。
[0030]第三方面,本申请公开了一种电子设备,包括处理器和存储器;其中,所述处理器执行所述存储器中保存的计算机程序时实现前述的沙箱检测方法。
[0031]第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述的沙箱检测方法。
[0032]可见,本申请先通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并根据所述目标虚拟机所在宿主机的硬件配置确定出待安装的容器的个数,得到目标容器个数,然后按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器,当所述目标虚拟机中的所述容器通过容器接口接收到外部提交的样本检测任务时,通过所述容器对所述样本检测任务中的样本进行执行。本申请通过在单台虚拟机中使用容器隔离技术,实现了进程执行环境的隔离,并在单台虚拟机中创建多个容器来并发检测样本,从而提高了单位时间内检测样本的数量及沙箱资源的利用率,有效减少了硬件资源的消耗。
附图说明
[0033]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0034]图1为本申请公开的一种沙箱检测方法流程图;
[0035]图2为本申请公开的一种具体的包含多容器的虚拟机结构图;
[0036]图3为本申请公开的一种具体的沙箱检测方法示意图;
[0037]图4为本申请公开的一种沙箱检测装置结构示意图;
[0038]图5为本申请公开的一种电子设备结构图。
具体实施方式
[0039]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种沙箱检测方法,其特征在于,包括:通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并根据所述目标虚拟机所在宿主机的硬件配置确定出待安装的容器的个数,得到目标容器个数;按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器;当所述目标虚拟机中的所述容器通过容器接口接收到外部提交的样本检测任务时,通过所述容器对所述样本检测任务中的样本进行执行。2.根据权利要求1所述的沙箱检测方法,其特征在于,所述通过虚拟化技术安装待进行沙箱检测的目标虚拟机之前,还包括:通过所述虚拟化技术分别为所述目标虚拟机及所述目标虚拟机中的所述容器创建虚拟网卡,得到虚拟机网卡和容器网卡,并为所述虚拟机网卡和所述容器网卡配置不同的IP网段,得到虚拟机IP网段和容器IP网段。3.根据权利要求2所述的沙箱检测方法,其特征在于,所述通过虚拟化技术安装待进行沙箱检测的目标虚拟机,包括:通过虚拟化技术安装待进行沙箱检测的目标虚拟机,并为所述目标虚拟机分配一个空闲的IP地址,得到虚拟机IP地址;其中,所述虚拟机IP地址位于所述虚拟机IP网段内。4.根据权利要求3所述的沙箱检测方法,其特征在于,所述按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器,包括:按照所述目标容器个数在所述目标虚拟机中创建多个不同的所述容器,并为所述容器分配一个空闲的IP地址,得到容器IP地址;其中,所述容器IP地址位于所述容器IP网段内;检验所述虚拟机IP地址和所述容器IP地址与外部之间的通信是否成功,若成功则制作所述目标虚拟机和所述容器的快照,得到初始快照。5.根据权利要求4所述的沙箱检测方法,其特征在于,所述通过所述容器对所述样本检测...
【专利技术属性】
技术研发人员:杜浩浩,李凯,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。