本申请涉及一种基于沙箱的网络行为捕获方法及装置。该方法包括:沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置;沙箱虚拟机上的恶意程序向外网服务器发起连接请求;模拟服务器基于所述连接请求和所述恶意程序建立通信连接;沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为。本申请涉及的基于沙箱的网络行为捕获方法及装置,能够在离线沙箱中捕获到恶意程序的网络行为,使得沙箱系统具有较高的安全性的同时,能更大可能的诱发恶意程序的行为。的诱发恶意程序的行为。的诱发恶意程序的行为。
【技术实现步骤摘要】
基于沙箱的网络行为捕获方法及装置
[0001]本公开涉及计算机信息处理领域,具体而言,涉及一种基于沙箱的网络行为捕获方法及装置。
技术介绍
[0002]沙箱在计算机领域指一种虚拟执行技术,多用于计算机安全技术。可以把样本放在沙盒中运行,沙箱中的所有改动对操作系统不会造成任何损失。通常这种技术被计算机技术人员广泛使用,尤其是计算机反病毒行业,沙箱是一个观察计算机病毒的重要环境。沙箱早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙箱环境中运行。经典的沙箱系统的实现途径一般是通过拦截系统调用,监视程序行为,然后依据用户定义的策略来控制和限制程序对计算机资源的使用,比如改写注册表,读写磁盘等。
[0003]在监视程序行为时,网络行为监视是很重要的一部分,通过捕获网络行为可以截取程序请求的恶意服务器,获取外网恶意IP地址、域名、url等信息。然而开放的网络与沙箱本身隔离的独立环境相违背,有些用户不愿意提供外网资源给沙箱环境。
[0004]因此,需要一种新的基于沙箱的网络行为捕获方法及装置。
[0005]在所述
技术介绍
部分公开的上述信息仅用于加强对本申请的背景的理解,因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。
技术实现思路
[0006]有鉴于此,本申请提供一种基于沙箱的网络行为捕获方法及装置,能够在离线沙箱中捕获到恶意程序的网络行为,使得沙箱系统具有较高的安全性的同时,能更大可能的诱发恶意程序的行为。
[0007]本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
[0008]根据本申请的一方面,提出一种基于沙箱的网络行为捕获方法,该方法包括:沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置;沙箱虚拟机上的恶意程序向外网服务器发起连接请求;模拟服务器基于所述连接请求和所述恶意程序建立通信连接;沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为。
[0009]在本申请的一种示例性实施例中,沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置,包括:所述沙箱虚拟机与所述沙箱宿主机通过host
‑
only连接;所述沙箱宿主机上设置对应于host
‑
only连接的网卡。
[0010]在本申请的一种示例性实施例中,沙箱虚拟机上的恶意程序向外网服务器发起连接请求,包括:沙箱虚拟机上的恶意程序基于三次握手过程向外网服务器发起所述连接请求。
[0011]在本申请的一种示例性实施例中,模拟服务器基于所述连接请求和所述恶意程序
建立通信连接,包括:沙箱虚拟机上的恶意程序发送SYN报文至外网服务器;所述模拟服务器通过网卡监听所述SYN报文;基于所述SYN报文所述模拟服务器构造返回报文;基于所述返回报文和所述恶意程序建立通信连接。
[0012]在本申请的一种示例性实施例中,所述模拟服务器通过网卡监听所述SYN报文,包括:所述模拟服务器通过libpcap技术监听网卡中的所述SYN报文。
[0013]在本申请的一种示例性实施例中,基于所述SYN报文所述模拟服务器构造返回报文,包括:提取所述SYN报文中的源IP地址和目的IP地址;通过所述源IP地址和所述目的IP地址构造所述返回报文。
[0014]在本申请的一种示例性实施例中,通过所述源IP地址和所述目的IP地址构造所述返回报文,包括:通过PcapPlusPlus技术基于所述源IP地址和所述目的IP地址构造所述返回报文。
[0015]在本申请的一种示例性实施例中,基于所述返回报文和所述恶意程序建立通信连接,包括:恶意程序获取所述返回报文;恶意程序基于所述返回报文生成ACK报文并发送出去;所述模拟服务器基于所述返回报文和所述恶意程序建立通信连接。
[0016]在本申请的一种示例性实施例中,沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为,包括:沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的HTTP GET请求;基于所述HTTP GET请求提取URL信息;模拟服务器监听到HTTP GET请求后生成回应报文。
[0017]在本申请的一种示例性实施例中,模拟服务器监听到HTTP GET请求后生成回应报文,包括:模拟服务器监听到HTTP GET请求后生成ACK报文进行确认;构造HTTP 200回应报文并发送回所述恶意程序。
[0018]根据本申请的一方面,提出一种基于沙箱的网络行为捕获装置,该装置包括:设置模块,用于沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置;请求模块,用于沙箱虚拟机上的恶意程序向外网服务器发起连接请求;连接模块,用于模拟服务器基于所述连接请求和所述恶意程序建立通信连接;捕获模块,用于沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为。
[0019]根据本申请的一方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如上文的方法。
[0020]根据本申请的一方面,提出一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如上文中的方法。
[0021]根据本申请的基于沙箱的网络行为捕获方法及装置,通过沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置;沙箱虚拟机上的恶意程序向外网服务器发起连接请求;模拟服务器基于所述连接请求和所述恶意程序建立通信连接;沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为的方式,能够在离线沙箱中捕获到恶意程序的网络行为,使得沙箱系统具有较高的安全性的同时,能更大可能的诱发恶意程序的行为。
[0022]应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本申请。
附图说明
[0023]通过参照附图详细描述其示例实施例,本申请的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本申请的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0024]图1是根据一示例性实施例示出的一种基于沙箱的网络行为捕获方法及装置的系统框图。
[0025]图2是根据一示例性实施例示出的一种基于沙箱的网络行为捕获方法的流程图。
[0026]图3是根据另一示例性实施例示出的一种基于沙箱的网络行为捕获方法的流程图。
[0027]图4是根据另一示例性实施例示出的一种基于沙箱的网络行为捕获方法的流程图。
[0028]图5是根据一示例性实施例示出的一种基于沙箱的网络行为捕获装置的框图。
[0029]图6是根据一示例性实施例示出的一种电子设备的框图。
[0030]图7是根据一示例性实施例示出的一种计算机可读介质的框图。
具体实施方式
[0031]现在将参考附图更全面地描述示例实施例。然而,示例本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于沙箱的网络行为捕获方法,其特征在于,包括:沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置;沙箱虚拟机上的恶意程序向外网服务器发起连接请求;模拟服务器基于所述连接请求和所述恶意程序建立通信连接;沙箱虚拟机上代理服务器基于所述通信连接捕获所述恶意程序的网络行为。2.如权利要求1所述的方法,其特征在于,沙箱虚拟机与沙箱宿主机按照预设条件进行初始化设置,包括:所述沙箱虚拟机与所述沙箱宿主机通过host
‑
only连接;所述沙箱宿主机上设置对应于host
‑
only连接的网卡。3.如权利要求1所述的方法,其特征在于,沙箱虚拟机上的恶意程序向外网服务器发起连接请求,包括:沙箱虚拟机上的恶意程序基于三次握手过程向外网服务器发起所述连接请求。4.如权利要求1所述的方法,其特征在于,模拟服务器基于所述连接请求和所述恶意程序建立通信连接,包括:沙箱虚拟机上的恶意程序发送SYN报文至外网服务器;所述模拟服务器通过网卡监听所述SYN报文;基于所述SYN报文所述模拟服务器构造返回报文;基于所述返回报文和所述恶意程序建立通信连接。5.如权利要求4所述的方法,其特征在于,所述模拟服务器通过网卡监听所述SYN报文,包括:所述模拟服务器通过libpcap技术监听网卡中的所述SYN报文。6.如权利要求4所述的方法,其特征在于,基于所述SYN报文所述模拟服务器构造返回报文,包括:提取所述SYN报文中的源IP地址和目的IP地址;通过所述源IP地址和所...
【专利技术属性】
技术研发人员:江灵兵,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。