【技术实现步骤摘要】
本专利技术属于数据检测,具体涉及一种支持沙箱并发处理的检测方法及其系统。
技术介绍
1、恶意文件检测技术包含静态检测和动态检测等。静态检测技术,一般指文件特征检测,比如基于规则的yara检测,基于病毒库的小红伞、clamav检测等;动态检测技术,一般指基于沙盒、沙箱等虚拟运行环境的行为检测。面对恶意文件日新月异,数量与日俱增的状况,静态检测方法往往检测不出来;这个时候动态检测技术就派上用场了,它通过搜集并分析样本的运行行为,能更好的识别未知的,变形的恶意文件。
2、随着互联网的普及、网络的提速,恶意文件产生的速度越来越快,数量也越来越多。单沙箱的模式往往无法应对大量样本的动态检测,这个时候就需要多沙箱并发执行来提高检测速度。
3、有鉴于此,提出一种支持沙箱并发处理的检测方法及其系统是非常具有意义的。
技术实现思路
1、本专利技术提供一种支持沙箱并发处理的检测方法及其系统,本系统能一定程度上提高样本动态检测速度,同时能很好解决有的压缩包样本沙箱无法直接运行检测的问题,以解决上述存在的技术缺陷问题。
2、第一方面,本专利技术提出了一种支持沙箱并发处理的检测方法,该方法包括如下步骤:
3、预处理,响应于对待检测样本进行监控、预处理、描述信息生成和样本派发;
4、沙箱检测,沙箱检测模块调度合适的虚拟机对预处理派发过来的样本进行运行,检测完对样本输出报告进行关键信息提取、分析和威胁预警。
5、优选的,预处理,响应于对待检
6、样本监控,监控样本上传目录,当触发文件操作事件时,进行样本获取;同时添加程序启动时处理及扫描线程,避免出现样本遗漏未处理的情况;
7、样本预处理,对监控到的待检测样本进行类型识别,分类为pe文件、office类、脚本类、elf类型,如果是压缩包类型则进行相应的递归解压缩得到子样本;
8、样本描述文件生成,经样本预处理得到的样本,生成相应的样本描述文件,记录采集时间、文件类型,大小,哈希值,是否子样本,所属压缩包信息;
9、样本派发,将生成的描述文件及样本本身,转移到下游样本检测目录。
10、进一步优选的,沙箱检测包括样本监控:
11、监控样本检测目录,当触发文件操作事件时,将获取到的样本放到样本优先级队列,等待生产者线程处理;同时添加程序启动时处理及任务队列空闲时的目录扫描,有效避免样本由于未监控到而没有提交处理。
12、进一步优选的,沙箱检测还包括样本提交检测:
13、生产者线程从样本优先级队列取出一个优先级最高的样本提交到一个可用的沙箱节点进行检测,同时将提交返回的taskid及关联的样本放到任务队列,等待消费者线程处理;
14、如果任务队列未满,则取出下一个高优先级的样本进行提交;
15、如果任务队列已满,则等待消费者处理完一个taskid后的唤醒。
16、进一步优选的,沙箱检测还包括检测任务处理:
17、消费者线程遍历任务队列获取对应虚拟机的运行状态;
18、如果任务队列为空,则等待生产者提交新任务后的唤醒;
19、如果任务队列不为空,则遍历任务队列中的每个taskid,判断对应的样本是否已经在提交的虚拟机中运行完毕;
20、如果有样本运行结束,则唤醒生产者线程继续提交样本到沙箱进行检测,同时将taskid提交到报告队列,等待报告分析线程处理。
21、进一步优选的,沙箱检测还包括威胁识别预警:
22、报告分析线程从报告队列中获取样本输出报告,提取报告中关键信息,输出相应的威胁告警。
23、第二方面,本专利技术实施例还提供一种支持沙箱并发处理的检测系统,包括:
24、预处理模块,配置用于对待检测样本进行监控、预处理、描述信息生成和样本派发;
25、沙箱检测模块,配置用于调度合适的虚拟机对预处理派发过来的样本进行运行,检测完对样本输出报告进行关键信息提取、分析和威胁预警。
26、第三方面,本专利技术实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
27、第四方面,本专利技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
28、与现有技术相比,本专利技术的有益成果在于:
29、(1)该检测系统采用多线程结合多级队列的方式并发执行沙箱检测,通过将每个任务细化,实行流程化处理,将耗时的逻辑放到单独的线程专门处理,同时通过条件变量机制减少线程调度相互之间不必要的等待;该检测系统可以促进沙箱集群调度的平衡及健康运行,避免有的样本一直pending在运行比较慢的沙箱节点上得不到及时检测,从而提高沙箱集群检测速度;同时解决了.7z、.gzip、.rar、.xz、.bzip等常用压缩包样本沙箱无法直接检测的问题。
本文档来自技高网...【技术保护点】
1.一种支持沙箱并发处理的检测方法,其特征在于,该方法包括如下步骤:
2.根据权利要求1所述的支持沙箱并发处理的检测方法,其特征在于,预处理,响应于对待检测样本进行监控、预处理、描述信息生成和样本派发,具体包括:
3.根据权利要求2所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测包括样本监控:
4.根据权利要求3所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测还包括样本提交检测:
5.根据权利要求4所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测还包括检测任务处理:
6.根据权利要求5所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测还包括威胁识别预警:
7.一种支持沙箱并发处理的检测系统,其特征在于,包括:
8.一种电子设备,包括:
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至6中任一所述的方法。
【技术特征摘要】
1.一种支持沙箱并发处理的检测方法,其特征在于,该方法包括如下步骤:
2.根据权利要求1所述的支持沙箱并发处理的检测方法,其特征在于,预处理,响应于对待检测样本进行监控、预处理、描述信息生成和样本派发,具体包括:
3.根据权利要求2所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测包括样本监控:
4.根据权利要求3所述的支持沙箱并发处理的检测方法,其特征在于,沙箱检测还包括样本提交检测:
【专利技术属性】
技术研发人员:黄惠海,王锦江,尹声,牛军,常虹,
申请(专利权)人:厦门安胜网络科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。