CN110348203A - 一种队列式沙箱文件处理方法 - Google Patents

一种队列式沙箱文件处理方法 Download PDF

Info

Publication number
CN110348203A
CN110348203A CN201810282946.XA CN201810282946A CN110348203A CN 110348203 A CN110348203 A CN 110348203A CN 201810282946 A CN201810282946 A CN 201810282946A CN 110348203 A CN110348203 A CN 110348203A
Authority
CN
China
Prior art keywords
sandbox
json
data
program
handling method
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201810282946.XA
Other languages
English (en)
Inventor
杨育斌
唐硕
柯宗贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Blue Shield Information Security Technology Co Ltd
Bluedon Information Security Technologies Co Ltd
Original Assignee
Blue Shield Information Security Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Blue Shield Information Security Technology Co Ltd filed Critical Blue Shield Information Security Technology Co Ltd
Priority to CN201810282946.XA priority Critical patent/CN110348203A/zh
Publication of CN110348203A publication Critical patent/CN110348203A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种队列式沙箱文件处理方法,该发明通过更改沙箱处理文件的模式,将原来的纯数据库处理优化成数据库+文件队列处理。这种新型的处理方式修正了沙箱原有的行为,减少了内置数据库负载,大大降低了沙箱假死的机率。

Description

一种队列式沙箱文件处理方法
技术领域
本发明涉及恶意文件检测及处理领域,特别涉及一种队列式沙箱文件处理方法。
背景技术
随着计算机技术不断发展,网络安全已经成为信息互联绕不过去的一个问题。在企业应用中,多台计算机连接成局域网的情况并不少见,由于这些局域网一般与业务主机连通,数据能在局域网内自由传递。假如局域网内有一台计算机受到到恶意文件的攻击,全网的安全也就岌岌可危。尤其是业务主机或网关被攻击时,更是会让整个局域网完全瘫痪。
然而,由于局域网的规模一般比较大,无法在各主机中监控主机使用者的网络行为,所以一般会采取在网关处架设防火墙等方式来检测来往流量。同时,对于网络封包中的文件,也会采用一些隔离与保护措施。而沙箱就是其中之一。
沙箱是一种动态监测技术,通过搭建一个模拟的计算机环境,让恶意文件与代码在这个模拟的计算机环境中运行,通过钩子程序注入与事件监听,获取恶意文件的动态运行情况,再根据这些情况来判别文件的恶意程度。根据这些有效的信息,就可以从大量的文件中筛选出攻击系统的恶意病毒。
其中的一个应用典范使用多种虚拟机软件作为其模拟环境,模拟出不同的操作系统,以满足不同平台下的文件检测。沙箱一般由宿主机(host)、客户机(guest)两部分构成。通过创建Socket绑定端口进行网络通信,沙箱在客户机上搭建服务端(server),在宿主机上搭建客户端(client),通过HTTP通信中的HOST与GET方法在宿主机与客户机之间相互传递命令与数据。用户可以对有疑问的文件进行沙箱文件提交操作。接受到提交的文件之后,沙箱寻找打开文件的打开方式,通过调用客户机的命令行唤醒相应的应用程序,然后注入钩子开始监听。监听的结果将被传递到宿主机,并以json文件格式记录。之后沙箱再根据json文件和相应的规则脚本计算出文件的恶意程度。
现有的大部分沙箱只用到纯数据库操作,沙箱主程序不断读取数据库,根据数据库结果来执行文件。然而,由于沙箱绑定的数据库是多态的,难以对用户使用的数据库进行控制,无法判断沙箱数据表当前的状态。因此,当出现文件任务运行假死的情况时,整个沙箱系统就会趋近瘫痪。如果通过杀死沙箱进程的方法来停止任务,就需要重新提交文件,用户体验较差,其不稳定性也导致了难以作为工业应用。
为解决沙箱的瘫痪问题,保持沙箱任务链的持续运转,本发明采取了一种新型的队列式文件处理方法。使用此方法后,沙箱假死的情况基本消失。
发明内容
为克服现有技术的不足,本发明通过缓存任务队列,实时监测沙箱状态,根据沙箱运行状态及任务运行状态进行合理提交任务至沙箱处理。并且,优化了沙箱任务处理内容,根据文件类型与前置病毒检测进一步减少沙箱任务数量。
本发明本发明技术方案带来的有益效果:
本发明减少了沙箱查询数据库的次数,减少了沙箱任务检测数量。本发明优化了多个沙箱任务检测均衡分配,最大化合理分配检测任务。自封装和解析JSON组件,JSON支持多种开发语言,便于服务端解析,数据库格式比较简单,易于读懂,而且是一种轻量级的数据交换格式。在本方案中作为一种中间中转组件,实现数据封装,类型转换,数据解析,实现任意两个数据库之间数据同步,并且具有很好的扩展性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的流程图;
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,及本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
系统中提供不同模块的同步方法,其特征包括以下步骤:
1.外端程序使用tcp socket连接沙箱优化程序,外端程序进行协议还原与文件还原,调用JSON组件将数据按照自定义格式封装成JSON格式的字串发送给沙箱优化程序;
1.1启动外端程序实时检测协议,并进行协议还原与文件还原;
1.2调用JSON组件封装数据,转换类型为自定义类型,生成JSON字串。
2.使用tcp协议通过socket发送JSON字串至沙箱优化程序;
3.沙箱优化程序使用tcp协议通过socket接收,根据配置信息,调用解析JSON组件,解析JSON字串,进行病毒扫描与沙箱任务导入,重组数据,导入数据到目的数据库。
3.1沙箱优化程序接收JSON字串后调用解析组件,解析数据;
3.2沙箱优化程序获取本地配置表参数;
3.3根据配置参数进行病毒扫描。
3.4根据配置参数进行沙箱任务导入。
3.5重组数据将数据导入相应的目的数据库。。
具体实施步骤如下:
1)数据收集封装:外端程序实时检测协议,并进行协议还原与文件还原,之后将数据进行内部格式转换,封装成JSON格式的数据包;
a.调用发送模块将JSON数据包发送至沙箱优化接收程序。
2)数据分发解析:沙箱优化接收程序调用JSON组件解析数据包,进行病毒扫描与沙箱任务缓存,将接收数据重组,将数据导入目的数据库;
a.沙箱优化接收程序监听指定端口,读取JSON数据包;
b.读取本地配置参数;
c.沙箱优化接收程序调用JSON组件,解析数据包,根据本地配置参数进行病毒扫描与沙箱任务缓存;
d.重组数据,连接目的数据库,导入数据。
案例说明:
1.PostgreSQL作为目的数据库,沙箱优化程序导入目的数据库的3条语句:
2.通过组件封装成JSON数据包:
3.解析后进行病毒扫描重组数据,通过组件封装成JSON数据包:
以上对本发明实施例所提供的一种队列式沙箱文件处理方法进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (3)

1.一种队列式沙箱文件处理方法,其特征在于启动外端程序实时检测协议进行协议还原与文件还原;调用JSON组件封装数据,转换类型为自定义类型,生成JSON字串。
2.如权利要求1所述的文件处理方法,使用tcp协议通过socket发送JSON字串至沙箱优化程序;沙箱优化程序使用tcp协议通过socket接收,根据配置信息,调用解析JSON组件,解析JSON字串,进行病毒扫描与沙箱任务导入,重组数据,导入数据到目的数据库。
3.如权利要求1所述的文件处理方法,优化程序接收JSON字串后调用解析组件,解析数据;沙箱优化程序获取本地配置表参数;根据配置参数进行病毒扫描。根据配置参数进行沙箱任务导入。重组数据将数据导入相应的目的数据库。
CN201810282946.XA 2018-04-02 2018-04-02 一种队列式沙箱文件处理方法 Pending CN110348203A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810282946.XA CN110348203A (zh) 2018-04-02 2018-04-02 一种队列式沙箱文件处理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810282946.XA CN110348203A (zh) 2018-04-02 2018-04-02 一种队列式沙箱文件处理方法

Publications (1)

Publication Number Publication Date
CN110348203A true CN110348203A (zh) 2019-10-18

Family

ID=68172478

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810282946.XA Pending CN110348203A (zh) 2018-04-02 2018-04-02 一种队列式沙箱文件处理方法

Country Status (1)

Country Link
CN (1) CN110348203A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116010941A (zh) * 2023-03-28 2023-04-25 之江实验室 一种基于沙箱的多中心医学队列构建系统及方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116010941A (zh) * 2023-03-28 2023-04-25 之江实验室 一种基于沙箱的多中心医学队列构建系统及方法
CN116010941B (zh) * 2023-03-28 2023-06-30 之江实验室 一种基于沙箱的多中心医学队列构建系统及方法

Similar Documents

Publication Publication Date Title
US9122510B2 (en) Querying and managing computing resources in a networked computing environment
EP3837604B1 (en) In situ triggered function as a service within a service mesh
US10824537B2 (en) Method, device, and computer readable medium for tracing computing system
US20210385251A1 (en) System and methods for integrating datasets and automating transformation workflows using a distributed computational graph
CN104636678B (zh) 一种云计算环境下对终端设备进行管控的方法和系统
CN103067218B (zh) 一种高速网络数据包内容分析装置
US10334084B2 (en) Communication method and system based on assembled communication protocol stack
CN108563455A (zh) 一种k-ux操作系统上中间件部署方法、系统及设备
US11294740B2 (en) Event to serverless function workflow instance mapping mechanism
CN114363170A (zh) 容器服务网络配置方法及相关产品
WO2022147339A1 (en) Automated threat model generation
CN111294235A (zh) 数据处理方法、装置、网关及可读存储介质
US20180316696A1 (en) Analysis apparatus, analysis method, and analysis program
CN114567650A (zh) 一种数据处理方法及物联网平台系统
CN113064735A (zh) 业务处理方法及装置
US11552868B1 (en) Collect and forward
CN109992957A (zh) 模板化计算的方法、装置和系统
CN110233750A (zh) 私有云管理系统及方法
CN110348203A (zh) 一种队列式沙箱文件处理方法
CN106550026B (zh) 一种网络通信装置及方法
CN103036895B (zh) 一种状态跟踪方法及系统
CN111447273A (zh) 云处理系统及基于云处理系统的数据处理方法
Dong et al. [Retracted] Design of IoT Gateway for Crop Growth Environmental Monitoring Based on Edge‐Computing Technology
CN107103058B (zh) 基于Artifact的大数据服务组合方法及复合服务组合方法
CN115499432A (zh) 家庭终端算力资源管理系统及算力资源调度方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination