CN112383530B - 一种基于拟态思想的沙箱构建方法 - Google Patents

Abstract

本发明公开了一种基于拟态思想的沙箱构建方法，该方法能够主动防御对文件系统的恶意攻击。本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块，通过对沙箱异构体构建模块来实现拟态沙箱的构造，通过对操作系统、恶意软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等方面对沙箱进行异构化处理，使得沙箱具有主动防御能力。当流量经过沙箱系统模块时，该模块会从全部沙箱异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体的异常率高于某个值时，对该异构体采取下线自清洗操作，最后，将裁决结果传输给监控平台，同时返回给业务系统。

Description

一种基于拟态思想的沙箱构建方法

技术领域

本发明属于网络安全技术领域，尤其涉及一种基于拟态思想的沙箱构建方法。

背景技术

沙箱系统，又被称为未知威胁检测系统，主要在应用层面针对文件进行检测保护，防止恶意、有害的文件进入企业系统或在企业网络中流传，从而规避安全危害。沙箱系统主要部署在安全边界上，如“内外网边界”、“逻辑独立的两个DMZ区边界”、“物理边界”等，“内外网边界”主要指互联网与企业内网的边界，这个边界是最容易被人攻击的；“逻辑独立的两个DMZ区的边界”一般是指企业内网抽象出来的内部边界，各个区域之间物理隔离，或者物理项链但逻辑隔离，或逻辑上相连但资源上隔离；“物理接口边界”指的是USB接口等媒介边界问题，通过U盘将病毒木马从外部带入企业办公网，然后通过病毒木马的横向能力起到传播的效果。在这些边界上，沙箱系统一般保护三类系统：邮箱系统、有附件上传功能的业务系统、企业网盘等。传统的沙箱系统很难做到对恶意流量的精确检测，主动防御对文件系统的恶意攻击。

发明内容

本发明的目的在于针对现有技术的不足，提供一种基于拟态思想的沙箱构建方法。本发明将流量调度到异构模块的异构沙箱中，使得沙箱具有异构性，多样性和动态性，在完成沙箱应有功能的同时，使得攻击者攻击成功的概率大大降低。

本发明的目的是通过以下技术方案来实现的：一种基于拟态思想的沙箱构建方法，该方法包括以下步骤：

(1)将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块；

(2)搭建多个沙箱异构体，具体为：

(2.1)部署N个沙箱系统A＝{e_i|i＝1,2,...,N}，其中e_i为第i个沙箱异构体；

(2.2)在每个沙箱异构体e_i中部署n个异构元素R＝{r_ij,i＝1,2,...N；j＝1,2,...,n}，其中r_ij表示第i个执行体上的第j个异构元素；

(3)当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构体中等可能随机选择k个异构体，对选到的异构体e_i进行计数，计数初始值A_i＝0，若被选择到，则A_i＝A_i+1；

(4)将流量分配到k个沙箱异构体上进行检测，得到k个检测结果H_l，l＝1～k，其中H_l∈{0,1}；

(5)将异构体裁决结果H_l发送给拟态裁决模块，拟态裁决模块通过加权投票方式得到最终裁决结果H，具体为：

(5.1)计算加权和

(5.2)若W＜0.5，则记H＝0。

(5.3)若W≥0.5，则记H＝1；

(6)根据步骤(5)中得到的H对k个异构体的误判结果进行计数，初始误判结果计数B_l＝0，若H_l≠H，则计B_l＝B_l+1；

(7)计算k个异构体的误判率D_l(l＝1,2,..,k)，取D_l最大的异构体进行下线清洗操作；

(8)将步骤(5)中得到的最终裁决结果H发送到监控平台同时返回给文件系统。

进一步地，所述步骤(2.2)中，对异构元素r_ij的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容和文件分析检测的苛责要求等。

与现有技术相比，本发明具有如下有益效果：本发明采用拟态防御思想对沙箱架构进行优化，基于沙箱的性能及安全要求进行改进，具有如下特点：

(1)采用拟态防御思想，能够扰乱攻击者对目标对象内部特征的探索和了解，防止沙箱被攻破，增加内部渗透者以及外部攻击者对沙箱的认知以及攻击难度；

(2)采用拟态裁决的方法，确保流量过滤的正确性，降低了误报率；

(3)优先替换异常率高的执行体，节省资源，加强系统可用性。

附图说明

图1是拟态沙箱系统总体架构图；

图2是沙箱系统详细架构图；

图3是拟态裁决模块架构图。

具体实施方式

本发明基于拟态防御思想设计了一种沙箱构造方法，能够主动防御对文件系统的恶意攻击。本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块，通过对沙箱异构体构建模块来实现拟态沙箱的构造，通过对操作系统、模拟速度、恶意软件检测行为等方面对沙箱进行异构化处理，使得沙箱具有主动防御能力。当流量经过沙箱系统模块时，该模块会从全部沙箱异构体中选择k个进行流量处理，处理结果经过拟态裁决模块裁决后，用裁决结果修改每个异构体的异常率，当某个异构体的异常率高于某个值时，对该异构体采取下线自清洗操作，最后，将裁决结果传输给监控平台，同时，返回给业务系统，通过设计多个异构模块优化了沙箱检测的准确率。

如图1所示，本发明一种基于拟态思想的沙箱构建方法，包括以下步骤：

1、将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块。

2、搭建多个沙箱异构体，如图2所示，具体为：

2.1、部署N个异构的沙箱系统A＝{e_i|i＝1,2,...,N}，其中e_i为第i个沙箱系统。

2.2、在每个沙箱系统e_i中部署n个异构元素R＝{r_ij,i＝1,2,...N；j＝1,2,...,n}，其中r_ij为第i个沙箱系统e_i上的第j个异构元素，对异构元素r_ij的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等。

3、当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构的沙箱系统中等可能地随机选择k个沙箱系统，对选到的沙箱系统e_i进行计数，计数器初始值A_i＝0，若被选择到，则A_i+1。

4、将流量分配到k个沙箱系统上进行检测，得到k个检测结果H_l，l＝1～k，其中H_l∈{0,1}；H_l＝0表示为正常流量，H_l＝1表示恶意流量。

5、将沙箱系统检测结果H_l发送给拟态裁决模块，拟态裁决模块通过加权投票方式得到最终裁决结果H，如图3所示，具体为：

5.1、计算加权和

其中，w_l为权重，权重之和为1。

5.2、若W＜0.5，则记最终裁决结果H＝0，表示正常流量。

5.3、若W≥0.5，则记最终裁决结果H＝1，表示恶意流量。

6、根据步骤5中得到的H对k个异构沙箱系统的误判结果进行计数，初始误判结果计数器B_l＝0，若H_l≠H，则计B_l+1。

7、计算k个异构沙箱系统的误判率D_l(l＝1,2,..,k)，取D_l最大的沙箱系统进行下线清洗操作；误判率为误判的次数除以被选中的次数。

8、将步骤5中得到的最终裁决结果H发送到监控平台同时返回给文件系统。

本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块，通过对沙箱异构体构建模块来实现拟态沙箱的构造，使得沙箱具有主动防御能力。最后，将裁决结果传输给监控平台，同时，返回给业务系统，增加内部渗透者以及外部攻击者对沙箱的认知以及攻击难度，从而增强了沙箱自身安全性。

Claims (2)

1.一种基于拟态思想的沙箱构建方法，其特征在于，该方法包括以下步骤：

（1）将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块；

（2）搭建多个沙箱异构体，具体为：

（2.1）部署N个沙箱系统

，其中

为第i个沙箱异构体；

（2.2）在每个沙箱异构体

中部署n个异构元素

，其中

表示第i个异构体上的第j个异构元素；

（3）当用户上传文件时，流量经过解析后，沙箱异构模块会从N个异构体中等可能随机选择k个异构体，对选到的异构体

进行计数，计数初始值

，若被选择到，则

；

（4）将流量分配到k个沙箱异构体上进行检测，得到k个检测结果

，l=1~k，其中

；H _l =0表示为正常流量，H _l =1表示恶意流量；

（5）将异构体检测结果

发送给拟态裁决模块，拟态裁决模块通过加权投票方式得到最终裁决结果H，具体为：

（5.1）计算加权和

；其中，w _l 为权重，权重之和为1；

（5.2）若

，则记H=0，表示正常流量；

（5.3）若

，则记H=1，表示恶意流量；

（6）根据步骤（5）中得到的H对k个异构体的误判结果进行计数，初始误判结果计数

，若

，则计

；

（7）计算k个异构体的误判率

，取

最大的异构体进行下线清洗操作；

（8）将步骤（5）中得到的最终裁决结果H发送到监控平台同时返回给文件系统。

2.如权利要求1所述基于拟态思想的沙箱构建方法，其特征在于，所述步骤（2.2）中，对异构元素

的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容和文件分析检测的苛责要求。

Images