CN112383530B - 一种基于拟态思想的沙箱构建方法 - Google Patents
一种基于拟态思想的沙箱构建方法 Download PDFInfo
- Publication number
- CN112383530B CN112383530B CN202011239153.3A CN202011239153A CN112383530B CN 112383530 B CN112383530 B CN 112383530B CN 202011239153 A CN202011239153 A CN 202011239153A CN 112383530 B CN112383530 B CN 112383530B
- Authority
- CN
- China
- Prior art keywords
- sandbox
- module
- isomers
- mimicry
- isomer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Catching Or Destruction (AREA)
Abstract
本发明公开了一种基于拟态思想的沙箱构建方法,该方法能够主动防御对文件系统的恶意攻击。本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块,通过对沙箱异构体构建模块来实现拟态沙箱的构造,通过对操作系统、恶意软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等方面对沙箱进行异构化处理,使得沙箱具有主动防御能力。当流量经过沙箱系统模块时,该模块会从全部沙箱异构体中选择k个进行流量处理,处理结果经过拟态裁决模块裁决后,用裁决结果修改每个异构体的异常率,当某个异构体的异常率高于某个值时,对该异构体采取下线自清洗操作,最后,将裁决结果传输给监控平台,同时返回给业务系统。
Description
技术领域
本发明属于网络安全技术领域,尤其涉及一种基于拟态思想的沙箱构建方法。
背景技术
沙箱系统,又被称为未知威胁检测系统,主要在应用层面针对文件进行检测保护,防止恶意、有害的文件进入企业系统或在企业网络中流传,从而规避安全危害。沙箱系统主要部署在安全边界上,如“内外网边界”、“逻辑独立的两个DMZ区边界”、“物理边界”等,“内外网边界”主要指互联网与企业内网的边界,这个边界是最容易被人攻击的;“逻辑独立的两个DMZ区的边界”一般是指企业内网抽象出来的内部边界,各个区域之间物理隔离,或者物理项链但逻辑隔离,或逻辑上相连但资源上隔离;“物理接口边界”指的是USB接口等媒介边界问题,通过U盘将病毒木马从外部带入企业办公网,然后通过病毒木马的横向能力起到传播的效果。在这些边界上,沙箱系统一般保护三类系统:邮箱系统、有附件上传功能的业务系统、企业网盘等。传统的沙箱系统很难做到对恶意流量的精确检测,主动防御对文件系统的恶意攻击。
发明内容
本发明的目的在于针对现有技术的不足,提供一种基于拟态思想的沙箱构建方法。本发明将流量调度到异构模块的异构沙箱中,使得沙箱具有异构性,多样性和动态性,在完成沙箱应有功能的同时,使得攻击者攻击成功的概率大大降低。
本发明的目的是通过以下技术方案来实现的:一种基于拟态思想的沙箱构建方法,该方法包括以下步骤:
(1)将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块;
(2)搭建多个沙箱异构体,具体为:
(2.1)部署N个沙箱系统A={ei|i=1,2,...,N},其中ei为第i个沙箱异构体;
(2.2)在每个沙箱异构体ei中部署n个异构元素R={rij,i=1,2,...N;j=1,2,...,n},其中rij表示第i个执行体上的第j个异构元素;
(3)当用户上传文件时,流量经过解析后,沙箱异构模块会从N个异构体中等可能随机选择k个异构体,对选到的异构体ei进行计数,计数初始值Ai=0,若被选择到,则Ai=Ai+1;
(4)将流量分配到k个沙箱异构体上进行检测,得到k个检测结果Hl,l=1~k,其中Hl∈{0,1};
(5)将异构体裁决结果Hl发送给拟态裁决模块,拟态裁决模块通过加权投票方式得到最终裁决结果H,具体为:
(5.2)若W<0.5,则记H=0。
(5.3)若W≥0.5,则记H=1;
(6)根据步骤(5)中得到的H对k个异构体的误判结果进行计数,初始误判结果计数Bl=0,若Hl≠H,则计Bl=Bl+1;
(7)计算k个异构体的误判率Dl(l=1,2,..,k),取Dl最大的异构体进行下线清洗操作;
(8)将步骤(5)中得到的最终裁决结果H发送到监控平台同时返回给文件系统。
进一步地,所述步骤(2.2)中,对异构元素rij的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容和文件分析检测的苛责要求等。
与现有技术相比,本发明具有如下有益效果:本发明采用拟态防御思想对沙箱架构进行优化,基于沙箱的性能及安全要求进行改进,具有如下特点:
(1)采用拟态防御思想,能够扰乱攻击者对目标对象内部特征的探索和了解,防止沙箱被攻破,增加内部渗透者以及外部攻击者对沙箱的认知以及攻击难度;
(2)采用拟态裁决的方法,确保流量过滤的正确性,降低了误报率;
(3)优先替换异常率高的执行体,节省资源,加强系统可用性。
附图说明
图1是拟态沙箱系统总体架构图;
图2是沙箱系统详细架构图;
图3是拟态裁决模块架构图。
具体实施方式
本发明基于拟态防御思想设计了一种沙箱构造方法,能够主动防御对文件系统的恶意攻击。本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块,通过对沙箱异构体构建模块来实现拟态沙箱的构造,通过对操作系统、模拟速度、恶意软件检测行为等方面对沙箱进行异构化处理,使得沙箱具有主动防御能力。当流量经过沙箱系统模块时,该模块会从全部沙箱异构体中选择k个进行流量处理,处理结果经过拟态裁决模块裁决后,用裁决结果修改每个异构体的异常率,当某个异构体的异常率高于某个值时,对该异构体采取下线自清洗操作,最后,将裁决结果传输给监控平台,同时,返回给业务系统,通过设计多个异构模块优化了沙箱检测的准确率。
如图1所示,本发明一种基于拟态思想的沙箱构建方法,包括以下步骤:
1、将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块。
2、搭建多个沙箱异构体,如图2所示,具体为:
2.1、部署N个异构的沙箱系统A={ei|i=1,2,...,N},其中ei为第i个沙箱系统。
2.2、在每个沙箱系统ei中部署n个异构元素R={rij,i=1,2,...N;j=1,2,...,n},其中rij为第i个沙箱系统ei上的第j个异构元素,对异构元素rij的部署包括操作系统、异构软件检测行为、沙箱的虚拟程度、检测报告内容、文件分析检测的苛责要求等。
3、当用户上传文件时,流量经过解析后,沙箱异构模块会从N个异构的沙箱系统中等可能地随机选择k个沙箱系统,对选到的沙箱系统ei进行计数,计数器初始值Ai=0,若被选择到,则Ai+1。
4、将流量分配到k个沙箱系统上进行检测,得到k个检测结果Hl,l=1~k,其中Hl∈{0,1};Hl=0表示为正常流量,Hl=1表示恶意流量。
5、将沙箱系统检测结果Hl发送给拟态裁决模块,拟态裁决模块通过加权投票方式得到最终裁决结果H,如图3所示,具体为:
5.2、若W<0.5,则记最终裁决结果H=0,表示正常流量。
5.3、若W≥0.5,则记最终裁决结果H=1,表示恶意流量。
6、根据步骤5中得到的H对k个异构沙箱系统的误判结果进行计数,初始误判结果计数器Bl=0,若Hl≠H,则计Bl+1。
7、计算k个异构沙箱系统的误判率Dl(l=1,2,..,k),取Dl最大的沙箱系统进行下线清洗操作;误判率为误判的次数除以被选中的次数。
8、将步骤5中得到的最终裁决结果H发送到监控平台同时返回给文件系统。
本发明设计了流量传递模块、沙箱异构模块、拟态裁决模块以及监控平台模块,通过对沙箱异构体构建模块来实现拟态沙箱的构造,使得沙箱具有主动防御能力。最后,将裁决结果传输给监控平台,同时,返回给业务系统,增加内部渗透者以及外部攻击者对沙箱的认知以及攻击难度,从而增强了沙箱自身安全性。
Claims (2)
1.一种基于拟态思想的沙箱构建方法,其特征在于,该方法包括以下步骤:
(1)将用户上传到业务系统的文件M通过流量传递模块传输给沙箱异构模块;
(2)搭建多个沙箱异构体,具体为:
(8)将步骤(5)中得到的最终裁决结果H发送到监控平台同时返回给文件系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239153.3A CN112383530B (zh) | 2020-11-09 | 2020-11-09 | 一种基于拟态思想的沙箱构建方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011239153.3A CN112383530B (zh) | 2020-11-09 | 2020-11-09 | 一种基于拟态思想的沙箱构建方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112383530A CN112383530A (zh) | 2021-02-19 |
CN112383530B true CN112383530B (zh) | 2021-09-03 |
Family
ID=74579224
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011239153.3A Active CN112383530B (zh) | 2020-11-09 | 2020-11-09 | 一种基于拟态思想的沙箱构建方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112383530B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP3267349A1 (en) * | 2016-07-04 | 2018-01-10 | Cyan Security Group GmbH | Method and computer system for determining a threat score |
CN106411937B (zh) * | 2016-11-15 | 2017-12-29 | 中国人民解放军信息工程大学 | 基于拟态防御架构的零日攻击检测、分析和响应系统及其方法 |
US11755726B2 (en) * | 2019-04-05 | 2023-09-12 | Zscaler, Inc. | Utilizing machine learning for smart quarantining of potentially malicious files |
CN111800385B (zh) * | 2020-06-04 | 2022-09-06 | 河南信大网御科技有限公司 | 分布式裁决方法、分布式裁决系统及拟态构造架构 |
CN111783080A (zh) * | 2020-07-09 | 2020-10-16 | 郑州昂视信息科技有限公司 | 一种应用程序主动防护方法及系统 |
-
2020
- 2020-11-09 CN CN202011239153.3A patent/CN112383530B/zh active Active
Non-Patent Citations (2)
Title |
---|
基于拟态防御架构的多余度裁决建模与风险分析;李卫超等;《信息安全学报》;20180915(第05期);第68-78页 * |
拟态防御DHR模型若干问题探讨和性能评估;扈红超等;《信息安全学报》;20161015(第04期);第44-45页 * |
Also Published As
Publication number | Publication date |
---|---|
CN112383530A (zh) | 2021-02-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11842157B2 (en) | Automated feature extraction and artificial intelligence (AI) based detection and classification of malware | |
US11089034B2 (en) | Systems and methods for behavioral threat detection | |
US9686293B2 (en) | Systems and methods for malware detection and mitigation | |
US11930022B2 (en) | Cloud-based orchestration of incident response using multi-feed security event classifications | |
US7893830B2 (en) | System and method of dynamically weighted analysis for intrusion decision-making | |
US8667587B1 (en) | Real-time website safety reputation system | |
CN103065088A (zh) | 基于计算机用户的裁决检测计算机安全威胁的系统和方法 | |
US11153332B2 (en) | Systems and methods for behavioral threat detection | |
CN112491803A (zh) | 拟态waf中执行体的裁决方法 | |
EP3188442A1 (en) | Detection, prevention, and/or mitigation of dos attacks in publish/subscribe infrastructure | |
RU2610395C1 (ru) | Способ расследования распределенных событий компьютерной безопасности | |
US20220345469A1 (en) | Systems and methods for asset-based severity scoring and protection therefrom | |
US11431748B2 (en) | Predictive crowdsourcing-based endpoint protection system | |
CN112383530B (zh) | 一种基于拟态思想的沙箱构建方法 | |
US20230188499A1 (en) | Electronic message processing systems and methods | |
Chen et al. | Towards automatic security management: a model-based approach | |
US20220239634A1 (en) | Systems and methods for sensor trustworthiness | |
US11323459B2 (en) | Systems and methods for behavioral threat detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |