CN112866244B - 基于虚拟网络环境的网络流量沙箱检测方法 - Google Patents

基于虚拟网络环境的网络流量沙箱检测方法 Download PDF

Info

Publication number
CN112866244B
CN112866244B CN202110057637.4A CN202110057637A CN112866244B CN 112866244 B CN112866244 B CN 112866244B CN 202110057637 A CN202110057637 A CN 202110057637A CN 112866244 B CN112866244 B CN 112866244B
Authority
CN
China
Prior art keywords
virtual network
host
address
virtual
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110057637.4A
Other languages
English (en)
Other versions
CN112866244A (zh
Inventor
任传伦
郭世泽
吕帅
夏建民
俞赛赛
刘晓影
乌吉斯古愣
孟祥頔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 15 Research Institute
Original Assignee
CETC 15 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 15 Research Institute filed Critical CETC 15 Research Institute
Priority to CN202110057637.4A priority Critical patent/CN112866244B/zh
Publication of CN112866244A publication Critical patent/CN112866244A/zh
Application granted granted Critical
Publication of CN112866244B publication Critical patent/CN112866244B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

针对现有沙箱技术的对具有有网络访问交互行为入侵的病毒样本能力不足的问题,本发明公开了一种基于虚拟网络环境的网络流量沙箱检测方法,首先搭建虚拟分析环境,在控制主机中安装对访问流量可进行回复的交互式虚拟网络服务,实现分析主机全端口到虚拟网络环境的恶意流量转发,实现对恶意加密流量的解密,截取分析主机网卡的恶意流量,实现自动化对恶意代码所产生的网络行为做出应答,并且在此基础上实现了对Https流量的解密功能。本发明方法可以用于集成沙箱环境,以提升沙箱检测恶意代码在网络行为方面的效率和不足,同时也可以独立于沙箱之外,作为一套侧重网络行为分析方面的虚拟环境,具有应用范围广的优点。

Description

基于虚拟网络环境的网络流量沙箱检测方法
技术领域
本发明属于网络安全技术领域,具体涉及一种基于虚拟网络环境的网络流量沙箱检测方法。
背景技术
众所周知,随着网络环境的日趋复杂,计算机网络面临着越来越多的不确定性因素,一些不法分子利用层出不穷的非法技术和手段威胁着每个网络用户的隐私和安全。同时,网络安全技术也是飞速发展。针对目前现有的网络安全技术沙箱产品,其主要功能是建立虚拟的系统程序,允许在这个独立的作业环境中去运行其他的浏览器或者程序,随后将产生的变化可以删除,然后输出报告,这样做不仅可以节省大量的人力和资源,同时针对遭受黑客攻击的企业,方便该企业使用网络安全沙箱对病毒样本进行分析判断,通过沙箱对病毒样本行为操作进行记录从而可以知晓病毒的意图,并且可以进一步溯源该黑客组织。目前沙箱技术主要侧重于对恶意样本进行静态、动态分析,以及对其在虚拟环境中产生的一些文件和注册表行为进行分析,对于恶意样本网络行为交互方面却没有过多关注。
发明内容
针对现有沙箱技术的对具有有网络访问交互行为入侵的病毒样本能力不足的问题,本发明公开了一种基于虚拟网络环境的网络流量沙箱检测方法,自动化对恶意代码所产生的网络行为做出应答,将其所有端口发出的流量重定向到相应建立的虚拟网络环境对应的服务,实现了自动化流量检测,并且在此基础上实现了对Https流量的解密功能。
本发明公开了一种基于虚拟网络环境的网络流量沙箱检测方法,其步骤包括:
S1,搭建虚拟分析环境,配置控制主机和分析主机的ip地址,在分析主机上安装virtualbox虚拟机软件并且对其进行配置,利用该软件创建虚拟网卡,配置分析主机的DNS域名解析服务器地址,该地址也是通过virtualbox建立的分析主机的虚拟网卡ip地址,确保控制主机和分析主机能通过虚拟网卡进行相互访问。
S2,在控制主机中安装对访问流量可进行回复的交互式虚拟网络服务,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,修改服务运行端口为相应动态端口,并以守护进程的方式在后台运行。
S3,实现分析主机全端口到虚拟网络环境的恶意流量转发,为了自动化重定向所有端口的恶意流量,使用linux系统的基于包过滤的防火墙工具(iptables)对分析主机建立的虚拟网卡进行规则添加,实现将分析主机流经网卡的所有端口的流量重定向到虚拟网卡地址的对应端口,虚拟网卡的ip地址和端口同时也是虚拟网络服务的地址和对应服务的端口。虚拟网卡的ip地址是分析主机绑定的DNS服务器地址,同时也是虚拟网络服务伪装的DNS服务器地址,从而将请求域名的恶意流量被重定向到虚拟网络服务中。虚拟网络开启模拟服务,即开启服务侦听对应的端口,从而对发送过来的数据包做出相应的回复和应答。
S4,实现对恶意加密流量的解密,对分析主机虚拟网络服务添加自定义生成的证书,并利用该证书来对恶意加密流量进行解密,获取其通信内容。所述的恶意加密流量,是指会产生HTTPS流量的恶意代码发生网络交互行为后所产生的网络流量。所述的自定义生成的证书,是指通过BurpSuite渗透测试工具含有的证书导出功能导出.der格式的二进制证书,对其使用Openssl转化为.pem的证书文件,从而生成有针对性的自定义证书。
S5,截取分析主机网卡的恶意流量。对经过分析主机网卡的流量进行截取,从而将恶意代码产生的恶意流量与虚拟网络的交互行为保存到网络数据报存储文件(pcap)中,方便后续查看和解析。
所述的步骤S2,其具体包括,
S21,在控制主机上开启相应的虚拟网络服务,以实现对分析主机的网络流量进行应答;
S22,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,虚拟网络服务伪装的DNS服务器地址为虚拟网卡的地址,同时在相应的端口运行模拟服务;
S23,关闭控制主机的网络名称解析服务,防止其与虚拟网络服务的DNS服务器冲突。
步骤S3所述的实现分析主机全端口到虚拟网络环境的恶意流量转发,其具体包括:如果需要回传获取分析主机的状态和报告,在iptables规则中设置放弃转发对应的回传端口的流量到虚拟网卡相应的端口。
步骤S5所述的截取分析主机网卡的流量,其具体包括,采用tcpdump工具实现对经过分析主机虚拟网卡流量的截取,将网络行为完整的记录下来,方便后续解析查看。这些流量包括步骤S4中的Https解密后的流量。
本发明的有益效果为:
1.本发明方法可以用于集成沙箱环境,以提升沙箱检测恶意代码在网络行为方面的效率和不足,同时也可以独立于沙箱之外,作为一套侧重网络行为分析方面的虚拟环境,具有应用范围广的优点。
2.针对一些有网络行为的恶意代码,采用本发明可以将恶意代码从任意端口发送的恶意流量进行转发并回复,省去了人工发现恶意流量发送端口的步骤;同时利用虚拟网络进行交互式回复解决了构建特定分析环境的成本问题;针对恶意加密流量也能达到解密的效果,大大提升了病毒分析人员的工作效率。
附图说明
图1为本发明的搭建虚拟分析环境流程图;
图2为本发明的配置虚拟网络服务流程图。
具体实施方式
为了更好的了解本发明内容,这里给出一个实施例。
本发明公开了一种基于虚拟网络环境的网络流量沙箱检测方法,图1为本发明的搭建虚拟分析环境流程图;图2为本发明的配置虚拟网络服务流程图。本发明方法的步骤包括:
S1,搭建虚拟分析环境,配置控制主机和分析主机的ip地址,在分析主机上安装virtualbox虚拟机软件并且对其进行配置,利用该软件创建虚拟网卡,配置分析主机的DNS域名解析服务器地址,该地址也是通过virtualbox建立的分析主机的虚拟网卡ip地址,确保控制主机和分析主机能通过虚拟网卡进行相互访问。
S2,在控制主机中安装对访问流量可进行回复的交互式虚拟网络服务,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,修改服务运行端口为相应动态端口,并以守护进程的方式在后台运行。
S3,实现分析主机全端口到虚拟网络环境的恶意流量转发,为了自动化重定向所有端口的恶意流量,使用linux系统的基于包过滤的防火墙工具(iptables)对分析主机建立的虚拟网卡进行规则添加,实现将分析主机流经网卡的所有端口的流量重定向到虚拟网卡地址的对应端口,虚拟网卡的ip地址和端口同时也是虚拟网络服务的地址和对应服务的端口。虚拟网卡的ip地址是分析主机绑定的DNS服务器地址,同时也是虚拟网络服务伪装的DNS服务器地址,从而将请求域名的恶意流量被重定向到虚拟网络服务中。虚拟网络开启模拟服务,即开启服务侦听对应的端口,从而对发送过来的数据包做出相应的回复和应答。
S4,实现对恶意加密流量的解密,对分析主机虚拟网络服务添加自定义生成的证书,并利用该证书来对恶意加密流量进行解密,获取其通信内容。所述的恶意加密流量,是指会产生HTTPS流量的恶意代码发生网络交互行为后所产生的网络流量。所述的自定义生成的证书,是指通过BurpSuite渗透测试工具含有的证书导出功能导出.der格式的二进制证书,对其使用Openssl转化为.pem的证书文件,从而生成有针对性的自定义证书。
S5,截取分析主机网卡的恶意流量。对经过分析主机网卡的流量进行截取,从而将恶意代码产生的恶意流量与虚拟网络的交互行为保存到网络数据报存储文件(pcap)中,方便后续查看和解析。
所述的步骤S2,其具体包括,
S21,在控制主机上开启相应的虚拟网络服务,以实现对分析主机的网络流量进行应答;
S22,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,虚拟网络服务伪装的DNS服务器地址为虚拟网卡的地址,同时在相应的端口运行模拟服务;
S23,关闭控制主机的网络名称解析服务,防止其与虚拟网络服务的DNS服务器冲突。
步骤S3所述的实现分析主机全端口到虚拟网络环境的恶意流量转发,其具体包括:如果需要回传获取分析主机的状态和报告,在iptables规则中设置放弃转发对应的回传端口的流量到虚拟网卡相应的端口。
步骤S5所述的截取分析主机网卡的流量,其具体包括,采用tcpdump工具实现对经过分析主机虚拟网卡流量的截取,将网络行为完整的记录下来,方便后续解析查看。这些流量包括步骤S4中的Https解密后的流量。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (5)

1.一种基于虚拟网络环境的网络流量沙箱检测方法,其特征在于,其步骤包括:
S1,搭建虚拟分析环境,配置控制主机和分析主机的ip地址,在分析主机上安装virtualbox虚拟机软件并且对其进行配置,利用该软件创建虚拟网卡,配置分析主机的DNS域名解析服务器地址,该地址也是通过virtualbox建立的分析主机的虚拟网卡ip地址,确保控制主机和分析主机能通过虚拟网卡进行相互访问;
S2,在控制主机中安装对访问流量可进行回复的交互式虚拟网络服务,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,修改服务运行端口为相应动态端口,并以守护进程的方式在后台运行;
S3,实现分析主机全端口到虚拟网络环境的恶意流量转发,为了自动化重定向所有端口的恶意流量,使用linux系统的基于包过滤的防火墙工具对分析主机建立的虚拟网卡进行规则添加,实现将分析主机流经网卡的所有端口的流量重定向到虚拟网卡地址的对应端口,虚拟网卡的ip地址和端口同时也是虚拟网络服务的地址和对应服务的端口;虚拟网卡的ip地址是分析主机绑定的DNS服务器地址,同时也是虚拟网络服务伪装的DNS服务器地址,从而将请求域名的恶意流量重定向到虚拟网络服务中;虚拟网络开启模拟服务,即开启服务侦听对应的端口,从而对发送过来的数据包做出相应的回复和应答;
S4,实现对恶意加密流量的解密,对分析主机虚拟网络服务添加自定义生成的证书,并利用该证书来对恶意加密流量进行解密,获取其通信内容;所述的恶意加密流量,是指会产生HTTPS流量的恶意代码发生网络交互行为后所产生的网络流量;
S5,截取分析主机网卡的恶意流量,从而将恶意代码产生的恶意流量与虚拟网络的交互行为保存到网络数据报存储文件中,方便后续查看和解析。
2.如权利要求1所述的基于虚拟网络环境的网络流量沙箱检测方法,其特征在于,所述的自定义生成的证书,是指通过BurpSuite渗透测试工具含有的证书导出功能导出.der格式的二进制证书,对其使用Openssl转化为.pem的证书文件,从而生成有针对性的自定义证书。
3.如权利要求1或2所述的基于虚拟网络环境的网络流量沙箱检测方法,其特征在于,所述的步骤S2,其具体包括,
S21,在控制主机上开启相应的虚拟网络服务,以实现对分析主机的网络流量进行应答;
S22,修改虚拟网络服务侦听的ip地址为虚拟网卡的ip地址,虚拟网络服务伪装的DNS服务器地址为虚拟网卡的地址,同时在相应的端口运行模拟服务;
S23,关闭控制主机的网络名称解析服务,防止其与虚拟网络服务的DNS服务器冲突。
4.如权利要求1或2所述的基于虚拟网络环境的网络流量沙箱检测方法,其特征在于,步骤S3所述的实现分析主机全端口到虚拟网络环境的恶意流量转发,其具体包括:如果需要回传获取分析主机的状态和报告,在iptables规则中设置放弃转发对应的回传端口的流量到虚拟网卡相应的端口。
5.如权利要求1或2所述的基于虚拟网络环境的网络流量沙箱检测方法,其特征在于,步骤S5所述的截取分析主机网卡的流量,其具体包括,采用tcpdump工具实现对经过分析主机虚拟网卡流量的截取,将网络行为完整的记录下来,方便后续解析查看。
CN202110057637.4A 2021-01-15 2021-01-15 基于虚拟网络环境的网络流量沙箱检测方法 Active CN112866244B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110057637.4A CN112866244B (zh) 2021-01-15 2021-01-15 基于虚拟网络环境的网络流量沙箱检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110057637.4A CN112866244B (zh) 2021-01-15 2021-01-15 基于虚拟网络环境的网络流量沙箱检测方法

Publications (2)

Publication Number Publication Date
CN112866244A CN112866244A (zh) 2021-05-28
CN112866244B true CN112866244B (zh) 2021-09-07

Family

ID=76007088

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110057637.4A Active CN112866244B (zh) 2021-01-15 2021-01-15 基于虚拟网络环境的网络流量沙箱检测方法

Country Status (1)

Country Link
CN (1) CN112866244B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113824615B (zh) * 2021-09-26 2024-07-12 济南浪潮数据技术有限公司 一种基于OpenFlow的虚拟网络流量可视化方法、装置及设备
CN114465747B (zh) * 2021-09-28 2022-10-11 北京卫达信息技术有限公司 基于动态端口伪装的主动欺骗防御方法及系统
CN113949579B (zh) * 2021-10-20 2024-04-30 安天科技集团股份有限公司 网站攻击防御方法、装置、计算机设备及存储介质
CN114124558B (zh) * 2021-11-30 2024-02-06 北京天融信网络安全技术有限公司 操作响应方法、装置、电子设备及计算机可读存储介质
CN113992443B (zh) * 2021-12-28 2022-04-12 北京微步在线科技有限公司 一种云沙箱流量处理方法及装置
CN116633686B (zh) * 2023-07-19 2023-09-29 杭州海康威视数字技术股份有限公司 一种安全网关自适应访问控制的方法、装置及电子设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN105978911A (zh) * 2016-07-15 2016-09-28 江苏博智软件科技有限公司 基于虚拟执行技术的恶意代码检测方法及装置
CN111143839A (zh) * 2019-12-30 2020-05-12 厦门服云信息科技有限公司 一种基于虚拟化行为分析技术的恶意代码检测方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9992217B2 (en) * 2015-12-31 2018-06-05 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for detecting malicious network traffic

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841523A (zh) * 2010-02-05 2010-09-22 中国科学院计算技术研究所 检测恶意代码样本的网络行为的方法及系统
CN105978911A (zh) * 2016-07-15 2016-09-28 江苏博智软件科技有限公司 基于虚拟执行技术的恶意代码检测方法及装置
CN111143839A (zh) * 2019-12-30 2020-05-12 厦门服云信息科技有限公司 一种基于虚拟化行为分析技术的恶意代码检测方法及装置

Also Published As

Publication number Publication date
CN112866244A (zh) 2021-05-28

Similar Documents

Publication Publication Date Title
CN112866244B (zh) 基于虚拟网络环境的网络流量沙箱检测方法
US11722509B2 (en) Malware detection for proxy server networks
US8875296B2 (en) Methods and systems for providing a framework to test the security of computing system over a network
US20200186501A1 (en) Proxy Auto-Configuration For Directing Client Traffic To A Cloud Proxy With Cloud-Based Unique Identifier Assignment
Srinivasa et al. Open for hire: Attack trends and misconfiguration pitfalls of iot devices
Tripathi et al. Raspberry pi as an intrusion detection system, a honeypot and a packet analyzer
Damopoulos et al. User privacy and modern mobile services: are they on the same path?
Diyeb et al. Ethical network surveillance using packet sniffing tools: A comparative study
Singh et al. A honeypot system for efficient capture and analysis of network attack traffic
CN112437100A (zh) 漏洞扫描方法及相关设备
Kondracki et al. Meddling middlemen: Empirical analysis of the risks of data-saving mobile browsers
CN111181831B (zh) 通信数据处理方法和装置、存储介质及电子装置
Al-Ani et al. Authentication and privacy approach for DHCPv6
Zhang et al. Oh-Pwn-VPN! security analysis of OpenVPN-based Android apps
Fiebig et al. Learning from the past: designing secure network protocols
Santhi et al. Penetration testing using Linux tools: attacks and defense strategies
van der Eijk et al. Detecting cobalt strike beacons in netflow data
Ngongang Cloud Computing Security
Hajdarevic et al. Internal penetration testing of Bring Your Own Device (BYOD) for preventing vulnerabilities exploitation
Rawashdeh et al. Analysis of TOR Artifacts and Traffic in Windows 11: A Virtual Lab Approach and Dataset Creation
Leal et al. Development of a suite of IPv6 vulnerability scanning tests using the TTCN-3 language
Mavroeidakos et al. Towards mobile cloud security performance: A cross-border approach
Radholm et al. Ethical Hacking of an IoT-device: Threat Assessment and Penetration Testing: A Survey on Security of a Smart Refrigerator
Frolov Practical Countermeasures against Network Censorship
Sagala et al. Design an advanced botnet to monitor user awareness on harmful malware using VertexNet

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant