CN113992443B - 一种云沙箱流量处理方法及装置 - Google Patents
一种云沙箱流量处理方法及装置 Download PDFInfo
- Publication number
- CN113992443B CN113992443B CN202111615455.0A CN202111615455A CN113992443B CN 113992443 B CN113992443 B CN 113992443B CN 202111615455 A CN202111615455 A CN 202111615455A CN 113992443 B CN113992443 B CN 113992443B
- Authority
- CN
- China
- Prior art keywords
- data
- playback
- cloud
- cloud sandbox
- sandbox
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种云沙箱流量处理方法及装置,涉及通信技术领域,该云沙箱流量处理方法包括:在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;并对网络请求进行解析,得到解析数据;然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,获取网络请求对应的有效响应数据,并将解析数据与有效响应数据进行关联,得到关联数据;再判断目标通信连接是否结束通信;如果是,获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
Description
技术领域
本申请涉及通信技术领域,具体而言,涉及一种云沙箱流量处理方法及装置。
背景技术
随着云沙箱动态行为分析的发展,云沙箱动态行为分析在产出失陷指标(IOC)、鉴定恶意软件行为等方面得到国内外安全厂商的认可,但云沙箱集群在应用时存在被攻击或者恶意利用等情况。现有技术中,通常基于网络模拟,通过代理服务程序和网络服务模拟程序模拟响应相应的服务请求,对特定的网络流量拦截、重定向。然而,在实践中发现,现有方法是模拟的服务响应而不是真实的响应,从而无法产出完整的完整流量数据,降低了失陷指标提取产出量、恶意行为判定能力,无法保证云沙箱网络安全。
发明内容
本申请实施例的目的在于提供一种云沙箱流量处理方法及装置,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
本申请实施例第一方面提供了一种云沙箱流量处理方法,包括:
在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;
对所述网络请求进行解析,得到解析数据;
判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;
如果否,获取所述网络请求对应的有效响应数据,并将所述解析数据与所述有效响应数据进行关联,得到关联数据;
判断所述目标通信连接是否结束通信;
如果是,获取所有的所述关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
在上述实现过程中,在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;并对网络请求进行解析,得到解析数据;然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,获取网络请求对应的有效响应数据,并将解析数据与有效响应数据进行关联,得到关联数据;再判断目标通信连接是否结束通信;如果是,获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
进一步地,所述方法还包括:
当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;
获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;
将所述响应回放数据与所述解析数据进行关联,得到关联数据,并执行所述的判断所述目标通信连接是否结束通信。
进一步地,所述根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据,包括:
获取流量回放服务端的回放服务端地址;
将所述网络请求中的目的地址修改为所述回放服务端地址,以使所述云沙箱将所述网络请求发送至所述流量回放服务端;
获取所述流量回放服务端针对所述网络请求返回的响应回放数据,所述响应回放数据是所述流量回放服务端对所述回放记录进行数据包字段替换处理得到的。
进一步地,所述方法还包括:
当判断出未能查询到所述回放记录时,判断所述云沙箱是否处于网络可达状态;
如果是,则执行所述的获取所述网络请求对应的有效响应数据;
如果否,则确定当前为网络不可达状态,并返回所述网络不可达状态的反馈信息。
进一步地,所述解析数据至少包括源地址信息、目的地址信息、通信协议、源端口、目的端口以及请求URL信息;
所述获取所述网络请求对应的有效响应数据,包括:
根据所述目的地址信息和所述目的端口获取所述网络请求对应的响应数据;
根据所述响应数据的数据包头字段判断所述响应数据是否为有效;
如果是,则将所述响应数据确定为有效响应数据。
进一步地,在将所述完整流量信息存储至所述集群后端数据库之后,所述方法还包括:
获取云沙箱集群中待分析云沙箱的动态行为数据;
根据所述集群后端数据库和所述动态行为数据对所述待分析云沙箱的动态行为进行分析,得到分析结果;
输出所述分析结果。
本申请实施例第二方面提供了一种云沙箱流量处理装置,所述云沙箱流量处理装置包括:
第一获取单元,用于在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;
解析单元,用于对所述网络请求进行解析,得到解析数据;
第一判断单元,用于判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;
第二获取单元,用于当判断出未能查询到所述回放记录时,获取所述网络请求对应的有效响应数据;
关联单元,用于将所述解析数据与所述有效响应数据进行关联,得到关联数据;
第二判断单元,用于判断所述目标通信连接是否结束通信;
存储单元,用于在判断出结束通信时,获取所有的所述关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
在上述实现过程中,第一获取单元在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;解析单元对网络请求进行解析,得到解析数据;然后第一判断单元判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,第二获取单元获取网络请求对应的有效响应数据,关联单元将解析数据与有效响应数据进行关联,得到关联数据;第二判断单元再判断目标通信连接是否结束通信;如果是,存储单元获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
进一步地,所述云沙箱流量处理装置还包括:
拦截单元,用于当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;
第三获取单元,用于获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;
所述关联单元,还用于将所述响应回放数据与所述解析数据进行关联,得到关联数据,并触发所述存储单元执行所述的判断所述目标通信连接是否结束通信。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的云沙箱流量处理方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的云沙箱流量处理方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种云沙箱流量处理方法的流程示意图;
图2为本申请实施例提供的一种云沙箱流量处理装置的结构示意图;
图3是本申请实施例提供的一次网络请求的处理流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种云沙箱流量处理方法的流程示意图。其中,该云沙箱流量处理方法包括:
S101、在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求。
本申请实施例中,该方法的执行主体可以为计算机、服务器等,对此本实施例中不作任何限定。
本申请实施例中,该方法应用于云沙箱集群中云沙箱的流量处理场景中。
S102、对网络请求进行解析,得到解析数据。
本申请实施例中,云沙箱在软件动态运行中,获取云沙箱的网络请求,按协议对网络请求进行解析。解析数据至少包括源地址信息、目的地址信息(即请求目的IP地址)、通信协议、源端口、目的端口以及请求URL信息等,对此本申请实施例不作限定。
S103、判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录,如果否,执行步骤S104~步骤S105以及步骤S112;如果是,执行步骤S106~S112。
作为一种可选的实施方式,方法还包括:
当判断出未能查询到回放记录时,判断云沙箱是否处于网络可达状态;
如果是,则执行的获取网络请求对应的有效响应数据;
如果否,则确定当前为网络不可达状态,并返回网络不可达状态的反馈信息。
在上述实施方式中,查询集群后端数据库,有无此解析数据相匹配的响应数据包或者数据流;当判断出没有相匹配的记录时,则获取网络可达状态下的返回数据包或者数据流,得到响应数据,然后将响应数据与解析数据进行关联并存储到集群后端数据库;若网络不可达,则按实际不可达内容返回。
在步骤S103之后,还包括以下步骤:
S104、获取网络请求对应的有效响应数据。
作为一种可选的实施方式,获取网络请求对应的有效响应数据,可以包括以下步骤:
根据目的地址信息和目的端口获取网络请求对应的响应数据。
根据响应数据的数据包头字段判断响应数据是否为有效;
如果是,则将响应数据确定为有效响应数据,并执行步骤S105。
S105、将解析数据与有效响应数据进行关联,得到关联数据,并执行步骤S112。
本申请实施例中,该有效响应数据具体可以为有效响应数据包或者有效响应数据流等,对此本申请实施例不作限定。
本申请实施例中,将解析数据与有效响应数据进行关联,就是建立请求目的IP地址、目的端口、请求URL信息与有效响应数据的对应关系,得到关联数据,然后将关联数据上传集群后端数据库。
S106、对网络请求进行拦截处理。
S107、获取回放记录。
S108、获取流量回放服务端的回放服务端地址。
S109、将网络请求中的目的地址修改为回放服务端地址,以使云沙箱将网络请求发送至流量回放服务端。
S110、获取流量回放服务端针对网络请求返回的响应回放数据,响应回放数据是流量回放服务端对回放记录进行数据包字段替换处理得到的。
本申请实施例中,若集群后端数据库中有该网络请求对应的回放记录,则将该网络请求拦截,并获取响应回放数据,其中,该响应回放数据包括重放响应数据包或者重放响应数据流。
本申请实施例中,实施上述步骤S108~步骤S110,能够根据回放记录进行云沙箱流量回放处理,得到响应回放数据。
S111、将响应回放数据与解析数据进行关联,得到关联数据。
S112、判断目标通信连接是否结束通信,如果是,则执行步骤S113,如果否,执行步骤S101对云沙箱发出的网络请求进行循环检测得到关联数据。
S113、获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库。
作为进一步可选的实施方式,在将完整流量信息存储至集群后端数据库之后,方法还包括:
获取云沙箱集群中待分析云沙箱的动态行为数据;
根据集群后端数据库和动态行为数据对待分析云沙箱的动态行为进行分析,得到分析结果;
输出分析结果。
本申请实施例中,该方法基于真实流量回放的云沙箱,以实现真实、完整触发动态行为,保障云沙箱集群安全的前提下提高IOC产出、动态行为判定的合理性。
请一并参阅图3,图3是本申请实施例提供的一次网络请求的处理流程示意图。如图3所示,先解析网络流量协议得到解析数据;然后查询集群后端数据库中是否有解析数据相匹配的回访记录;集群后端数据库无记录则记录真实网络响应数据包、数据流;集群后端数据库有记录则重放对应响应数据包、数据流。
本申请实施例中,实施本实施例的方法,能够记录网络请求中返回真实数据包、数据流,区别于模拟数据包、数据流;同时,能够将记录的真实响应数据包、数据流进行重放,实现失陷指标的完整、动态行为链条的完整,从而提高IOC的产出、对完整动态行为作出合理的判定。
本申请实施例中,该方法的应用环境搭建如下:
云沙箱环境,以Windows10操作系统为例,通过网络数据包过滤驱动框架(WFP)解析网络请求得到解析数据,通过目标默认端口关联上层协议;云沙箱集群后端高速缓存数据库redis。
本申请实施例中,以云沙箱集群中云沙箱A和云沙箱B先后发起的两次网络通信请求为例:设A发起的网络请求包括ftp://123.11.22.123,设B发起的网络请求包括ftp://123.11.22.123。采用本申请实施例提供的方法,对云沙箱A和云沙箱B的流量进行处理。
(1)当云沙箱A发起网络请求后,WFP框架解析到该网络请求协议为TCP协议、请求目的IP地址为123.11.22.123、端口号为21,TCP请求数据包头内容为三次握手中SYN Seq=0。
(2)查询集群后端数据,查询KEY值为TCP_123_11_22_123_21_HANDSHAKE_SEQ0,无相匹配回放记录。
(3)则放行该网络请求,WFP框架拦截到来自IP为123.11.22.123,端口号为21, 响应数据包头中SYN,ACK,Seq=0,ACK=1,为有效响应数据,将该有效响应数据与解析数据进行关联后得到关联数据,将关联数据存储至该集群后端数据库redis中,redis 中KEY值为TCP_123_11_22_123_21_HANDSHAKE_SEQ0ACK1,VALUE为返回的TCP完整数据包二进制,表示三次握手中第一步完成,后续云沙箱A每次发起的网络请求都按本实施例提供的流量处理方法进行相同的处理(通过TCP协议包头类型及序号Seq,ACK变更redis数据库key值)依次执行(1) (2) (3)不再赘述。
(4)云沙箱A结束通信后,所有的关联数据入库,从而得到该云沙箱A本次通信的完整数据流。
(5)云沙箱B开始发起通信,与(1)同理,先解析出TCP协议,IP为123.11.22.123、端口号为21,TCP请求数据包头内容为三次握手中SYN Seq=0。
(6)查询集群后端数据,查询KEY值为TCP_123_11_22_123_21_HANDSHAKE_SEQ0,有相匹配的回放记录;
(7)则获取该回放记录,并依据该回放记录修改网络请求中请求目的IP地址为回放服务端地址,回放服务端将云沙箱集群后端数据库key为TCP_123_11_22_123_21_HANDSHAKE_SEQ0对应的回放数据包TCP_123_11_22_123_21_HANDSHAKE_SEQ0ACK1进行回放。
(8)WFP框架收到回放服务端的回放数数据包,并对回放数据包进行拆包,替换回放数据包字段,得到响应回放数据;
(9)此时,完成三次握手中第一步完成,后续类同(6)、(7)、(8)、(9)不再赘述,当云沙箱B结束通信时,则所有的关联数据入库,从而得到该云沙箱B本次通信的完整数据流。
本申请实施例中,云沙箱流量回放结果,一次真实访问ftp:// 123.11.22.123,其他次访问复用第一次有效访问数据包,达到IOC完整性与动态行为完整性。
本申请实施例中,该方法过云沙箱集群中真实、有效网络通信的记录与回放,实现软件动态行为分析中网络通信完整性,可以下载失效的载荷、联接失效的URL等,有利于提取丰富的IOC,触发后续完整的动态行为使就依据动态行判定更加合理。此外还可以保障去沙箱集群避免被恶意利用挖矿、对外发起拒绝服务攻击,提高云沙箱的安全性。
可见,实施本实施例所描述的云沙箱流量处理方法,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
实施例2
请参看图2,图2为本申请实施例提供的一种云沙箱流量处理装置的结构示意图。如图2所示,该云沙箱流量处理装置包括:
第一获取单元210,用于在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;
解析单元220,用于对网络请求进行解析,得到解析数据;
第一判断单元230,用于判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;
第二获取单元240,用于当判断出未能查询到回放记录时,获取网络请求对应的有效响应数据;
关联单元250,用于将解析数据与有效响应数据进行关联,得到关联数据;
第二判断单元260,用于判断目标通信连接是否结束通信;
存储单元270,用于在判断出结束通信时,获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库。
作为一种可选的实施方式,云沙箱流量处理装置还包括:
拦截单元280,用于当判断出能够查询到回放记录时,对网络请求进行拦截处理;
第三获取单元290,用于获取回放记录,并根据回放记录进行云沙箱流量回放处理,得到响应回放数据;
关联单元250,还用于将响应回放数据与解析数据进行关联,得到关联数据,并触发存储单元270执行的判断目标通信连接是否结束通信。
作为一种可选的实施方式,第三获取单元290包括:
第一获取子单元291,用于获取流量回放服务端的回放服务端地址;
修改子单元292,用于将网络请求中的目的地址修改为回放服务端地址,以使云沙箱将网络请求发送至流量回放服务端;
第一获取子单元291,还用于获取流量回放服务端针对网络请求返回的响应回放数据,响应回放数据是流量回放服务端对回放记录进行数据包字段替换处理得到的。
作为一种可选的实施方式,第一判断单元230,还用于当判断出未能查询到回放记录时,判断云沙箱是否处于网络可达状态;如果是,则触发第二获取单元240获取网络请求对应的有效响应数据;如果否,则确定当前为网络不可达状态,并返回网络不可达状态的反馈信息。
本申请实施例中,解析数据至少包括源地址信息、目的地址信息、通信协议、源端口、目的端口以及请求URL信息等,对此本申请实施例不作限定。
作为一种可选的实施方式,第二获取单元240包括:
第二获取子单元241,用于当判断出未能查询到回放记录时,根据目的地址信息和目的端口获取网络请求对应的响应数据;
判断子单元242,用于根据响应数据的数据包头字段判断响应数据是否为有效;
确定子单元243,用于当判断出响应数据有效时,则将响应数据确定为有效响应数据。
作为一种可选的实施方式,第一获取单元210,还用于在将完整流量信息存储至集群后端数据库之后,获取云沙箱集群中待分析云沙箱的动态行为数据;以及根据集群后端数据库和动态行为数据对待分析云沙箱的动态行为进行分析,得到分析结果;以及输出分析结果。
本申请实施例中,该方法通过云沙箱集群中真实、有效网络通信的记录与回放,实现软件动态行为分析中IOC的完整性、动态行为链条的完整性,提高云沙箱集群的安全性。
本申请实施例中,对于云沙箱流量处理装置的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的云沙箱流量处理装置,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
本申请实施例提供了一种电子设备,包括存储器以及处理器,存储器用于存储计算机程序,处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的云沙箱流量处理方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的云沙箱流量处理方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种云沙箱流量处理方法,其特征在于,包括:
在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;
对所述网络请求进行解析,得到解析数据;
判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;
如果否,获取所述网络请求对应的有效响应数据,并将所述解析数据与所述有效响应数据进行关联,得到关联数据;
判断所述目标通信连接是否结束通信;
如果是,获取所有的关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
2.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述方法还包括:
当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;
获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;
将所述响应回放数据与所述解析数据进行关联,得到关联数据,并执行所述的判断所述目标通信连接是否结束通信。
3.根据权利要求2所述的云沙箱流量处理方法,其特征在于,所述根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据,包括:
获取流量回放服务端的回放服务端地址;
将所述网络请求中的目的地址修改为所述回放服务端地址,以使所述云沙箱将所述网络请求发送至所述流量回放服务端;
获取所述流量回放服务端针对所述网络请求返回的响应回放数据,所述响应回放数据是所述流量回放服务端对所述回放记录进行数据包字段替换处理得到的。
4.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述方法还包括:
当判断出未能查询到所述回放记录时,判断所述云沙箱是否处于网络可达状态;
如果是,则执行所述的获取所述网络请求对应的有效响应数据;
如果否,则确定当前为网络不可达状态,并返回所述网络不可达状态的反馈信息。
5.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述解析数据至少包括源地址信息、目的地址信息、通信协议、源端口、目的端口以及请求URL信息;
所述获取所述网络请求对应的有效响应数据,包括:
根据所述目的地址信息和所述目的端口获取所述网络请求对应的响应数据;
根据所述响应数据的数据包头字段判断所述响应数据是否为有效;
如果是,则将所述响应数据确定为有效响应数据。
6.根据权利要求1所述的云沙箱流量处理方法,其特征在于,在将所述完整流量信息存储至所述集群后端数据库之后,所述方法还包括:
获取云沙箱集群中待分析云沙箱的动态行为数据;
根据所述集群后端数据库和所述动态行为数据对所述待分析云沙箱的动态行为进行分析,得到分析结果;
输出所述分析结果。
7.一种云沙箱流量处理装置,其特征在于,所述云沙箱流量处理装置包括:
第一获取单元,用于在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;
解析单元,用于对所述网络请求进行解析,得到解析数据;
第一判断单元,用于判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;
第二获取单元,用于当判断出未能查询到所述回放记录时,获取所述网络请求对应的有效响应数据;
关联单元,用于将所述解析数据与所述有效响应数据进行关联,得到关联数据;
第二判断单元,用于判断所述目标通信连接是否结束通信;
存储单元,用于在判断出结束通信时,获取所有的关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
8.根据权利要求7所述的云沙箱流量处理装置,其特征在于,所述云沙箱流量处理装置还包括:
拦截单元,用于当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;
第三获取单元,用于获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;
所述关联单元,还用于将所述响应回放数据与所述解析数据进行关联,得到关联数据,并触发所述存储单元执行所述的判断所述目标通信连接是否结束通信。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的云沙箱流量处理方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的云沙箱流量处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615455.0A CN113992443B (zh) | 2021-12-28 | 2021-12-28 | 一种云沙箱流量处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111615455.0A CN113992443B (zh) | 2021-12-28 | 2021-12-28 | 一种云沙箱流量处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113992443A CN113992443A (zh) | 2022-01-28 |
| CN113992443B true CN113992443B (zh) | 2022-04-12 |
Family
ID=79734579
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111615455.0A Active CN113992443B (zh) | 2021-12-28 | 2021-12-28 | 一种云沙箱流量处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113992443B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115203063B (zh) * | 2022-09-16 | 2023-04-07 | 平安银行股份有限公司 | 基于实时录制的生产流量重跑风险程序的回放方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800663A (zh) * | 2016-08-31 | 2018-03-13 | 华为数字技术(苏州)有限公司 | 流量离线文件的检测方法及装置 |
| CN110188537A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 数据的分离存储方法及装置、存储介质、电子装置 |
| CN110188538A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 采用沙箱集群检测数据的方法及装置 |
| US11140196B1 (en) * | 2019-03-27 | 2021-10-05 | NortonLifeLock Inc. | Malware fingerprinting on encrypted transport layer security (TLS) traffic |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866244B (zh) * | 2021-01-15 | 2021-09-07 | 中国电子科技集团公司第十五研究所 | 基于虚拟网络环境的网络流量沙箱检测方法 |
-
2021
- 2021-12-28 CN CN202111615455.0A patent/CN113992443B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107800663A (zh) * | 2016-08-31 | 2018-03-13 | 华为数字技术(苏州)有限公司 | 流量离线文件的检测方法及装置 |
| US11140196B1 (en) * | 2019-03-27 | 2021-10-05 | NortonLifeLock Inc. | Malware fingerprinting on encrypted transport layer security (TLS) traffic |
| CN110188537A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 数据的分离存储方法及装置、存储介质、电子装置 |
| CN110188538A (zh) * | 2019-04-26 | 2019-08-30 | 北京奇安信科技有限公司 | 采用沙箱集群检测数据的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113992443A (zh) | 2022-01-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| US20190334948A1 (en) | Webshell detection method and apparatus | |
| CN107294982B (zh) | 网页后门检测方法、装置及计算机可读存储介质 | |
| US8978137B2 (en) | Method and apparatus for retroactively detecting malicious or otherwise undesirable software | |
| EP3557843B1 (en) | Content delivery network (cdn) bot detection using compound feature sets | |
| US20150271202A1 (en) | Method, device, and system for detecting link layer hijacking, user equipment, and analyzing server | |
| US10757135B2 (en) | Bot characteristic detection method and apparatus | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| CN107347057B (zh) | 入侵检测方法、检测规则生成方法、装置及系统 | |
| CN110336835B (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| CN113992443B (zh) | 一种云沙箱流量处理方法及装置 | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| CN113595981B (zh) | 上传文件威胁检测方法及装置、计算机可读存储介质 | |
| JP5345500B2 (ja) | 転送制御方法、転送制御装置、転送制御システムおよび転送制御プログラム | |
| JP6169497B2 (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| US10757118B2 (en) | Method of aiding the detection of infection of a terminal by malware | |
| CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
| CN113722705B (zh) | 一种恶意程序清除方法及装置 | |
| CN109688236B (zh) | Sinkhole域名处理方法及服务器 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN115314271A (zh) | 一种访问请求的检测方法、系统及计算机存储介质 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 | |
| TW201928746A (zh) | 偵測惡意程式的方法和裝置 | |
| KR102001814B1 (ko) | 모바일 장치 기반의 악성 스크립트 탐지 방법 및 그 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |