一種惡意樣本養殖高交互轉化低交互的系統及方法技術方案

本發明專利技術公開了一種惡意樣本養殖高交互轉化低交互的系統，包括：高交互模塊，用于基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；低交互模塊，用于基于所述模擬重放數據，對相同家族惡意行為發送所述首包數據，監聽并獲取惡意行為通信的網絡信息。本發明專利技術解決了現有技術中高交互的方式獲取樣本的網絡信息，達到監控命令與控制服務器或攻擊行為效率低下，需要耗費大量網絡和實體資源來實現運行環境，才能達到效果的技術問題。

【技術實現步驟摘要】
一種惡意樣本養殖高交互轉化低交互的系統及方法
本專利技術涉及計算機安全
，更具體地涉及一種惡意樣本養殖蜜網高交互轉化低交互的系統及方法。
技術介紹
在現有技術中，根據養殖蜜網數據的交互程度可以將養殖蜜網技術分為兩類：低交互養殖蜜網和高交互養殖蜜網。低交互養殖蜜網采用模擬技術，沒有真實的操作系統和服務，交互程度低，只能根據已知漏洞模擬操作系統和應用程序的應答行為；高交互養殖蜜網運行在真實的操作系統上，部署真實的應用程序，可以構造真實的服務環境，捕獲更豐富的攻擊數據。目前，需要研究人員在沙箱內養殖大量惡意樣本來通過獲取樣本的網絡信息，達到監控命令與控制服務器或攻擊行為，這種方式稱為高交互的養殖方法。高交互的方式實現的效率較為低下，風險較高，需要耗費大量網絡和實體資源來實現運行環境，才能達到效果，長期高并發的實現代價較大。
技術實現思路
為了解決上述技術問題，提供了根據本專利技術的一種惡意樣本養殖高交互轉化低交互的系統及方法。根據本專利技術的第一方面，提供了一種惡意樣本養殖高交互轉化低交互的系統。該系統包括：高交互模塊，用于基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；低交互模塊，用于基于所述模擬重放數據，對相同家族惡意行為發送所述首包數據，監聽并獲取惡意行為通信的網絡信息。在一些實施例中，所述高交互模塊包括：獲取子模塊，用于獲取運行環境中不少于二次重運行的惡意行為在網絡通信中首次與服務器建立通信的所述首包數據；比對子模塊，用于比對不少于二次的首包數據，所述首包數據保持不變的記錄為模擬重放數據。在一些實施例中，還包括：運行模塊，用于模擬網絡運行環境運行惡意行為，并在每次獲取所述首包數據之后，重運行惡意行為前對所述模擬網絡運行環境進行數據清洗。在一些實施例中，所述獲取子模塊，用于部署在網絡接口，監控連接網絡發送數據，獲取所述首包數據。在一些實施例中，所述首包數據包括重運行時第一次與所述服務器三次握手后的有通信內容的數據包，由內置在所述惡意行為中的指令進行自動發送。根據本專利技術的第二方面，提供一種惡意樣本養殖高交互轉化低交互的方法，包括：基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；基于模擬重放數據，對相同家族惡意行為發送首包數據，監聽并獲取惡意行為通信的網絡信息。在一些實施例中，所述基于運行環境中不少于二次重運行惡意行為，獲取惡意行為通信的首包數據，運行中保持不變的首包數據為模擬重放數據，包括：獲取運行環境中不少于二次重運行的惡意行為在網絡通信中首次與服務器建立通信的首包數據；比對不少于二次的首包數據，首包數據保持不變的記錄為模擬重放數據。在一些實施例中，還包括：模擬網絡運行環境運行惡意行為，并在每次獲取首包數據之后，重運行惡意行為前對所述模擬網絡運行環境進行數據清洗。在一些實施例中，所述獲取不少于二次重運行的惡意行為在網絡通信中首次與服務器建立通信的所述首包數據，用于部署在網絡接口，監控連接網絡發送數據，獲取所述首包數據。在一些實施例中，所述首包數據包括重運行時第一次與所述服務器三次握手后的有通信內容的數據包，由內置在所述惡意行為中的指令進行自動發送。通過使用本專利技術的方法和系統，利用沙箱的網絡監控，獲取真實的惡意行為首包，利用有限的網絡和實體資源，僅發送高仿真的惡意行為首包，發揮最大限度的并發能力，依據持續運轉的自動化模塊，實現持續、自動化的監控惡意行為活動。可以滿足自動化、高效的惡意樣本的監控，利用有限的網絡資源和其他實體資源實現高效的惡意樣本監控，獲取最新的惡意樣本的情報資源。附圖說明為了更清楚地說明本專利技術的技術方案，下面將對實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術中記載的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為根據本專利技術實施例的通信系統100的應用場景的示意圖；圖2為根據本專利技術實施例的一種惡意樣本養殖高交互轉化低交互的系統的框圖；圖3為根據本專利技術實施例的一種惡意樣本養殖高交互轉化低交互的系統高交互模塊的框圖；圖4為根據本專利技術實施例的一種惡意樣本養殖高交互轉化低交互的方法的流程圖。具體實施方式下面參照附圖對本專利技術的優選實施例進行詳細說明，在描述過程中省略了對于本專利技術來說是不必要的細節和功能，以防止對本專利技術的理解造成混淆。雖然附圖中顯示了示例性實施例，然而應當理解，可以以各種形式實現本專利技術而不應被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠將本專利技術的范圍完整的傳達給本領域的技術人員。圖1是示出了根據本專利技術的通信系統100的應用場景的示意圖。如圖1所示，通信系統100可以包括生產網絡服務器110和命令與控制服務器120。生產網絡服務器110可以通過通信網絡130與命令與控制服務器120相連并與之進行通信。通信網絡130可以是有線的或無線的。具體地，通信網絡130的示例可以包括(但不限于)：有線電纜或光纖型網絡、或WLAN(“無線局域網”，可能是WiFi或者WiMAX型的)、或者還可能是藍牙型的無線短距離通信網絡。生產網絡服務器110在網絡環境下向命令與控制服務器120發送數據包，并接收命令與控制服務器120傳過來的數據包，進行網絡通信。生產網絡服務器110中包括高交互沙箱111和低交互服務器112，低交互服務器112可以由用戶A操作。根據本專利技術，高交互沙箱111能多次養殖并運行惡意代碼樣本，并向命令與控制服務器120發送并獲取真實的數據包，通過部署在沙箱中的網絡接口，可獲取多次的首包數據，找到不變化的首包數據發送給低交互服務器112，通過低交互服務器112向命令與控制服務器120模擬重發這一首包數據，同時進行監聽，以獲取相同家族樣本的網絡信息。圖2是示出了根據本專利技術的一種惡意樣本養殖高交互轉化低交互的系統的框圖，如圖2所示，系統包括：高交互模塊210、低交互模塊220和運行模塊230，其中，運行模塊230是可選的。高交互模塊210，用于基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；基于惡意代碼行為樣本，在沙箱運行環境中對樣本進行養殖，通過部署在沙箱的網絡接口中的高交互模塊210獲取命令與控制首包數據相關網絡信息并儲存。然后進行清洗數據環節，在沙箱中進行第二次養殖并再次獲取命令與控制首包數據，也可多次養殖并獲取首包數據，若兩次首包數據不變則作為低交互的模擬重放數據。這里主要關注的信息是命令與控制首包數據，即沙箱的網絡通信中高交互模塊210第一次與命令與控制服務器三次握手后的首包，這個首包是由本地的高交互模塊210向命令與控制服務器發出的第一個有通信內容的數據包。因為命令與控制服務器首包通常是內置在樣本中的指令進行自動發送的，理論上來說，只要模擬樣本中的指令自動發包的情況，就可以真實的收到命令與控制服務器發回的網絡信息。進一步的，還可進行命令與控制行為，這時，可以對高交互產生的有害通信數據（比如DDoS數據）進行無害化處理，能有效阻止攻擊行為。第一次運行惡意行為樣本的目的是本文檔來自技高網...

【技術保護點】
一種惡意樣本養殖高交互轉化低交互的系統，其特征在于，包括：高交互模塊，用于基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；低交互模塊，用于基于所述模擬重放數據，對相同家族惡意行為發送所述首包數據，監聽并獲取惡意行為通信的網絡信息。

【技術特征摘要】
1.一種惡意樣本養殖高交互轉化低交互的系統，其特征在于，包括：高交互模塊，用于基于運行環境中不少于二次重運行惡意行為，獲取惡意行為網絡通信的首包數據，運行中保持不變的首包數據為模擬重放數據；低交互模塊，用于基于所述模擬重放數據，對相同家族惡意行為發送所述首包數據，監聽并獲取惡意行為通信的網絡信息。2.根據權利要求1所述的系統，其特征在于，所述高交互模塊包括：獲取子模塊，用于獲取運行環境中不少于二次重運行的惡意行為在網絡通信中首次與服務器建立通信的所述首包數據；比對子模塊，用于比對不少于二次的首包數據，所述首包數據保持不變的記錄為模擬重放數據。3.根據權利要求1所述的系統，其特征在于，還包括：運行模塊，用于模擬網絡運行環境運行惡意行為，并在每次獲取所述首包數據之后，重運行惡意行為前對所述模擬網絡運行環境進行數據清洗。4.根據權利要求2所述的系統，其特征在于，所述獲取子模塊，用于部署在網絡接口，監控連接網絡發送數據，獲取所述首包數據。5.根據權利要求1至4任一項所述的系統，其特征在于，所述首包數據包括重運行時第一次與所述服務器三次握手后的有通信內容的數據包，由內置在所述惡意行為中的指令進行自動發送。6.一種惡意樣本養殖高交互轉化低交...

【專利技術屬性】
技術研發人員：康學斌，李拾萱，肖新光，
申請(專利權)人：深圳市安之天信息技術有限公司，
類型：發明
國別省市：廣東,44