沙箱报告过滤方法和装置与流程

本发明涉及恶意软件分析领域，特别涉及一种沙箱报告过滤方法和装置。
背景技术：
：沙箱系统即自动化恶意软件分析系统，目前主要用于分析windows平台下的恶意软件，但其框架同时支持linux和macos。它能够跟踪恶意软件进程及其产生的所有进程的win32api调用记录；检测恶意软件的文件创建、删除和下载；能够获取恶意软件进程的内存镜像；能够获取系统全部内存镜像，方便其他工具进行进一步分析；能够以pacp格式抓取网络数据；能够抓取恶意软件运行时的截图。沙箱系统工作原理如下：当把一个样本文件提交到沙箱系统时，沙箱系统首先会利用虚拟机软件启动一个事先设置的真实的windows系统环境，然后把样本文件放入其中并让其运行。在样本文件运行过程中，沙箱系统会利用事先布置好的各种系统探针来获取样本文件的各种操作信息。在分析结束的时候沙箱系统会回收这些信息并整理成为一个可读的分析报告。最后会把这份分析报告进行存储。沙箱系统在分析样本文件的过程中产生的网络信息，这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的，并且会被存储在原始分析报告之中。这其中沙箱系统所使用的操作系统产生的网络信息，它会干扰到后续的分析工作。现有技术通常是使用一些技术手段在样本文件执行过程中尽量拦截掉操作系统本身的行为信息，不让这部分操作系统本身的行为信息写入到分析报告之中。从中可以发下现有技术的实现难度大，而且效果不好，通常会漏掉一些操作系统自身的网络信息，也会误拦截一些样本本身的网络信息。技术实现要素：有鉴于上述技术问题，本发明提供了一种沙箱报告过滤方法和装置，包括以下步骤：一种沙箱报告过滤方法，其包括：在预设操作环境下运行样本文件；获取运行该样本文件时产生的第一信息；基于预设准则对所述第一信息进行过滤处理，形成第二信息；基于所述第二信息形成分析报告。在一优选实施例中，在预设操作环境下运行样本文件之前还包括：获取样本文件。在一优选实施例中，获取运行该样本文件时产生的第一信息包括下述至少一种：获取运行所述样本文件时产生api调用记录、截图揭记录以及网络数据记录；检测运行所述样本文件时文件的删除记录、新建记录和下载记录；获取样本文件的内存镜像；获取运行样本文件时系统全部内存镜像。在一优选实施例中，基于预设准则对所述第一信息进行过滤处理，形成第二信息包括：获取所述样本文件运行过程中的行为信息；过滤所述行为信息中由于操作系统自身的网络行为信息；基于保留的由于样本文件产生的网络行为信息形成第二信息。在一优选实施例中，所述方法还包括：在满足预设条件时，存储所述分析报告。在一优选实施例中，在满足预设条件时，存储所述分析报告包括：判断所述分析报告的容量是否小于预设阈值；如是，则存储所述分析报告。在一优选实施例中，在所述分析报告的容量大于预设阈值时，则删除其中的无用数据再进行存储。本发明实施例还提供了一种沙箱报告过滤装置，其包括：处理器，其配置为在预设操作环境下运行样本文件，并获取运行该样本文件时产生的第一信息；以及基于预设准则对所述第一信息进行过滤处理，形成第二信息，并基于所述第二信息形成分析报告。在一优选实施例中，所述处理器进一步配置为在预设操作环境下运行样本文件，并获取运行该样本文件时产生的第一信息；以及基于预设准则对所述第一信息进行过滤处理，形成第二信息，并基于所述第二信息形成分析报告。在一优选实施例中，所述处理器进一步配置为获取运行该样本文件时产生的第一信息包括下述至少一种：获取运行所述样本文件时产生api调用记录、截图揭记录以及网络数据记录；检测运行所述样本文件时文件的删除记录、新建记录和下载记录；获取样本文件的内存镜像；获取运行样本文件时系统全部内存镜像。采用本发明的实施例，可在沙箱系统启动的虚拟机windows操作系统去分析样本文件时，过滤掉这些操作系统自身的行为，从而针对沙箱系统在分析样本文件时虚拟机windows操作系统产生的无用信息进行删除，以解决现有技术会漏掉一些操作系统自身的网络信息，也会误拦截一些样本本身的网络信息的问题。附图说明图1为本发明实施例中的沙箱报告过滤方法的原理流程图；图2为本发明实施例中的沙箱报告过滤装置的原理结构图。具体实施方式下面，结合附图对本发明的具体实施例进行详细的描述，但不作为本发明的限定。应理解的是，可以对此处公开的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本发明的这些和其它特性将会变得显而易见。还应当理解，尽管已经参照一些具体实例对本发明进行了描述，但本领域技术人员能够确定地实现本发明的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。下面，结合附图详细的说明本发明实施例，本发明实施例提供了一种沙箱报告过滤方法。其中，沙箱系统在分析样本文件的过程中会产生网络信息，这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的。通过本发明实施例可以在已经收集到的网络行为信息里面剔除掉不需要的操作系统的网络行为信息，只保留样本文件所产生的网络行为信息，从而既能保证分析报告的有效性，同时删除了其中的无用数据。如图1所示为本发明实施例中的沙箱报告过滤方法的原理流程图，其中可以包括：在预设操作环境下运行样本文件；获取运行该样本文件时产生的第一信息；基于预设准则对所述第一信息进行过滤处理，形成第二信息；基于所述第二信息形成分析报告。本发明实施例中，样本文件可以是任意的程序文件，如测试程序，或者其他的程序文件等，通过沙箱测试可以获取针对该文件的分析报告。具体的，沙箱在获取样本文件后，可以对应的在预设操作环境下运行该样本文件。例如，本发明实施例中的预设操作环境可以为windows操作环境，或者也可以为android环境、linux和macos环境等，在此不作为本发明实施例的限制，其可以是任意操作环境。另外，在预设操作环境下运行样本文件之前还可以包括：获取样本文件。其中获取样本文件的方式可以包括获取来自其他设备的样本文件，其中该样本文件中可以包括文件类型的标识，基于该标识可以确定样本文件所适配的操作环境，继而选择对应的操作环境来运行该样本文件。另外，在运行该样本文件时，可以获取运行该样本文件所产生的网络信息，即第一信息，该过程可以包括获取运行所述样本文件时产生api调用记录、截图揭记录以及网络数据记录；检测运行所述样本文件时文件的删除记录、新建记录和下载记录；获取样本文件的内存镜像；以及获取运行样本文件时系统全部内存镜像中的至少一种。在获取第一信息后，本发明实施例可以对第一信息进行过滤处理，保留其中的有用信息，即样本文件所产生的网络数据。具体的，本发明实施例可以基于预设准则对所述第一信息进行过滤处理，形成第二信息，其中可以包括：获取所述样本文件运行过程中的行为信息；过滤所述行为信息中由于操作系统自身的网络行为信息；基于保留的由于样本文件产生的网络行为信息形成第二信息。由于沙箱系统在分析样本文件的过程中会产生网络信息，这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的。通过本发明实施例可以在已经收集到的网络行为信息里面剔除掉不需要的操作系统的网络行为信息，只保留样本文件所产生的网络行为信息，来生成第二信息。继而基于第二信息可以生成分析报告，在形成分析报告后，本发明实施例还可以对该分析报告进行存储。例如可以，在满足预设条件时，存储所述分析报告，其中可以包括：判断所述分析报告的容量是否小于预设阈值；如是，则存储所述分析报告。本发明实施例中，为了保证存储空间的利用率，可以对低于预设阈值的分析报告进行存储，例如，该预设阈值可以为40-100mb的范围内的数值。另外，在所述分析报告的容量大于预设阈值时，则删除其中的无用数据再进行存储。或者可以对分析报告进行压缩处理后进行存储，从而可以保证存储的有效性。例如，一份完整的“原始分析报告”的格式如下：basicinformationsignaturesinformationtargetinformationvirustotalinformationnetworkinformation(本发明主要处理这部分信息)behaviorinformationmetadatainformationstringsinformation沙箱动态分析系统利用虚拟机分析可执行文件时，虚拟机windows操作系统会产生一些操作系统自身的网络访问信息。这个操作系统自身产生的网络信息也会被存储在原始分析报告之中，它可以称之为操作系统的“背景杂波”。在接下来处理原始分析报告的时候，就会删除掉这部分“背景杂波”，只保留分析样本相关的信息。这样，后期在使用样本文件的分析报告时，无需考虑操作系统的自己身操作，只需要针对报告内的数据进行分析即可。基于本发明实施例的上述配置，可在沙箱系统启动的虚拟机windows操作系统去分析样本文件时，过滤掉这些操作系统自身的行为，从而针对沙箱系统在分析样本文件时虚拟机windows操作系统产生的无用信息进行删除，以解决现有技术会漏掉一些操作系统自身的网络信息，也会误拦截一些样本本身的网络信息的问题。另外，如图2所示，为本发明实施例中的一种沙箱报告过滤装置的原理结构图，其中可以包括：处理器1和存储器2。其中，处理器1可以配置为在预设操作环境下运行样本文件，并获取运行该样本文件时产生的第一信息；以及基于预设准则对所述第一信息进行过滤处理，形成第二信息，并基于所述第二信息形成分析报告。本发明实施例中，样本文件可以是任意的程序文件，如测试程序，或者其他的程序文件等，通过沙箱测试可以获取针对该文件的分析报告。具体的，沙箱在获取样本文件后，处理器1可以对应的在预设操作环境下运行该样本文件。例如，本发明实施例中的预设操作环境可以为windows操作环境，或者也可以为android环境、linux和macos环境等，在此不作为本发明实施例的限制，其可以是任意操作环境。另外，在预设操作环境下运行样本文件之前还可以包括：获取样本文件。其中获取样本文件的方式可以包括获取来自其他设备的样本文件，其中该样本文件中可以包括文件类型的标识，基于该标识可以确定样本文件所适配的操作环境，继而选择对应的操作环境来运行该样本文件。另外，在运行该样本文件时，处理器1可以获取运行该样本文件所产生的网络信息，即第一信息，该过程可以包括获取运行所述样本文件时产生api调用记录、截图揭记录以及网络数据记录；检测运行所述样本文件时文件的删除记录、新建记录和下载记录；获取样本文件的内存镜像；以及获取运行样本文件时系统全部内存镜像中的至少一种。在获取第一信息后，本发明实施例中的处理器1可以对第一信息进行过滤处理，保留其中的有用信息，即样本文件所产生的网络数据。具体的，本发明实施例处理器1可以基于预设准则对所述第一信息进行过滤处理，形成第二信息，其中可以包括：获取所述样本文件运行过程中的行为信息；过滤所述行为信息中由于操作系统自身的网络行为信息；基于保留的由于样本文件产生的网络行为信息形成第二信息。由于沙箱系统在分析样本文件的过程中会产生网络信息，这其中包含沙箱系统所使用的操作系统本身产生的网络信息和样本文件在运行时产生的网络信息。这两部分网络信息通常是杂糅在一起的。通过本发明实施例可以在已经收集到的网络行为信息里面剔除掉不需要的操作系统的网络行为信息，只保留样本文件所产生的网络行为信息，来生成第二信息。继而基于第二信息可以生成分析报告。在形成分析报告后，本发明实施例还可以对该分析报告进行存储。例如可以，在满足预设条件时，存储所述分析报告，其中可以包括：处理器1可以判断所述分析报告的容量是否小于预设阈值，如是，则可以通过存储器2存储所述分析报告。本发明实施例中，为了保证存储空间的利用率，可以对低于预设阈值的分析报告进行存储，例如，该预设阈值可以为40-100mb的范围内的数值。另外，在所述分析报告的容量大于预设阈值时，则删除其中的无用数据再进行存储。或者可以对分析报告进行压缩处理后进行存储，从而可以保证存储的有效性。基于本发明实施例的上述配置，可在沙箱系统启动的虚拟机windows操作系统去分析样本文件时，过滤掉这些操作系统自身的行为，从而针对沙箱系统在分析样本文件时虚拟机windows操作系统产生的无用信息进行删除，以解决现有技术会漏掉一些操作系统自身的网络信息，也会误拦截一些样本本身的网络信息的问题。采用本发明，可在沙箱系统启动的虚拟机windows操作系统去分析样本文件时，过滤掉这些操作系统自身的行为，从而针对沙箱系统在分析样本文件时虚拟机windows操作系统产生的无用信息进行删除。在虚拟机windows系统中分析一个样本之后，去处理其网络行为信息。以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或等同替换，这种修改或等同替换也应视为落在本发明的保护范围内。当前第1页12