一种恶意样本养殖高交互转化低交互的系统及方法与流程

本发明涉及计算机安全技术领域，更具体地涉及一种恶意样本养殖蜜网高交互转化低交互的系统及方法。

背景技术：

在现有技术中，根据养殖蜜网数据的交互程度可以将养殖蜜网技术分为两类：低交互养殖蜜网和高交互养殖蜜网。低交互养殖蜜网采用模拟技术，没有真实的操作系统和服务，交互程度低，只能根据已知漏洞模拟操作系统和应用程序的应答行为；高交互养殖蜜网运行在真实的操作系统上，部署真实的应用程序，可以构造真实的服务环境，捕获更丰富的攻击数据。

目前，需要研究人员在沙箱内养殖大量恶意样本来通过获取样本的网络信息，达到监控命令与控制服务器或攻击行为，这种方式称为高交互的养殖方法。高交互的方式实现的效率较为低下，风险较高，需要耗费大量网络和实体资源来实现运行环境，才能达到效果，长期高并发的实现代价较大。

技术实现要素：

为了解决上述技术问题，提供了根据本发明的一种恶意样本养殖高交互转化低交互的系统及方法。

根据本发明的第一方面，提供了一种恶意样本养殖高交互转化低交互的系统。该系统包括：高交互模块，用于基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；低交互模块，用于基于所述模拟重放数据，对相同家族恶意行为发送所述首包数据，监听并获取恶意行为通信的网络信息。

在一些实施例中，所述高交互模块包括：获取子模块，用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据；比对子模块，用于比对不少于二次的首包数据，所述首包数据保持不变的记录为模拟重放数据。

在一些实施例中，还包括：运行模块，用于模拟网络运行环境运行恶意行为，并在每次获取所述首包数据之后，重运行恶意行为前对所述模拟网络运行环境进行数据清洗。

在一些实施例中，所述获取子模块，用于部署在网络接口，监控连接网络发送数据，获取所述首包数据。

在一些实施例中，所述首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包，由内置在所述恶意行为中的指令进行自动发送。

根据本发明的第二方面，提供一种恶意样本养殖高交互转化低交互的方法，包括：基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；基于模拟重放数据，对相同家族恶意行为发送首包数据，监听并获取恶意行为通信的网络信息。

在一些实施例中，所述基于运行环境中不少于二次重运行恶意行为，获取恶意行为通信的首包数据，运行中保持不变的首包数据为模拟重放数据，包括：获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据；比对不少于二次的首包数据，首包数据保持不变的记录为模拟重放数据。

在一些实施例中，还包括：模拟网络运行环境运行恶意行为，并在每次获取首包数据之后，重运行恶意行为前对所述模拟网络运行环境进行数据清洗。

在一些实施例中，所述获取不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据，用于部署在网络接口，监控连接网络发送数据，获取所述首包数据。

在一些实施例中，所述首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包，由内置在所述恶意行为中的指令进行自动发送。

通过使用本发明的方法和系统，利用沙箱的网络监控，获取真实的恶意行为首包，利用有限的网络和实体资源，仅发送高仿真的恶意行为首包，发挥最大限度的并发能力，依据持续运转的自动化模块，实现持续、自动化的监控恶意行为活动。可以满足自动化、高效的恶意样本的监控，利用有限的网络资源和其他实体资源实现高效的恶意样本监控，获取最新的恶意样本的情报资源。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的通信系统100 的应用场景的示意图；

图2为根据本发明实施例的一种恶意样本养殖高交互转化低交互的系统的框图；

图3为根据本发明实施例的一种恶意样本养殖高交互转化低交互的系统高交互模块的框图；

图4为根据本发明实施例的一种恶意样本养殖高交互转化低交互的方法的流程图。

具体实施方式

下面参照附图对本发明的优选实施例进行详细说明，在描述过程中省略了对于本发明来说是不必要的细节和功能，以防止对本发明的理解造成混淆。虽然附图中显示了示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本发明的范围完整的传达给本领域的技术人员。

图1 是示出了根据本发明的通信系统100 的应用场景的示意图。如图1 所示，通信系统100 可以包括生产网络服务器110 和命令与控制服务器120。生产网络服务器110 可以通过通信网络130 与命令与控制服务器120 相连并与之进行通信。通信网络130 可以是有线的或无线的。具体地，通信网络130 的示例可以包括(但不限于)：有线电缆或光纤型网络、或WLAN(“无线局域网”，可能是WiFi或者WiMAX型的)、或者还可能是蓝牙型的无线短距离通信网络。

生产网络服务器110在网络环境下向命令与控制服务器120发送数据包，并接收命令与控制服务器120传过来的数据包，进行网络通信。生产网络服务器110中包括高交互沙箱111和低交互服务器112，低交互服务器112可以由用户A 操作。根据本发明，高交互沙箱111能多次养殖并运行恶意代码样本，并向命令与控制服务器120发送并获取真实的数据包，通过部署在沙箱中的网络接口，可获取多次的首包数据，找到不变化的首包数据发送给低交互服务器112，通过低交互服务器112向命令与控制服务器120模拟重发这一首包数据，同时进行监听，以获取相同家族样本的网络信息。

图2是示出了根据本发明的一种恶意样本养殖高交互转化低交互的系统的框图，如图2所示，系统包括：高交互模块210、低交互模块220和运行模块230，其中，运行模块230是可选的。

高交互模块210，用于基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；

基于恶意代码行为样本，在沙箱运行环境中对样本进行养殖，通过部署在沙箱的网络接口中的高交互模块210获取命令与控制首包数据相关网络信息并储存。然后进行清洗数据环节，在沙箱中进行第二次养殖并再次获取命令与控制首包数据，也可多次养殖并获取首包数据，若两次首包数据不变则作为低交互的模拟重放数据。

这里主要关注的信息是命令与控制首包数据，即沙箱的网络通信中高交互模块210第一次与命令与控制服务器三次握手后的首包，这个首包是由本地的高交互模块210向命令与控制服务器发出的第一个有通信内容的数据包。因为命令与控制服务器首包通常是内置在样本中的指令进行自动发送的，理论上来说，只要模拟样本中的指令自动发包的情况，就可以真实的收到命令与控制服务器发回的网络信息。进一步的，还可进行命令与控制行为，这时，可以对高交互产生的有害通信数据（比如DDoS数据）进行无害化处理，能有效阻止攻击行为。

第一次运行恶意行为样本的目的是对已有的样本进行第一次筛选，筛选出能进行命令与控制通信的样本，并记录首包数据。

高交互模块210二次重运行恶意行为，通过高交互养殖样本，向命令与控制服务器发送并获取真实的命令与控制首包数据。对两次获取到的命令与控制首包数据进行对比，如果首包数据信息不变的，则认为是有效的命令与控制首包数据，并储存相关网络信息。

因为需要保证发送的首包数据是相对命令与控制首包真实的，才能保证命令与控制服务器能正确的接收，因此要找到多次发送的首包中的变和不变的部分。因为样本中的指令所发出的首包数据可能会依赖于一些变量，比如时间、系统配置信息等等。找到了变和不变的部分，才能发送更真实的命令与控制首包，以获得真实的通信数据，以免发送的数据因命令与控制服务器的设置而无法进行命令与控制通信。二次养殖运行恶意行为样本，并对首包数据进行比对的目的是找到首包中可变和不变的地方，以获取可重放的真实的命令与控制首包数据为模拟重放数据。

低交互模块220，用于基于模拟重放数据，对相同家族恶意行为发送首包数据，监听并获取恶意行为通信的网络信息。

基于高交互模块210获取的模拟重放数据，低交互模块220向命令与控制服务器中的相同家族样本模拟重放命令与控制首包数据，同时接收并监听网络通信数据，以获取相同家族样本的网络信息。

这里主要关注的信息是低交互模块220把命令与控制首包发送给命令与控制服务器，与命令与控制服务器通信，因此可以获得命令与控制通信数据的网络信息，对网络信息进行处理和储存。

在一些实施例中，系统还包括：

运行模块230，用于模拟网络运行环境运行恶意行为，并在每次获取所述首包数据之后，重运行恶意行为前对模拟网络运行环境进行数据清洗。

图3是示出了根据本发明的一种恶意样本养殖高交互转化低交互的系统高交互模块的框图，如图3所示，高交互模块包括：获取子模块212、比对子模块214。

获取子模块212，用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据。这里的服务器是命令与控制服务器，获取子模块212可以用于部署在高交互沙箱111网络接口，监控连接网络发送数据，获取首包数据。

比对子模块214，用于比对不少于二次的首包数据，首包数据保持不变的记录为模拟重放数据。对首包数据进行比对的目的是找到首包中可变和不变的地方，以获取可重放的真实的命令与控制首包数据为模拟重放数据。

图4是示出了根据本发明的一种恶意样本养殖高交互转化低交互的方法的流程图，如图4所示，方法包括：

S410，运行环境中第一次运行恶意行为，获取网络通信中首次与服务器建立网络通信的首包数据1，这里的服务器是命令与控制服务器。

基于恶意代码行为样本，在沙箱运行环境中对样本进行养殖，通过部署在沙箱的网络接口中的高交互模块210获取命令与控制首包数据相关网络信息并储存。

S420，在每次获取首包数据之后，重运行恶意行为前对模拟网络运行环境进行数据清洗。

S430，运行环境中二次重运行恶意行为，获取恶意行为网络通信的首包数据2。

S440，比对二次的首包数据，首包数据保持不变的记录为模拟重放数据。

恶意行为样本中的指令所发出的首包数据可能会依赖于一些变量，比如时间、系统配置信息等等。找到了变和不变的部分，才能发送更真实的命令与控制首包，以获得真实的通信数据，以免发送的数据因命令与控制服务器的设置而无法进行命令与控制通信。

首包数据包括重运行时第一次与所述服务器三次握手后的有通信内容的数据包，由内置在所述恶意行为中的指令进行自动发送。

S450，基于模拟重放数据，对相同家族恶意行为发送首包数据，监听并获取恶意行为通信的网络信息。

本发明通过利用沙箱的网络监控，获取真实的命令与控制首包，利用有限的网络和实体资源，仅发送高仿真的命令与控制首包，发挥最大限度的并发能力，依据持续运转的自动化模块，实现持续、自动化的监控命令与控制活动。可以满足自动化、高效的恶意样本的监控，利用有限的网络资源和其他实体资源实现高效的恶意样本监控，获取最新的恶意样本的情报资源。

至此已经结合优选实施例对本发明进行了描述。应该理解，本领域技术人员在不脱离本发明的精神和范围的情况下，可以进行各种其它的改变、替换和添加。因此，本发明的范围不局限于上述特定实施例，而应由所附权利要求所限定。