虚拟环境的处理方法及其装置、电子设备及存储介质与流程

本发明涉及网络安全领域，具体而言，涉及一种虚拟环境的处理方法及其装置、电子设备及存储介质。

背景技术：

1、在网络安全领域中，沙箱是一种用以识别样本文件是否为恶意文件的技术。想要正确有效地识别文件性质，需要保证沙箱技术构建的虚拟环境的纯净无污染，同时，考虑到构建虚拟环境对硬件资源的要求较高，故虚拟环境的重复利用也显得同等重要。因此，如何在充分利用虚拟环境的同时保证虚拟环境的纯净无污染和沙箱结果的有效性是一个需要解决问题。

2、相关技术中，具有如下处理方法：(1)直接重建虚拟环境，使其恢复至纯净无污染状态，具体为：每次开始分析新的样本文件之前，根据样本文件运行环境的特性重新建立对应的虚拟环境，以保证分析用的虚拟环境纯净无污染。然而，该方法在每轮新的样本文件检测请求到来之时需要重新建立对应的虚拟环境，导致资源消耗高、耗时长、效率低；(2)制作沙箱虚拟环境的快照，通过快照技术恢复虚拟环境到纯净无污染状态，具体为：在部署沙箱、制作用于沙箱分析的虚拟环境之初，就对纯净无污染状态的虚拟环境制作快照。每次开始分析新的样本文件之前，对虚拟环境进行快照恢复工作，以将虚拟环境恢复到最初的纯净无污染状态。然而，该方法通过虚拟环境的快照来恢复可能已被上一轮样本文件破坏过的系统环境，这只能保证系统自身的纯净，无法处理可能出现的前置样本文件的网络行为带来的网络流量污染问题，从而造成误报。

3、针对上述的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本发明实施例提供了一种虚拟环境的处理方法及其装置、电子设备及存储介质，以至少解决相关技术中无法处理已被前置样本文件的网络行为污染过的虚拟环境，导致分析报告的准确性较低的技术问题。

2、根据本发明实施例的一个方面，提供了一种虚拟环境的处理方法，包括：接收样本文件检测请求，其中，所述样本文件检测请求携带有样本文件；基于所述样本文件，确定目标虚拟环境，并采用预设快照恢复所述目标虚拟环境的环境状态，其中，已恢复所述环境状态的所述目标虚拟环境用于运行所述样本文件，得到行为数据；解析所述行为数据，得到解析结果，并在所述解析结果指示存在污染数据包的情况下，过滤所述行为数据中的所述污染数据包，得到目标数据；分析所述目标数据，得到分析报告，其中，所述分析报告用于分析所述样本文件是否存在异常行为。

3、可选地，在接收样本文件检测请求之前，还包括：采用快照机制，为每个初始虚拟环境制作所述预设快照，其中，所述初始虚拟环境的所述环境状态为纯净状态。

4、可选地，基于所述样本文件，确定目标虚拟环境的步骤，包括：基于所述样本文件中携带的运行信息，匹配与所述运行信息对应的虚拟环境集合；筛选所述虚拟环境集合，得到工作状态为空闲状态的所述目标虚拟环境。

5、可选地，在采用预设快照恢复所述目标虚拟环境的环境状态之后，还包括：将所述样本文件传入所述目标虚拟环境，并在所述目标虚拟环境中运行所述样本文件，其中，所述样本文件在运行过程中建立与对端服务器的网络连接，所述网络连接用于接收所述对端服务器传输的数据包；监听所述样本文件在运行过程中的行为，生成所述行为数据。

6、可选地，在解析所述行为数据，得到解析结果之前，还包括：在所述样本文件运行结束的情况下，关闭所述样本文件在运行过程中建立的所有网络连接；在所述所有网络连接都关闭的情况下，关闭所述目标虚拟环境，并将所述目标虚拟环境的工作状态标记为空闲状态。

7、可选地，解析所述行为数据，得到解析结果的步骤，包括：在解析所述行为数据的过程中，进行校验操作，得到校验操作结果；在所述校验操作结果指示存在预设连接的情况下，在所述解析结果中记录存在污染数据包，其中，所述预设连接为所述样本文件在当前运行过程中未发起的连接，所述污染数据包为通过所述预设连接接收的数据包。

8、可选地，进行校验操作，得到校验操作结果的步骤，包括：判断运行所述样本文件的过程中是否存在所述预设连接；在运行所述样本文件的过程中存在所述预设连接的情况下，在所述校验操作结果中记录存在所述预设连接。

9、根据本发明实施例的另一方面，还提供了一种虚拟环境的处理装置，包括：接收单元，用于接收样本文件检测请求，其中，所述样本文件检测请求携带有样本文件；确定单元，用于基于所述样本文件，确定目标虚拟环境，并采用预设快照恢复所述目标虚拟环境的环境状态，其中，已恢复所述环境状态的所述目标虚拟环境用于运行所述样本文件，得到行为数据；解析单元，用于解析所述行为数据，得到解析结果，并在所述解析结果指示存在污染数据包的情况下，过滤所述行为数据中的所述污染数据包，得到目标数据；分析单元，用于分析所述目标数据，得到分析报告，其中，所述分析报告用于分析所述样本文件是否存在异常行为。

10、可选地，所述处理装置还包括：第一制作模块，用于在接收样本文件检测请求之前，采用快照机制，为每个初始虚拟环境制作所述预设快照，其中，所述初始虚拟环境的所述环境状态为纯净状态。

11、可选地，所述确定单元包括：第一匹配模块，用于基于所述样本文件中携带的运行信息，匹配与所述运行信息对应的虚拟环境集合；第一筛选模块，用于筛选所述虚拟环境集合，得到工作状态为空闲状态的所述目标虚拟环境。

12、可选地，所述处理装置还包括：第一运行模块，用于在采用预设快照恢复所述目标虚拟环境的环境状态之后，将所述样本文件传入所述目标虚拟环境，并在所述目标虚拟环境中运行所述样本文件，其中，所述样本文件在运行过程中建立与对端服务器的网络连接，所述网络连接用于接收所述对端服务器传输的数据包；第一监听模块，用于监听所述样本文件在运行过程中的行为，生成所述行为数据。

13、可选地，所述处理装置还包括：第一关闭模块，用于在解析所述行为数据，得到解析结果之前，在所述样本文件运行结束的情况下，关闭所述样本文件在运行过程中建立的所有网络连接；第二关闭模块，用于在所述所有网络连接都关闭的情况下，关闭所述目标虚拟环境，并将所述目标虚拟环境的工作状态标记为空闲状态。

14、可选地，所述解析单元包括：第一校验模块，用于在解析所述行为数据的过程中，进行校验操作，得到校验操作结果；第一记录模块，用于在所述校验操作结果指示存在预设连接的情况下，在所述解析结果中记录存在污染数据包，其中，所述预设连接为所述样本文件在当前运行过程中未发起的连接，所述污染数据包为通过所述预设连接接收的数据包。

15、可选地，所述第一校验模块包括：第一判断子模块，用于判断运行所述样本文件的过程中是否存在所述预设连接；第一记录子模块，用于在运行所述样本文件的过程中存在所述预设连接的情况下，在所述校验操作结果中记录存在所述预设连接。

16、根据本发明实施例的另一方面，还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述虚拟环境的处理方法。

17、根据本发明实施例的另一方面，还提供了一种电子设备，包括一个或多个处理器和存储器，所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述虚拟环境的处理方法。

18、在本公开中，接收样本文件检测请求，基于样本文件，确定目标虚拟环境，并采用预设快照恢复目标虚拟环境的环境状态，其中，已恢复环境状态的目标虚拟环境用于运行样本文件，得到行为数据，解析行为数据，得到解析结果，并在解析结果指示存在污染数据包的情况下，过滤行为数据中的污染数据包，得到目标数据，分析目标数据，得到分析报告。在本公开中，可以先确定能够运行接收到的样本文件的目标虚拟环境，然后采用预设快照恢复目标虚拟环境的环境状态，再通过已恢复环境状态的目标虚拟环境运行该样本文件，之后解析运行过程中产生的行为数据，如果解析结果指示存在污染数据包，则在过滤污染数据包后，分析过滤后的目标数据，以得到分析报告，能够有效避免前置样本文件的网络行为污染当前运行的虚拟环境，高效且正确地提供可重用的、纯净无污染的虚拟环境，提高了分析报告的准确性，进而解决了相关技术中无法处理已被前置样本文件的网络行为污染过的虚拟环境，导致分析报告的准确性较低的技术问题。