一种安全可靠的主动验证防范病毒投递的检测方法与系统与流程

本发明涉及一种安全可靠的主动验证防范病毒投递的检测方法与系统，属于网络安全检测。

背景技术：

1、计算机病毒是具有破坏计算机信息或系统的恶意程序，例如僵尸病毒、木马病毒、挖矿病毒等，常见的病毒投递模式是通过病毒样本文件服务器，用户无感的情况下，下载进入终端设备，如图1。

2、以模拟病毒样本文件的投递过程，主动验证评估当前网络安全防护系统是否能够及时阻断病毒样本文件的投递，是防范病毒的第一步，针对病毒的防范具有重要的价值。

3、模拟病毒样本文件的投递时，使用互联网上已公开真实的病毒样本文件来验证评估，但使用或投递病毒样本的过程，需要确保不能引起病毒样本文件被激活，以免感染验证环境。在保证模拟的真实性的同时，需要安全有效的控制技术来处理与投递病毒样本文件。

技术实现思路

1、发明目的：针对上述现有技术存在的问题，本发明目的在于提供一种安全可靠的主动验证防范病毒投递的检测方法与系统，能够还原病毒样本文件的投递过程，自动判别投递是否成功，并能够有效避免病毒被激活。

2、技术方案：为实现上述发明目的，本发明采用如下技术方案：

3、一种安全可靠的主动验证防范病毒投递的检测方法，包括如下步骤：

4、在跨操作系统沙箱的安全隔离的环境中处理病毒样本文件，计算整个病毒样本文件的大小和hash值，将整个病毒样本文件分割成n个文件，并将每个分割的部分文件加密保存在硬盘中；其中n>2为预先约定的数量；

5、位于安全防护系统两侧的发送端和接收端根据病毒样本文件大小，在内存上开辟指定大小的虚拟内存块；

6、发送端依次读取硬盘上分割的n个病毒样本部分文件，在虚拟内存块中进行解密和拼装，拼装完成后发送数据接收指令给接收端，收到接收端确认的回复后，将拟内存块中的病毒样本文件数据发送到接收端，发送完成后销毁虚拟内存块；

7、接收端将接收到的病毒样本数据后映射在虚拟内存块中，计算虚拟内存块中病毒样本数据的hash值，计算完成后销毁虚拟内存块；

8、通过判断接收端的hash值与记录的hash值是否相同，来判断安全防护系统是否有效阻断病毒投递，若hash值相同则说明安全防护系统未阻断病毒的投递。

9、作为优选，对于windows类型的病毒样本，启动linux操作系统的沙箱进行分割；对于非windows类型的病毒样本，启动windows操作系统的沙箱进行分割。

10、作为优选，在沙箱中处理病毒样本文件时，实时监测病毒样本文件的异常行为，在分割中监测到异常时销毁沙箱。

11、作为优选，所述沙箱为虚拟机，所述异常行为包括网络行为、修改注册表和修改系统文件的行为。

12、作为优选，发送端通过http、tcp或udp协议，将病毒样本文件数据发送到接收端。

13、一种安全可靠的主动验证防范病毒投递的检测系统，包括：

14、文件分割模块，用于在跨操作系统沙箱的安全隔离的环境中处理病毒样本文件，计算整个病毒样本文件的大小和hash值，将整个病毒样本文件分割成n个文件，并将每个分割的部分文件加密保存在硬盘中；其中n>2为预先约定的数量；

15、文件发送模块，位于发送端，用于根据病毒样本文件大小，在内存上开辟指定大小的虚拟内存块；依次读取硬盘上分割的n个病毒样本部分文件，在虚拟内存块中进行解密和拼装，拼装完成后发送数据接收指令给接收端，收到接收端确认的回复后，将拟内存块中的病毒样本文件数据发送到接收端，发送完成后销毁虚拟内存块；

16、文件接收模块，位于接收端，用于将接收到的病毒样本数据后映射在虚拟内存块中，计算虚拟内存块中病毒样本数据的hash值，计算完成后销毁虚拟内存块；

17、以及检测判断模块，用于通过判断接收端的hash值与记录的hash值是否相同，来判断安全防护系统是否有效阻断病毒投递，若hash值相同则说明安全防护系统未阻断病毒的投递。

18、有益效果：与现有技术相比，本发明具有如下优点：1、本发明使用跨操作系统的沙箱来抑制、监测处理病毒样本文件的过程中是否激活了病毒样本文件，有效预防分割过程造成病毒被激活的情况。2、本发明通过将一个病毒分割成多份加密保存在硬盘中，相比于直接将病毒样本文件保存硬盘中，极大的降低了病毒样本文件激活的可能性。3、本发明使用指定的端到端的模拟方式，模拟行为仅限于指定的发送端与接收端之间进行，是通过已知的投递来主动验证安全防护系统，实现在有限、可控的范围内进行模拟。4、模拟过程中，两端都基于隔离的虚拟内存块中还原或计算病毒样本hash值，不进行落盘处理，兼具安全的同时，极大的提高模拟速度。5、本发明能够安全可靠地模拟还原病毒样本文件的投递关键过程，有效验证了安全防护系统是否能够阻拦病毒投递，同时避免了病毒被激活的可能性。

技术特征：

1.一种安全可靠的主动验证防范病毒投递的检测方法，其特征在于，包括如下步骤：

2.根据权利要求1所述的安全可靠的主动验证防范病毒投递的检测方法，其特征在于，对于windows类型的病毒样本，启动linux操作系统的沙箱进行分割；对于非windows类型的病毒样本，启动windows操作系统的沙箱进行分割。

3.根据权利要求1所述的安全可靠的主动验证防范病毒投递的检测方法，其特征在于，在沙箱中处理病毒样本文件时，实时监测病毒样本文件的异常行为，在分割中监测到异常时销毁沙箱。

4.根据权利要求3所述的安全可靠的主动验证防范病毒投递的检测方法，其特征在于，所述沙箱为虚拟机，所述异常行为包括网络行为、修改注册表和修改系统文件的行为。

5.根据权利要求1所述的安全可靠的主动验证防范病毒投递的检测方法，其特征在于，发送端通过http、tcp或udp协议，将病毒样本文件数据发送到接收端。

6.一种安全可靠的主动验证防范病毒投递的检测系统，其特征在于，包括：

7.根据权利要求6所述的安全可靠的主动验证防范病毒投递的检测系统，其特征在于，对于windows类型的病毒样本，启动linux操作系统的沙箱进行分割；对于非windows类型的病毒样本，启动windows操作系统的沙箱进行分割。

8.根据权利要求6所述的安全可靠的主动验证防范病毒投递的检测系统，其特征在于，所述文件分割模块，在沙箱中处理病毒样本文件时，实时监测病毒样本文件的异常行为，在分割中监测到异常时销毁沙箱。

9.根据权利要求8所述的安全可靠的主动验证防范病毒投递的检测系统，其特征在于，所述沙箱为虚拟机，所述异常行为包括网络行为、修改注册表和修改系统文件的行为。

10.根据权利要求6所述的安全可靠的主动验证防范病毒投递的检测系统，其特征在于，发送端通过http、tcp或udp协议，将病毒样本文件数据发送到接收端。

技术总结
本发明公开了一种安全可靠的主动验证防范病毒投递的检测方法与系统。本发明在跨操作系统沙箱中对病毒样本文件进行分割和计算，将分割后的文件加密保存；发送端和接收端根据病毒样本文件大小，在内存上开辟指定大小的虚拟内存块；发送端在虚拟内存块中进行解密和拼装，拼装完成并确定接收端可以接受文件后，将虚拟内存块中的病毒样本文件数据发送到接收端，发送完成后销毁虚拟内存块；接收端不进行落地处理，在虚拟内存块中计算hash值；最后通过判断接收端的hash值与记录的hash值是否相同，来判断安全防护系统是否有效阻断病毒投递。本发明能够还原病毒样本文件的投递过程，自动判别投递是否成功，并能够有效避免病毒被激活。

技术研发人员：史崯,包华宇,是莺,高庆官,谢峥
受保护的技术使用者：南京赛宁信息技术有限公司
技术研发日：
技术公布日：2024/2/29