一种基于容器技术的轻量级网络沙箱设置方法与流程

本发明涉及网络沙箱领域，尤其涉及一种基于容器技术的轻量级网络沙箱设置方法。

背景技术：

网络沙箱又称sandbox，是一种基于虚拟化技术产生的安全事件分析技术。顾名思义，沙箱是一个虚拟系统程序，是它提供了一个被安全策略限制程序行为的执行环境。沙箱技术主要用于以下：测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。可以用来测试不受信任的应用程序的行为。对于被捕捉的攻击行为，再沙箱的帮助下，安全分析人员可以重现网络攻击的整个流程。同时，因为运行所产生的变化可以随后删除，在其内部运行的程序并不能对硬盘产生永久性的影响。因此，是一种安全的网络攻击分析技术。现有沙箱技术主要采用基于全虚拟化技术[1]的虚拟机技术进行开发，主要实现的技术流程包含以下步骤：运行通过全虚拟技术产生的虚拟机实例，并对虚拟机实例进行网络和磁盘隔离。现有已有一系列厂商提供类似产品及方案，例如美国vmware公司的虚拟机workstation以及开源项目qemu等。在虚拟机实例中加在目标操作系统，例如主流的windows操作系统或者开源linux操作系统。应对不同需求，不同沙箱可以安装一些额外的特定软件来辅助分析，例如网络流量监测软件wireshark，系统调用分析软件sysdig等。对于分析网络攻击的网络沙箱，还需要额外安装服务器端软件。例如主流web服务端apache/nginx等网络服务软件。在隔离的虚拟机中倒入攻击事件。分析人员可以重现攻击流程，例如向服务端发送有恶意的网络流量以及安装病毒程序。通过辅助分析工具，产生针对整个攻击的监测报告及日志。通过分析日志，安全分析人员可以逐条分析过滤攻击记录。凭借个人的专业知识和经验，分析人员可以得出攻击的关键步骤，并为关键步骤设计防护方案。现有的沙箱技术有几项技术难题难以解决：沙箱运行开销巨大，加载时间过长导致分析效率低下现有主流沙箱都需要1-4分钟的准备时间，主要用于系统启动，操作系统加载，以及软件的安装。这部分准备时间大大限制了沙箱的效率。因为主流的分析通常持续2-5分钟，因此，通常沙箱分析的效率值被限制在30％-70％的区间内。针对不同网络攻击沙箱需要定制化配置，现有沙箱很难高效地实现自动化配置现有沙箱通常采用统一的系统和软件配置，这一单一的配置，大大限制了沙箱系统的信息抓取效率。举例来说，如果某一病毒攻击某一特定版本浏览器的漏洞，如果沙箱中没有安装该版本的浏览器程序，攻击过程将无法重现，导致整个分析的失败。网络攻击的分析，需要由专业安全人员进行分析，无法实现规模化针对网络攻击的沙箱分析，现有技术仍需要专业安全人员的介入，因此无法自动化提供针对该攻击的独特性分析。因此现有商用沙箱仅能提供该攻击所涉及的所有系统行为及日志，无法提供与攻击本身密切相关的独特性信息。由于监测报告及日志数据过于庞杂，安全人员很难高效地过滤出有效信息；以cwsandbox为例针对5分钟的分析时间，日志数据可能高达几百mb甚至几gb。其中超过90％是无用的日志信息。因此安全分析人员需要更高效的分析工具帮助他们提取有效信息。

技术实现要素：

为解决上述问题，本发明的目的提供一种基于容器技术的轻量级网络沙箱设置方法，利用容器技术为以上沙箱的技术问题提供解决方案，利用容器虚拟化技术降低运行开销，利用容器自动化配置技术构造沙箱自动化配置技术，利用容器的并行分析技术，提供高效的独特性分析。

本发明提供一种基于容器技术的轻量级网络沙箱设置方法，所述设置方法步骤如下：

步骤一：运行容器化实例，并对在容器和操作系统中构建隔离监控层来阻隔非法的沙箱访问；

步骤二：启动攻击流量识别代理，将每一个容器化沙箱在代理中进行注册；

步骤三：针对不同沙箱不同的配置，提取流量识别逻辑，将该逻辑部署于识别代理之上；

步骤四：针对不同攻击流量，识别层自适应性将流量倒流至相应的容器化沙箱；

步骤五：对于接受流量的沙箱容器，将被单独隔离出来；

步骤六：同时启动两个相应的对照组沙箱容器；

步骤七：同时运行三个沙箱一段时间，收集三个沙箱的三组日志；

步骤八：将三组日志进行对照比较，运用区别化分析算法提取唯一存在于首个沙箱中的独特日志；

步骤九：将该独特日志分别展示给客户及安全分析人员，安全分析人员根据精简日志，开发安全防护方案。

进一步改进在于：所述步骤一中启动容器来部署沙箱，因为容器无需模拟硬件及重新加载操作系统，所以利用沙箱技术有效地降低运行开销和部署时间。

进一步改进在于：所述步骤一中在操作系统和沙箱层之间额外设计了系统隔离层，来提供对系统调用的监控。

进一步改进在于：一旦在监控层上发现沙箱试图通过系统调用接口来本地访问操作系统或者其他容器，监控层将阻止类似操作以达到完全隔离的效果。

进一步改进在于：额外的网络流量识别层，将识别出的网络流量导入相对应的沙箱实例中。

进一步改进在于：同时启动多个不同配置的沙箱实例，通过中间层的流量识别，本沙箱可以自适应化的将不同沙箱与相应的分析实体进行结合。

进一步改进在于：采用并行化容器分析技术，来提供高效的独特性分析，启动三个相同的容器沙箱，其中一个运行攻击事件或者病毒的运行，另外两个容器称为对照沙箱组。

进一步改进在于：在另两个沙箱中，运行另外两个普通非恶意的网络访问或者合法程序，通过一段时间的运行，将收集到一个恶意攻击的分析日志a，和两个非攻击的分析日志b和c。

进一步改进在于：针对这三个分析日志，采用区别化分析算法来提取唯一存在于分析日志a中的独特事件。

容器(container)是一种新的虚拟化技术，不同于传统的基于硬件的虚拟化技术，容器提供了基于操作系统的轻量级虚拟化方案。在提供必要隔离的同时，大大降低了硬件虚拟化所带来的运行开销。鉴于此，容器技术已开始被越来越多的网络服务提供者所采用。尤其在云服务上，容器云已经成为新一代云技术的代表。

将利用容器技术为以上沙箱的技术问题提供解决方案。

首先提出利用容器技术来构建沙箱。区别于传统沙箱在第一步启动虚拟机，将启动容器来部署沙箱。因为容器无需模拟硬件及重新加载操作系统，所以利用沙箱技术可以有效地降低运行开销和部署时间。以开发的网络沙箱原型来衡量，可以将准备沙箱时间缩短到11秒，等效于节省了近90％的初始化开销，将运行效率提高20％-100％。

同时，基于容器的方案在隔离度上不如传统沙箱，因此提供了额外的隔离层来弥补容器技术的缺陷。具体而言，在操作系统和沙箱层之间额外设计了系统隔离层，来提供对系统调用的监控。一旦在监控层上，发现沙箱试图通过系统调用等接口来本地访问操作系统或者其他容器，监控层将阻止类似操作以达到完全隔离的效果。实现自动化构建沙箱内应用环境是另一项需要解决的问题。传统沙箱采用镜像技术或者动态程序安装的方法来构建沙箱。然而加载镜像和安装程序都消耗额外的资源。更重要的是，针对不同攻击，传统沙箱无法预测性地去配置系统，因此也降低了网络沙箱的分析效率。

设计了一层额外的网络流量识别层，将识别出的网络流量导入相对应的沙箱实例中。因为容器是轻量级的沙箱方案，因此，可以同时启动多个不同配置的沙箱实例，通过中间层的流量识别，本沙箱可以自适应化的将不同沙箱与相应的分析实体(如病毒或入侵流量)进行结合。

本专利采用并行化容器分析技术，来提供高效的独特性分析。

提供的技术要点同样基于轻量级容器技术。不同于传统沙箱采用唯一一个沙箱来分析攻击事件，采用两个甚至多个并行容器来分析一个攻击事件。

在的方案中，将启动三个相同的容器沙箱，其中一个将运行攻击事件或者病毒的运行。另外两个容器，称为对照沙箱组。在另两个沙箱中，将运行另外两个普通非恶意的网络访问或者合法程序。通过一段时间的运行，将收集到一个恶意攻击的分析日志a，和两个非攻击的分析日志b和c。

针对这三个分析日志，采用区别化分析算法(tracealignment算法)来提取唯一存在于分析日志a中的独特事件。通过该技术，可以提供独特性分析报告，更重要的事，可以大幅度地降低安全人员所需分析的日志规模。

本发明的有益效果：利用容器技术为以上沙箱的技术问题提供解决方案，利用容器虚拟化技术降低运行开销，利用容器自动化配置技术构造沙箱自动化配置技术，利用容器的并行分析技术，提供高效的独特性分析。

附图说明

图1是传统沙箱结构示意图。

图2是本发明的沙箱结构示意图。

图3是传统沙箱的沙箱模型图。

图4是本发明的沙箱模型图。

图5是本发明的并行分析技术示意图。

具体实施方式

为了加深对本发明的理解，下面将结合实施例对本发明作进一步详述，该实施例仅用于解释本发明，并不构成对本发明保护范围的限定。

如图1-5所示，本实施例提供一种基于容器技术的轻量级网络沙箱设置方法，所述设置方法步骤如下：

步骤一：运行容器化实例，并对在容器和操作系统中构建隔离监控层来阻隔非法的沙箱访问；

步骤二：启动攻击流量识别代理，将每一个容器化沙箱在代理中进行注册；

步骤三：针对不同沙箱不同的配置，提取流量识别逻辑，将该逻辑部署于识别代理之上；

步骤四：针对不同攻击流量，识别层自适应性将流量倒流至相应的容器化沙箱；

步骤五：对于接受流量的沙箱容器，将被单独隔离出来；

步骤六：同时启动两个相应的对照组沙箱容器；

步骤七：同时运行三个沙箱一段时间，收集三个沙箱的三组日志；

步骤八：将三组日志进行对照比较，运用区别化分析算法提取唯一存在于首个沙箱中的独特日志；

步骤九：将该独特日志分别展示给客户及安全分析人员，安全分析人员根据精简日志，开发安全防护方案。

所述步骤一中启动容器来部署沙箱，因为容器无需模拟硬件及重新加载操作系统，所以利用沙箱技术有效地降低运行开销和部署时间。所述步骤一中在操作系统和沙箱层之间额外设计了系统隔离层，来提供对系统调用的监控。一旦在监控层上发现沙箱试图通过系统调用接口来本地访问操作系统或者其他容器，监控层将阻止类似操作以达到完全隔离的效果。额外的网络流量识别层，将识别出的网络流量导入相对应的沙箱实例中。同时启动多个不同配置的沙箱实例，通过中间层的流量识别，本沙箱可以自适应化的将不同沙箱与相应的分析实体进行结合。采用并行化容器分析技术，来提供高效的独特性分析，启动三个相同的容器沙箱，其中一个运行攻击事件或者病毒的运行，另外两个容器称为对照沙箱组。在另两个沙箱中，运行另外两个普通非恶意的网络访问或者合法程序，通过一段时间的运行，将收集到一个恶意攻击的分析日志a，和两个非攻击的分析日志b和c。针对这三个分析日志，采用区别化分析算法来提取唯一存在于分析日志a中的独特事件。

基于开发的原型系统评测了以下系统开销。

沙箱系统有效性评测