一种云沙箱流量处理方法及装置,涉及通信技术领域,该云沙箱流量处理方法包括:在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;并对网络请求进行解析,得到解析数据;然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,获取网络请求对应的有效响应数据,并将解析数据与有效响应数据进行关联,得到关联数据;再判断目标通信连接是否结束通信;如果是,获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。安全。安全。
【技术实现步骤摘要】
一种云沙箱流量处理方法及装置
[0001]本申请涉及通信
,具体而言,涉及一种云沙箱流量处理方法及装置。
技术介绍
[0002]随着云沙箱动态行为分析的发展,云沙箱动态行为分析在产出失陷指标(IOC)、鉴定恶意软件行为等方面得到国内外安全厂商的认可,但云沙箱集群在应用时存在被攻击或者恶意利用等情况。现有技术中,通常基于网络模拟,通过代理服务程序和网络服务模拟程序模拟响应相应的服务请求,对特定的网络流量拦截、重定向。然而,在实践中发现,现有方法是模拟的服务响应而不是真实的响应,从而无法产出完整的完整流量数据,降低了失陷指标提取产出量、恶意行为判定能力,无法保证云沙箱网络安全。
技术实现思路
[0003]本申请实施例的目的在于提供一种云沙箱流量处理方法及装置,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
[0004]本申请实施例第一方面提供了一种云沙箱流量处理方法,包括:在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;对所述网络请求进行解析,得到解析数据;判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;如果否,获取所述网络请求对应的有效响应数据,并将所述解析数据与所述有效响应数据进行关联,得到关联数据;判断所述目标通信连接是否结束通信;如果是,获取所有的所述关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
[0005]在上述实现过程中,在云沙箱建立目标通信连接后,获取云沙箱发出的网络请求;并对网络请求进行解析,得到解析数据;然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,获取网络请求对应的有效响应数据,并将解析数据与有效响应数据进行关联,得到关联数据;再判断目标通信连接是否结束通信;如果是,获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
[0006]进一步地,所述方法还包括:当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;
将所述响应回放数据与所述解析数据进行关联,得到关联数据,并执行所述的判断所述目标通信连接是否结束通信。
[0007]进一步地,所述根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据,包括:获取流量回放服务端的回放服务端地址;将所述网络请求中的目的地址修改为所述回放服务端地址,以使所述云沙箱将所述网络请求发送至所述流量回放服务端;获取所述流量回放服务端针对所述网络请求返回的响应回放数据,所述响应回放数据是所述流量回放服务端对所述回放记录进行数据包字段替换处理得到的。
[0008]进一步地,所述方法还包括:当判断出未能查询到所述回放记录时,判断所述云沙箱是否处于网络可达状态;如果是,则执行所述的获取所述网络请求对应的有效响应数据;如果否,则确定当前为网络不可达状态,并返回所述网络不可达状态的反馈信息。
[0009]进一步地,所述解析数据至少包括源地址信息、目的地址信息、通信协议、源端口、目的端口以及请求URL信息;所述获取所述网络请求对应的有效响应数据,包括:根据所述目的地址信息和所述目的端口获取所述网络请求对应的响应数据;根据所述响应数据的数据包头字段判断所述响应数据是否为有效;如果是,则将所述响应数据确定为有效响应数据。
[0010]进一步地,在将所述完整流量信息存储至所述集群后端数据库之后,所述方法还包括:获取云沙箱集群中待分析云沙箱的动态行为数据;根据所述集群后端数据库和所述动态行为数据对所述待分析云沙箱的动态行为进行分析,得到分析结果;输出所述分析结果。
[0011]本申请实施例第二方面提供了一种云沙箱流量处理装置,所述云沙箱流量处理装置包括:第一获取单元,用于在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;解析单元,用于对所述网络请求进行解析,得到解析数据;第一判断单元,用于判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;第二获取单元,用于当判断出未能查询到所述回放记录时,获取所述网络请求对应的有效响应数据;关联单元,用于将所述解析数据与所述有效响应数据进行关联,得到关联数据;第二判断单元,用于判断所述目标通信连接是否结束通信;存储单元,用于在判断出结束通信时,获取所有的所述关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。
[0012]在上述实现过程中,第一获取单元在云沙箱建立目标通信连接后,获取云沙箱发
出的网络请求;解析单元对网络请求进行解析,得到解析数据;然后第一判断单元判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录;如果否,第二获取单元获取网络请求对应的有效响应数据,关联单元将解析数据与有效响应数据进行关联,得到关联数据;第二判断单元再判断目标通信连接是否结束通信;如果是,存储单元获取所有的关联数据得到云沙箱的完整流量信息,并将完整流量信息存储至集群后端数据库,能够在真实场景中,基于真实流量实现云沙箱的完整流量数据的提取,从而有利于提升失陷指标提取产出量、恶意行为判定能力,从而维护了云沙箱网络安全。
[0013]进一步地,所述云沙箱流量处理装置还包括:拦截单元,用于当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;第三获取单元,用于获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;所述关联单元,还用于将所述响应回放数据与所述解析数据进行关联,得到关联数据,并触发所述存储单元执行所述的判断所述目标通信连接是否结束通信。
[0014]本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的云沙箱流量处理方法。
[0015]本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的云沙箱流量处理方法。
附图说明
[0016]为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
[0017]图1为本申请实施例提供的一种云沙箱流量处理方法的流程示意图;图2为本申请实施例提供的一种云沙箱流量处理装置的结构示意图;图3是本申请实施例提供的一次网络请求的处本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种云沙箱流量处理方法,其特征在于,包括:在所述云沙箱建立目标通信连接后,获取所述云沙箱发出的网络请求;对所述网络请求进行解析,得到解析数据;判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录;如果否,获取所述网络请求对应的有效响应数据,并将所述解析数据与所述有效响应数据进行关联,得到关联数据;判断所述目标通信连接是否结束通信;如果是,获取所有的所述关联数据得到所述云沙箱的完整流量信息,并将所述完整流量信息存储至所述集群后端数据库。2.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述方法还包括:当判断出能够查询到所述回放记录时,对所述网络请求进行拦截处理;获取所述回放记录,并根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据;将所述响应回放数据与所述解析数据进行关联,得到关联数据,并执行所述的判断所述目标通信连接是否结束通信。3.根据权利要求2所述的云沙箱流量处理方法,其特征在于,所述根据所述回放记录进行云沙箱流量回放处理,得到响应回放数据,包括:获取流量回放服务端的回放服务端地址;将所述网络请求中的目的地址修改为所述回放服务端地址,以使所述云沙箱将所述网络请求发送至所述流量回放服务端;获取所述流量回放服务端针对所述网络请求返回的响应回放数据,所述响应回放数据是所述流量回放服务端对所述回放记录进行数据包字段替换处理得到的。4.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述方法还包括:当判断出未能查询到所述回放记录时,判断所述云沙箱是否处于网络可达状态;如果是,则执行所述的获取所述网络请求对应的有效响应数据;如果否,则确定当前为网络不可达状态,并返回所述网络不可达状态的反馈信息。5.根据权利要求1所述的云沙箱流量处理方法,其特征在于,所述解析数据至少包括源地址信息、目的地址信息、通信协议、源端口、目的端口以及请求URL信息;所述获取所述网络请求对应的有效响应数据,包括:根据所述目的地址信息和所述目的端口获取所述网络请求对应的响应数据;根据所述响应数据的数据包头字段判断所述响应...
【专利技术属性】
技术研发人员:曹剑锐,康吉金,樊兴华,薛锋,
申请(专利权)人:北京微步在线科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。