本發(fā)明屬于信息安全領(lǐng)域，具體涉及一種采用分布式部署模型的惡意代碼沙箱分析引擎系統(tǒng)及方法。

背景技術(shù)：

1、目前，沙箱技術(shù)(sandboxing)是一種用于隔離正在運行程序的安全機制，其目的是限制不可信進程或不可信代碼運行時的訪問權(quán)限。沙箱會為待執(zhí)行的程序提供了一個虛擬環(huán)境。這個虛擬環(huán)境中包含一些虛擬的硬件和軟件資源，如文件系統(tǒng)、網(wǎng)絡(luò)、操作系統(tǒng)等，使應(yīng)用程序或進程可以在該環(huán)境中運行。在沙箱中運行的程序只能訪問沙箱給它加載的資源，而不會影響到外部的應(yīng)用、系統(tǒng)或平臺，避免其對計算機中的其他程序或數(shù)據(jù)造成永久的更改。

2、但是現(xiàn)有沙箱對于大批量樣本分析時間過長，這存在諸多原因：首先，由于樣本的復(fù)雜性，惡意軟件可能設(shè)計有復(fù)雜的邏輯，使得分析過程需要更多時間來徹底理解其行為；其次，為了全面理解樣本行為，沙箱可能執(zhí)行詳盡的分析，增加了分析時間；再次，由于資源限制，沙箱運行所需的計算資源(如cpu和內(nèi)存)可能成為瓶頸；又或是并行處理限制，缺乏并行處理能力會導(dǎo)致無法同時分析多個樣本；也可能是沙箱與外部服務(wù)器通信時遇到網(wǎng)絡(luò)延遲。

3、所以，需要一個新的技術(shù)方案來解決上述問題。

技術(shù)實現(xiàn)思路

1、發(fā)明目的：為了克服傳統(tǒng)沙箱對于大批量樣本分析時間過長的不足，提供一種采用分布式部署模型的惡意代碼沙箱分析引擎系統(tǒng)及方法，其用容器技術(shù)將分析引擎封裝成容器，然后在分布式容器管理平臺上部署這些容器，在多個節(jié)點上運行多個容器實例，實現(xiàn)分布式部署，能夠集中的將大批量樣本輸入到分布式部署的沙箱容器中，有效的解決大量樣本不能及時分析而產(chǎn)生大量時間成本的問題。

2、技術(shù)方案：為實現(xiàn)上述目的，本發(fā)明提供一種采用分布式部署模型的惡意代碼沙箱分析引擎系統(tǒng)，包括管理模塊、宿主機模塊、虛擬網(wǎng)絡(luò)模塊、分析客戶機模塊；

3、所述管理模塊實現(xiàn)集中統(tǒng)一管理控制，用于監(jiān)控、配置和管理所有承載資源和分析點位；通過對逐個單一沙箱系統(tǒng)進行統(tǒng)一管理，使其可以大批量地對樣本進行分析；

4、所述宿主機模塊用于對分析客戶機進行調(diào)度，以及對分析結(jié)果的收集與回傳；用于為測試惡意代碼沙箱增添多態(tài)性，使其具有多變的形態(tài)；

5、所述虛擬網(wǎng)絡(luò)模塊用于建立宿主機與分析客戶機的單一通信連接，實現(xiàn)樣本以及分析結(jié)果的穩(wěn)定傳輸；

6、所述分析客戶機模塊用于多維度對惡意代碼進行分析；包括對惡意樣本內(nèi)容的具體分析、輸出具體分析結(jié)果并重置分析客戶機。

7、進一步地，所述管理模塊包括機架式服務(wù)器，系統(tǒng)支持集群化部署，用于將多個分析引擎節(jié)點組成一個集群，共同處理大規(guī)模的分析任務(wù)。管理模塊簡化了分布式部署的設(shè)置和管理，用戶可以輕松地添加、刪除或擴展分析點位。管理模塊能夠根據(jù)實際工作負載自動調(diào)整資源分配，可以在低負載時減少資源使用，而在高負載時自動增加資源。使用自動化工具和容器編排平臺，以支持資源彈性伸縮。

8、進一步地，所述宿主機模塊包括自動任務(wù)分配系統(tǒng)，能夠根據(jù)任務(wù)的性質(zhì)、優(yōu)先級和可用資源等因素，動態(tài)地將任務(wù)分配給合適的分析客戶機節(jié)點。宿主機模塊提供分析總體情況的展示頁面，其中包括但不限于樣本信息(如文件名、md5校驗和、文件大小等)、威脅信息(如檢測到的威脅或異常行為)、評判依據(jù)等。

9、進一步地，所述分析客戶機模塊包括軟件容器化或虛擬化的分析引擎，具備狀態(tài)還原和真實運行環(huán)境模擬的功能。分析客戶機模塊支持檢測文件類型包括但不限于pe格式、elf格式、腳本文件，文檔類、壓縮類、圖片類等。分析詳細情況包括但不限于結(jié)構(gòu)信息、加殼信息、加殼信息、導(dǎo)入/導(dǎo)出表、進程樹、網(wǎng)絡(luò)請求、注冊表操作、文件操作、進程操作、運行邏輯、運行截圖等。

10、分析客戶機模塊用于多維度對惡意代碼進行分析，包括靜態(tài)和動態(tài)分析，以捕獲惡意行為的各個方面。結(jié)合文件分析、進程監(jiān)控、網(wǎng)絡(luò)監(jiān)控和行為分析等多種技術(shù)，以全面檢測和報告威脅

11、本發(fā)明還提供一種采用分布式部署模型的惡意代碼沙箱分析引擎系統(tǒng)的運行方法，包括如下步驟：

12、s1：采用容器化技術(shù)，將分析引擎封裝成容器，并利用容器編排工具進行分布式部署；

13、s2：采用任務(wù)并行化的方法，將惡意代碼檢測任務(wù)分成多個子任務(wù)并同時處理；

14、s3：制定特定的樣本分析策略，再通過虛擬網(wǎng)絡(luò)模塊將惡意樣本發(fā)送給客戶機進行分析；

15、s4：選擇合適的分析客戶機實施多維度的惡意代碼分析；

16、s5：將分析結(jié)果回傳到宿主機模塊，生成分析結(jié)果報告。

17、進一步地，所述步驟s1具體包括：

18、a1：使用集群化部署，將多個分析引擎節(jié)點組成一個集群，共同處理大規(guī)模的分析任務(wù)；

19、a2：使用容器技術(shù)將分析引擎封裝成容器，然后在分布式容器管理平臺上部署這些容器，在多個節(jié)點上運行多個容器實例，實現(xiàn)分布式部署；

20、a3：使用分布式存儲系統(tǒng)來存儲分析任務(wù)和結(jié)果，以確保不同節(jié)點之間可以共享數(shù)據(jù)，使用集群管理工具來創(chuàng)建和管理多個引擎節(jié)點的集群，確保協(xié)同工作。

21、進一步地，所述步驟s2具體包括：

22、b1：開發(fā)清晰的api接口，允許第三方沙箱引擎與系統(tǒng)進行通信；

23、b2：編寫插件或適配器，以便集成不同的第三方引擎；

24、b3：編寫詳細的集成文檔，以幫助用戶和開發(fā)者了解如何集成第三方沙箱引擎；

25、b4：實施安全性控制措施，確保集成的第三方沙箱引擎不會對系統(tǒng)造成潛在的安全威脅。

26、進一步地，所述步驟s3中樣本分析策略的制定方法為：包括靜態(tài)分析、動態(tài)分析、行為分析，

27、進一步地，所述步驟s4具體包括：

28、c1：使用多維度的分析引擎，包括靜態(tài)和動態(tài)分析，以檢測惡意樣本的各種規(guī)避方式；

29、c2：識別文件類型。在識別文件類型的基礎(chǔ)上，通過不同的軟件運行相應(yīng)文檔，對程序執(zhí)行過程進行跟蹤監(jiān)控，虛擬機中可以保證安裝所有需要的程序；

30、c3：實施文件監(jiān)控機制，用于追蹤樣本動態(tài)運行過程中釋放或產(chǎn)生的衍生文件；

31、c4：捕獲樣本的行為，對這些行為進行分析，并標識潛在的威脅行為模式；將檢測到的威脅行為與att&ck模型中的相應(yīng)技術(shù)和戰(zhàn)術(shù)相匹配。

32、進一步地，所述步驟s5具體包括：

33、d1：提供多種輸出方式，包括web界面展示、手動批量導(dǎo)出和api接口輸出；

34、d2：建立詳細分析報告頁面，包括樣本的結(jié)構(gòu)信息、加殼信息、導(dǎo)入/導(dǎo)出表、進程樹、網(wǎng)絡(luò)請求、注冊表操作、文件操作、進程操作、運行邏輯、運行截圖等詳細信息。創(chuàng)建詳細分析報告頁面，以表格、圖表、圖像等方式呈現(xiàn)樣本的詳細行為；

35、d3：建立文件索引和關(guān)聯(lián)數(shù)據(jù)庫，記錄與樣本相關(guān)的衍生文件和信息；這將包括文件路徑、哈希值、文件類型等信息；

36、d4：實施高級檢索功能，包括但不限于樣本名、hash、上傳時間、分析完成時間、威脅類型、域名請求、ip請求等；建立報表存儲系統(tǒng)，以確保生成的報表可以隨時訪問；建立報表存儲系統(tǒng)，以確保生成的報表可以隨時訪問。

37、有益效果：本發(fā)明與現(xiàn)有技術(shù)相比，針對現(xiàn)有沙箱分析大量樣本時無法在短時間內(nèi)同時運行的特點，其用容器技術(shù)將分析引擎封裝成容器，然后在分布式容器管理平臺上部署這些容器，在多個節(jié)點上運行多個容器實例，實現(xiàn)分布式部署，能夠集中的將大批量樣本輸入到分布式部署的沙箱容器中，有效的解決大量樣本不能及時分析而產(chǎn)生大量時間成本的問題，提高了對于樣本的整體分析效率，降低了時間成本。