[发明专利]一种基于蜜罐的恶意软件收集和分析方法

说明书

本发明公开了一种基于蜜罐的恶意软件收集和分析方法，所述方法包括：步骤1：通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理；步骤2：基于中央数据库对过滤噪声数据后的样本数据进行判断处理，将新的恶意样本存储在中央数据库中，将新的恶意样本传输给高交互蜜罐与虚拟机进行分析处理；步骤3：在恶意软件的执行期间通过预设分析系统来获取恶意软件的相关信息与执行逻辑，所述步骤1到步骤3均在同一平台中进行，实现了对恶意软件的收集和分析质量较高，弥补了服务仿真的局限性，降低了安全风险的技术效果。

技术领域

本发明涉及计算机软件领域，具体地，涉及一种基于蜜罐的恶意软件收集和分析方法。

背景技术

网络犯罪已成为当今互联网界最具破坏性的威胁之一。最凸出的几个例子有：拒绝服务攻击、身份盗窃、间谍软件、垃圾广告。这些网络犯罪的基础设施可以归结于各种基于互联网的恶意软件。因此，能够智能的判定软件恶意行为是成功发现和防御恶意软件的先决条件。智能判定的依据通常是对现有网络环境中的攻击数据进行检验和收集，并对新型恶意样本进行细致的分析。然而，由于近年来的技术和趋势（不断便宜的处理能力、云计算、社交网络等），恶意软件带来的威胁变得更加严重。更多的恶意软件通过大量的混淆和反调试措施使软件的复杂度直线上升，从而加强了分析难度。识别未知的样本和威胁是成功抵御恶意软件的至关重要的条件。

高交互蜜罐被证明是恶意软件收集的有效组成部分，但其存以下缺点：

1、收集和分析是分离的。

恶意软件从互联网被捕捉后进入到专用的（非联网的）分析环境，在这种分析环境内执行给定的恶意软件样本然后分析它的行为。由于分析环境与实际捕获恶意样本的环境（后文称捕获环境）的差异：如捕获环境中包含恶意样本所需要的内存信息以及文件信息与分析环境很难保持一致，这种差异称作语境差异。由于语境差异造成的上下文分离将导致分析环境无法重现恶意软件的感染途径以及进一步的执行与信息窃取情况，从而导致降低分析质量。

2、服务仿真的局限性。

在服务仿真分析阶段，恶意软件将尝试建立出站连接。如果这些连接不可以正常建立，恶意软件将不能够获取所请求的资源，从而有可能导致恶意软件的下一个攻击阶段不能实现。由此而导致对恶意软件的进一步活动跟踪失败。

3、安全风险。

一旦遭到破坏，攻击者或恶意样本将可以通过蜜罐对本地网络或互联网中的中的其他系统发动攻击，这将可能引起法律风险，此外组织和商业企业可能棉铃信誉损失。例如，黑客攻破了搭建在我公司的蜜罐系统，然后利用此蜜罐系统向中国农业银行发动攻击，造成财产损失，我公司将可能承担法律责任。

综上所述，本申请发明人在实现本申请实施例中发明技术方案的过程中，发现上述技术至少存在如下技术问题：

在现有技术中，现有的恶意软件收集分析方法存在分析质量较差，服务仿真存在局限性，安全风险较高的技术问题。

发明内容

本发明提供了一种基于蜜罐的恶意软件收集和分析方法，解决了现有的恶意软件收集分析方法存在分析质量较差，服务仿真存在局限性，安全风险较高的技术问题，实现了对恶意软件的收集和分析质量较高，弥补了服务仿真的局限性，降低了安全风险的技术效果。

为解决上述技术问题，本申请实施例提供了一种基于蜜罐的恶意软件收集和分析方法，所述方法包括：

步骤1：对恶意软件进行样本数据收集，通过低交互蜜罐对收集的样本数据进行过滤噪声数据处理；其中，低交互蜜罐类似于采集器,可以为多个低交互蜜罐同时采集；其中，进行过滤噪声数据处理为对已经分析过的数据和不需要分析的数据进行识别与剔除,减小分析压力；