[发明专利]一种恶意样本养殖高交互转化低交互的系统及方法

说明书

本发明公开了一种恶意样本养殖高交互转化低交互的系统，包括：高交互模块，用于基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；低交互模块，用于基于所述模拟重放数据，对相同家族恶意行为发送所述首包数据，监听并获取恶意行为通信的网络信息。本发明解决了现有技术中高交互的方式获取样本的网络信息，达到监控命令与控制服务器或攻击行为效率低下，需要耗费大量网络和实体资源来实现运行环境，才能达到效果的技术问题。

技术领域

本发明涉及计算机安全技术领域，更具体地涉及一种恶意样本养殖蜜网高交互转化低交互的系统及方法。

背景技术

在现有技术中，根据养殖蜜网数据的交互程度可以将养殖蜜网技术分为两类：低交互养殖蜜网和高交互养殖蜜网。低交互养殖蜜网采用模拟技术，没有真实的操作系统和服务，交互程度低，只能根据已知漏洞模拟操作系统和应用程序的应答行为；高交互养殖蜜网运行在真实的操作系统上，部署真实的应用程序，可以构造真实的服务环境，捕获更丰富的攻击数据。

目前，需要研究人员在沙箱内养殖大量恶意样本来通过获取样本的网络信息，达到监控命令与控制服务器或攻击行为，这种方式称为高交互的养殖方法。高交互的方式实现的效率较为低下，风险较高，需要耗费大量网络和实体资源来实现运行环境，才能达到效果，长期高并发的实现代价较大。

发明内容

为了解决上述技术问题，提供了根据本发明的一种恶意样本养殖高交互转化低交互的系统及方法。

根据本发明的第一方面，提供了一种恶意样本养殖高交互转化低交互的系统。该系统包括：高交互模块，用于基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；低交互模块，用于基于所述模拟重放数据，对相同家族恶意行为发送所述首包数据，监听并获取恶意行为通信的网络信息；所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包，由内置在所述恶意行为中的指令进行自动发送。

在一些实施例中，所述高交互模块包括：获取子模块，用于获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据；比对子模块，用于比对不少于二次的首包数据，所述首包数据保持不变的记录为模拟重放数据。

在一些实施例中，还包括：运行模块，用于模拟网络运行环境运行恶意行为，并在每次获取所述首包数据之后，重运行恶意行为前对所述模拟网络运行环境进行数据清洗。

在一些实施例中，所述获取子模块，用于部署在网络接口，监控连接网络发送数据，获取所述首包数据。

根据本发明的第二方面，提供一种恶意样本养殖高交互转化低交互的方法，包括：基于运行环境中不少于二次重运行恶意行为，获取恶意行为网络通信的首包数据，运行中保持不变的首包数据为模拟重放数据；基于模拟重放数据，对相同家族恶意行为发送首包数据，监听并获取恶意行为通信的网络信息；所述首包数据包括重运行时第一次与服务器三次握手后的有通信内容的数据包，由内置在所述恶意行为中的指令进行自动发送。

在一些实施例中，所述基于运行环境中不少于二次重运行恶意行为，获取恶意行为通信的首包数据，运行中保持不变的首包数据为模拟重放数据，包括：获取运行环境中不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的首包数据；比对不少于二次的首包数据，首包数据保持不变的记录为模拟重放数据。

在一些实施例中，还包括：模拟网络运行环境运行恶意行为，并在每次获取首包数据之后，重运行恶意行为前对所述模拟网络运行环境进行数据清洗。

在一些实施例中，所述获取不少于二次重运行的恶意行为在网络通信中首次与服务器建立通信的所述首包数据，用于部署在网络接口，监控连接网络发送数据，获取所述首包数据。