[发明专利]一种基于容器技术的轻量级网络沙箱设置方法

说明书

本发明提供一种基于容器技术的轻量级网络沙箱设置方法，利用容器技术为以上沙箱的技术问题提供解决方案，利用容器虚拟化技术降低运行开销，利用容器自动化配置技术构造沙箱自动化配置技术，利用容器的并行分析技术，提供高效的独特性分析。

技术领域

本发明涉及网络沙箱领域，尤其涉及一种基于容器技术的轻量级网络沙箱设置方法。

背景技术

网络沙箱又称Sandbox，是一种基于虚拟化技术产生的安全事件分析技术。顾名思义，沙箱是一个虚拟系统程序，是它提供了一个被安全策略限制程序行为的执行环境。沙箱技术主要用于以下：测试可疑软件等，比如黑客们为了试用某种病毒或者不安全产品，往往可以将它们在沙箱环境中运行。可以用来测试不受信任的应用程序的行为。对于被捕捉的攻击行为，再沙箱的帮助下，安全分析人员可以重现网络攻击的整个流程。同时，因为运行所产生的变化可以随后删除，在其内部运行的程序并不能对硬盘产生永久性的影响。因此，是一种安全的网络攻击分析技术。现有沙箱技术主要采用基于全虚拟化技术[1]的虚拟机技术进行开发，主要实现的技术流程包含以下步骤：运行通过全虚拟技术产生的虚拟机实例，并对虚拟机实例进行网络和磁盘隔离。现有已有一系列厂商提供类似产品及方案，例如美国VMware公司的虚拟机Workstation以及开源项目Qemu等。在虚拟机实例中加在目标操作系统，例如主流的Windows操作系统或者开源Linux操作系统。应对不同需求，不同沙箱可以安装一些额外的特定软件来辅助分析，例如网络流量监测软件Wireshark，系统调用分析软件Sysdig等。对于分析网络攻击的网络沙箱，还需要额外安装服务器端软件。例如主流Web服务端Apache/Nginx等网络服务软件。在隔离的虚拟机中倒入攻击事件。分析人员可以重现攻击流程，例如向服务端发送有恶意的网络流量以及安装病毒程序。通过辅助分析工具，产生针对整个攻击的监测报告及日志。通过分析日志，安全分析人员可以逐条分析过滤攻击记录。凭借个人的专业知识和经验，分析人员可以得出攻击的关键步骤，并为关键步骤设计防护方案。现有的沙箱技术有几项技术难题难以解决：沙箱运行开销巨大，加载时间过长导致分析效率低下现有主流沙箱都需要1-4分钟的准备时间，主要用于系统启动，操作系统加载，以及软件的安装。这部分准备时间大大限制了沙箱的效率。因为主流的分析通常持续2-5分钟，因此，通常沙箱分析的效率值被限制在30%-70%的区间内。针对不同网络攻击沙箱需要定制化配置，现有沙箱很难高效地实现自动化配置现有沙箱通常采用统一的系统和软件配置，这一单一的配置，大大限制了沙箱系统的信息抓取效率。举例来说，如果某一病毒攻击某一特定版本浏览器的漏洞，如果沙箱中没有安装该版本的浏览器程序，攻击过程将无法重现，导致整个分析的失败。网络攻击的分析，需要由专业安全人员进行分析，无法实现规模化针对网络攻击的沙箱分析，现有技术仍需要专业安全人员的介入，因此无法自动化提供针对该攻击的独特性分析。因此现有商用沙箱仅能提供该攻击所涉及的所有系统行为及日志，无法提供与攻击本身密切相关的独特性信息。由于监测报告及日志数据过于庞杂，安全人员很难高效地过滤出有效信息；以CWSandbox为例针对5分钟的分析时间，日志数据可能高达几百MB甚至几GB。其中超过90%是无用的日志信息。因此安全分析人员需要更高效的分析工具帮助他们提取有效信息。

发明内容

为解决上述问题，本发明的目的提供一种基于容器技术的轻量级网络沙箱设置方法，利用容器技术为以上沙箱的技术问题提供解决方案，利用容器虚拟化技术降低运行开销，利用容器自动化配置技术构造沙箱自动化配置技术，利用容器的并行分析技术，提供高效的独特性分析。

本发明提供一种基于容器技术的轻量级网络沙箱设置方法，所述设置方法步骤如下：

步骤一：运行容器化实例，并对在容器和操作系统中构建隔离监控层来阻隔非法的沙箱访问；

步骤二：启动攻击流量识别代理，将每一个容器化沙箱在代理中进行注册；

步骤三：针对不同沙箱不同的配置，提取流量识别逻辑，将该逻辑部署于识别代理之上；

步骤四：针对不同攻击流量，识别层自适应性将流量倒流至相应的容器化沙箱；