技術領域

本發明涉及網絡安全領域，尤其涉及檢測惡意代碼樣本的網絡行為的方法及系統。

背景技術

現階段惡意代碼樣本形態不斷進化，從而形成各種新型的攻擊方式，為攻擊者提供了更加隱蔽、靈活且高效的攻擊機制，惡意代碼樣本正步入快速發展期，對因特網安全已造成嚴重威脅，因此得到了社會各界的廣泛關注。通過技術手段，實現大量未知惡意代碼樣本的合理分析，是安全界非常關注的。

現階段對惡意代碼樣本獲取的常見方法是借助蜜罐系統、交換來源等等收集試驗樣本；并且同時借助sandbox、wmware運行樣本，然后記錄樣本行為動作。由于樣本數量巨大，現有技術中采用的方法包括：(1)減少樣本運行時間；(2)減少樣本數目，抽樣分析；(3)增大樣本運行成本。

采用方法(1)由于運行時間短會導致樣本某種行為未觸發，而收集到的信息過少或者未收集到信息；采用方法(2)會導致遺棄大量有價值的樣本；采用方法(3)導致資源開銷非常多。

發明內容

為解決上述問題，本發明提供了檢測惡意代碼樣本的網絡行為的方法及系統，通過對惡意代碼樣本的網絡行為追蹤獲得惡意代碼樣本的行為數據，從而減少分析資源成本，降低計算開銷。

本發明公開了一種檢測惡意代碼樣本的網絡行為的方法，包括：

步驟1，獲取惡意代碼樣本，并存儲所述惡意代碼樣本；

步驟2，將所述惡意代碼樣本輸入虛擬機，運行所述惡意代碼樣本，獲得所述惡意代碼樣本的網絡數據；

步驟3，解析所述惡意代碼樣本的網絡數據獲得關鍵信息數據，依據所述關鍵信息數據中的命令進行連接，并追蹤所述連接之后的行為；

步驟4，輸出追蹤結果。

所述步驟1進一步為，

步驟21，使用網絡爬蟲獲得urls列表，如果urls列表為exe列表，則所述urls列表中的文件為待存儲的惡意代碼樣本；

步驟22，將所述惡意代碼樣本存儲到數據庫。

所述步驟21還包括，

步驟31，如果urls列表不為exe列表，則將所述urls列表輸入蜜罐系統；

步驟32，如果蜜罐系統的返回結果為exe文件，則所述exe文件為待存儲的惡意代碼樣本。

所述步驟22之后還包括：

步驟41，通過惡意代碼樣本交互獲得惡意代碼樣本，將所述惡意代碼樣本存儲到數據庫。

所述步驟2進一步為，

步驟51，訪問所述數據庫，獲取惡意代碼樣本，將惡意代碼樣本輸入虛擬機中；

步驟52，虛擬機運行所述惡意代碼樣本，記錄網絡數據，對所述記錄持續預設時長。

所述步驟3進一步為，

步驟61，按網絡數據包的格式解析所述惡意代碼樣本的網絡數據，獲得關鍵信息數據；

步驟62，讀取所述關鍵信息數據中的命令，組成命令表，依據命令表中連接相關命令和命令參數進行連接，如果連接成功，則執行步驟63，如果連接失敗，則將此次未成功連接記錄加入追蹤結果，執行步驟4；

步驟63，對命令表中命令的行為進行追蹤，將結果加入追蹤結果中。

所述步驟62進一步為，

步驟71，讀取所述關鍵信息數據中的命令，組成命令表；

步驟72，根據命令表中連接相關命令以及命令參數中的IP地址和TCP端口進行連接；

步驟73，如果連接成功，則執行所述步驟63；如果所述連接未成功，則判斷嘗試連接次數是否超過預設次數，如果超過，則連接失敗，將此次未成功連接記錄加入追蹤結果，執行所述步驟4；如果沒有超過，執行所述步驟72。

所述步驟3開始執行時還包括，開始對追蹤時間計時；

所述步驟73中連接失敗，將此次未成功連接記錄加入追蹤結果，執行步驟4進一步為，

步驟81，判斷追蹤時間是否超過預設時長，如果是，則將此次未成功連接記錄加入追蹤結果，執行所述步驟4；否則，等待預設等待時長后，執行步驟72。

所述步驟3開始執行時還包括，開始對追蹤時間計時；

所述步驟63進一步為，

步驟91，如果所述命令列表中命令已被順序獲取完成，則執行步驟94；否則，按順序從命令列表中獲取命令，執行步驟92；

步驟92，對獲取的命令進行判斷，

如果獲取的命令為連接命令，則判斷連接后是否有接收行為發生，如果有，則執行步驟93，否則，執行步驟91；

如果獲取的命令為發送命令，則按原始數據時間間隔發送相同數據，如果存在接收行為，則執行步驟93，如果不存在接收行為，則執行步驟91；

如果獲取的命令為關閉命令，則結束追蹤，執行步驟94；