針對現有沙箱技術的對具有有網絡訪問交互行為入侵的病毒樣本能力不足的問題，本發明公開了一種基于虛擬網絡環境的網絡流量沙箱檢測方法，首先搭建虛擬分析環境，在控制主機中安裝對訪問流量可進行回復的交互式虛擬網絡服務,實現分析主機全端口到虛擬網絡環境的惡意流量轉發，實現對惡意加密流量的解密，截取分析主機網卡的惡意流量，實現自動化對惡意代碼所產生的網絡行為做出應答，并且在此基礎上實現了對Https流量的解密功能。本發明方法可以用于集成沙箱環境，以提升沙箱檢測惡意代碼在網絡行為方面的效率和不足，同時也可以獨立于沙箱之外，作為一套側重網絡行為分析方面的虛擬環境，具有應用范圍廣的優點。

技術領域

本發明屬于網絡安全技術領域，具體涉及一種基于虛擬網絡環境的網絡流量沙箱檢測方法。

背景技術

眾所周知，隨著網絡環境的日趨復雜，計算機網絡面臨著越來越多的不確定性因素，一些不法分子利用層出不窮的非法技術和手段威脅著每個網絡用戶的隱私和安全。同時，網絡安全技術也是飛速發展。針對目前現有的網絡安全技術沙箱產品，其主要功能是建立虛擬的系統程序，允許在這個獨立的作業環境中去運行其他的瀏覽器或者程序，隨后將產生的變化可以刪除，然后輸出報告，這樣做不僅可以節省大量的人力和資源，同時針對遭受黑客攻擊的企業，方便該企業使用網絡安全沙箱對病毒樣本進行分析判斷，通過沙箱對病毒樣本行為操作進行記錄從而可以知曉病毒的意圖，并且可以進一步溯源該黑客組織。目前沙箱技術主要側重于對惡意樣本進行靜態、動態分析，以及對其在虛擬環境中產生的一些文件和注冊表行為進行分析，對于惡意樣本網絡行為交互方面卻沒有過多關注。

發明內容

針對現有沙箱技術的對具有有網絡訪問交互行為入侵的病毒樣本能力不足的問題，本發明公開了一種基于虛擬網絡環境的網絡流量沙箱檢測方法，自動化對惡意代碼所產生的網絡行為做出應答，將其所有端口發出的流量重定向到相應建立的虛擬網絡環境對應的服務，實現了自動化流量檢測，并且在此基礎上實現了對Https流量的解密功能。

本發明公開了一種基于虛擬網絡環境的網絡流量沙箱檢測方法，其步驟包括：

S1,搭建虛擬分析環境，配置控制主機和分析主機的ip地址，在分析主機上安裝virtualbox虛擬機軟件并且對其進行配置，利用該軟件創建虛擬網卡，配置分析主機的DNS域名解析服務器地址，該地址也是通過virtualbox建立的分析主機的虛擬網卡ip地址，確保控制主機和分析主機能通過虛擬網卡進行相互訪問。

S2,在控制主機中安裝對訪問流量可進行回復的交互式虛擬網絡服務,修改虛擬網絡服務偵聽的ip地址為虛擬網卡的ip地址，修改服務運行端口為相應動態端口，并以守護進程的方式在后臺運行。

S3,實現分析主機全端口到虛擬網絡環境的惡意流量轉發，為了自動化重定向所有端口的惡意流量，使用linux系統的基于包過濾的防火墻工具(iptables)對分析主機建立的虛擬網卡進行規則添加，實現將分析主機流經網卡的所有端口的流量重定向到虛擬網卡地址的對應端口，虛擬網卡的ip地址和端口同時也是虛擬網絡服務的地址和對應服務的端口。虛擬網卡的ip地址是分析主機綁定的DNS服務器地址，同時也是虛擬網絡服務偽裝的DNS服務器地址，從而將請求域名的惡意流量被重定向到虛擬網絡服務中。虛擬網絡開啟模擬服務，即開啟服務偵聽對應的端口，從而對發送過來的數據包做出相應的回復和應答。

S4,實現對惡意加密流量的解密，對分析主機虛擬網絡服務添加自定義生成的證書，并利用該證書來對惡意加密流量進行解密，獲取其通信內容。所述的惡意加密流量，是指會產生HTTPS流量的惡意代碼發生網絡交互行為后所產生的網絡流量。所述的自定義生成的證書，是指通過BurpSuite滲透測試工具含有的證書導出功能導出.der格式的二進制證書，對其使用Openssl轉化為.pem的證書文件，從而生成有針對性的自定義證書。

S5,截取分析主機網卡的惡意流量。對經過分析主機網卡的流量進行截取，從而將惡意代碼產生的惡意流量與虛擬網絡的交互行為保存到網絡數據報存儲文件(pcap)中，方便后續查看和解析。