[发明专利]一种云沙箱流量处理方法及装置

说明书

一种云沙箱流量处理方法及装置，涉及通信技术领域，该云沙箱流量处理方法包括：在云沙箱建立目标通信连接后，获取云沙箱发出的网络请求；并对网络请求进行解析，得到解析数据；然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录；如果否，获取网络请求对应的有效响应数据，并将解析数据与有效响应数据进行关联，得到关联数据；再判断目标通信连接是否结束通信；如果是，获取所有的关联数据得到云沙箱的完整流量信息，并将完整流量信息存储至集群后端数据库，能够在真实场景中，基于真实流量实现云沙箱的完整流量数据的提取，从而有利于提升失陷指标提取产出量、恶意行为判定能力，从而维护了云沙箱网络安全。

技术领域

本申请涉及通信技术领域，具体而言，涉及一种云沙箱流量处理方法及装置。

背景技术

随着云沙箱动态行为分析的发展，云沙箱动态行为分析在产出失陷指标（IOC）、鉴定恶意软件行为等方面得到国内外安全厂商的认可，但云沙箱集群在应用时存在被攻击或者恶意利用等情况。现有技术中，通常基于网络模拟，通过代理服务程序和网络服务模拟程序模拟响应相应的服务请求，对特定的网络流量拦截、重定向。然而，在实践中发现，现有方法是模拟的服务响应而不是真实的响应，从而无法产出完整的完整流量数据，降低了失陷指标提取产出量、恶意行为判定能力，无法保证云沙箱网络安全。

发明内容

本申请实施例的目的在于提供一种云沙箱流量处理方法及装置，能够在真实场景中，基于真实流量实现云沙箱的完整流量数据的提取，从而有利于提升失陷指标提取产出量、恶意行为判定能力，从而维护了云沙箱网络安全。

本申请实施例第一方面提供了一种云沙箱流量处理方法，包括：

在所述云沙箱建立目标通信连接后，获取所述云沙箱发出的网络请求；

对所述网络请求进行解析，得到解析数据；

判断是否能够在预设的集群后端数据库中查询到与所述解析数据相匹配的回放记录；

如果否，获取所述网络请求对应的有效响应数据，并将所述解析数据与所述有效响应数据进行关联，得到关联数据；

判断所述目标通信连接是否结束通信；

如果是，获取所有的所述关联数据得到所述云沙箱的完整流量信息，并将所述完整流量信息存储至所述集群后端数据库。

在上述实现过程中，在云沙箱建立目标通信连接后，获取云沙箱发出的网络请求；并对网络请求进行解析，得到解析数据；然后判断是否能够在预设的集群后端数据库中查询到与解析数据相匹配的回放记录；如果否，获取网络请求对应的有效响应数据，并将解析数据与有效响应数据进行关联，得到关联数据；再判断目标通信连接是否结束通信；如果是，获取所有的关联数据得到云沙箱的完整流量信息，并将完整流量信息存储至集群后端数据库，能够在真实场景中，基于真实流量实现云沙箱的完整流量数据的提取，从而有利于提升失陷指标提取产出量、恶意行为判定能力，从而维护了云沙箱网络安全。

进一步地，所述方法还包括：

当判断出能够查询到所述回放记录时，对所述网络请求进行拦截处理；

获取所述回放记录，并根据所述回放记录进行云沙箱流量回放处理，得到响应回放数据；

将所述响应回放数据与所述解析数据进行关联，得到关联数据，并执行所述的判断所述目标通信连接是否结束通信。

进一步地，所述根据所述回放记录进行云沙箱流量回放处理，得到响应回放数据，包括：

获取流量回放服务端的回放服务端地址；

将所述网络请求中的目的地址修改为所述回放服务端地址，以使所述云沙箱将所述网络请求发送至所述流量回放服务端；