基于智能沙盒的安全检测技术分析

孙统计

（中国联合网络通信有限公司上海市分公司 上海市 200082）

人们在使用互联网的同时，也会被恶意程序所伤害。恶意程序会在用户使用网络的同时，对目标用户的系统进行破坏、窃取隐私信息、恶意扣取费用、耗占设备资源，这一系列的恶劣行为对用户的隐私安全构成了严重威胁，为不法分子提供了可趁之机。在过去，恶意程序大多会伪装成.exe 文件，但是当用户对此类文件已经有所防范时，恶意程序转而利用普通用户不会怀疑的其他文件继续潜伏，其中伪装成Word 文档的恶意软件高达38%。国内针对此类应用程序的审核机制并不严格，在相关方面的技术也参差不齐，再加上恶意程序形式变化多样，这些问题都给监管方面造成了巨大的难度。目前，恶意程序给用户和企业造成的危害主要有恶意扣费、泄露隐私数据、耗占资源、恶意篡改数据、实施破坏攻击、进行网络欺诈等恶意行为。因此，搭建一套多平台的安全检测系统已是势在必行。

1 恶意程序及攻击方式简述

1.1 恶意程序

恶意程式是一种指令集合，它会在用户不知情的情况下，潜伏在用户的计算机或其它终端上自行安装，并攻击终端和程序获取用户的个人隐私数据等恶意操作，对用户的合法权益造成侵害。根据恶意程序的攻击方式可以将它分为木马、蠕虫、细菌、病毒等。如今，恶意软件及插件已经成为一种新的网络问题，恶意插件及软件的整体表现为清除困难，强制安装，甚至干拢安全软件的运行。

1.2 恶意程序攻击方式

恶意程序的攻击形式变化多样，但是也有一定的规律可循，恶意程序完成一次攻击会经历图1所示的四个阶段。

（1）入侵终端：恶意程序通常依赖于固件存储介质或者网络介质传播到目标终端中，根据目标系统的安全等级，逐步获取权限进行入侵。

（2）获取权限：恶意程序开始实施入侵目标终端后，会自动获取终端系统的一些权限，这时恶意程序自动运行恶意攻击的代码，在系统运行进程中窃取目标终端的用户名和密码，从而不断提升恶意程序的权限，以便于为后续的攻击和破坏行为做好准备工作。

（3）实施隐蔽策略：恶意程序在成功侵入目标终端后，会立刻伪装自己，它不会立刻展开破坏工作。恶意程序首先将自己修改成.exe、.doc 等常用文件格式，并在获取足够权限后进行恶意攻击。恶意程序会在目标终端中一直隐藏很长时间，在这个时候恶意程序会不断地尝试获取更高级的系统权限，当它获取到足够高的权限时，展开实施破坏的时机就已经成熟了。

（4）实施破坏：破坏时机成熟的时候，恶意程序开始肆意篡改数据、破坏程序和系统，以达到获取隐私数据、远程控制、恶意攻击等恶意行为。

恶意程序常见的攻击方式有DDoS 攻击、获取账号和密码、SQL 注入、恶意小程序和木马植入。其中DDos 攻击和木马植入攻击的对象是服务器，SQL 注入和恶意小程序攻击的对象是程序。

2 基于沙盒技术的恶意程序安全分析及检测方案

2.1 沙盒技术模式及优势

沙盒技术是由GreenBorder 公司设计出的一种硬盘过滤文件驱动，用于保护浏览器和程序的安全运行。现在沙盒技术已经被谷歌公司收购，谷歌公司运用此技术防止用户在用谷歌浏览器的时候泄露个人隐私。

沙盒是一款运用重定向技术，将使用浏览器和程序产生的文件（注册表、信息修改等系统核心数据），放入自己携带的一个快捷文件夹当中，在加载驱动的时候建立起隔离环境，降低被攻击的风险，保护用户个人数据的安全。在系统部署方面具有轻量便捷、成本低等优势。

对于政府及重要单位的文件流转更加需要注重文件传递安全，在政务办公系统流程流转时，迫切需要将文件进行安全分析和检测后再进入流转流程。

2.2 基于沙盒技术的恶意程序检测框架设计

系统采用B/S 架构，支持web 访问和移动H5 应用场景下的安全检测分析。根据设计要求，基于沙盒技术的恶意程序检测系统的主要功能设计为：文件上传功能、任务调度功能、沙盒控制功能、沙盒分析功能、日志输出功能以及异常处理功能六大功能模块。

2.2.1 设计要求

为了实现基于沙盒技术的安全检测系统，需要通过服务器的服务框架来接受PC 端和移动设备所产生的文件。本系统针对这一目的做出以下几点设计要求：

（1）可以接收PC 端（Windows 7/10）和移动端（Android/IOS）的文件；

（2）对接收到的文件进行检测，能够辨别目标文件是否为恶意程序的伪装；

（3）能够快速、准确的辨别目标文件，所用的时间应与程序本身运行的时间相近；

（4）用户可以通过客户端的可视化界面将需要检测的文件提交；

（5）将分析出来的结果通过可视化界面及时反馈给用户，并支持用户以邮箱或短信的方式获取分析结果。

2.2.2 主要功能概要设计

（1）文件上传功能：文件上传功能采用Webservice 的服务模型，它具有优越的服务性能，使用HTTP 传输协议，支持Windows 7/10系统和Android/IOS 平台的文件检测。

（2）任务调度功能：当多个用户同时上传检测文件时，需要任务调度功能对此情况进行管理。任务调度功能会将待检测的目标文件复制到样本目录中，分配优先级并根据文件类型选择不同的沙盒进行检测，最后删除检测完成的目标文件。

（3）沙盒控制功能：沙盒控制功能是整个系统的核心，它可以完成数据参数的配置，决定检测时长、结果存储路径等参数，创建分析任务并根据优先级进行排序，对目标文件进行分析，产生分析结果和日志，对版本更新进行管理，并对系统异常进行自我修复。

（4）沙盒分析功能：沙盒分析功能根据目标文件类型和相应的沙盒进行匹配，对被检测文件的流转轨迹进行监控并记录。

（5）日志输出功能：目标文件检测分析的结果由日志输出模块产生日志记录并输出。在日志中可以看到一次分析任务从开始到结束的情况，如果分析任务异常时，管理员可以通过日志查找错误并及时处理。该模块还负责将分析结果信息返回给上传者。

（6）异常处理功能：异常处理功能是一个成熟、稳定的系统必要模块。本次设计异常处理的情况包括文件上传异常、数据库操作异常、虚拟机启动异常、任务提交异常和分析处理异常。

本系统整体运行流程如图2所示。

2.2.3 系统设计与实现

服务端主要接收客户端发来的文件和用户信息，经过一次分析任务完成之后，将分析结果返回给客户端。使用主流的Tomcat 发布系统服务，使用Mysql 作为本次系统设计数据库，使用Axis2 的服务框架创建服务端的Webservice 服务，通过HTTP 通讯协议实现应用层客户端和服务端的交互。本次选择的框架、数据库服务器均为开源项目（开发成本低），而且已经被稳定地、广泛地运用到互联网当中。Tomcat 服务器还具有强大的可移植性，可以直接封装到项目中。

2.3 系统评测与分析

本次测试的目标文件选择.exe、.doc、.apk 三种格式，以保证系统可以针对不同文件做出检测。选择Windows 7/10 系统和Android/IOS 平台分别测试，保证系统具有跨平台的特性。本次测试记录系统对上传目标文件完成一次检测的步骤如下所示：

（1）用户上传需要检测的文件。蓝色方框提供目标文件的路径，红色方框代表文件上传成功。

（2）创建文件分析任务并返回结果。当服务器接收到目标文件时，会对目标文件进行分析。沙盒分析模块会将不同类型的目标文件与沙盒进行匹配，由控制模块创建出分析任务并根据算法得到文件恶意性的评测结果。如果有检测出恶意程序，系统界面上会进行提示。

经过系统分析测试，发现了本次系统设计的一些不足之处：

（1）系统可以正常分析.exe 和部分.apk 文件，但不能正常分析某些游戏的.apk 文件；

（2）系统运行产生的日志文件可读性不高，有许多日志内容和文件运行情况没有关系，影响操作人员对文件的分析和判断。

（3）系统在Android/IOS 平台和Windows 平台进行测试时，只能输出部分目标文件运行时调用的接口信息。

通过进一步研究系统存在的技术难题，可以用以下方案来解决：

（1）对部分.apk 文件不能正常解析，可能是因为系统对文件进行反编译需要重新打包引起的，打包后的.apk 文件不能在模拟器中正常运行。通过优化反编译和文件注入可以解决此问题；

（2）日志的可读性较差，可以通过优化文本过滤代码或者引入更优秀的日志框架来解决；

（3）本系所统检测API 种类和数量较少，导致不能全面监控文件运行情况，需要对多平台的API 函数进行扩充。

2.4 系统应用实例

基于智能沙盒技术的安全检测系统已被广泛应用在互联网中，我国比较有名的火眼相比国外其他系统，还存在着一些差距。

2.4.1 火眼

火眼由金山公司开发，是我国的一个在线对文件解析服务的网站。在文件上传后，可以给定目标文件的安全等级和分析结果报告。最大支持文件大小为30MB，支持的文件格式包括但不限于：DLL、BAT、EXE、DLL、APK、MSI、VBS、JS、HTML 等类型，也支持上传特定格式的压缩包。对目标文件分析后的结果报告包含文件名，大小，类型，时间，MD5，SHA-1 等基本信息，并对目标文件进行安全评测，分析其危险性，包括可能影响系统安全的操作。

2.4.2 Virus Total

Virus Total 是一个对可疑文件提供分析服务的网站，在全世界的知名度较高，而且可以免费试用。从技术上来说，Virus Total 比我国的火眼更加高效、专业，最大支持文件大小为64M。文件上传后系统同样会先计算文件哈希值，然后与已检测的文件数据库中的数据进行对比和分析，如果对应文件的哈希值已经存在，则会提示重新分析或者查看最近一次分析结果，分析结果以报告形式发布。分析报告中，包括病毒检出率（51 个杀毒引擎查杀），文件详细信息（文件头，字符串，环境变量，运行时库），文件操作，网络操作（HTTP,DNS,TCP,UDP)，进程操作，互斥体，HOOK，窗口操作等。从而对可疑文件进行高效的检出，避免恶意事件发生。

3 结论与展望

基于沙盒技术的安全检测系统可以快速高效地分析文件安全，保障用户的安全隐私。本次基于沙盒技术的安全检测系统经过测试，可以达到预期目标，但是仍然存在着一些问题。相信随着技术的完善，这些问题会一一解决，日后人们不会受到隐私泄露带来的困扰。