(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111615455.0 (22)申请日 2021.12.28 (65)同一申请的已公布的文献号 申请公布号 CN 113992443 A (43)申请公布日 2022.01.28 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 曹剑锐　康吉金　樊兴华　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 110188537 A,2019.08.3 0 CN 10780 0663 A,2018.0 3.13 US 11140196 B1,2021.10.0 5 CN 110188538 A,2019.08.3 0 审查员 刘娟 (54)发明名称 一种云沙箱流 量处理方法及装置 (57)摘要 一种云沙箱流量处理方法及装置， 涉及通信 技术领域， 该云沙箱流量处理方法包括： 在云沙 箱建立目标通信连接后， 获取云沙箱发出的网络 请求； 并对网络请求进行解析， 得到解析数据； 然 后判断是否能够在预设的集群后端数据库中查 询到与解析数据相匹配的回放记录； 如果否， 获 取网络请求对应的有效响应数据， 并将解析数据 与有效响应数据进行关联， 得到关联数据； 再判 断目标通信连接是否结束通信； 如果是， 获取所 有的关联数据得到云沙箱的完整流量信息， 并将 完整流量信息存储至集群后端数据库， 能够在真 实场景中， 基于真实流量实现云沙箱的完整流量 数据的提取， 从而有利于提升失 陷指标提取产出 量、 恶意行为判定能力， 从而维护了云沙箱网络 安全。 权利要求书2页 说明书8页 附图3页 CN 113992443 B 2022.04.12 CN 113992443 B 1.一种云沙箱流 量处理方法， 其特 征在于， 包括： 在所述云沙箱建立目标通信连接后， 获取 所述云沙箱发出的网络请求； 对所述网络请求进行解析， 得到解析 数据； 判断是否能够 在预设的集群后端数据库中查询到与所述 解析数据相匹配的回放记录； 如果否， 获取所述网络请求对应的有效响应数据， 并将所述解析数据与所述有效响应 数据进行关联， 得到关联 数据； 判断所述目标通信连接是否结束通信； 如果是， 获取所有的关联数据得到所述云沙箱 的完整流量信息， 并将所述完整流量信 息存储至所述 集群后端数据库。 2.根据权利要求1所述的云沙箱流 量处理方法， 其特 征在于， 所述方法还 包括： 当判断出能够查询到所述回放记录时， 对所述网络请求进行拦截处 理； 获取所述回放记录， 并根据所述回放记录进行云沙箱流量回放处理， 得到响应回放数 据； 将所述响应回放数据与所述解析数据进行关联， 得到关联数据， 并执行所述的判断所 述目标通信连接是否结束通信。 3.根据权利要求2所述的云沙箱流量处理方法， 其特征在于， 所述根据 所述回放记录进 行云沙箱流 量回放处 理， 得到响应回放数据， 包括： 获取流量回放服务端的回放 服务端地址； 将所述网络请求中的目的地址修改为所述 回放服务端地址， 以使所述云沙箱将所述网 络请求发送至所述 流量回放服务端； 获取所述流量 回放服务端针对所述网络请求返回的响应回放数据， 所述响应回放数据 是所述流量回放服务端对所述回放记录进行 数据包字段替换处 理得到的。 4.根据权利要求1所述的云沙箱流 量处理方法， 其特 征在于， 所述方法还 包括： 当判断出 未能查询到所述回放记录时， 判断所述云沙箱是否处于网络可达状态； 如果是， 则执 行所述的获取 所述网络请求对应的有效响应数据； 如果否， 则确定当前为网络不可达状态， 并返回所述网络不可达状态的反馈信息 。 5.根据权利要求1所述的云沙箱流量处理方法， 其特征在于， 所述解析数据至少包括源 地址信息、 目的地址信息、 通信协议、 源端口、 目的端口以及请求URL信息； 所述获取 所述网络请求对应的有效响应数据， 包括： 根据所述目的地址信息和所述目的端口获取 所述网络请求对应的响应数据； 根据所述响应数据的数据包头 字段判断所述响应数据是否为有效； 如果是， 则将所述响应数据确定为有效响应数据。 6.根据权利要求1所述的云沙箱流量处理方法， 其特征在于， 在将所述完整流量信 息存 储至所述 集群后端数据库之后， 所述方法还 包括： 获取云沙箱集群中待分析云沙箱的动态行为数据； 根据所述集群后端数据库和所述动态行为数据对所述待分析云沙箱的动态行为进行 分析， 得到分析 结果； 输出所述分析 结果。 7.一种云沙箱流 量处理装置， 其特 征在于， 所述云沙箱流 量处理装置包括：权　利　要　求　书 1/2 页 2 CN 113992443 B 2第一获取单元， 用于在所述云沙箱建立目标通信连接后， 获取所述云沙箱发出的网络 请求； 解析单元， 用于对所述网络请求进行解析， 得到解析 数据； 第一判断单元， 用于判断是否能够在预设的集群后端数据库中查询到与所述解析数据 相匹配的回放记录； 第二获取单元， 用于当判断出未能查询到所述回放记录时， 获取所述网络请求对应的 有效响应数据； 关联单元， 用于将所述 解析数据与所述有效响应数据进行关联， 得到关联 数据； 第二判断单 元， 用于判断所述目标通信连接是否结束通信； 存储单元， 用于在判断出结束通信时， 获取所有的关联数据得到所述云沙箱 的完整流 量信息， 并将所述完整流 量信息存 储至所述 集群后端数据库。 8.根据权利要求7所述的云沙箱流量处理装置， 其特征在于， 所述云沙箱流量处理装置 还包括： 拦截单元， 用于当判断出能够查询到所述回放记录时， 对所述网络请求进行拦截处 理； 第三获取单元， 用于获取所述回放记录， 并根据所述回放记录进行云沙箱流量回放处 理， 得到响应回放数据； 所述关联单元， 还用于将所述响应回放数据与所述解析数据进行关联， 得到关联数据， 并触发所述存 储单元执行所述的判断所述目标通信连接是否结束通信。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至6中 任一项所述的云沙箱流 量处理方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至6任一项 所述的云沙箱 流量 处理方法。权　利　要　求　书 2/2 页 3 CN 113992443 B 3