最近通过沙箱获取数据的过程中遇到了产生日志过多的问题，需要定期删除免得存储爆了。linux自带的cron可以用非常简单的配置，增加定时任务。

因为分布式cuckoo沙箱在网上没看到什么教程，所以期间还走了挺多弯路，根本原因就是没有仔细地看一遍官方的手册，遗漏了一些细节。所以强烈建议搭建沙箱时完整看一遍官方的手册，网上的教程虽然看着方便但还是没这个全面。

最终实现的理想分布式cuckoo是：server控制n个worker，每个worker的virtualbox上配置了m个虚拟机。实现n*m个虚拟机同时运行恶意软件样本。

因为后续考虑要进行分布式沙箱的搭建，如果全部使用物理机作为cuckoo节点开销比较大（主要是没有地方放那么多主机…），因此后续我又调研了一下在虚拟机安装cuckoo的方法。其实cuckoo分析程序本身就是在命令行以及配置一些文件就ok的，难点主要在于给virtual box里面的虚拟机进行agent配置的时候，没有界面很难操作。因此需要用vnc开启远程桌面。

因为毕设需要，准备搭建一个稍有规模的分布式cuckoo沙箱。目前进展：
在2个物理机上配置了cuckoo host，在1个虚拟机上搭建了distributed server。将这2个host挂载在了server端，向server端发送运行任务后，server端会安排2个host轮流完成运行任务。

最基础的搭建步骤就是在单个物理机节点部署cuckoo，能够调用配置好的virtual box完成运行任务并产生报告。在搭建好了单个cuckoo之后，可以考虑进阶的分布式搭建。

沙盒(Sanbox)是一种将未知、不可信的软件隔离执行的安全机制。恶意软件分析沙盒一般用来将不可信软件放在隔离环境中自动地动态执行，然后提取其运行过程中的进程行为、网络行为、文件行为等动态行为，安全研究员可以根据这些行为分析结果对恶意软件进行更深入地分析。为了搭建一个运行恶意样本的隔离环境，近期调研了cuckoo沙箱，实现了host与多guest机的配置，并且可以通过api提交样本自动化运行。

Infection Monkey是一款由以色列安全公司GuardiCore在2016黑帽大会上发布的数据中心安全检测工具，其主要用于数据中心边界及内部服务器安全性的自动化检测。该工具在架构上，则分为Monkey（扫描及漏洞利用端）以及C&C服务器（相当于reporter，但仅仅只是用于收集monkey探测的信息）

infection Monkey

nfection Monkey

对infection Monkey的源码进行了一些调研，主要分为monkey_island和monkey两部分，island的身份是c&c服务器，负责收集monkey传来的数据到数据库里；monkey负责的是感染新monkey，向c&c服务器汇总信息。

Linux Audit守护进程是一个可以审计Linux系统事件的框架。通过使用一个强大的审计框架，系统可以追踪很多事件类型来监控和并审计它。

ids2017数据集使用CICFlowMeter作为流特征提取工具，能够根据提交的pcap文件生成有80多个特征的csv文件，使用方法有两种：在线和离线模式。在线模式可以实时监控并产生特征，监听结束之后可以保存到本地；离线模式是提交一个pcap文件，得到一个包含特征的csv文件。

smartd是一个守护进程（一个帮助程序），它能监视拥有自我监视，分析和汇报技术(Self-Monitoring, Analysis, and Reporting Technology - SMART)的硬盘。 SMART系统使得硬盘能监视并汇报自己的运行状况。它的一个重要特性是能够预测失败，使得系统管理员能避免数据丢失。