1.首先利用python的tkinter库创建gui界面，实现可视化的点击操作。设计出两个基于python开发的exe程序，一个称为主控端，一个称为被控端。方便主机对虚拟机的控制。2.主控端（电脑主机）利用socket向虚拟机的被控端传输恶意软件，被控端（即虚拟机）接受恶意软件并运行，同时运行fakenet捕捉恶意软件的流量特征，将流量报告生成后发送到主控端。同时被控端利用虚拟机快照进行还原，完全清除恶意软件的记录，再来接受主控端发送来的下一个恶意软件。3.主控端接受到流量报告后，利用wireshark的tshark将报告转换为txt格式，再利用python读取改txt格式的报告筛选出恶意软件运行后进行的流量聚类，把tcp、udp、ftp等流量类型进行分类整理，并得到访问的域名或者ip，主控端会对域名进行nslookup，观测域名是否在正常运行。如果域名正常运行或者得到ip，主控端便会向用户发出警告，从而让用户注意该软件，并给出其访问的网址（这样做的目的是防止软件访问自身的官网等网站而被报告）。并且直接生成对该网站的ids检测规则，企业用户可以直接将其配置到snort ids中，拦截公司内部在此之后向该网站的请求。4.在生成针对每一个软件的特定规则后，powerscan会自动整合这些规则生成通用一般规则，通用规则能够有效的防止相同类型的恶意请求变种。并且生成通用的ids规则，能够拦截更大范围的恶意请求