The invention discloses an attack detection system, method, computer equipment and storage medium. The method includes: the RASP subsystem installed on the WEB server mounts hook points at a predetermined key call location; when each hook point is invoked, the RASP subsystem adopts a detection method combining with the context information of the WEB server to detect attacks. By applying the scheme of the invention, the accuracy of the processing results can be improved, etc.
【技术实现步骤摘要】
攻击检测系统、方法、计算机设备及存储介质
本专利技术涉及计算机应用技术,特别涉及攻击检测系统、方法、计算机设备及存储介质。
技术介绍
运行时自我保护技术(RASP,RuntimeApplicationSelf-Protection),是一种在运行时检测攻击并进行自我保护的技术。目前,WEB服务器为了能够抵御外部攻击,通常都会采取一定的攻击检测方式。比如,采用WEB应用防火墙(WAF,WebApplicationFirewall)。即在用户请求进入WEB服务器之前,拦截原始请求数据进行解析,解析之后主要采用正则表达式的方式对请求的各个部分进行检测,在认定有攻击的情况下将会拦截该请求,使得请求数据不能到达WEB服务器,从而保证WEB服务器的运行安全,在认定安全的情况下将会放行该请求。但上述方式中,检测方式为正则匹配,误报率和漏报率都比较高,另外,检测之前需要解析请求数据,这些数据在进入WEB服务器之后还需要再次解析,从而造成计算量冗余等。传统的RASP技术中,在WEB服务器的关键调用位置设置拦截点,将调用位置的调用参数提取出来,使用预设的检测逻辑进行检测,如果检测到攻击,则在调用位置拦截并结束请求,否则,正常继续后续处理。这种方式相比于WAF方式,克服了计算量冗余等问题,并在一定程度上降低了误报率和漏报率,但是,这种方式下的检测逻辑通常都比较简单,因此仍会造成较高的误报率和漏报率,即处理结果的准确性仍有待提高。
技术实现思路
有鉴于此,本专利技术提供了攻击检测系统、方法、计算机设备及存储介质,能够提高处理结果的准确性。具体技术方案如下:一种攻击检测系统 ...
【技术保护点】
1.一种攻击检测系统,其特征在于,包括:运行时自我保护RASP子系统,所述RASP子系统中包括:启动模块以及处理模块;所述启动模块,用于当所述RASP子系统安装到WEB服务器上后,启动所述处理模块;所述处理模块,用于在预定的关键调用位置进行hook点的挂载,当调用到每个hook点时,采用结合所述WEB服务器上下文信息的检测方式进行攻击检测。
【技术特征摘要】
1.一种攻击检测系统,其特征在于,包括:运行时自我保护RASP子系统,所述RASP子系统中包括:启动模块以及处理模块;所述启动模块,用于当所述RASP子系统安装到WEB服务器上后,启动所述处理模块;所述处理模块,用于在预定的关键调用位置进行hook点的挂载,当调用到每个hook点时,采用结合所述WEB服务器上下文信息的检测方式进行攻击检测。2.根据权利要求1所述的攻击检测系统,其特征在于,所述处理模块中包括:挂载单元以及检测单元;所述挂载单元,用于在所述关键调用位置进行hook点的挂载,当调用到每个hook点时,执行所述检测单元;所述检测单元,用于加载对应的JavaScript插件,以便所述JavaScript插件采用结合所述WEB服务器上下文信息的检测方式进行攻击检测。3.根据权利要求2所述的攻击检测系统,其特征在于,所述检测单元进一步用于,针对所述JavaScript插件进行文件监控,当监控到更新时,重新加载所述JavaScript插件。4.根据权利要求2所述的攻击检测系统,其特征在于,所述检测单元进一步用于,当检测到攻击时,跳转到默认的拦截页面或跳转到定制的拦截页面。5.根据权利要求1所述的攻击检测系统,其特征在于,当所述WEB服务器为java服务器时,所述检测方式至少包括以下之一或任意组合:结构化查询语言SQL注入检测;服务器端请求伪造SSRF检测;文件目录列出检测;文件读取检测;文件包含检测;文件写入检测;文件上传检测;命令执行检测;可扩展标记语言XML外部实体攻击检测;strutsognl攻击检测;反序列化检测;跨站脚本XSS攻击检测;当所述WEB服务器为php服务器时,所述检测方式至少包括以下之一或任意组合:SQL注入检测;SSRF检测;文件目录列出检测;文件读取检测;文件包含检测;文件写入检测;文件上传检测;命令执行检测;XML外部实体攻击检测;XSS攻击检测。6.根据权利要求1所述的攻击检测系统,其特征在于,所述RASP子系统支持不重启服务器的安装方式;所述处理模块进一步用于,在不重启服务器的情况下完成自身功能的更新。7.根据权利要求1所述的攻击检测系统,其特征在于,所述攻击检测系统中进一步包括:云端控制平台子系统;所述云端控制平台子系统,用于对安装在不同WEB服务器上的RASP子系统进行集中管理。8.根据权利要求7所述的攻击检测系统,其特征在于,所述云端控制平台子系统中包括:云控后台以及代理Agent;所述Agent运行在所述WEB服...
【专利技术属性】
技术研发人员:曹新宇,唐友谊,李新开,兰宇航,安阳,裴奕,
申请(专利权)人:百度在线网络技术北京有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。