【技术实现步骤摘要】
基于代码注入和行为分析的应用程序防攻击方法和系统
本专利技术涉及应用安全防护
,具体涉及一种基于代码注入的运行时应用自我保护技术,主要应用于Web应用程序安全防护。
技术介绍
目前,Web应用程序安全防护技术主要有两大类:1.WAF(Web应用防火墙):通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。WAF初期是基于规则防护的防护设备,WAF生产商去维护这个规则库,并实时为其更新,用户按照这些规则,可以对应用进行全方面的保护。但随着攻防双方的不断过招,这套传统的防御体系,出现了各种各样的绕过技巧,打破了这套防线,同时这套防护思路,还有一个天生的缺陷,就是难以拦截未知的攻击。在这几年WAF领域出现了很多新的技术,譬如通过数据建模学习企业自身业务,从而阻拦与其业务特征不匹配的请求。但WAF功能有天然缺陷,他只对request和response感兴趣,却不重视Web应用本身。WAF应用架构图如图1所示。2.RASP(运行时应用自我保护):在2014年的时候,Gartner引入了“R...
【技术保护点】
1.一种基于代码注入和行为分析的应用程序防攻击方法,其特征在于,包括如下步骤:/n步骤101:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;/n步骤102:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为,并获取所述hook点的上下文信息;/n步骤103:运行统一的防护插件,结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell;/n步骤104:根据安全风险分析结果发出相应的告警提示信息,以...
【技术特征摘要】
1.一种基于代码注入和行为分析的应用程序防攻击方法,其特征在于,包括如下步骤:
步骤101:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
步骤102:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为,并获取所述hook点的上下文信息;
步骤103:运行统一的防护插件,结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell;
步骤104:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
2.根据权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其特征在于,所述步骤101中,保护代码的注入点包括:应用程序接口函数、库函数、数据库操作函数、文件操作函数、用户权限函数。
3.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其特征在于,所述步骤101中,在所述预定的关键调用位置挂载hook点,包括:对Python程序的python_eval()函数进行hook检测。
4.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其中,步骤102中的所述上下文信息包括:函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。
5.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其中,步骤103中的所述安全风险分析包括:提取被标记参数和所述上下文信息中的事件标识,确定所述操作行为的执行轨迹;若所述执行轨迹包含大量请求数据、访问或下载敏感文件时,即识别为webshell。
6.如权利要求5所述的基于代码注入和行为分析的应用程序防攻击方法,其中,根据所述操作行为的执行轨迹识别是否为webshell时,收集应用程序中执行代码的主要临时日志,按文件、注册表、网络,服务等信息相关的行为提取行为特征值,将在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后,输入到行为预测信息处理模块,判断...
【专利技术属性】
技术研发人员:杨星,马涛,陈勇,周先东,施凡,沈毅,常超,朱静轩,孟彦,朱东涛,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。