本申请公开了一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备,该方法包括:监控目标网站应用对应的解释器,并通过钩子函数从解释器中捕获关键函数的待执行代码;解析待执行代码,得到与待执行代码对应的待执行流程;根据关键函数对应的标准执行流程以及待执行流程,判定待执行代码是否为漏洞攻击行为的执行代码。本申请通过hook脚本执行层关键函数,通过检查脚本的执行流程是否符合规定来判定是否为攻击行为,以实现对网站应用层漏洞的精准防护。的精准防护。的精准防护。
【技术实现步骤摘要】
网站应用漏洞攻击的检测方法及装置、存储介质
[0001]本申请涉及信息安全
,尤其是涉及到一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备。
技术介绍
[0002]近年来,内网安全事件频繁发生,企业或组织内部重要数据或敏感数据丢失,对政府、企业造成的损失和影响是十分严重的。
[0003]为防止漏洞攻击对用户终端或网站服务器造成不良影响,目前针对网站应用的各种应用层漏洞(如反序列化,代码执行漏洞等)的防护主要是通过特征匹配的方式进行防护,通过检测发往网站应用的请求数据包中是否包含特定的攻击特征,这种防护方式无法关联具体的业务,如果规则太严,则会产生大量误报,如果规则太松,则会产生大量漏洞,无法实现精准防护。
[0004]因此,如何设计出一种快速、高效的攻击防御机制,在漏洞攻击产生后对其进行及时防御,就成为摆放在本领域技术人员眼前的一道难题。
技术实现思路
[0005]有鉴于此,本申请提供了一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备,通过hook脚本执行层关键函数,通过检查脚本的执行流程是否符合规定来判定是否为攻击行为,以实现对网站应用层漏洞的精准防护。
[0006]根据本申请的一个方面,提供了一种网站应用漏洞攻击的检测方法,包括:
[0007]监控目标网站应用对应的解释器,并通过钩子函数从所述解释器中捕获关键函数的待执行代码;
[0008]解析所述待执行代码,得到与所述待执行代码对应的待执行流程;
[0009]根据所述关键函数对应的标准执行流程以及所述待执行流程,判定所述待执行代码是否为漏洞攻击行为的执行代码。
[0010]具体地,所述监控目标网站应用对应的解释器之前,所述方法还包括:
[0011]对所述关键函数进行至少一次安全调用;
[0012]通过对所述解释器的监控,收集所述安全调用对应的安全执行代码;
[0013]依据所述安全执行代码分析所述安全调用的标准执行流程,并将所述安全执行流程加入到标准执行流程库中。
[0014]具体地,所述解析所述待执行代码,得到与所述待执行代码对应的待执行流程之后,所述方法还包括:
[0015]在所述标准执行流程库中,获取与所述关键函数对应的所述标准执行流程。
[0016]具体地,解析所述待执行代码,得到与所述待执行代码对应的待执行流程,具体包括:
[0017]从所述待执行代码中按照从前至后的顺序依次提取出相应的操作行为,得到所述
待执行流程。
[0018]具体地,所述根据所述关键函数对应的标准执行流程以及所述待执行流程,判定所述待执行代码是否为漏洞攻击行为的执行代码,具体包括:
[0019]若所述待执行流程与所述标准执行流程不一致,则判定所述待执行代码存在漏洞攻击行为,并阻止所述待执行代码被执行;
[0020]若所述待执行流程与所述标准执行流程一致,则判定所述待执行代码不存在漏洞攻击行为,并执行所述待执行代码。
[0021]具体地,所述判定所述待执行代码存在漏洞攻击行为,并阻止所述待执行代码被执行,具体包括:
[0022]将所述待执行代码上报至安全管理系统中,以利用所述安全管理系统生成并反馈对所述待执行代码的判定结果;
[0023]若接收到的所述判定结果为所述待执行代码存在漏洞攻击行为,则阻止所述待执行代码被执行;
[0024]若接收到的所述判定结果为所述待执行代码不存在漏洞攻击行为,则执行所述待执行代码,并将所述待执行代码对应的所述待执行流程加入到所述标准执行流程库中。
[0025]根据本申请的另一方面,提供了一种网站应用漏洞攻击的检测装置,包括:
[0026]监控模块,用于监控目标网站应用对应的解释器,并通过钩子函数从所述解释器中捕获关键函数的待执行代码;
[0027]代码解析模块,用于解析所述待执行代码,得到与所述待执行代码对应的待执行流程;
[0028]漏洞检测模块,用于根据所述关键函数对应的标准执行流程以及所述待执行流程,判定所述待执行代码是否为漏洞攻击行为的执行代码。
[0029]具体地,所述装置还包括:
[0030]安全调用模块,用于监控目标网站应用对应的解释器之前,对所述关键函数进行至少一次安全调用;
[0031]安全代码收集模块,用于通过对所述解释器的监控,收集所述安全调用对应的安全执行代码;
[0032]标准库建立模块,用于依据所述安全执行代码分析所述安全调用的标准执行流程,并将所述安全执行流程加入到标准执行流程库中。
[0033]具体地,所述装置还包括:
[0034]标准执行流程获取模块,用于解析所述待执行代码,得到与所述待执行代码对应的待执行流程之后,在所述标准执行流程库中,获取与所述关键函数对应的所述标准执行流程。
[0035]具体地,所述代码解析模块,具体用于:
[0036]从所述待执行代码中按照从前至后的顺序依次提取出相应的操作行为,得到所述待执行流程。
[0037]具体地,所述漏洞检测模块,具体包括:
[0038]拦截单元,用于若所述待执行流程与所述标准执行流程不一致,则判定所述待执行代码存在漏洞攻击行为,并阻止所述待执行代码被执行;
[0039]执行单元,用于若所述待执行流程与所述标准执行流程一致,则判定所述待执行代码不存在漏洞攻击行为,并执行所述待执行代码。
[0040]具体地,所述拦截单元,具体包括:
[0041]上报子单元,用于将所述待执行代码上报至安全管理系统中,以利用所述安全管理系统生成并反馈对所述待执行代码的判定结果;
[0042]拦截子单元,用于若接收到的所述判定结果为所述待执行代码存在漏洞攻击行为,则阻止所述待执行代码被执行;
[0043]执行子单元,用于若接收到的所述判定结果为所述待执行代码不存在漏洞攻击行为,则执行所述待执行代码,并将所述待执行代码对应的所述待执行流程加入到所述标准执行流程库中。
[0044]依据本申请又一个方面,提供了一种存储介质,其上存储有计算机程序,所述程序被处理器执行时实现上述网站应用漏洞攻击的检测方法。
[0045]依据本申请再一个方面,提供了一种计算机设备,包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述网站应用漏洞攻击的检测方法。
[0046]借由上述技术方案,本申请提供的一种网站应用漏洞攻击的检测方法及装置、存储介质、计算机设备,对网站应用的关键函数进行监控,从解释器中hook调用关键函数的待执行代码,从而对待执行代码的相应流程进行解析,通过与关键函数对应的标准执行流程进行比对,判断对关键函数的调用行为是否为漏洞攻击行为。本申请通过hook脚本执行层关键函数,通过检查脚本的执行流程是否符合规定来判定是否为攻击行为,以实现对网站应用层漏洞的精准防护。
[0047]上述说明仅是本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网站应用漏洞攻击的检测方法,其特征在于,包括:监控目标网站应用对应的解释器,并通过钩子函数从所述解释器中捕获关键函数的待执行代码;解析所述待执行代码,得到与所述待执行代码对应的待执行流程;根据所述关键函数对应的标准执行流程以及所述待执行流程,判定所述待执行代码是否为漏洞攻击行为的执行代码。2.根据权利要求1所述的方法,其特征在于,所述监控目标网站应用对应的解释器之前,所述方法还包括:对所述关键函数进行至少一次安全调用;通过对所述解释器的监控,收集所述安全调用对应的安全执行代码;依据所述安全执行代码分析所述安全调用的标准执行流程,并将所述安全执行流程加入到标准执行流程库中。3.根据权利要求2所述的方法,其特征在于,所述解析所述待执行代码,得到与所述待执行代码对应的待执行流程之后,所述方法还包括:在所述标准执行流程库中,获取与所述关键函数对应的所述标准执行流程。4.根据权利要求2或3所述的方法,其特征在于,解析所述待执行代码,得到与所述待执行代码对应的待执行流程,具体包括:从所述待执行代码中按照从前至后的顺序依次提取出相应的操作行为,得到所述待执行流程。5.根据权利要求4所述的方法,其特征在于,所述根据所述关键函数对应的标准执行流程以及所述待执行流程,判定所述待执行代码是否为漏洞攻击行为的执行代码,具体包括:若所述待执行流程与所述标准执行流程不一致,则判定所述待执行代码存在漏洞攻击行为,并阻止所述待执行代码被执行;若所述待执行流程与所述标准执行流程一致,则判定所述待执行代码不存在漏洞攻击行为,并执行所述待执行代码。6.根据权利要求5所述的方法,其特征在于,所述判定所述待执行代码存在漏洞攻...
【专利技术属性】
技术研发人员:陈俊儒,谢文聪,
申请(专利权)人:奇安信科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。