本发明专利技术涉及一种反序列化攻击检测方法、装置、电子设备、介质及程序,该方法包括:在检测到待检测操作属于敏感操作的情况下,获取所述待检测操作所对应的调用序列;检测所述调用序列中是否存在与反序列化操作有关的类,在存在所述与反序列化操作有关的类的情况下,确定所述待检测操作为反序列化攻击行为;其中,所述敏感操作是与夺取操作系统控制权相关的操作。本发明专利技术基于敏感操作和反序列化有关的类准确地检测了反序列化攻击行为,能够检测未知漏洞类的反序列化攻击,且降低了误报率。且降低了误报率。且降低了误报率。
【技术实现步骤摘要】
反序列化攻击检测方法、装置、电子设备、介质及程序
[0001]本专利技术涉及网络安全
,尤其涉及一种反序列化攻击检测方法、装置、电子设备、存储介质及程序产品。
技术介绍
[0002]在面向对象的编程中,通常会涉及到序列化和反序列化,序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据,这就是序列化的意义所在。
[0003]如果应用程序对用户输入的不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的类或对象,这个类或对象在产生过程中就有可能带来任意代码执行。
[0004]现有技术中反序列化攻击检测通常为基于黑规则的检测,检测反序列化的过程中是否会反序列化出属于黑规则的反序列化漏洞类(如某公司的OpenRasp),当反序列化过程中生成了这些反序列化漏洞类的时候则进行告警。但是,黑规则匹配只能防护已知漏洞,不能对未知漏洞(尚未被发现的反序列化漏洞)进行防护,且反序列化漏洞类的使用并不代表就是反序列化攻击,存在误报。
[0005]对此,现亟需一种克服现有技术中反序列化攻击检测误报率较高,且不能预防未知漏洞的缺陷的技术方案。
技术实现思路
[0006]本专利技术提供一种反序列化攻击检测方法、装置、电子设备、存储介质及程序产品,用以解决现有技术中反序列化攻击检测误报率较高,且不能预防未知漏洞的缺陷。
[0007]本专利技术提供一种反序列化攻击检测方法,包括:r/>[0008]在检测到待检测操作属于敏感操作的情况下,获取所述待检测操作所对应的调用序列;
[0009]检测所述调用序列中是否存在与反序列化操作有关的类,在存在所述与反序列化操作有关的类的情况下,确定所述待检测操作为反序列化攻击行为;
[0010]其中,所述敏感操作是与夺取操作系统控制权相关的操作。
[0011]根据本专利技术提供的一种反序列化攻击检测方法,在所述在检测到待检测操作属于敏感操作的情况下之前,方法还包括:
[0012]利用插桩技术在程序运行平台设置监控点,以对运行于所述程序运行平台的待检测操作进行是否为敏感操作的检测。
[0013]根据本专利技术提供的一种反序列化攻击检测方法,所述利用插桩技术在程序运行平台设置监控点,包括:
[0014]在Java虚拟机的安全管理器中设置监控点。
[0015]根据本专利技术提供的一种反序列化攻击检测方法,在所述确定所述待检测操作为反
序列化攻击行为之后,方法还包括:
[0016]阻止所述待检测操作,和/或,对所述待检测操作进行告警。
[0017]根据本专利技术提供的一种反序列化攻击检测方法,所述与反序列化操作有关的类包括:反序列化操作所调用的类,和/或,与反序列化攻击有关的漏洞类。
[0018]根据本专利技术提供的一种反序列化攻击检测方法,所述敏感操作至少包括下列之一:连接网络、执行命令、文件写入。
[0019]本专利技术还提供一种反序列化攻击检测装置,包括:
[0020]获取模块,用于在检测到待检测操作属于敏感操作的情况下,获取所述待检测操作所对应的调用序列;
[0021]确定模块,用于检测所述调用序列中是否存在与反序列化操作有关的类,在存在所述与反序列化操作有关的类的情况下,确定所述待检测操作为反序列化攻击行为;
[0022]其中,所述敏感操作是与夺取操作系统控制权相关的操作。
[0023]本专利技术还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述反序列化攻击检测方法的全部或部分步骤。
[0024]本专利技术还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述反序列化攻击检测方法的全部或部分步骤。
[0025]本专利技术提供的一种反序列化攻击检测方法、装置、电子设备、介质及程序,通过在检测到待检测操作属于敏感操作的情况下,获取所述待检测操作所对应的调用序列;并进一步检测所述调用序列中是否存在与反序列化操作有关的类,确定敏感操作是否为反序列化过程中执行的敏感操作。基于敏感操作和反序列化有关的类准确地检测了反序列化攻击行为,能够检测未知漏洞类的反序列化攻击,且降低了误报率。
附图说明
[0026]为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027]图1是本专利技术提供的一种反序列化攻击检测方法的流程示意图;
[0028]图2是本专利技术提供的一种反序列化攻击检测装置的结构示意图;
[0029]图3是本专利技术提供的电子设备的结构示意图。
具体实施方式
[0030]为使本专利技术的目的、技术方案和优点更加清楚,下面将结合本专利技术中的附图,对本专利技术中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0031]现有技术中通常为基于黑规则的反序列化检测,当反序列化过程中生成了属于黑规则的反序列化漏洞类的时候则进行告警。例如某公司的OpenRasp基于黑规则检测反序列
化漏洞,其检测的反序列化漏洞类例如:
[0032]“org.apache.commons.collections.functors.ChainedTransformer.transform”;
[0033]“org.apache.commons.collections.functors.InvokerTransformer”;
[0034]“org.apache.commons.collections.functors.InstantiaeTransformer”;
[0035]“org.apache.commons.collections4.functors.InvokerTransformer”;
[0036]“org.apache.commons.collections4.functors.InstantiaeTransformer”;
[0037]“org.codehaus.groovy.runtime.ConvertedClosure”;
[0038]……
[0039]但是上述反序列化漏洞类检测固定类别的类,黑规则匹配只能防护已知漏洞,不能对未知漏洞(尚未被发现的反序列化漏洞)进行防护,且反序列化漏洞类的使用并不代表就是反序列化攻击,存在误报。对此,本申请提出一种反序列化攻击检测方法,该方法通过对敏感操作检测进而结本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种反序列化攻击检测方法,其特征在于,包括:在检测到待检测操作属于敏感操作的情况下,获取所述待检测操作所对应的调用序列;检测所述调用序列中是否存在与反序列化操作有关的类,在存在所述与反序列化操作有关的类的情况下,确定所述待检测操作为反序列化攻击行为;其中,所述敏感操作是与夺取操作系统控制权相关的操作。2.根据权利要求1所述的反序列化攻击检测方法,其特征在于,在所述在检测到待检测操作属于敏感操作的情况下之前,方法还包括:利用插桩技术在程序运行平台设置监控点,以对运行于所述程序运行平台的待检测操作进行是否为敏感操作的检测。3.根据权利要求2所述的反序列化攻击检测方法,其特征在于,所述利用插桩技术在程序运行平台设置监控点,包括:在Java虚拟机的安全管理器中设置监控点。4.根据权利要求1至3任一项所述的反序列化攻击检测方法,其特征在于,在所述确定所述待检测操作为反序列化攻击行为之后,方法还包括:阻止所述待检测操作,和/或,对所述待检测操作进行告警。5.根据权利要求1所述的反序列化攻击检测方法,其特征在于,所述与反序列化操作有关的类包括:反序列化操作所调用的类,和/或,与反序列化攻击有...
【专利技术属性】
技术研发人员:霍辉东,龙良,
申请(专利权)人:奇安信安全技术珠海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。