【技术实现步骤摘要】
基于函数调用链跟踪的应用攻击检测方法及装置
[0001]本公开涉及信息安全领域,具体涉及应用攻击检测
,更具体地涉及一种基于函数调用链跟踪的应用攻击检测方法、装置、设备、介质和程序产品。
技术介绍
[0002]多变的网络攻击形势使得互联网应用饱受黑客攻击的危险,同时,应用规模的极速扩大、发布迭代周期的大幅缩短,无不加重了风险存在可能性。
[0003]网络安全技术的发展,使得多样化的攻击手段层出不穷,对于加密、编码、0day攻击等问题,传统安全解决方案越来越难以应对。
技术实现思路
[0004]鉴于上述问题,本公开提供了一种基于函数调用链跟踪的应用攻击检测方法、装置、设备、介质和程序产品。
[0005]根据本公开的第一个方面,提供了一种基于函数调用链跟踪的应用攻击检测方法,包括:
[0006]在应用业务测试阶段,采集业务对应的全量函数调用链;
[0007]在应用运行阶段实时采集函数调用链;
[0008]将所述函数调用链与全量函数调用链进行比对确定异常调用链;>[0009]根据所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于函数调用链跟踪的应用攻击检测方法,包括:在应用业务测试阶段,采集业务对应的全量函数调用链;在应用运行阶段实时采集函数调用链;将所述函数调用链与所述全量函数调用链进行比对确定异常调用链;根据所述异常调用链的频次、请求IP和所述异常调用链中的函数名确定所述异常调用链的风险等级;以及将检测结果进行告警输出。2.根据权利要求1所述的方法,其特征在于,所述采集业务对应的全量函数调用链包括:在应用启动时加载插桩引擎,根据类函数类型对应用全量代码进行插桩;执行插入的采集代码采集全量函数调用链。3.根据权利要求2所述的方法,其特征在于,所述根据类函数类型对应用全量代码进行插桩包括:根据类函数名和参数类型确定类函数类型;若确定类函数为应用系统的入口函数,则在所述类函数入口处插入调用链采集初始化代码,在所述类函数出口处插入调用链采集结束代码;若确定类函数为其他函数,则仅在函数入口处插入调用链跟踪代码。4.根据权利要求3所述的方法,其特征在于,所述执行插入的采集代码采集全量函数调用链包括:当类函数被触发执行时,创建所述类函数对应线程的共享变量;将调用链采集标识与当前函数信息存入线程共享变量中;根据所述调用链采集标识执行采集全量函数调用链;在任意函数被执行时,若确定所述线程共享变量中才在所述调用链采集标识,将当前函数的类名、函数名、参数类型和分隔符存入所述线程共享变量中;执行所述调用链采集结束代码提取当前线程的共享变量值;根据所述共享变量值确定函数调用链以及该函数调用链的调用信息。5.根据权利要求2所述的方法,其特征在于,所述将所述函数调用链与全量函数调...
【专利技术属性】
技术研发人员:旷亚和,范鑫禹,程佩哲,吕博良,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。