一种无文件木马检测方法、系统、介质及设备技术方案

本发明专利技术属于信息安全技术领域，提供了无文件木马检测方法、系统、介质及设备。其中该方法包括获取JVM虚拟机中所有加载的类，遍历JVM虚拟机中的所有类及其父类；判断各个类及其父类所对应的class文件是否均存在磁盘上：若不存在，则将当前类标记为高风险类；若存在，则检查当前类中是否包含预设黑名单上的关键类、方法或关键字，若包含，则将其标记为风险类；若不包含，则其标记为非风险类；提取风险类的字节码，判断其是否与磁盘上的class文件的字节码一致，若不一致，则将相应风险类标记为高风险类，若一致，则仍为风险类；计算各个高风险类的分值，判定是否为无文件木马。判定是否为无文件木马。判定是否为无文件木马。

【技术实现步骤摘要】
一种无文件木马检测方法、系统、介质及设备


[0001]本专利技术属于信息安全
，尤其涉及一种无文件木马检测方法、系统、介质及设备。

技术介绍

[0002]本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息，不必然构成在先技术。
[0003]通常将木马种类分成“有文件木马”和“无文件木马”两类。“有文件木马”也就是常见的“二进制木马、网马”；“无文件木马”是无文件攻击的一种方式，内存木马是常见的类型之一。传统的JSP木马特征性强，且需要文件落地，容易被查杀。因此现在出现了内存马技术。Java“无文件”木马，相较于传统的JSP木马，其最大的特点就是无文件落地，存在于内存之中，隐蔽性强。“无文件”木马就是通过动态添加恶意filter组件到正在运行的Tomcat服务器中。导致http请求通过该filter时会执行该filter的恶意代码。无文件攻击并不是什么新鲜事物，但是他们却变得越来越普遍。波尼蒙研究所发现，2018年所有网络攻击中有35％是无文件的。Trend micro数据显示，从2018年到2019年上半年的无文件威胁检测跟踪显示明显增加，上涨396％。根据Watchguard Technologies的最新数据，由于攻击者不断提高隐蔽性绕过传统安全控制，2020年，无文件恶意软件的检测量同比增长了888％。可见，无文件攻击越来越多的被攻击者利用，进行威胁破坏活动。
[0004]目前对于“无文件”木马的检测基本都是基于Java Agent技术的无文件木马检测，不能覆盖到所有的基于Java容器的“无文件”木马类型，对retransformClasses类型的“无文件”木马无法检测，同时有可能导致应用的正常热更新失效。对于java Agent注入进行无文件木马的检测，最大的缺陷是一旦木马程序率先进入JVM中，木马程序将Agent加载相关API抹除，后续安全软件在通过java Agent技术做检测将无法对目标JVM进程附加。
[0005]综上所述，专利技术人发现，目前现有的检测无文件木马的方法误报率高，从而降低了无文件木马识别的准确率。

技术实现思路

[0006]为了解决上述
技术介绍
中存在的技术问题，本专利技术提供一种无文件木马检测方法、系统、介质及设备，其能够降低无文件木马的方法误报率，提高无文件木马识别的准确率。
[0007]为了实现上述目的，本专利技术采用如下技术方案：
[0008]本专利技术的第一个方面提供一种无文件木马检测方法。
[0009]在一个或多个实施例中，一种无文件木马检测方法，其包括：
[0010]获取JVM虚拟机中所有加载的类，遍历JVM虚拟机中的所有类及其父类；
[0011]判断各个类及其父类所对应的class文件是否均存在磁盘上：
[0012]若不存在，则将当前类标记为高风险类；
[0013]若存在，则检查当前类中是否包含预设黑名单上的关键类、方法或关键字，若包含，则将其标记为风险类；若不包含，则其标记为非风险类；
[0014]提取风险类的字节码，判断其是否与磁盘上的class文件的字节码一致，若不一致，则将相应风险类标记为高风险类，若一致，则仍为风险类；
[0015]基于预设评分机制及各个高风险类调用预设黑名单上的关键类、方法或关键字的次数，计算各个高风险类的分值，进而判定是否为无文件木马。
[0016]作为一种实施方式，预设黑名单的构建过程为：
[0017]将开源无文件木马在Java容器及应用系统中实际运行；
[0018]提取JVM虚拟机内存特征和实际运行中的class文件，得到初步黑名单；所述JVM虚拟机内存特征包括关键类、方法或关键字；
[0019]将已知无文件木马所对应的关键字补充至初步黑名单，构建出黑名单。
[0020]作为一种实施方式，使用Serviceability Agent技术提取风险类的字节码。
[0021]上述方案的优点在于，采用Serviceability Agent技术解决了使用Java Agent技术检测“无文件”木马，在提取内存字节码的时候需要使用retransformClasses()方法，只能获取到该类的原始字节码，而无法获取到被修改后的字节码，且会导致被修改过的类回滚到最初始的状态，可能会导致应用正常的热更新或者安全热补丁失效，从而干扰业务的正常运行或导致安全风险的问题，采用Serviceability Agent技术解决了攻击者可以利用技术破坏Java Agent技术在监测过程中某个环节的中断，阻止后续的Agent加载的问题。
[0022]作为一种实施方式，判定是否为无文件木马的过程为：
[0023]基于预设黑名单上的关键类、方法和关键字调用次数和每次调用的预先对应分值以及字节码不一致情况所对应的预设分值，计算各个高风险类的分值；
[0024]根据各个高风险类的分值与设定阈值分值比较，判定超过设定阈值分值的高风险类为无文件木马。
[0025]本专利技术的第二个方面提供一种无文件木马检测系统。
[0026]在一个或多个实施例中，一种无文件木马检测系统，其包括：
[0027]类获取遍历模块，其用于获取JVM虚拟机中所有加载的类，遍历JVM虚拟机中的所有类及其父类；
[0028]风险等级确定模块，其用于：
[0029]判断各个类及其父类所对应的class文件是否均存在磁盘上：
[0030]若不存在，则将当前类标记为高风险类；
[0031]若存在，则检查当前类中是否包含预设黑名单上的关键类、方法或关键字，若包含，则将其标记为风险类；若不包含，则其标记为非风险类；
[0032]提取风险类的字节码，判断其是否与磁盘上的class文件的字节码一致，若不一致，则将相应风险类标记为高风险类，若一致，则仍为风险类；
[0033]无文件木马判定模块，其用于基于预设评分机制及各个高风险类调用预设黑名单上的关键类、方法或关键字的次数，计算各个高风险类的分值，进而判定是否为无文件木马。
[0034]作为一种实施方式，预设黑名单的构建过程为：
[0035]将开源无文件木马在Java容器及应用系统中实际运行；
[0036]提取JVM虚拟机内存特征和实际运行中的class文件，得到初步黑名单；所述JVM虚拟机内存特征包括关键类、方法或关键字；
[0037]将已知无文件木马所对应的关键字补充至初步黑名单，构建出黑名单。
[0038]作为一种实施方式，在所述风险等级确定模块中，使用Serviceability Agent技术提取风险类的字节码。
[0039]作为一种实施方式，在所述无文件木马判定模块中，判定是否为无文件木马的过程为：
[0040]基于预设黑名单上的关键类、方法和关键字调用次数和每次调用的预先对应分值以及字节码不一致情况所对应的预设分值，计算各个高风险类的分值；
[0041]根据各个高风险类的分值与设定阈值分值比较，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种无文件木马检测方法，其特征在于，包括：获取JVM虚拟机中所有加载的类，遍历JVM虚拟机中的所有类及其父类；判断各个类及其父类所对应的class文件是否均存在磁盘上：若不存在，则将当前类标记为高风险类；若存在，则检查当前类中是否包含预设黑名单上的关键类、方法或关键字，若包含，则将其标记为风险类；若不包含，则其标记为非风险类；提取风险类的字节码，判断其是否与磁盘上的class文件的字节码一致，若不一致，则将相应风险类标记为高风险类，若一致，则仍为风险类；基于预设评分机制及各个高风险类调用预设黑名单上的关键类、方法或关键字的次数，计算各个高风险类的分值，进而判定是否为无文件木马。2.如权利要求1所述的无文件木马检测方法，其特征在于，预设黑名单的构建过程为：将开源无文件木马在Java容器及应用系统中实际运行；提取JVM虚拟机内存特征和实际运行中的class文件，得到初步黑名单；所述JVM虚拟机内存特征包括关键类、方法或关键字；将已知无文件木马所对应的关键字补充至初步黑名单，构建出黑名单。3.如权利要求1所述的无文件木马检测方法，其特征在于，使用Serviceability Agent技术提取风险类的字节码。4.如权利要求1所述的无文件木马检测方法，其特征在于，判定是否为无文件木马的过程为：基于预设黑名单上的关键类、方法和关键字调用次数和每次调用的预先对应分值以及字节码不一致情况所对应的预设分值，计算各个高风险类的分值；根据各个高风险类的分值与设定阈值分值比较，判定超过设定阈值分值的高风险类为无文件木马。5.一种无文件木马检测系统，其特征在于，包括：类获取遍历模块，其用于获取JVM虚拟机中所有加载的类，遍历JVM虚拟机中的所有类及其父类；风险等级确定模块，其用于：判断各个类及其父类所对应的class文件是否均存在磁盘上：若不存在，则将当前类标记为高风险类；若存在，则检查当...

【专利技术属性】
技术研发人员：刘冬兰，刘新，肖静，于展鹏，焦洋，张昊，王睿，张方哲，孙莉莉，王勇，常英贤，赵大伟，徐丽娟，陈剑飞，马雷，姚洪磊，于灏，秦佳峰，苏冰，赵夫慧，孙梦谦，
申请(专利权)人：国网山东省电力公司电力科学研究院，
类型：发明
国别省市：