基于RASP的安全攻击事件快速处理方法、装置、设备及介质制造方法及图纸

本发明专利技术提供一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质，通过在web容器中加载RASP探针，RASP探针防护web容器中是否存在第一安全攻击事件，若web容器存在第一安全攻击事件，则对第一安全攻击事件进行分析得到对应的分析数据，并通过RASP探针将分析数据发送至Portal端，接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略，控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。即本技术方案在进行实施时，通过先进的RASP辅助技术来快速、准确检测到安全攻击事件，同时快速处理模块能够按照事件处理策略对第一安全攻击事件进行快速处理，在提供个性化的防护需求的基础上提高防护效率。护效率。护效率。

【技术实现步骤摘要】
基于RASP的安全攻击事件快速处理方法、装置、设备及介质


[0001]本专利技术涉及网络安全
，具体涉及基于RASP(Runtime application self
‑
protection，运行时应用程序自我保护)的安全攻击事件快速处理方法、装置、设备及介质。

技术介绍

[0002]由于互联网的迅猛发展，如今的web项目安全越来越受到关注。那么Web应用的安全对于整个项目的成功来说就非常的重要了，如今的安全防护技术大部分都是基于SAST(Static Application Security Testing)，其中SAST是通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。但是这个防护技术是在软件开发阶段进行的，如果在产线上遇见新的安全漏洞则无技可施，会给产品造成巨大的安全损失，即现有的防护方式仍然存在以下缺点：部署复杂，成本高，普适性差；无法进行安全攻击的实时预警和防御(防护效率低)；无法进行Web服务器深层次的安全防御；没法解决用户的个性化安全防御的需求；适用场景有所局限。
[0003]因此，现有技术有待于改善。

技术实现思路

[0004]本专利技术的主要目的在于提出一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质，以至少解决相关技术中web应用的防护方式存在的防护效率低的技术问题。
[0005]本专利技术的第一方面，提供了一种基于RASP的安全攻击事件快速处理方法，包括：
[0006]在web容器中加载RASP探针，通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件；
[0007]若所述web容器存在所述第一安全攻击事件，则对所述第一安全攻击事件进行分析得到对应的分析数据，并通过所述RASP探针将所述分析数据发送至所述Portal端；
[0008]接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略；
[0009]控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
[0010]本专利技术的第二方面提供了一种快速处理装置，包括：
[0011]加载模块，用于在web容器中加载RASP探针，通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件；
[0012]分析模块，用于若所述web容器存在所述第一安全攻击事件，则对所述第一安全攻击事件进行分析得到对应的分析数据，并通过所述RASP探针将所述分析数据发送至所述Portal端；
[0013]接收模块，用于接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略；
[0014]处理模块，用于通过所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
[0015]本专利技术的第三方面，提供了一种电子设备，包括存储器、处理器及总线；
[0016]所述总线用于实现所述存储器、处理器之间的连接通信；
[0017]所述处理器用于执行存储在所述存储器上的计算机程序；
[0018]所述处理器执行所述计算机程序时，实现第一方面提供的基于RASP的安全攻击事件快速处理方法中的步骤。
[0019]本专利技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现第一方面提供的基于RASP的安全攻击事件快速处理方法中的步骤。
[0020]本专利技术提供了一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质，通过在web容器中加载RASP探针，通过RASP探针检测web容器中是否存在第一安全攻击事件，若web容器存在第一安全攻击事件，则对第一安全攻击事件进行分析得到对应的分析数据，并通过RASP探针将分析数据发送至Portal端，接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略，控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。即本技术方案在进行实施时，首先，通过先进的RASP辅助技术，即通过所加载的RASP探针，来快速、准确检测到安全攻击事件；其次，可以通过Portal端实时、快速接收用户所反馈的与第一安全攻击事件相对应的事件处理策略，由于该事件处理策略往往是用户结合实际防护的重点所做出的决定，与实际防护需求相关性更高；最后，控制所选择的快速处理模块按照已接收到的事件快速处理策略快速对第一安全攻击事件进行处理，即可以对生产环境中的Web应用安全攻击事件进行快速处理，提高防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护，可以在产线上为应用进行实时防护，适用场景更符合实际，不会受到局限。
附图说明
[0021]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0022]图1为本申请第一实施例提供的基于RASP的安全攻击事件快速处理方法的基本流程示意图；
[0023]图2为本申请第二实施例提供的基于RASP的安全攻击事件快速处理方法的细化流程示意图；
[0024]图3为本申请第三实施例提供的应用升级装置的程序模块示意图；
[0025]图4为本申请第四实施例提供的电子设备的结构示意图。
[0026]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0027]应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0028]需要注意的是，相关术语如“第一”、“第二”等可以用于描述各种组件，但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如，不脱离本专利技术的范
围，第一组件可以被称为第二组件，并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
[0029]请参阅图1，图1示出了本专利技术实施例所提供的一种基于RASP的安全攻击事件快速处理方法，其包括以下步骤：
[0030]步骤S101，在web容器中加载RASP探针，通过RASP探针检测web容器中是否存在第一安全攻击事件。
[0031]具体的，web容器为一种服务程序，在服务器一个端口就有一个提供相应服务的程序，而这个程序就是处理从客户端发出的请求，如JAVA中的Tomcat容器，ASP的IIS或PWS都是这样的容器。一般来说，一个服务器可以有多个容器，即web容器会处于一个服务器中。
[0032]应当理解的是，RASP探针为基于实时应用程序自我保护(RASP，Runtime Application Self
‑
Protection)技术的安全检测探针，RASP是一种新型应用安全保护技术，它将保护程序像本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于RASP的安全攻击事件快速处理方法，其特征在于，包括：在web容器中加载RASP探针，通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件；若所述web容器存在所述第一安全攻击事件，则对所述第一安全攻击事件进行分析得到对应的分析数据，并通过所述RASP探针将所述分析数据发送至Portal端；接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略；控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。2.如权利要求1所述基于RASP的安全攻击事件快速处理方法，其特征在于，所述通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件的步骤，具体包括：通过所述RASP探针向Portal端发送规则配置指令；其中，所述Portal端为用于配置安全检测规则的终端；获取所述Portal端基于所述规则配置指令反馈的安全检测规则，并采用所述安全检测规则检测所述web容器中是否存在第一安全攻击事件。3.如权利要求2所述基于RASP的安全攻击事件快速处理方法，其特征在于，所述对所述第一安全攻击事件进行分析得到对应的分析数据的步骤，具体包括：对所述第一安全攻击事件进行攻击来源分析、严重等级分析、当前状态分析及攻击类型分析的多维度分析，得到对应的分析数据。4.如权利要求3所述基于RASP的安全攻击事件快速处理方法，其特征在于，所述通过所述RASP探针将所述分析数据发送至所述Portal端的步骤具体包括：根据所述分析数据生成展示指令；通过所述RASP探针将所述安全攻击事件的攻击来源、严重等级、当前状态、攻击类型及所述展示指令发送至所述Portal端；其中，所述展示指令用于指示所述Portal端将所述安全攻击事件的攻击来源、严重等级、当前状态及攻击类型展示于预设的显示界面中。5.如权利要求1所述基于RASP的安全攻击事件快速处理方法，其特征在于，所述事件处理策略包括攻击范围信息及待处理操作；在所述接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略的步骤之后，还包括：从所述事件处理策略中获取与所述第一安全攻击事件相对应的攻击范围信息；从预设的单条攻击事件快速处理模块、应用级别攻击事件快速处理模块及服务器级别攻击事件快速处理模块中，根据所述攻击范围信息确定所选择的快速处理模块；将所述待处理操作发送至所选择的快速处理模块；所述控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理的步骤，具体包括：控制所选择的快速处理模块按照所述事件快速处理策略中的待处理操作对所述第一安全攻击事件...

【专利技术属性】
技术研发人员：何成刚，万振华，王颉，李华，董燕，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：