基于API访问凭证的RASP防护方法、装置、设备及介质制造方法及图纸

本发明专利技术提供一种基于API访问凭证的RASP防护方法、装置、设备及介质，通过在web容器中加载RASP探针，通过RASP探针配置API访问凭证控制模块，控制API访问凭证控制模块对web容器中访问流量进行API访问验证，当访问流量通过API访问验证时，通过RASP探针对web容器进行防护操作。即本技术方案在进行实施时，基于RASP技术与API访问凭证控制模块的结合，提供对于访问流量的访问凭证的验证，即对RASP的安全防护能力实现深度扩展，进而达到更高、更深层次的应用安全防护，有效提高安全防护效果。并且通过RASP技术用来对生产环境上的应用进行实时的保护，可以在产线上为应用进行实时防护，适用场景更符合实际，不会受到局限。不会受到局限。不会受到局限。

【技术实现步骤摘要】
基于API访问凭证的RASP防护方法、装置、设备及介质


[0001]本专利技术涉及网络安全
，具体涉及基于API（ApplicationProgram Interface，应用程序界面）访问凭证的RASP（（Runtime applicationself
‑
protection，运行时应用程序自我保护）防护方法、装置、设备及介质。

技术介绍

[0002]现在的web应用安全防护基本上都是发现安全漏洞后进行处理，很少能进行安全攻击事前防御。最近RASP技术被引入到应用软件安全的保护中来，目前的基于RASP形成的专利基本上都是使用传统硬件的，如WAF(Web Application Fire ware )的规则匹配和硬件相结合，如云Waf等。但是这些技术大部分是基于硬件相结合，在web服务器的前端架设相关的硬件进行安全漏洞的防御，没有真正的深入到应用的代码级别对web服务器进行深层次的安全防御，缺点如下：部署复杂，成本高，普适性差；无法进行安全攻击的实时预警和防御；无法进行Web服务器深层次的安全防御；无法实现系统升级导致的防护滞后；没法解决用户的个性化安全防御的需求；防护效果差；适用场景有所局限。
[0003]因此，现有技术有待于改善。

技术实现思路

[0004]本专利技术的主要目的在于提出一种基于API访问凭证的RASP防护方法、装置、设备及介质，以至少解决相关技术中web应用防护方式存在的防护效果低的技术问题。
[0005]本专利技术的第一方面，提供了一种基于API访问凭证的RASP防护方法，包括：在web容器中加载RASP探针，通过所述RASP探针配置API访问凭证控制模块；控制所述API访问凭证控制模块对所述web容器中访问流量进行API访问验证；当所述访问流量通过API访问验证时，通过所述RASP探针对所述web容器进行防护操作。
[0006]本专利技术的第二方面提供了一种RASP防护装置，包括：加载模块，用于在web容器中加载RASP探针，通过所述RASP探针配置API访问凭证控制模块；验证模块，用于控制所述API访问凭证控制模块对所述web容器中访问流量进行API访问验证；防护模块，用于当所述访问流量通过API访问验证时，通过所述RASP探针对所述web容器进行防护操作。
[0007]本专利技术的第三方面，提供了一种电子设备，包括存储器、处理器及总线；所述总线用于实现所述存储器、处理器之间的连接通信；所述处理器用于执行存储在所述存储器上的计算机程序；所述处理器执行所述计算机程序时，实现第一方面提供的基于API访问凭证的RASP防护方法中的步骤。
[0008]本专利技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现第一方面提供的基于API访问凭证的RASP防护方法中的步骤。
[0009]本专利技术提供了一种基于API访问凭证的RASP防护方法、装置、设备及介质，通过在web容器中加载RASP探针，通过RASP探针配置API访问凭证控制模块，控制API访问凭证控制模块对web容器中访问流量进行API访问验证，当访问流量通过API访问验证时，通过RASP探针对web容器进行防护操作。即本技术方案在进行实施时，基于RASP技术与API访问凭证控制模块的结合，提供对于访问流量的访问凭证的验证，即对RASP的安全防护能力实现深度扩展，从而可以结合客户的Web应用实际业务需求进行扩展，进而达到更高、更深层次的应用安全防护，有效提高安全防护效果。并且通过RASP技术用来对生产环境上的应用进行实时的保护，可以在产线上为应用进行实时防护，适用场景更符合实际，不会受到局限。
附图说明
[0010]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0011]图1为本申请第一实施例提供的基于API访问凭证的RASP防护方法的基本流程示意图；图2为本申请第二实施例提供的基于API访问凭证的RASP防护方法的细化流程示意图；图3为本申请第三实施例提供的RASP防护装置的程序模块示意图；图4为本申请第四实施例提供的电子设备的结构示意图。
[0012]本专利技术目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
[0013]应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。
[0014]需要注意的是，相关术语如“第一”、“第二”等可以用于描述各种组件，但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如，不脱离本专利技术的范围，第一组件可以被称为第二组件，并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
[0015]请参阅图1，图1示出了本专利技术实施例所提供的一种基于API访问凭证的RASP防护方法，其包括以下步骤：步骤S101，在web容器中加载RASP探针，通过RASP探针配置API访问凭证控制模块。
[0016]具体的，web容器为一种服务程序，在服务器一个端口就有一个提供相应服务的程序，而这个程序就是处理从客户端发出的请求，如JAVA中的Tomcat容器，ASP的IIS或PWS都是这样的容器。一般来说，一个服务器可以有多个容器，即web容器会处于一个服务器中。
[0017]应当理解的是，RASP探针为基于实时应用程序自我保护（RASP，Runtime Application Self
‑
Protection）技术的安全检测探针，RASP是一种新型应用安全保护技
术，它将保护程序像“疫苗”一样注入到应用程序中，应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力，当应用程序遭受到实际攻击伤害，就可以自动对其进行防御，而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。同时该技术不会影响应用程序的设计，因为RASP的检测和保护功能是在应用程序运行的系统上运行的。
[0018]需要说明的是，传统的安全漏洞攻击防御技术大多是通过安装防火墙，而安装的防火墙不管是串联的部署模式，还是并联部署模式都需要用到用户的源代码，容易泄露保护应用的隐私。而在本实施例中，将RASP探针加载至web容器中，整个过程不需要使用客户源代码，能够保护私有应用的隐私。同时还可通过RASP探针配置API访问凭证控制模块，该API访问凭证控制模块用于对API设置参数进行设置，API设置参数可以是访问日期、重置Token、更新时间等。
[0019]步骤S102，控制API访问凭证控制模块对web容器中访问流量进行A本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于API访问凭证的RASP防护方法，其特征在于，包括：在web容器中加载RASP探针，通过所述RASP探针配置API访问凭证控制模块；控制所述API访问凭证控制模块对所述web容器中访问流量进行API访问验证；当所述访问流量通过API访问验证时，通过所述RASP探针对所述web容器进行防护操作。2.如权利要求1所述基于API访问凭证的RASP防护方法，其特征在于，所述通过所述RASP探针配置API访问凭证控制模块的步骤，具体包括：通过所述RASP探针向Portal端发送模块配置指令；其中，所述Portal端为存储有API访问凭证控制模块的加载信息；接收所述Portal端发送的加载信息，并根据所述加载信息配置API访问凭证控制模块。3.如权利要求1所述基于API访问凭证的RASP防护方法，其特征在于，所述控制所述API访问凭证控制模块对所述web容器中访问流量进行API访问验证的步骤，具体包括：控制所述API访问凭证控制模块请求访问流量对应的访问凭证；对所述访问凭证按照预设的解码规则进行解码，得到相应的秘钥信息；对所述秘钥信息进行API访问验证。4.如权利要求1所述基于API访问凭证的RASP防护方法，其特征在于，所述通过所述RASP探针对所述web容器进行防护操作的步骤，具体包括：根据所述RASP探针获取安全检测规则；采用安全检测规则对所述web容器中访问流量进行安全检测，汇总安全检测信息；根据所述安全检测信息确定目标漏洞；对所述目标漏洞进行防护操作。5.如权利要求4所述基于API访问凭证的RASP防护方法，其特征在于，所述根据所述RASP探针获取安全检测规则的步骤，具体包括：通过所述RASP探针向Portal端发送规则获取指令；获取所述Portal端反馈的cookie检测规则、进程...

【专利技术属性】
技术研发人员：何成刚，万振华，王颉，李华，董燕，
申请(专利权)人：深圳开源互联网安全技术有限公司，
类型：发明
国别省市：