本公开的实施例提供了一种基于运行时应用程序自我保护技术的应用程序保护方法,可以应用于计算机技术领域和信息安全技术领域。该方法包括:基于运行时程序自我保护RASP技术获取应用程序的运行时信息;在运行时信息的底层接口中设置钩子函数;通过钩子函数抓取运行时信息的访问数据;以及对访问数据与安全防护规则集合进行匹配判断,如果访问数据在安全防护规则集合内,则触发RASP的主动防御。本公开还提供了一种基于运行时应用程序自我保护技术的应用程序保护装置、计算设备、介质和程序产品。品。品。
【技术实现步骤摘要】
应用程序保护方法、装置、设备、存储介质和程序产品
[0001]本公开涉及计算机
,具体涉及信息安全
,特别是涉及一种基于运行时应用程序自我保护技术的应用程序保护方法、装置、设备、介质和程序产品。
技术介绍
[0002]随着互联网技术的不断发展,Web应用作为银行企业信息化建设过程中的重要应用形式,然而由于云计算技术的普及推广,越来越多的企业业务由传统数据中心迁移到云平台中,使得Web应用环境变得更为复杂。据权威机构统计,75%的攻击行为已由网络层转移到应用层,开源框架引入大幅增加同时频繁被爆出存在RCE(remote command/code execute,即远程代码/命令执行漏洞)、Java反序列化漏洞等各类安全漏洞,全球互联网中针对Web应用的网络攻击频率和复杂性不断提升,敏感信息泄露、业务中断、数据篡改等安全事件层出不穷,现有的防火墙设备不能正确分辨出端口传输的信息安全性,针对应用层面的攻击,攻击者可以轻易突破防火墙保护的网站来进行一些弱口令攻击、非授权访问敏感信息、XSS(Cross Site Scripting,即跨站脚本攻击)、SQL注入,以此窃取重要数据、知识产权、敏感信息等,现有的大部分入侵检测系统、WAF(Web Application Firewall,即Web应用防护系统)、杀毒软件为代表的传统边界安全产品作用日渐式微,另外随着等保2.0标准的出台,保障思路由1.0的被动防御向感知预警、动态防护、安全检测、应急响应的主动保障体系转变,偏重于事后审计、回溯、分析。因此加强应用层面的安全防护,对于减少企业面临重大安全威胁有着重要意义。
[0003]目前的安全防护产品有WAF应用防火墙、HIPS(Host Intrusion Prevent System,即主机入侵防御系统)统一安全管理系统、防病毒网关、NIPS(Network Intrusion Prevent System,即网络入侵防御系统)、堡垒机、网络流量异常行为威胁感知等网络安全设备。均工作于受保护的应用程序之前,其中WAF应用防火墙无需了解应用程序内部的工作原理,通过特征规则对请求如何影响应用程序的操作和安全性进行假设,严重依赖攻击特征来识别和阻止恶意输入。在应用程序后端基于JVM(Java Virtual Machine,即Java虚拟机)运行时态的字节码注入技术案例有IAST(Interactive application security testing,即交互式应用安全测试)灰盒扫描工具,这款工具通过运行时的应用插桩技术来实现。
[0004]对于网络层面的安全防护设备,攻击者可通过向请求中添加额外的编码来绕过WAF保护,以使其不再匹配WAF配置规则,从而将有效载荷送到应用程序造成安全威胁。传统WAF防御是基于流量分析技术实现对常见Web攻击类型的防御,从而减少Web应用被攻击的风险。但由于该技术依赖于流量分析无法与Web应用紧密结合,从而导致传统WAF无法对Web攻击进行准确分析和有效防御。对于程序后端的基于JVM运行时态的字节码注入技术的IAST灰盒扫描工具,是基于应用中间件配置,无法定位漏洞攻击细节问题,难以实现精准防御。
技术实现思路
[0005]鉴于上述问题,本公开提供了基于运行时应用程序自我保护技术的应用程序保护方法、装置、设备和存储介质。
[0006]根据本公开的第一个方面,提供一种基于运行时应用程序自我保护技术的应用程序保护方法,包括:
[0007]基于运行时应用程序自我保护技术获取应用程序的运行时信息;
[0008]在运行时信息的底层接口中设置钩子函数;
[0009]通过所述钩子函数抓取所述运行时信息的访问数据;
[0010]对所述访问数据与安全防护规则集合进行匹配判断;以及
[0011]如果所述访问数据在所述安全防护规则集合内,则触发所述运行时应用程序自我保护的主动防御。
[0012]根据本公开的实施例,其中,所述方法还包括:
[0013]基于所述安全防护规则集合对所述应用程序进行模拟攻击,得到模拟攻击结果;
[0014]分析所述模拟攻击结果确定所述运行时信息的敏感位置;
[0015]基于所述安全防护规则集合,形成安全探针;
[0016]将所述安全探针插入所述敏感位置;
[0017]对所述访问数据与所述安全探针进行匹配判断;以及
[0018]如果匹配成功,则触发所述运行时应用程序自我保护的主动防御。
[0019]根据本公开的实施例,其中,所述方法还包括形成安全防护规则集合,所述形成安全防护规则集合包括:
[0020]获取应用程序的多个历史攻击行为;
[0021]分析所述多个历史攻击行为,得到分析结果;
[0022]基于所述分析结果,确定每个历史攻击行为的攻击位置、攻击类型和攻击路径;以及
[0023]收集所述每个历史攻击行为的攻击位置、攻击类型和攻击路径的共同点形成所述安全防护规则集合。
[0024]根据本公开的实施例,所述运行时应用程序自我保护的主动防御包括:
[0025]对访问信息执行拒绝操作;
[0026]生成日志记录并上传安全数据库;以及
[0027]对所述日志记录的安全漏洞进行补丁修复操作。
[0028]根据本公开的实施例,其中,所述方法还包括:根据所述安全数据库的更新数据定时更新所述安全防护规则集合。
[0029]根据本公开的实施例,其中,所述通过所述钩子函数抓取所述运行时信息的访问数据包括:
[0030]在所述运行时信息的底层接口中设置时间阈值;以及
[0031]如果所述底层接口的响应时间超过所述时间阈值,则停止所述钩子函数抓取所述运行时信息的访问数据。
[0032]根据本公开的实施例,其中,所述通过所述钩子函数抓取所述运行时信息的访问数据包括:
[0033]在所述运行时信息的底层接口中设置负载阈值;以及
[0034]如果所述底层接口的响应负载超过所述负载阈值,则停止所述钩子函数抓取所述运行时信息的访问数据。
[0035]根据本公开的第二方面提,供了一种基于运行时应用程序自我保护技术的应用程序保护装置,包括:
[0036]获取模块,用于基于运行时应用程序自我保护技术获取应用程序的运行时信息;
[0037]设置模块,用于在运行时信息的底层接口中设置钩子函数,
[0038]抓取模块,通过所述钩子函数抓取所述运行时信息的访问数据;以及
[0039]第一匹配模块,用于对所述访问数据与安全防护规则集合进行匹配判断,如果所述访问数据在所述安全防护规则集合内,则触发所述运行时应用程序自我保护的主动防御。
[0040]根据本公开的第三方面提,供了一种一种电子设备,包括:
[0041]一个或多个处理器;
[0042]存储装置,用于存储一个或多个程序,
[0043]其中,当所述一个或多个程序被所述一个或多本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于运行时应用程序自我保护技术的应用程序保护方法,其特征在于,包括:基于运行时应用程序自我保护技术获取应用程序的运行时信息;在运行时信息的底层接口中设置钩子函数;通过所述钩子函数抓取所述运行时信息的访问数据;对所述访问数据与安全防护规则集合进行匹配判断;以及如果所述访问数据在所述安全防护规则集合内,则触发所述运行时应用程序自我保护的主动防御。2.根据权利要求1所述的应用程序保护方法,其特征在于,所述方法还包括:基于所述安全防护规则集合对所述应用程序进行模拟攻击,得到模拟攻击结果;分析所述模拟攻击结果,以确定所述运行时信息的敏感位置;基于所述安全防护规则集合,形成安全探针;将所述安全探针插入所述敏感位置;对所述访问数据与所述安全探针进行匹配判断;以及如果匹配成功,则触发所述运行时应用程序自我保护的主动防御。3.根据权利要求1或2所述的应用程序保护方法,其特征在于,所述方法还包括形成安全防护规则集合,所述形成安全防护规则集合包括:获取应用程序的多个历史攻击行为;分析所述多个历史攻击行为,得到分析结果;基于所述分析结果,确定每个历史攻击行为的攻击位置、攻击类型和攻击路径;以及收集所述每个历史攻击行为的攻击位置、攻击类型和攻击路径的共同点,以形成所述安全防护规则集合。4.根据权利要求1或2所述的应用程序保护方法,其特征在于,所述运行时应用程序自我保护的主动防御包括:对访问信息执行拒绝操作;生成日志记录并上传安全数据库;以及对所述日志记录的安全漏洞进行补丁修复操作。5.根据权利要求4所述的应用程序保护方法,其特征在于,所述方法还包括:根据所述安全数据库的更新数据定时更新...
【专利技术属性】
技术研发人员:石曼曼,曾凯,
申请(专利权)人:中国工商银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。