[发明专利]Java代码注入检测方法、装置、设备及存储介质

说明书

本发明公开了一种Java代码注入检测方法，该方法首先过滤出可能含有Java代码注入的数据，筛选出来的请求数据为可能含有Java代码注入的任意语言类型的数据，过滤掉无关流量数据，再从请求数据中筛选出含有Java或Java表达式的文本片段，依据Java或Java表达式进行筛选，筛选出来的目标片段中payload可以为任意语言类型，将含有payload的目标片段送进支持多语言解析的代码注入识别引擎快速进行语义识别，可以提高各种语言场景下的Java代码注入的检出能力，实现多语言类型下的Java代码注入高效检测。本发明还提供了一种Java代码注入检测装置、计算机设备及可读存储介质，具有上述有益效果。

技术领域

本发明涉及网络安全领域，特别涉及一种Java代码注入检测方法、装置、计算机设备及可读存储介质。

背景技术

我们需要在不修改源代码的前提下往一个第三方的Java程序里注入自己的代码逻辑。一种情况是拿不到它的源代码，另一种情况是即使有源代码也不想修改，想让注入的代码与第三方程序代码保持相对独立。为达到这样的目标，需要Java代码注入，即通过可以控制和调用Java对象的脚本语言进行Java的代码的注入。

目前，很多框架都使用一些可以控制Java对象的表达式语言来给开发人员提供便利，这同时也给代码注入带来了可乘之机。攻击者利用框架的部分接口会解析执行表达式语言的特性，往数据中掺杂恶意代码让框架执行，进而实现攻击。Java代码注入检测通过检测网络流量中是否包含恶意代码，对含有恶意代码的数据包及时拦来实现防御。随着JavaWeb框架发展，Java代码注入的安全攻防也越来越复杂，Java代码注入检测是当前Web应用防护的重点。

传统的检测技术主要有两种，一是依靠人工提取本文特征，编写相应的规则来过滤掉这些含有攻击的流量。但是Java代码注入可以利用语法的灵活性，设计出多种混淆绕过方式，对此，规则库难以表达，容易导致漏报。而且，规则库对于0day漏洞的防御能力较差，响应上也存一定延迟。二是依靠语法引擎根据提取出的特征综合判断payload(指数据中能造成攻击的代码片段)是否为攻击代码。该方法通过对payload做词法、语法和语义分析，可以对抗绝大部分的绕过手段，甚至对一些0day漏洞也有较好的防御能力，检测精准度较高。而过去几年Java代码注入以OGNL注入为主，OGNL的攻击占比和漏洞数量远远超过其它类型的语言注入的之和，所以出于安全防护效果，研发成本和多引擎性能的性能开销等多方面综合考虑安全厂商们只针对OGNL开发了相应的语法引擎，其它语言依旧通过规则防护。但近年来随着其它Java web框架的兴起，原本单一OGNL引擎的方案早已不能适应如今众多Java Web框架自带语言的注入。

因此，如何实现多语言类型下的Java代码注入检测，是本领域技术人员需要解决的技术问题。

发明内容

本发明的目的是提供一种Java代码注入检测方法，该方法可以实现多语言类型下的Java代码注入高效检测；本发明的另一目的是提供一种Java代码注入检测装置、计算机设备及可读存储介质。

为解决上述技术问题，本发明提供一种Java代码注入检测方法，包括：

确定请求流量中包含Java代码注入的请求数据；

从所述请求数据中筛选出含有Java或Java表达式的文本片段，作为目标片段；

调用多语言代码注入识别引擎对所述目标片段进行Java代码注入语义检测，并根据所述多语言代码注入识别引擎的输出结果生成检测结果。

可选地，确定请求流量中为Java代码注入的请求数据，包括：

识别所述请求流量中各请求数据是否含有预设Java Web组件的数据包特征；

若含有，将含有预设Java Web组件的数据包特征的请求数据作为所述Java代码注入的请求数据。