[发明专利]基于代码注入和行为分析的应用程序防攻击方法和系统

说明书

本发明提出了一种基于代码注入和行为分析的应用程序防攻击方法和系统，通过将防护代码注入需要保护的应用程序，识别应用程序中的攻击行为，包括：将防护代码注入需要保护的应用程序，在预定的关键调用位置挂载hook点，防护代码监测被标记参数和应用程序中调用关键函数的操作行为；运行统一的防护插件，结合操作行为、被标记参数和上下文信息进行安全风险分析，识别应用程序中的被监测代码中是否存在可疑webshell；根据安全风险分析结果发出相应的告警提示信息，或者直接阻断应用程序的运行。上述方法通过合理部署防护代码，可以在运行时检测攻击并进行自我保护，实现更少的漏报和误报、更全面精准的防护和更快的漏洞响应。

技术领域

本发明涉及应用安全防护技术领域，具体涉及一种基于代码注入的运行时应用自我保护技术，主要应用于Web应用程序安全防护。

背景技术

目前，Web应用程序安全防护技术主要有两大类:

1. WAF（Web应用防火墙）：通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。WAF初期是基于规则防护的防护设备，WAF生产商去维护这个规则库，并实时为其更新，用户按照这些规则，可以对应用进行全方面的保护。但随着攻防双方的不断过招，这套传统的防御体系，出现了各种各样的绕过技巧，打破了这套防线，同时这套防护思路，还有一个天生的缺陷，就是难以拦截未知的攻击。在这几年WAF领域出现了很多新的技术，譬如通过数据建模学习企业自身业务，从而阻拦与其业务特征不匹配的请求。但WAF功能有天然缺陷，他只对request和response感兴趣，却不重视Web应用本身。WAF应用架构图如图1所示。

2.RASP(运行时应用自我保护)：在2014年的时候，Gartner引入了“Runtimeapplication self-protection”一词，简称为RASP。它是一种新型应用安全保护技术，它将保护程序像疫苗一样注入到应用程序中，与应用程序融为一体，能实时检测和阻断安全攻击，使应用程序具备自我保护能力。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中，它拦截从应用程序到系统的所有调用，确保它们是安全的，并直接在应用程序内验证数据请求。RASP应用架构图如图2所示。

发明内容

现有的RASP安全防护方案大多对底层拦截点不熟悉，可能导致漏掉重要hook点，并且，对webshell的识别机制不够完善，进而在检测攻击行为时，一些webshell后门被绕过。为了解决现有技术的上述缺陷，本发明提出了一种基于代码注入和行为分析的应用程序防攻击方案，可以实现更少的漏报和误报、更少的维护成本、更多的应用覆盖、更全面精准的防护、更快的漏洞响应。

本发明提出了一种基于代码注入和行为分析的应用程序防攻击方法，包括：

步骤101：将防护代码注入需要保护的应用程序，在预定的关键调用位置挂载hook点，标记待监测参数；

步骤102：执行所述应用程序中的运行指令时，hook函数调用所述防护代码，通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为，并获取所述hook点的上下文信息；

步骤103：运行统一的防护插件，结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析，识别应用程序中的被监测代码中是否存在可疑webshell；

步骤104：根据安全风险分析结果发出相应的告警提示信息，以提示用户是否继续运行应用程序，或者直接阻断应用程序的运行。

本发明还提出了一种基于代码注入和行为分析的应用程序防攻击系统，包括：

代码注入模块：将防护代码注入需要保护的应用程序，在预定的关键调用位置挂载hook点，标记待监测参数；