[发明专利]一种Java内存Webshell的检测方法及装置

权利要求书

1.一种Java内存Webshell的检测方法，其步骤包括：

1)在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点；

2)当任一用户请求触发敏感方法调用监控点，则敏感方法 调用监控点收集敏感方法调用信息，对所述敏感方法调用信息使用白名单过滤系统类和自定义类，以获取危险类，并对所述危险类进行判定，获取敏感方法调用检测结果；

当任一用户请求触发底层敏感行为监控点，则根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类，获取底层敏感行为检测结果，其中，所述底层敏感行为监控信息包括：敏感行为Hook点的参数信息和敏感行为的调用栈信息，所述根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类，获取底层敏感行为检测结果，包括：

使用白名单过滤所述敏感行为Hook点的参数信息，得到非可信赖敏感行为；

基于所述非可信赖敏感行为的调用栈信息，查看底层敏感行为是否由危险类进行调用，并根据查看结果，获取底层敏感行为检测结果；

3)结合敏感方法调用检测结果与底层敏感行为检测结果，得到Webshell检测结果。

2.如权利要求1所述的方法，其特征在于，敏感方法包括：注册Web服务器组件的方法、调用defineClass函数的方法和调用java.lang.ApplicationShutdownHooks类的方法；Web服务器组件包括：Java Web容器的Filter组件、Listener组件、Servlet组件、Controller组件及Valve组件和Spring框架中的Interceptor组件及Controller组件；底层敏感行为包括：命令执行、文件操作和创建连接。

3.如权利要求1所述的方法，其特征在于，通过以下步骤得到危险类：

1)根据敏感方法调用信息，获得注册的Java组件类与调用敏感方法的类；

2)利用一危险类白名单，过滤注册的Java组件类与调用敏感方法的类中的系统类和自定义类，得到危险类。

4.如权利要求1所述的方法，其特征在于，通过以下步骤获取敏感方法调用检测结果：

1)获取训练数据集中各训练数据的.class文件，使用Java命令将各.class文件转化为Java汇编码，并提取各Java汇编码的TF-IDF特征，建立词汇表模型；

2)对词汇表模型中的各特征向量进行机器学习训练，构建分类模型；

3)导出危险类的.class文件，提取对应的Java汇编码；

4)利用词汇表模型，提取危险类对应的特征向量，并将危险类对应的特征向量输入分类模型，得到敏感方法调用检测结果。

5.如权利要求1所述的方法，其特征在于，底层敏感行为检测结果包括：Java内存Webshell 或其他高危敏感行为。

6.如权利要求1所述的方法，其特征在于，在Java Web服务中还植入一请求对象监控点，其中触发请求对象监控点时，收集的请求内容信息包括：解析完HTTP请求的Request对象内容涵盖URL、原始IP地址、参数、上传数据、cookie、时间戳、UserAgent和请求方法。

7.如权利要求6所述的方法，其特征在于，通过以下策略对Webshell检测结果为Java内存Webshell或其他高危行为进行处理：

1)通过RASP技术Hook服务器的Http ServletRespond函数，返回一个自定义的错误页面，以拦截底层敏感行为检测结果中的Java内存Webshell或其他高危敏感行为的请求；

2)将请求内容监控信息、敏感方法调用信息、底层敏感行为监控信息及底层敏感行为检测结果作为安全事件，并使用SimpleEmail发送邮件到管理员邮箱。

8.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-7中任一所述方法。