[发明专利]一种Java内存Webshell的检测方法及装置

说明书

本发明提出了一种Java内存Webshell的检测方法及装置，包括：在Java Web服务中分别植入敏感方法调用监控点与底层敏感行为监控点；根据敏感调用方法监控点收集的敏感方法调用信息，获取危险类，并对所述危险类进行判定，获取敏感方法调用检测结果；根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类，获取底层敏感行为检测结果；结合敏感方法调用检测结果与底层敏感行为检测结果，得到Webshell检测结果。本发明对用户请求实时监测，能够及时发现并拦截Java内存Webshell，从根源上进行防御，几乎不存在误报，同时能够适用于多种Web应用场景，并且不会对正常业务造成影响。

技术领域

本发明涉及计算机网络安全领域，具体设计一种Java内存Webshell的检测方法及装置。

背景技术

随着互联网的蓬勃发展，攻防实战演练范围的增加，防守方的防护手段逐渐完善，以文件形式落地的Webshell的攻击难度逐渐增加。近两年的攻防训练中，攻击方采用更加高明的攻击手段，如基于内存的攻击方式，其中Java内存Webshell尤为突出，传统的防护方式在面对这些手段时显得捉襟见肘。

Java内存Webshell的危害不亚于Webshell，通过Webshell维持权限，持续性的攻击会对用户的资产造成巨大损失。攻击者会在JVM内存中留下一段可执行代码，通过浏览器或者客户端软件远程访问页面得到命令执行环境，进一步可以在Web服务器进行文件操作、数据库操作、执行任意程序命令等，达到控制服务器的目的。

与传统文件形式的Webshell最大的区别在于内存型的Webshell没有磁盘文件，将可执行代码留存在内存当中。目前的Webshell检测方法大多依赖文件，对文件的内容进行规则匹配或特征提取，通过机器学习、深度学习等等方法来识别Webshell，显然通过检测服务器上所有文件来识别Webshell的检测方法不能应用于Java内存Webshell。通常，内存Webshell的检测方法是在攻击发生之后，通过检测JVM加载的Class文件，以发现Java内存Webshell的存在，但是这种检测方法存在滞后性。另一种是基于RASP动态检测技术的安全防护产品，例如百度的openRASP，对Java内存Webshell检测的针对性不强，能对部分的Java内存Webshell进行拦截但是不能确定为此种攻击。因此当前对Java内存Webshell缺乏系统性的检测方法，检测方法针对性差并且存在滞后性。

发明内容

针对上述问题，本发明提出一种Java内存Webshell的检测方法及装置，通过动态检测方法及时发现并且拦截注入Java内存Webshell的行为。

为达到上述目的，本发明采取的具体技术方案是：

一种Java内存Webshell的检测方法，其步骤包括：

1)在JavaWeb服务中分别植入敏感方法调用监控点与底层敏感行为监控点；

2)当任一用户请求触发敏感方法调用监控点，则根据敏感调用方法监控点收集的敏感方法调用信息，获取危险类，并对所述危险类进行判定，获取敏感方法调用检测结果；当任一用户请求触发底层敏感行为监控点，则根据底层敏感行为监控点收集的底层敏感行为监控信息及所述用户请求相应的危险类，获取底层敏感行为检测结果；

3)结合敏感方法调用检测结果与底层敏感行为检测结果，得到Webshell检测结果。

进一步地，通过以下步骤植入敏感方法调用监控点与底层敏感行为监控点：

1)基于JVM-Sandbox开发Agent程序；

2)在JavaWeb服务运行期间，加载Agent程序到JavaWeb服务中，以植入敏感方法调用监控点与底层敏感行为监控点。