JavaWeb应用的攻击行为的识别和防御方法及其装置与流程

本公开涉及计算机和网络安全，尤其涉及一种javaweb应用的攻击行为的识别和防御方法及其装置。

背景技术：

1、javaweb技术广泛应用各个重要业务线上，占据着重要地位。相关技术中，javaweb应用中，网站恶意控制脚本(页面)木马病毒，或者叫webshell，对javaweb网站及服务端应用带来恶意操控、篡改数据、信息泄漏等众多安全风险。木马病毒注入方式一般有形式：通过漏洞上传文件的有文件webshell，及利用web组件或者应用程序注册访问路由执行控制代码的无文件webshell(内存马)。webshell是一种面向web程序的恶意脚本(木马)，其目的是获得服务器的执行操作权限，而内存马只在内存中运行，没有文件落地或者运行后能够删除自身的木马。有文件webshell容易利用，攻击广度大，但容易被扫描发现。无文件webshell特点是文件无落盘，且攻击原理结合了众多复杂漏洞，给检测带来巨大难度。

2、木马病毒对javaweb应用危害极大，如何准确识别木马病毒的注入及攻击行为，并进行防御，已经成为重要的研究方向之一。

技术实现思路

1、本公开旨在至少在一定程度上解决相关技术中的技术问题之一。

2、本公开第一方面实施例提出了一种javaweb应用的攻击行为的识别和防御方法，该方法包括：

3、修改关键底层类的字节码，并增强指定的关键底层方法，使得关键底层方法被调用时可被感知及可控制执行；

4、确定javaweb应用的风险类集合，并对http容器对象注册请求监听器，请求监听器用于监听http请求对象的创建和销毁；

5、若http容器接收到http请求，请求监听器监听到http请求对象的创建，且确定关键底层方法调用，通过堆栈中风险类集合的命中结果和关键底层方法调用入参的攻击性判断javaweb应用是否存在攻击行为；

6、若javaweb应用存在攻击行为，执行中断底层关键方法调用和对请求响应设置设定的错误信息的防御策略，并对攻击行为进行报警提示。

7、本公开第二方面实施例提出了一种javaweb应用的攻击行为的识别和防御装置，包括：

8、关键底层方法增强模块，用于修改关键底层类的字节码，并增强指定的关键底层方法，使得关键底层方法被调用时可被感知及可控制执行；

9、风险分析模块，用于确定javaweb应用的风险类集合，并对http容器对象注册请求监听器，请求监听器用于监听http请求对象的创建和销毁；

10、攻击识别模块，用于若http容器接收到http请求，请求监听器监听到http请求对象的创建，且确定关键底层方法调用，通过堆栈中风险类集合的命中结果和关键底层方法调用入参的攻击性判断javaweb应用是否存在攻击行为；

11、攻击防御模块，用于若javaweb应用存在攻击行为，执行中断底层关键方法调用和对请求响应设置设定的错误信息的防御策略，并对攻击行为进行报警提示。

12、本公开第三方面实施例提出了一种电子设备，包括：

13、至少一个处理器；以及

14、与至少一个处理器通信连接的存储器；其中，

15、存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行本公开第一方面实施例中提供的javaweb应用的攻击行为的识别和防御方法。

16、本公开第四方面实施例提出了一种计算机可读存储介质，其上存储有计算机指令，其中，计算机指令用于使计算机执行根据本公开第一方面实施例中提供的javaweb应用的攻击行为的识别和防御方法。

17、本公开第五方面实施例提出了一种计算机程序产品，包括计算机程序，计算机程序在被处理器执行时实现本公开第一方面实施例中提供的javaweb应用的攻击行为的识别和防御方法。

18、本申请可以准确识别木马病毒注入及攻击行为，并进行防御，增强识别java页面应用的攻击行为的通用性，提高java页面应用的安全性和稳定性。

技术特征：

1.一种javaweb应用的攻击行为的识别和防御方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述若所述http容器接收到http请求，所述请求监听器监听到所述http请求对象的创建，且确定所述关键底层方法调用，通过堆栈中风险类集合的命中结果和所述关键底层方法调用入参的攻击性判断所述javaweb应用是否存在攻击行为，包括：

3.根据权利要求2所述的方法，其特征在于，所述若所述http容器接收到http请求，且所述请求监听器监听到http请求对象的创建，记录请求信息和请求对象，并在http请求业务处理过程中监控所述关键底层方法是否被调用，还包括：

4.根据权利要求2所述的方法，其特征在于，所述若所述http请求业务处理过程中涉及所述关键底层方法调用，分析堆栈中风险类集合的命中结果和所述关键底层方法调用入参的攻击性，通过所述命中结果和所述攻击性判断所述javaweb应用是否存在攻击行为，包括：

5.根据权利要求1所述的方法，其特征在于，所述若所述javaweb应用存在攻击行为，执行中断底层关键方法调用和对请求响应设置设定的错误信息的防御策略，并对所述攻击行为进行报警提示，包括：

6.根据权利要求4所述的方法，其特征在于，还包括：

7.根据权利要求1所述的方法，其特征在于，所述修改关键底层类的字节码，并增强指定的关键底层方法，使得所述关键底层方法被调用时可被感知及可控制执行，包括：

8.根据权利要求1所述的方法，其特征在于，所述确定所述javaweb应用的风险类集合，并对http容器对象注册请求监听器，包括：

9.根据权利要求8所述的方法，其特征在于，所述获取所述javaweb应用的所有类对象引用，并通过规则匹配及代码扫描，从所有类中筛选出风险类，以获取风险类集合，包括：

10.根据权利要求9所述的方法，其特征在于，所述针对任一类对象，判断所述类对象的字节码class文件是否落盘，包括：

11.根据权利要求9所述的方法，其特征在于，判断所述第二类是否命中风险类规则的过程，包括：

12.根据权利要求9所述的方法，其特征在于，所述对所述第三类进行代码检测，若检测到代码异常时，将所述第三类加入所述风险类集合，包括：

13.根据权利要求8所述的方法，其特征在于，所述修改web容器中http容器类的字节码，在http容器实例化时获取http容器对象的引用，对http容器对象注册请求监听器，包括：

14.一种javaweb应用的攻击行为的识别和防御装置，其特征在于，包括：

15.一种电子设备，其特征在于，包括：处理器，以及与所述处理器通信连接的存储器；

16.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现如权利要求1-13中任一项所述的方法。

17.一种计算机程序产品，其特征在于，包括计算机程序，该计算机程序被处理器执行时实现权利要求1-13中任一项所述的方法。

技术总结
本公开提出了JavaWeb应用的攻击行为的识别和防御方法及其装置，涉及计算机技术领域和网络安全技术领域。该方法作用于Web容器，包括：修改关键底层类的字节码增强关键底层方法；获取所述所有类引用筛选出风险类；修改Web容器中HTTP容器类的字节码，在HTTP容器实例化时注册请求监听器；收到HTTP请求时记录请求信息和请求对象，并监控关键底层方法调用情况；分析堆栈中风险类的命中结果和关键底层方法调用入参的攻击性判断是否存在攻击行为；在JavaWeb应用存在攻击行为时执行防御策略及报警提示。本申请可以在JavaWeb应用使用过程中，识别木马病毒攻击行为特征，根据木马病毒攻击行为特征确定攻击行为及采取防御措施，提高JavaWeb应用的安全性和稳定性。

技术研发人员：李梓铭,解敏,陈泽智,廖敏飞
受保护的技术使用者：中国建设银行股份有限公司
技术研发日：
技术公布日：2024/1/13