CN116305155A - 一种程序安全检测防护方法、装置、介质及电子设备 - Google Patents

一种程序安全检测防护方法、装置、介质及电子设备 Download PDF

Info

Publication number
CN116305155A
CN116305155A CN202310226157.5A CN202310226157A CN116305155A CN 116305155 A CN116305155 A CN 116305155A CN 202310226157 A CN202310226157 A CN 202310226157A CN 116305155 A CN116305155 A CN 116305155A
Authority
CN
China
Prior art keywords
security
information
protection
target program
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310226157.5A
Other languages
English (en)
Inventor
王佳宁
沈思源
于官正
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Boundary Infinite Technology Co ltd
Original Assignee
Beijing Boundary Infinite Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Boundary Infinite Technology Co ltd filed Critical Beijing Boundary Infinite Technology Co ltd
Priority to CN202310226157.5A priority Critical patent/CN116305155A/zh
Publication of CN116305155A publication Critical patent/CN116305155A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请的实施例提供了一种程序安全检测防护方法、装置、介质及电子设备。该方法包括:根据插桩于目标程序中的安全插件,采集目标程序运行时的上下文信息和/或参数信息,并根据预先确定的安全策略对其进行分析,检测目标程序在运行时是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;对风险行为进行防护,并基于风险行为生成防护记录,防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。本申请实施例的技术方案可以提高攻击检测的准确性,进而保证应用程序的安全性。

Description

一种程序安全检测防护方法、装置、介质及电子设备
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种程序安全检测防护方法、装置、介质及电子设备。
背景技术
随着信息技术的发展,各式各样的应用程序在方便人们生产和生活的同时也存在着巨大隐患。大部分攻击者通过寻找一些应用程序的漏洞或对应用程序进行破解的方式,获得应用程序的一些权限,从而对用户的利益造成损害。在目前的技术方案中,常基于预定规则对网络流量进行检测分析,从而确定是否存在攻击流量,然而固定规则无法适应多变的攻击手段,容易导致漏报或者误报的情况发生。由此,如何提高攻击检测的准确性,进而保证应用程序的安全性成为了亟待解决的技术问题。
发明内容
本申请的实施例提供了一种程序安全检测防护方法、装置、介质及电子设备,进而至少在一定程度上可以提高攻击检测的准确性,进而保证应用程序的安全性。
本申请的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本申请的实践而习得。
根据本申请实施例的一个方面,提供了一种程序安全检测防护方法,该方法包括:
当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息;
根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;
对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
根据本申请实施例的一个方面,提供了一种程序安全检测防护装置,该装置包括:
采集模块,用于当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息;
检测模块,用于根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;
处理模块,用于对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
根据本申请实施例的一个方面,提供了一种计算机可读介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上述实施例中所述的程序安全检测防护方法。
根据本申请实施例的一个方面,提供了一种电子设备,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上述实施例中所述的程序安全检测防护方法。
根据本申请实施例的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例中提供的程序安全检测防护方法。
在本申请的一些实施例所提供的技术方案中,当目标程序接收到由客户端发送的请求信息时,根据插桩于目标程序中的安全插件,采集目标程序响应该请求信息时的上下文信息和/或参数信息,根据预先确定的安全策略,对上下文信息和/或参数信息进行分析,检测目标程序在运行时是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,其中,该安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;若存在风险行为,则对其进行防护,并基于风险行为生成防护记录,该防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种,由此,可以基于目标程序运行时的行为或参数进行攻击分析和检测,保证了攻击检测的准确性,进而保证了应用程序的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1示出了根据本申请的一个实施例的程序安全检测防护方法的流程示意图;
图2示出了根据本申请的一个实施例的程序安全检测防护装置的框图;
图3示出了适于用来实现本申请实施例的电子设备的计算机***的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本申请将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。
此外,所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中,提供许多具体细节从而给出对本申请的实施例的充分理解。然而,本领域技术人员将意识到,可以实践本申请的技术方案而没有特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。
附图中所示的方框图仅仅是功能实体,不一定必须与物理上独立的实体相对应。即,可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解,而有的操作/步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
图1示出了根据本申请的一个实施例的程序安全检测防护方法的流程示意图。该方法可以终端设备或者服务器,其中,该终端设备可以包括但不限于智能手机、平板电脑、便携式电脑、台式电脑中的一种或多种,该服务器可以是物理服务器,也可以是提供云服务的云服务器。需要说明的,本申请对终端设备或者服务器的数量不作特殊限定,例如该服务器可以是单个服务器,也可以是由多个服务器组成的服务器集群等等。
参照图1所示,该程序安全检测防护方法至少包括步骤S110至步骤S130,详细介绍如下(以下以该方法应用于运行于服务器的安全插件为例进行说明):
在步骤S110中,当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息。
其中,目标程序可以是需要进行安全防护的应用程序,例如可以是web应用程序等等。需要说明的是,该目标程序可以是一个,也可以是多个,即本申请也可以对多个目标程序同时进行安全检测防护,对此不作特殊限定。
请求信息可以是由客户端响应于用户操作而生成的业务请求。
安全插件可以对应用程序进行插桩,在插桩后,其可以检测应用程序中函数运行的参数(例如网络请求中所包含的参数或者函数执行后所输出的参数等等)以及上下文信息(例如函数的堆栈信息等)。
在该实施例中,管理人员可以通过安全插件对需要进行安全防护的应用程序进行插桩,该安装插件可以采集目标程序在响应该请求信息时的上下文信息和/或参数信息,应该理解的,本申请所述“和/或”即可以只采集目标程序运行时的上下文信息和参数信息中的一种,其也可以同时采集上下文信息和参数信息,对此不作特殊限定。
在步骤S120中,根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种。
在该实施例中,管理人员可以预先配置并存储安全策略,该安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种,即管理人员可以根据在先经验配置安全策略。应该理解的,安全策略可以包括上述信息中的一种或多种,从而实现对应用程序的全面防护。
服务器根据所获取到的上下文信息和/或参数信息,将其与预先配置的安全策略进行比对,若上下文信息和/或参数信息符合该安全策略中的一项或多项,则表示该目标程序在运行时,存在利用安全漏洞对其自身或者其他程序进行攻击的风险行为。其中,该其他程序可以是除目标程序外的与目标程序存在数据交互的程序,例如第三方程序等。
在一实施例中,随着所识别到的(人工识别或者智能分析等)攻击行为的增加,可以将新增的攻击行为的相关特征添加至该安全策略中,以对该安全策略进行实时更新,从而保证攻击检测的实时更新,相比于固定的安全策略,其能够达到更好的防御效果,保证应用程序运行的安全性。
在步骤S130中,对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
在该实施例中,若确定存在利用安全漏洞的攻击行为,则可以对该风险行为进行防护,避免该风险行为对应用程序造成损害,以保证应用程序的安全性。并且,当确定存在风险行为后,可以根据该风险行为生成防护记录。该防护记录可以包括但不限于风险行为所利用的安全漏洞的信息(例如安全漏洞名称等)、目标程序运行的过程信息(例如上下文信息等)、攻击者信息(例如发送攻击流量的机器标识或者IP地址等)、被攻击目标的信息(例如受攻击机器的标识信息等)以及修复建议中的一种或多种。
其中,本领域技术人员可以针对不同安全漏洞、不同攻击行为特征等信息,预先确定对应的一种或多种修复方式,由此,在生成防护记录时,服务器可以根据风险行为中所利用的安全漏洞或者攻击行为特征,查询对应的修复方式以作为修复建议添加至防护记录中,以供企业人员进行查看,便于其进行防护。
基于图1所示的实施例,当目标程序接收到由客户端发送的请求信息时,根据插桩于目标程序中的安全插件,采集目标程序响应该请求信息时的上下文信息和/或参数信息,根据预先确定的安全策略,对上下文信息和/或参数信息进行分析,检测目标程序在运行时是否存在利用安全漏洞对目标程序或其他程序进行攻击的风险行为,其中,该安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;若存在风险行为,则对其进行防护,并基于风险行为生成防护记录,该防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种,由此,可以基于目标程序运行时的行为或参数进行攻击分析和检测,保证了攻击检测的准确性,进而保证了应用程序的安全性。
基于图1所示的实施例,在本申请的一个实施例中,对所述风险行为进行防护,包括:
根据所述风险行为所利用的安全漏洞的漏洞类型,确定所述风险行为的风险等级;
执行与所述风险等级对应的防护策略,所述防护策略包括拦截、日志记录或忽略。
在该实施例中,不同安全漏洞存在不同程度的危害性,本领域技术人员可以根据该对应关系,预先设定不同安全漏洞的漏洞类型对应的风险等级。由此,服务器可以根据风险行为所利用的安全漏洞的漏洞类型,查询并确定该风险行为对应的风险等级,例如本领域技术人员可以预先将风险等级划分为低风险、中风险和高风险,不同漏洞类型对应不同风险等级。应该理解的,不同的安全漏洞可以对应同一风险等级或者不同等级。
当确定对应的风险等级后,服务器可以执行与该风险等级对应的防护策略,该防护策略可以包括拦截、日志记录或忽略。具体地,本领域技术人员可以根据在先经验对不同的风险等级设定相应的防护策略,以供后续查询。
其中,拦截可以是在风险等级为高风险的情况下,对该目标程序接收到的信息或者该目标程序发出的信息进行拦截,以防止应用程序因该信息而被攻击。
日志记录可以是在风险等级为中风险的情况下,记录应用程序在运行时的过程信息,并不对其相关信息进行拦截,从而在保证其危害程度较小的情况下对攻击行为进行日志记录,以便后续分析。
忽略可以是在风险等级为低风险的情况下,选择忽略其相关信息,从而节省计算资源,以对其他风险等级较高的攻击行为进行防护。
由此,通过预先设定漏洞类型与风险等级之间、风险等级与防护策略之间的对应关系,可以准确对不同风险等级的风险行为进行有效防护,在保证防护效果的同时兼顾了资源的有效利用。
在本申请的一个实施例中,在基于所述风险行为生成防护记录后,所述方法还包括:
根据历史生成的防护记录进行划分,确定对应于同一攻击者的防护记录;
根据对应于同一攻击者的防护记录,生成关于该攻击者的第一攻击分析结果并对其进行可视化,所述第一攻击分析结果包括基于总攻击数量、攻击时间、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果
在该实施例中,服务器可以获取历史生成的防护记录,需要说明的是,其可以是历史上生成的所有防护记录,其也可以是历史上某一时间段内生成的防护记录,例如最近一个月生成的防护记录等。服务器可以根据所获取到的防护记录进行划分,以确定对应于同一攻击者的防护记录,例如攻击者信息为同一IP的防护记录等。
进而,服务器可以根据对应于同一攻击者的防护记录进行分析,以生成关于该攻击者的第一攻击结果并对其进行可视化,例如图表化、文字总结等等。其中,该第一攻击分析结果可以包括基于总攻击数量(即该攻击者总的攻击次数是多少)、攻击时间(例如其第一次攻击是什么时间、最后一次攻击时什么时间、什么时间段攻击频率最高等)、被利用的安全漏洞的类型数量(即该攻击者所利用的安全漏洞的漏洞类型有多少)、同一安全漏洞被利用次数(即该攻击者所有攻击中每一安全漏洞被利用的次数)中的至少一种分析结果。
由此,本申请可以根据防护记录从攻击者维度进行分析,对所有相同攻击者的攻击行为进行聚合,可以便于用户了解一个攻击者从踩点、试探到真实的攻击的时间跨度以及其攻击手法等,从而达到对应用程序的有效防护。
在本申请的一个实施例中,在基于所述风险行为生成防护记录后,所述方法还包括:
根据历史生成的防护记录进行划分,确定对应于同一被攻击目标的防护记录;
根据对应于同一被攻击目标的防护记录,生成关于该被攻击目标的第二攻击分析结果并对其进行可视化,所述第二攻击分析结果包括基于总攻击数量、攻击者数量、同一攻击者的攻击数量、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
在该实施例中,同理,服务器也可以根据历史生成的防护记录,确定对应于同一被攻击目标的防护记录,并对其进行分析,从而生成关于该被攻击目标的第二攻击分析结果,该第二攻击分析结果可以包括但不限于基于总攻击数量、攻击者数量(即攻击该被攻击目标的攻击者的数量)、同一攻击者的攻击数量、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
由此,根据该第二攻击分析结果,可以从应用维度上方便用户了解一个应用程序收到多少相同或不同的攻击者的攻击,可以帮助应用程序所存在的不同的安全问题,进而可以对应做出加固等措施。
应该理解的,除了上述攻击者维度、被攻击目标维度等,也可以根据该防护记录生成其他维度的攻击分析结果,例如基于安全漏洞维度、攻击行为维度等等,本申请对此不作特殊限定。
在本申请的一个实施例中,在对目标程序进行插桩之前,所述方法还包括:
响应于针对目标程序的插桩请求,检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;
若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的插桩规则,则对所述目标程序进行插桩,若不符合,则执行延后插桩处理。
在该实施例中,在对目标程序进行插桩前,安全插件可以响应于针对目标程序的插桩请求,检测当前运行目标程序时的CPU占用率、内存占用率和/或检测响应耗时。具体地,本申请可以提供一关于该安全插件的管理界面,当准备进行安全防护时,用户可以选定目标程序并点击该界面上的特定按键,从而生成针对目标程序的插桩请求,安全插件可以根据该插桩请求,检测当前运行目标程序时的CPU占用率、内存占用率和/或检测响应耗时。
其中,检测响应耗时可以是从发起检测到接收到响应的耗时,应该理解的,若该检测响应耗时越大,则表示***拥挤或者繁忙,无法及时处理相关信息。
安全插件可以将上述信息与预先配置的插桩规则进行比较,例如该插桩规则可以是在CPU占用率小于90%且内存占用率小于90%时可以进行插桩等。若其符合该插桩规则,则对该目标程序进行插桩,反之,则执行延后插桩处理,即可以在一定时间后自动检测上述信息,并在符合插桩规则后再进行插桩。
由此,可以保证目标程序在低负荷、稳定状态下进行插桩,保证目标程序运行的稳定性。
基于前述实施例,在本申请的一个实施例中,所述方法还包括:
每隔预定时间间隔检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;
若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的熔断规则,则暂停运行所述安全插件;若不符合,则继续运行所述安全插件或者启动在先暂停运行的安全插件。
在该实施例中,安全插件可以每隔预定时间间隔(例如1min、5min等)检测当前运行目标程序的CPU占用率、内存占用率和/或检测响应耗时,并将其与预先配置的熔断规则进行比较,该熔断规则可以是用以确定是否需要停止运行安全插件的判断规则。当上述信息符合熔断规则时,则表示此时目标程序处于较高负荷、不稳定的状态,因此,为保证目标程序的运行,当上述信息符合熔断规则时,则暂停运行该安全插件。若不符合时,则可以继续运行该安全插件或者启动在先暂停运行的安全插件,以保证防护效果。由此可以实现计算资源的有效利用,在保证目标程序运行的稳定性的前提下,保证对其的防护效果。
在本申请的一个实施例中,所述方法还包括:
响应于针对所述安全策略或所述防护策略的配置请求,显示安全策略配置界面或者防护策略配置界面;
根据所述安全策略配置界面或者所述防护策略配置界面接收到的编辑信息,对所述安全策略或者所述防护策略进行更新并存储。
在该实施例中,本申请可以提供安全策略配置界面或者防护策略配置界面,当需要对安全策略或防护策略进行更新时,用户可以通过终端设备发送针对安全策略或者防护策略的配置请求。服务器可以根据该请求在终端设备中对应显示安全策略配置界面或者防护策略配置界面。其中各配置界面中可以包括对应的配置选项,用户可以通过该配置选项对安全策略或者防护策略进行对应编辑。
服务器则可以根据配置界面接收到的编辑信息,对安全策略或者防护策略进行更新并存储,以在后续能够达到更好的防护效果。
以下介绍本申请的装置实施例,可以用于执行本申请上述实施例中的程序安全检测防护方法。对于本申请装置实施例中未披露的细节,请参照本申请上述的程序安全检测防护方法的实施例。
图2示出了根据本申请的一个实施例的程序安全检测防护装置的框图。
参照图2所示,根据本申请的一个实施例的程序安全检测防护装置,包括:
采集模块210,用于当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息;
检测模块220,用于根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;
处理模块230,用于对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
在本申请的一个实施例中,处理模块230用于:根据所述风险行为所利用的安全漏洞的漏洞类型,确定所述风险行为的风险等级;执行与所述风险等级对应的防护策略,所述防护策略包括拦截、日志记录或忽略。
在本申请的一个实施例中,在基于所述风险行为生成防护记录后,处理模块230还用于:根据历史生成的防护记录进行划分,确定对应于同一攻击者的防护记录;根据对应于同一攻击者的防护记录,生成关于该攻击者的第一攻击分析结果并对其进行可视化,所述第一攻击分析结果包括基于总攻击数量、攻击时间、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
在本申请的一个实施例中,在基于所述风险行为生成防护记录后,处理模块230还用于:根据历史生成的防护记录进行划分,确定对应于同一被攻击目标的防护记录;根据对应于同一被攻击目标的防护记录,生成关于该被攻击目标的第二攻击分析结果并对其进行可视化,所述第二攻击分析结果包括基于总攻击数量、攻击者数量、同一攻击者的攻击数量、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
在本申请的一个实施例中,在对目标程序进行插桩之前,处理模块230还用于:响应于针对目标程序的插桩请求,检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的插桩规则,则对所述目标程序进行插桩,若不符合,则执行延后插桩处理。
在本申请的一个实施例中,处理模块230还用于:每隔预定时间间隔检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的熔断规则,则暂停运行所述安全插件;若不符合,则继续运行所述安全插件或者启动在先暂停运行的安全插件。
在本申请的一个实施例中,处理模块230还用于:响应于针对所述安全策略或所述防护策略的配置请求,显示安全策略配置界面或者防护策略配置界面;根据所述安全策略配置界面或者所述防护策略配置界面接收到的编辑信息,对所述安全策略或者所述防护策略进行更新并存储。
图3示出了适于用来实现本申请实施例的电子设备的计算机***的结构示意图。
需要说明的是,图3示出的电子设备的计算机***仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图3所示,计算机***包括中央处理单元(Central Processing Unit,CPU)301,其可以根据存储在只读存储器(Read-Only Memory,ROM)302中的程序或者从储存部分308加载到随机访问存储器(Random Access Memory,RAM)303中的程序而执行各种适当的动作和处理,例如执行上述实施例中所述的方法。在RAM 303中,还存储有***操作所需的各种程序和数据。CPU 301、ROM 302以及RAM 303通过总线304彼此相连。输入/输出(Input /Output,I/O)接口305也连接至总线304。
以下部件连接至I/O接口305:包括键盘、鼠标等的输入部分306;包括诸如阴极射线管(Cathode Ray Tube,CRT)、液晶显示器(Liquid Crystal Display,LCD)等以及扬声器等的输出部分307;包括硬盘等的储存部分308;以及包括诸如LAN(Local Area Network,局域网)卡、调制解调器等的网络接口卡的通信部分309。通信部分309经由诸如因特网的网络执行通信处理。驱动器310也根据需要连接至I/O接口305。可拆卸介质311,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器310上,以便于从其上读出的计算机程序根据需要被安装入储存部分308。
特别地,根据本申请的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本申请的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中,该计算机程序可以通过通信部分309从网络上被下载和安装,和/或从可拆卸介质311被安装。在该计算机程序被中央处理单元(CPU)301执行时,执行本申请的***中限定的各种功能。
需要说明的是,本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory,EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory,CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输,包括但不限于:无线、有线等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现上述实施例中所述的方法。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本申请的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本申请实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的实施方式后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (10)

1.一种程序安全检测防护方法,其特征在于,包括:当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息;根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
2.根据权利要求1所述的方法,其特征在于,对所述风险行为进行防护,包括:根据所述风险行为所利用的安全漏洞的漏洞类型,确定所述风险行为的风险等级;执行与所述风险等级对应的防护策略,所述防护策略包括拦截、日志记录或忽略。
3.根据权利要求1或2所述的方法,其特征在于,在基于所述风险行为生成防护记录后,所述方法还包括:根据历史生成的防护记录进行划分,确定对应于同一攻击者的防护记录;根据对应于同一攻击者的防护记录,生成关于该攻击者的第一攻击分析结果并对其进行可视化,所述第一攻击分析结果包括基于总攻击数量、攻击时间、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
4.根据权利要求1或2所述的方法,其特征在于,在基于所述风险行为生成防护记录后,所述方法还包括:根据历史生成的防护记录进行划分,确定对应于同一被攻击目标的防护记录;根据对应于同一被攻击目标的防护记录,生成关于该被攻击目标的第二攻击分析结果并对其进行可视化,所述第二攻击分析结果包括基于总攻击数量、攻击者数量、同一攻击者的攻击数量、被利用的安全漏洞的类型数量、同一安全漏洞被利用次数中的至少一种分析结果。
5.根据权利要求1所述的方法,其特征在于,在对目标程序进行插桩之前,所述方法还包括:响应于针对目标程序的插桩请求,检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的插桩规则,则对所述目标程序进行插桩,若不符合,则执行延后插桩处理。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:每隔预定时间间隔检测当前运行所述目标程序的CPU占用率、内存占用率和/或检测响应耗时;若所述CPU占用率、内存占用率和/或检测响应耗时符合预先配置的熔断规则,则暂停运行所述安全插件;若不符合,则继续运行所述安全插件或者启动在先暂停运行的安全插件。
7.根据权利要求2所述的方法,其特征在于,所述方法还包括:响应于针对所述安全策略或所述防护策略的配置请求,显示安全策略配置界面或者防护策略配置界面;根据所述安全策略配置界面或者所述防护策略配置界面接收到的编辑信息,对所述安全策略或者所述防护策略进行更新并存储。
8.一种程序安全检测防护装置,其特征在于,包括:采集模块,用于当目标程序接收到由客户端发送的请求信息时,根据插桩于所述目标程序中的安全插件,采集所述目标程序响应所述请求信息时的上下文信息和/或参数信息;检测模块,用于根据预先确定的安全策略,对所述上下文信息和/或参数信息进行分析,检测所述目标程序在运行时,是否存在利用安全漏洞对其自身或其他程序进行攻击的风险行为,所述安全策略包括安全漏洞的特征、安全漏洞的行为、针对安全漏洞的攻击特征和行为中的至少一种;处理模块,用于对所述风险行为进行防护,并基于所述风险行为生成防护记录,所述防护记录包括所利用的安全漏洞的信息、目标程序运行的过程信息、攻击者信息、被攻击目标的信息以及修复建议中的一种或多种。
9.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的程序安全检测防护方法。
10.一种电子设备,其特征在于,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如权利要求1至7中任一项所述的程序安全检测防护方法。
CN202310226157.5A 2023-03-10 2023-03-10 一种程序安全检测防护方法、装置、介质及电子设备 Pending CN116305155A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310226157.5A CN116305155A (zh) 2023-03-10 2023-03-10 一种程序安全检测防护方法、装置、介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310226157.5A CN116305155A (zh) 2023-03-10 2023-03-10 一种程序安全检测防护方法、装置、介质及电子设备

Publications (1)

Publication Number Publication Date
CN116305155A true CN116305155A (zh) 2023-06-23

Family

ID=86777391

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310226157.5A Pending CN116305155A (zh) 2023-03-10 2023-03-10 一种程序安全检测防护方法、装置、介质及电子设备

Country Status (1)

Country Link
CN (1) CN116305155A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150514A (zh) * 2023-10-30 2023-12-01 北京安普诺信息技术有限公司 基于代码疫苗iast探针的漏洞主动验证方法及装置
CN117216758A (zh) * 2023-11-08 2023-12-12 新华三网络信息安全软件有限公司 应用安全检测***及方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117150514A (zh) * 2023-10-30 2023-12-01 北京安普诺信息技术有限公司 基于代码疫苗iast探针的漏洞主动验证方法及装置
CN117150514B (zh) * 2023-10-30 2024-02-02 北京安普诺信息技术有限公司 基于代码疫苗iast探针的漏洞主动验证方法及装置
CN117216758A (zh) * 2023-11-08 2023-12-12 新华三网络信息安全软件有限公司 应用安全检测***及方法
CN117216758B (zh) * 2023-11-08 2024-02-23 新华三网络信息安全软件有限公司 应用安全检测***及方法

Similar Documents

Publication Publication Date Title
US10375101B2 (en) Computer implemented techniques for detecting, investigating and remediating security violations to IT infrastructure
US20180295154A1 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
CN116305155A (zh) 一种程序安全检测防护方法、装置、介质及电子设备
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
CN112926048B (zh) 一种异常信息检测方法和装置
CN112685682B (zh) 一种攻击事件的封禁对象识别方法、装置、设备及介质
CN104662517A (zh) 安全漏洞检测技术
US11431792B2 (en) Determining contextual information for alerts
CN111191226B (zh) 利用提权漏洞的程序的确定方法、装置、设备及存储介质
CN113411302B (zh) 局域网设备网络安全预警方法及装置
CN110868403B (zh) 一种识别高级持续性攻击apt的方法及设备
CN113672912A (zh) 基于计算机硬件指征和行为分析的网络安全监控***
CN110555308B (zh) 一种终端应用行为跟踪和威胁风险评估方法及***
CN116595523A (zh) 基于动态编排的多引擎文件检测方法、***、设备及介质
CN113691498B (zh) 一种电力物联终端安全状态评估方法、装置及存储介质
CN112398695B (zh) 一种大规模终端设备管控方法、***、设备及存储介质
CN112417459B (zh) 一种大规模终端设备安全评估方法、***及计算机设备
CN113872959A (zh) 一种风险资产等级判定和动态降级方法和装置及设备
CN112699369A (zh) 一种通过栈回溯检测异常登录的方法及装置
WO2020161780A1 (ja) 行動計画推定装置、行動計画推定方法、及びコンピュータ読み取り可能な記録媒体
CN110990830A (zh) 终端取证溯源***及方法
WO2019113492A1 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
CN117579385B (zh) 一种快速筛查新型WebShell流量的方法、***及设备
CN115664726A (zh) 一种恶意beacon通信的检测方法和装置
Maidl et al. System-specific risk rating of software vulnerabilities in industrial automation & control systems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication