CN111931166A - 基于代码注入和行为分析的应用程序防攻击方法和系统 - Google Patents
基于代码注入和行为分析的应用程序防攻击方法和系统 Download PDFInfo
- Publication number
- CN111931166A CN111931166A CN202011011906.5A CN202011011906A CN111931166A CN 111931166 A CN111931166 A CN 111931166A CN 202011011906 A CN202011011906 A CN 202011011906A CN 111931166 A CN111931166 A CN 111931166A
- Authority
- CN
- China
- Prior art keywords
- application program
- code
- behavior
- function
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提出了一种基于代码注入和行为分析的应用程序防攻击方法和系统,通过将防护代码注入需要保护的应用程序,识别应用程序中的攻击行为,包括:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,防护代码监测被标记参数和应用程序中调用关键函数的操作行为;运行统一的防护插件,结合操作行为、被标记参数和上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell;根据安全风险分析结果发出相应的告警提示信息,或者直接阻断应用程序的运行。上述方法通过合理部署防护代码,可以在运行时检测攻击并进行自我保护,实现更少的漏报和误报、更全面精准的防护和更快的漏洞响应。
Description
技术领域
本发明涉及应用安全防护技术领域,具体涉及一种基于代码注入的运行时应用自我保护技术,主要应用于Web应用程序安全防护。
背景技术
目前,Web应用程序安全防护技术主要有两大类:
1. WAF(Web应用防火墙):通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护。WAF初期是基于规则防护的防护设备,WAF生产商去维护这个规则库,并实时为其更新,用户按照这些规则,可以对应用进行全方面的保护。但随着攻防双方的不断过招,这套传统的防御体系,出现了各种各样的绕过技巧,打破了这套防线,同时这套防护思路,还有一个天生的缺陷,就是难以拦截未知的攻击。在这几年WAF领域出现了很多新的技术,譬如通过数据建模学习企业自身业务,从而阻拦与其业务特征不匹配的请求。但WAF功能有天然缺陷,他只对request和response感兴趣,却不重视Web应用本身。WAF应用架构图如图1所示。
2.RASP(运行时应用自我保护):在2014年的时候,Gartner引入了“Runtimeapplication self-protection”一词,简称为RASP。它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,与应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。RASP应用架构图如图2所示。
发明内容
现有的RASP安全防护方案大多对底层拦截点不熟悉,可能导致漏掉重要hook点,并且,对webshell的识别机制不够完善,进而在检测攻击行为时,一些webshell后门被绕过。为了解决现有技术的上述缺陷,本发明提出了一种基于代码注入和行为分析的应用程序防攻击方案,可以实现更少的漏报和误报、更少的维护成本、更多的应用覆盖、更全面精准的防护、更快的漏洞响应。
本发明提出了一种基于代码注入和行为分析的应用程序防攻击方法,包括:
步骤101:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
步骤102:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为,并获取所述hook点的上下文信息;
步骤103:运行统一的防护插件,结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell;
步骤104:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
本发明还提出了一种基于代码注入和行为分析的应用程序防攻击系统,包括:
代码注入模块:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
行为监测模块:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测所述应用程序中调用关键函数的操作行为以及被标记参数,获取所述hook点的上下文信息;
风险分析模块:运行统一的防护插件,结合操作行为、被标记参数和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在webshell;
安全处理模块:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
本发明还提出了一种应用程序安全防护系统,包括:
处理器,用于执行计算机指令;
存储器,用于存储计算机指令;
所述处理器加载存储于存储器的计算机指令,以执行所述的基于代码注入和行为分析的应用程序防攻击方法。
此外,本发明还提出了一种计算机可读介质,包括多条指令,所述多条指令由处理器加载并执行所述的基于代码注入和行为分析的应用程序防攻击方法。
本发明的有益效果:基于代码注入和行为分析的应用程序防攻击系统,相比传统Web应用防火墙技术和现有的RASP应用程序自我保护方法,具有更全面的hook点覆盖,更高效的webshell的识别机制,在检测攻击行为时,能够避免webshell后门被绕过,实现更少的漏报和误报、更少的维护成本、更多的应用覆盖、更全面精准的防护、更快的漏洞响应。
附图说明
图1为Web应用防火墙(WAF)结构图;
图2是运行时应用自我保护(RASP)结构图;
图3显示了本发明的基于代码注入和行为分析的应用程序防攻击方法流程图;
图4显示了典型的Webshell攻击模型;
图5显示了本发明的基于代码注入和行为分析的应用程序防攻击系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面将对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
图3示出了根据本发明一个实施方式实现的基于代码注入和行为分析的应用程序防攻击方法的流程图,所述方法包括以下步骤:
步骤101:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数。
HOOK技术即钩子函数,钩子函数是Windows消息处理机制的一部分,通过设置“钩子”,应用程序可以在系统级对所有消息、事件进行过滤,访问在正常情况下无法访问的消息。钩子的本质是一段用以处理系统消息的程序,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。
在所述步骤101中,保护代码的注入点包括:API、库函数、数据库操作函数、文件操作函数、用户权限函数。
以PHP为例,页面代码中有flush(),printf()类似库函数,mysql_affected_rows类似数据库操作函数;以java为例,该页面代码中有createNewFile()类似创建文件语句,利用shiro实现用户权限类似方法。
在步骤101中,在所述预定的关键调用位置挂载hook点,包括:对Python程序的python_eval()函数进行hook检测。
eval是Python的一个内置函数,这个函数的作用是返回传入字符串的表达式的结果。Python中eval函数的用法十分的灵活,可以将字符串转成表达式并执行,就可以利用执行系统命令,删除文件等操作。eval虽然方便,但是要注意安全性。假设用户恶意输入。比如eval("__import__('os').system('ls /Users/ad/Downloads/')"),那么eval()之后,当前文件夹文件都会展现在用户前面。因此,对python_eval()函数进行hook检测非常有必要。
步骤102:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为,并获取所述hook点的上下文信息。
所述上下文信息包括:函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。
步骤103:运行统一的防护插件,结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell。
步骤103中的所述安全风险分析包括:提取被标记参数和所述上下文信息中的事件标识,确定所述操作行为的执行轨迹;若所述执行轨迹包含大量请求数据、访问或下载敏感文件时,即识别为webshell。
判断被标记参数是否被污染,当被污染的变量作为参数被传入关键函数时,触发关键函数的防护代码,通过分析被标记参数所在函数的调用堆栈,可以获得其运行路径。根据操作行为数据及上下文信息中事件标识,包括get_files、get_log、fwrite,分别表示遍历目录下的文件、获取日志、文件写入系统调用,根据各个事件标识可确定操作行为的执行轨迹。
Webshell是指攻击者基于Web编程语言特性编写的一类恶意脚本,攻击者在入侵时,通常要通过各种方式取得webshell,从而持久化访问权限,或者提升访问权限,然后进行之后的进一步入侵行为。Webshell常见的获取手法包括:直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和文件管理。一个典型的Webshell脚本通常包含一个脚本语言类型声明,执行用户代码的指令以及用户需要执行的代码。主流的脚本语言类型包括PHP、ASP、ASP.NET、JSP等,图4展示了典型的Webshell攻击模型。
本发明的一个实施例收集关于执行代码的主要临时日志,在每个进程中执行关于整个日志的关系形成,并以一定的记录格式提取行为特征值,由相应处理引起的行为被细分为例如由文件、注册表、网络,服务等信息而生成的信息。在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后,将一个记录输入到行为预测信息处理模块,判断操作行为的的执行轨迹是否包含大量请求数据、访问或下载敏感文件,如果是,即识别为webshell。
步骤104:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
本发明还提出了一种基于代码注入和行为分析的应用程序防攻击系统,
图5示出了系统模块图,所述系统包括:
代码注入模块:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
行为监测模块:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测所述应用程序中调用关键函数的操作行为,监测被标记参数,获取所述hook点的上下文信息;
风险分析模块:运行统一的防护插件,结合操作行为、被标记参数和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在webshell;
安全处理模块:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
本发明还提出了一种应用程序安全防护系统,包括:
处理器,用于执行计算机指令;
存储器,用于存储计算机指令;
所述处理器加载存储于存储器的计算机指令,以执行所述的基于代码注入和行为分析的应用程序防攻击方法。
此外,本发明还提出了一种计算机可读介质,包括多条指令,所述多条指令由处理器加载并执行所述的基于代码注入和行为分析的应用程序防攻击方法。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,实体机服务器,或者网络云服务器等,需安装Windows或者Windows Server操作系统)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制,依据本发明的技术实质对以上实施例所作的任何简单修改、等同变化与修饰,均仍属于本发明技术方案的范围内。
Claims (10)
1.一种基于代码注入和行为分析的应用程序防攻击方法,其特征在于,包括如下步骤:
步骤101:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
步骤102:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为,并获取所述hook点的上下文信息;
步骤103:运行统一的防护插件,结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在可疑webshell;
步骤104:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
2.根据权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其特征在于,所述步骤101中,保护代码的注入点包括:应用程序接口函数、库函数、数据库操作函数、文件操作函数、用户权限函数。
3.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其特征在于,所述步骤101中,在所述预定的关键调用位置挂载hook点,包括:对Python程序的python_eval()函数进行hook检测。
4.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其中,步骤102中的所述上下文信息包括:函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。
5.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,其中,步骤103中的所述安全风险分析包括:提取被标记参数和所述上下文信息中的事件标识,确定所述操作行为的执行轨迹;若所述执行轨迹包含大量请求数据、访问或下载敏感文件时,即识别为webshell。
6.如权利要求5所述的基于代码注入和行为分析的应用程序防攻击方法,其中,根据所述操作行为的执行轨迹识别是否为webshell时,收集应用程序中执行代码的主要临时日志,按文件、注册表、网络,服务等信息相关的行为提取行为特征值,将在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后,输入到行为预测信息处理模块,判断操作行为的的执行轨迹是否包含大量请求数据、访问或下载敏感文件。
7.根据权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法,
其特征在于:针对不同的函数调用,提供统一的监控信息传出接口。
8.一种基于代码注入和行为分析的应用程序防攻击系统,其特征在于,包括如下模块:
代码注入模块:将防护代码注入需要保护的应用程序,在预定的关键调用位置挂载hook点,标记待监测参数;
行为监测模块:执行所述应用程序中的运行指令时,hook函数调用所述防护代码,通过所述防护代码监测所述应用程序中调用关键函数的操作行为以及被标记参数,获取所述hook点的上下文信息;
风险分析模块:运行统一的防护插件,结合操作行为、被标记参数和获取到的上下文信息进行安全风险分析,识别应用程序中的被监测代码中是否存在webshell;
安全处理模块:根据安全风险分析结果发出相应的告警提示信息,以提示用户是否继续运行应用程序,或者直接阻断应用程序的运行。
9.根据权利要求8所述的基于代码注入和行为分析的应用程序防攻击系统,其特征在于,在所述代码注入模块中,保护代码的注入点包括:应用程序接口函数、库函数、数据库操作函数、文件操作函数、用户权限函数;在所述代码注入模块中,在所述预定的关键调用位置挂载hook点,包括:对Python程序的python_eval()函数进行hook检测;所述上下文信息包括:函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。
10.如权利要求8所述的基于代码注入和行为分析的应用程序防攻击系统,其中,所述安全风险分析包括:提取被标记参数和所述上下文信息中的事件标识,确定所述操作行为的执行轨迹;若所述执行轨迹包含大量请求数据、访问或下载敏感文件时,即识别为webshell;根据所述操作行为的执行轨迹识别是否为webshell时,收集应用程序中执行代码的主要临时日志,按文件、注册表、网络,服务等信息相关的行为提取行为特征值,将在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后,输入到行为预测信息处理模块,判断操作行为的的执行轨迹是否包含大量请求数据、访问或下载敏感文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011011906.5A CN111931166B (zh) | 2020-09-24 | 2020-09-24 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011011906.5A CN111931166B (zh) | 2020-09-24 | 2020-09-24 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111931166A true CN111931166A (zh) | 2020-11-13 |
| CN111931166B CN111931166B (zh) | 2021-06-22 |
Family
ID=73335095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011011906.5A Active CN111931166B (zh) | 2020-09-24 | 2020-09-24 | 基于代码注入和行为分析的应用程序防攻击方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111931166B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112463266A (zh) * | 2020-12-11 | 2021-03-09 | 微医云(杭州)控股有限公司 | 执行策略生成方法、装置、电子设备以及存储介质 |
| CN112671741A (zh) * | 2020-12-16 | 2021-04-16 | 平安普惠企业管理有限公司 | 一种网络防护的方法、装置、终端及存储介质 |
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
| CN113486277A (zh) * | 2021-06-15 | 2021-10-08 | 北京华胜久安科技有限公司 | Web应用访问方法、装置、电子设备及存储介质 |
| CN113595975A (zh) * | 2021-06-15 | 2021-11-02 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN114547628A (zh) * | 2022-02-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 漏洞检测方法及装置 |
| CN115174192A (zh) * | 2022-06-29 | 2022-10-11 | 中国电信股份有限公司 | 应用安全防护方法及装置、电子设备和存储介质 |
| CN116484360A (zh) * | 2023-06-25 | 2023-07-25 | 北京安天网络安全技术有限公司 | 一种基于rasp的注入方法、装置、介质及设备 |
| CN116775040A (zh) * | 2023-08-16 | 2023-09-19 | 北京安普诺信息技术有限公司 | 实现代码疫苗的插桩方法及基于代码疫苗的应用测试方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| CN103839008A (zh) * | 2014-03-21 | 2014-06-04 | 彭岸峰 | 一句话脚本后门和php变量函数后门免疫安全服务 |
| CN106709325A (zh) * | 2016-11-11 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种监控程序的方法及装置 |
| CN106815524A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 恶意脚本文件的检测方法及装置 |
| CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
| CN108229161A (zh) * | 2016-12-15 | 2018-06-29 | 中国电信股份有限公司 | 应用监控方法、装置和终端 |
| CN109472135A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测进程注入的方法、装置及存储介质 |
-
2020
- 2020-09-24 CN CN202011011906.5A patent/CN111931166B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8549638B2 (en) * | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| CN103839008A (zh) * | 2014-03-21 | 2014-06-04 | 彭岸峰 | 一句话脚本后门和php变量函数后门免疫安全服务 |
| CN106815524A (zh) * | 2015-11-27 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 恶意脚本文件的检测方法及装置 |
| CN107888554A (zh) * | 2016-09-30 | 2018-04-06 | 腾讯科技(深圳)有限公司 | 服务器攻击的检测方法和装置 |
| CN106709325A (zh) * | 2016-11-11 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种监控程序的方法及装置 |
| CN108229161A (zh) * | 2016-12-15 | 2018-06-29 | 中国电信股份有限公司 | 应用监控方法、装置和终端 |
| CN109472135A (zh) * | 2017-12-29 | 2019-03-15 | 北京安天网络安全技术有限公司 | 一种检测进程注入的方法、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 夏志坚: "基于入侵行为的未知反序列化漏洞检测系统", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112463266A (zh) * | 2020-12-11 | 2021-03-09 | 微医云(杭州)控股有限公司 | 执行策略生成方法、装置、电子设备以及存储介质 |
| CN112671741B (zh) * | 2020-12-16 | 2022-10-18 | 平安普惠企业管理有限公司 | 一种网络防护的方法、装置、终端及存储介质 |
| CN112671741A (zh) * | 2020-12-16 | 2021-04-16 | 平安普惠企业管理有限公司 | 一种网络防护的方法、装置、终端及存储介质 |
| CN113139193A (zh) * | 2021-04-23 | 2021-07-20 | 杭州安恒信息技术股份有限公司 | 一种反弹shell风险判定方法、装置和系统 |
| CN113486277A (zh) * | 2021-06-15 | 2021-10-08 | 北京华胜久安科技有限公司 | Web应用访问方法、装置、电子设备及存储介质 |
| CN113595975A (zh) * | 2021-06-15 | 2021-11-02 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN113595975B (zh) * | 2021-06-15 | 2022-10-14 | 中国科学院信息工程研究所 | 一种Java内存Webshell的检测方法及装置 |
| CN114547628A (zh) * | 2022-02-24 | 2022-05-27 | 浙江网商银行股份有限公司 | 漏洞检测方法及装置 |
| CN115174192A (zh) * | 2022-06-29 | 2022-10-11 | 中国电信股份有限公司 | 应用安全防护方法及装置、电子设备和存储介质 |
| CN116484360A (zh) * | 2023-06-25 | 2023-07-25 | 北京安天网络安全技术有限公司 | 一种基于rasp的注入方法、装置、介质及设备 |
| CN116484360B (zh) * | 2023-06-25 | 2023-09-08 | 北京安天网络安全技术有限公司 | 一种基于rasp的注入方法、装置、介质及设备 |
| CN116775040A (zh) * | 2023-08-16 | 2023-09-19 | 北京安普诺信息技术有限公司 | 实现代码疫苗的插桩方法及基于代码疫苗的应用测试方法 |
| CN116775040B (zh) * | 2023-08-16 | 2023-11-17 | 北京安普诺信息技术有限公司 | 实现代码疫苗的插桩方法及基于代码疫苗的应用测试方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111931166B (zh) | 2021-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111931166B (zh) | 基于代码注入和行为分析的应用程序防攻击方法和系统 | |
| CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
| Xiong et al. | CONAN: A practical real-time APT detection system with high accuracy and efficiency | |
| CN101373502B (zh) | 基于Win32平台下病毒行为的自动化分析系统 | |
| US8640233B2 (en) | Environmental imaging | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| CN107851155A (zh) | 用于跨越多个软件实体跟踪恶意行为的系统及方法 | |
| US10216934B2 (en) | Inferential exploit attempt detection | |
| CN111683084B (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| CN114065204A (zh) | 一种无文件木马查杀方法及装置 | |
| KR102180098B1 (ko) | 악성코드 모니터링 및 사용자 단말 제어 기능을 수행하는 악성코드 탐지 시스템 | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| Wang et al. | MalRadar: Demystifying android malware in the new era | |
| CN116340943A (zh) | 应用程序保护方法、装置、设备、存储介质和程序产品 | |
| Saad et al. | Android spyware disease and medication | |
| CN109784051B (zh) | 信息安全防护方法、装置及设备 | |
| CN114417326A (zh) | 异常检测方法、装置、电子设备及存储介质 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| CN115587357A (zh) | 一种基于大数据的威胁场景分析方法及系统 | |
| CN115688100A (zh) | 一种放置诱饵文件的方法、装置、设备及介质 | |
| Ham et al. | Vulnerability monitoring mechanism in Android based smartphone with correlation analysis on event-driven activities | |
| US11763004B1 (en) | System and method for bootkit detection | |
| KR101754964B1 (ko) | 악성 행위 탐지 방법 및 시스템 | |
| Zhao | Naive Bayes Algorithm Mining Mobile Phone Trojan Crime Clues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |