CN114091039A - 基于rasp的攻击防护系统及应用设备 - Google Patents
基于rasp的攻击防护系统及应用设备 Download PDFInfo
- Publication number
- CN114091039A CN114091039A CN202111483646.6A CN202111483646A CN114091039A CN 114091039 A CN114091039 A CN 114091039A CN 202111483646 A CN202111483646 A CN 202111483646A CN 114091039 A CN114091039 A CN 114091039A
- Authority
- CN
- China
- Prior art keywords
- protection
- rasp
- information
- patch
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及web应用安全防护领域,提供一种基于RASP的攻击防护补丁方法及系统,采用的技术方案为:所述系统包括Web应用端、Server控制端,Server控制端包括Portal端和分析引擎;所述方法是:在Web应用端加载探针与Server控制端进行实时数据交换;在Portal端进行安全防护补丁设置,其中安全防护补丁中可以设置补丁名称、补丁的相关描述、要阻断的URL、阻断URL的参数设置和参数匹配等信息;在安全防护补丁设置完成之后,通过Server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护,分析引擎接收探针处产生的实时防护信息汇总成攻击事件信息返回给Portal端显示出来供用户进行相关决策。本发明通过RASP技术对产在线的应用进行实时的保护,实现了攻击防护的实时性。
Description
技术领域
本发明涉及web应用安全防护领域,尤其涉及基于RASP的攻击防护补丁方法及系统。
背景技术
目前常用的web应用安全防护技基本上都是基于AST(Application SecurityTesting)技术,例如DAST(动态应用程序安全测试),SAST(静态应用程序安全测试)和IAST(交互式应用程序安全测试),这些技术的缺陷在于:此类安全测试技术只是应用在web应用的测试和开发阶段,没法在产线上进行应用实时防护;并且有些检测方法如SAST还需要产品的源代码,存在知识产权许可和隐私保护等问题。
目前的基于RASP形成的方案基本上都是使用WAF(web application fire ware)的规则匹配和硬件相结合,如基于RASP的防火墙等。这些技术大部分是基于硬件相结合,从分析网络流量的角度出发,没有真正的深入到应用的代码层面,这些技术的缺陷在于:安全漏洞信息来源单一化,不能全面、及时的保护web应用的安全,没法解决用户的个性化业务逻辑的需求;误报率高且不能够进行实时的补丁防护,对0-day等最新的攻击存在较大安全漏洞。
因此,迫切需要一种安全防护系统对产在线的应用进行实时的保护,在发现安全攻击时进行及时阻断及防护。
发明内容
本发明针对同类现有技术或产品的上述缺陷,提供一种基于RASP的攻击防护系统,采用的技术方案为:所述系统包括web应用端、Server控制端,其中Server控制端包括Portal端和分析引擎;所述方法是:在web应用端加载探针与Server控制端进行实时数据交换,当web应用端的探针发现安全攻击会向Server控制端发送实时数据,Server控制端的分析引擎在进行分析后会将安全攻击实时数据在Portal端进行展示;在Portal端进行安全防护补丁设置,其中安全防护补丁中可以设置补丁名称、补丁的相关描述、要阻断的URL、阻断URL的参数设置和参数匹配等信息;在安全防护补丁设置完成之后,通过Server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护。
本发明由于在web应用端加载了探针,然后通过在Portal端进行安全防护补丁设置,再通过Server端和探针端进行实时通信,所以,在发现新型漏洞和0day漏洞的时候,能够主动通过本发明来形成补丁,针对当前漏洞的攻击进行有效防护,能够主动快速的阻断安全漏洞,从而有效的保障产在线正在运行的产品安全。本发明通过RASP技术对产在线的应用进行实时的保护,实现了攻击防护的实时性和及时性。
本发明在web应用端的探针对0-day漏洞等新型安全攻击漏洞进行阻断等防护的过程中,探针同时将相关的信息主动返回给Server控制端,Server控制端在接收到相关的防护信息后,将防护信息发送给分析引擎,分析引擎根据实际的配置情况,对攻击事件进行日志记录、攻击阻断和攻击事件上报等操作,最后将汇总的攻击事件信息返回给Portal端显示出来,供用户进行相关决策,进一步优化安全防护补丁设置。
附图说明
图1是本发明逻辑流程图。
图2是本发明数据流示意图。
具体实施方式
以下结合逻辑流程图对本发明作进一步的说明;
如图1所示,本发明所述防护系统包括web应用端、Server控制端、Portal端,Server控制端包括分析引擎;所述方法是:本发明在web应用端加载探针与Server控制端进行实时数据交换;在Portal端进行安全防护补丁设置,其中安全防护补丁中可以设置补丁名称、补丁的相关描述、要阻断的URL、阻断URL的参数设置和参数匹配等信息;在安全防护补丁设置完成之后,通过Server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护。
本发明由于在web应用端加载了探针,然后通过在Portal端进行安全防护补丁设置,再通过Server端和探针端进行实时通信,因此,在发现新型漏洞和0day漏洞的时候,能够主动通过本发明来形成针对当前漏洞的有效攻击防护,能够主动快速的阻断安全漏洞,从而有效的保护产在线正在运行的产品安全。本发明通过RASP技术对产在线的应用进行实时的保护,实现了攻击防护的实时性。
本发明在web应用端的探针对0-day漏洞等新型安全攻击漏洞进行阻断等防护的过程中,探针同时将相关的信息主动返回给Server控制端,Server控制端在接收到相关的防护信息后,将防护信息发送给分析引擎,分析引擎根据实际的配置情况,对攻击事件进行日志记录、攻击阻断和攻击事件上报等操作,最后将汇总的攻击事件信息返回给Portal端显示出来,供用户进行相关决策。
本发明提供一种基于RASP的攻击防护系统,所述防护系统为一种计算机程序,该计算机程序可以分布在计算机可读介质上,由可计算装置来执行,以实现基于RASP的攻击防护系统至少一个步骤;并且在某些情况下,可以采用不同于上述实施例所描述的顺序执行所示出或描述的至少一个步骤。
本发明提供一种基于RASP的攻击防护系统,所述防护系统为一种计算机程序产品,包括计算机可读装置,所述计算机可读装置上存储有实现基于RASP的攻击防护系统至少一个步骤的计算机程序。所述计算机可读装置包括该计算机可读存储介质,所述计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取内存), ROM(Read-OnlyMemory,只读存储器), EEPROM(Electrically Erasable Programmable read onlymemory,带电可擦可程序设计只读存储器)、闪存或其他内存技术、CD-ROM(Compact DiscRead-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储基于RASP的攻击防护系统信息并且可以被计算机访问的任何其他的介质。所述计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现基于RASP的攻击防护系统中至少一个步骤。
本发明通过上述方案实现了如下技术效果:
1.本发明只需在Portal端进行安全补丁的相关信息设置就能自动生成补丁并且在无感知的情况下自动部署到当前产线环境中,实现了快速生成攻击防护补丁、精准快速的阻断0day等新型安全漏洞攻击的技术效果;并且使用简单、操作方便,从而有效的保护当前的应用;
2.本发明将探针安装在web应用中,能准确识别、精确地对0day等新型安全攻击事件进行阻断和上报;
3.本发明设置于Server控制端的分析引擎能实时分析探针上报的攻击事件信息,实时向Portal端详细的展示攻击事件的状况,方便跟踪和做出决策;
4.本发明在Portal端可以对安全补丁进行批量的管理,从而减少了大规模部署时间,提高实时防护效率;同时能够对防护补丁的整个生命周期进行有效的实时管理,能够实时的管理防护补丁的安装、暂停和卸除等相关操作;
5.本发明提供的安全防护系统形成一个完整的体系,运行过程中不使用客户源代码,能够保护私有应用的隐私。
在本发明总体构思下,本发明提供的安全防护系统可借助相关应用设备来实现:
本发明提供一种基于RASP的攻击防护系统的应用设备,所述设备为一种电子设备,参见图2所示,其包括处理器401、内存402及通信总线403,其中:通信总线403用于实现处理器401和内存402之间的连接通信;处理器401用于执行内存402中存储的一个或者多个计算机程序,以实现基于RASP的攻击防护系统中的至少一个步骤。所述电子设备包括各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。所述电子设备包括各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。
本发明提供一种基于RASP的攻击防护系统的应用设备,所述设备为一种计算机可读存储介质,该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(Random Access Memory,随机存取内存), ROM(Read-Only Memory,只读存储器), EEPROM(Electrically ErasableProgrammable read only memory,带电可擦可程序设计只读存储器)、闪存或其他内存技术、CD-ROM(Compact Disc Read-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储基于RASP的攻击防护系统信息并且可以被计算机访问的任何其他的介质。所述计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现基于RASP的攻击防护系统中至少一个步骤。
特别地,本领域的技术人员应该明白,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件(可以用计算装置可执行的计算机程序代码来实现)、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。
此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、计算机程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。所以,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种基于RASP的攻击防护系统,其特征在于:在web应用端加载探针与Server控制端进行实时数据交换;在Server控制端设置Portal端和分析引擎;通过Portal端进行安全防护补丁设置,在安全防护补丁设置完成之后,通过Server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护,分析引擎接收探针处产生的实时防护信息汇总成攻击事件信息返回给Portal端显示出来供用户进行相关决策,进一步优化安全防护补丁设置。
2.根据权利要求1所述的一种基于RASP的攻击防护系统,其特征在于:所述在Portal端进行安全防护补丁设置可以设置的项目内容包括:补丁名称信息、补丁的相关描述信息、要阻断的URL信息、阻断URL的参数设置信息、参数匹配信息。
3.根据权利要求1所述的一种基于RASP的攻击防护系统,其特征在于:所述web应用端的探针对0-day漏洞和新型安全攻击漏洞进行阻断防护的过程中,探针同时将相关的信息主动返回给Server控制端,Server控制端在接收到相关的防护信息后,将防护信息发送给分析引擎,分析引擎根据实际的配置情况,对攻击事件进行日志记录、攻击阻断和攻击事件上报操作,最后将汇总的攻击事件信息返回给Portal端显示出来,供用户进行相关决策,进一步优化安全防护补丁设置。
4.一种应用权利要求1或2或3所述的基于RASP的攻击防护系统,其特征在于:所述攻击防护系统包括Web应用端、Server控制端,在Server控制端设置Portal端和分析引擎;在web应用端加载有探针;在Portal端可进行安全防护补丁设置;安全防护补丁设置完成之后,通过Server控制端自动下发安全防护补丁到web应用端加载的探针中去形成有效的防护;分析引擎接收探针处产生的实时防护信息汇总成攻击事件信息返回给Portal端显示出来供用户进行相关决策,进一步优化安全防护补丁设置。
5.根据权利要求1或2或3所述的一种基于RASP的攻击防护系统,其特征在于:所述防护系统为一种计算机程序,该计算机程序可以分布在计算机可读介质上,由可计算装置来执行,以实现基于RASP的攻击防护系统至少一个步骤。
6.根据权利要求1所述的一种基于RASP的攻击防护系统的应用设备,其特征在于:所述应用设备为电子设备,所述电子设备包括处理器、内存及通信总线;所述通信总线用于实现所述内存、处理器之间的连接通信;所述处理器用于执行所述内存中存储的计算机程序,以使得所述电子设备执行基于RASP的攻击防护系统至少一个步骤。
7.根据权利要求1所述的一种基于RASP的攻击防护系统的应用设备,其特征在于:所述应用设备为一种计算机可读存储介质,所述计算机可读存储介质可用于存储一个或者多个计算机程序,其存储的一个或者多个计算机程序可被处理器执行,以实现基于RASP的攻击防护系统中至少一个步骤。
8.根据权利要求7所述的一种基于RASP的攻击防护系统的应用设备,其特征在于:所述计算机可读存储介质包括用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质;所述计算机可读存储介质用于存储基于RASP的攻击防护系统信息并且可以被计算机访问。
9.根据权利要求7所述的一种基于RASP的攻击防护系统的应用设备,其特征在于:所述计算机可读存储介质包括RAM(Random Access Memory,随机存取内存), ROM(Read-OnlyMemory,只读存储器), EEPROM(Electrically Erasable Programmable read onlymemory,带电可擦可程序设计只读存储器)、闪存或其他内存技术、CD-ROM(Compact DiscRead-Only Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置,所述计算机可读存储介质可以用于存储基于RASP的攻击防护系统信息并且可以被计算机访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111483646.6A CN114091039A (zh) | 2021-12-07 | 2021-12-07 | 基于rasp的攻击防护系统及应用设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111483646.6A CN114091039A (zh) | 2021-12-07 | 2021-12-07 | 基于rasp的攻击防护系统及应用设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114091039A true CN114091039A (zh) | 2022-02-25 |
Family
ID=80306711
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111483646.6A Pending CN114091039A (zh) | 2021-12-07 | 2021-12-07 | 基于rasp的攻击防护系统及应用设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114091039A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826662A (zh) * | 2022-03-18 | 2022-07-29 | 深圳开源互联网安全技术有限公司 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
CN114900333A (zh) * | 2022-04-15 | 2022-08-12 | 深圳开源互联网安全技术有限公司 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
CN115134121A (zh) * | 2022-05-30 | 2022-09-30 | 深圳开源互联网安全技术有限公司 | 基于rasp的第三方库安全攻击防护方法及相关装置 |
-
2021
- 2021-12-07 CN CN202111483646.6A patent/CN114091039A/zh active Pending
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114826662A (zh) * | 2022-03-18 | 2022-07-29 | 深圳开源互联网安全技术有限公司 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
CN114826662B (zh) * | 2022-03-18 | 2024-02-06 | 深圳开源互联网安全技术有限公司 | 一种自定义规则防护方法、装置、设备及可读存储介质 |
CN114900333A (zh) * | 2022-04-15 | 2022-08-12 | 深圳开源互联网安全技术有限公司 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
CN114900333B (zh) * | 2022-04-15 | 2023-09-08 | 深圳开源互联网安全技术有限公司 | 一种多区域安全防护方法、装置、设备及可读存储介质 |
CN115134121A (zh) * | 2022-05-30 | 2022-09-30 | 深圳开源互联网安全技术有限公司 | 基于rasp的第三方库安全攻击防护方法及相关装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110476400B (zh) | 用于检测针对基于云的机器的特定集合的定向网络攻击的系统和方法 | |
US10594714B2 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
CN106796639B (zh) | 用于可信执行环境的数据挖掘算法 | |
US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
CN114091039A (zh) | 基于rasp的攻击防护系统及应用设备 | |
US9106681B2 (en) | Reputation of network address | |
EP2955895B1 (en) | Threat indicator analytics system | |
US7647622B1 (en) | Dynamic security policy through use of empirical security events | |
US10003606B2 (en) | Systems and methods for detecting security threats | |
US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
CN113761519B (zh) | 一种Web应用程序的检测方法、装置及存储介质 | |
US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
US20210117538A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
US20230362142A1 (en) | Network action classification and analysis using widely distributed and selectively attributed sensor nodes and cloud-based processing | |
CN108183884B (zh) | 一种网络攻击判定方法及装置 | |
CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
CN113765850B (zh) | 物联网异常检测方法、装置、计算设备及计算机存储介质 | |
CN111104670B (zh) | 一种apt攻击的识别和防护方法 | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN113824748B (zh) | 一种资产特征主动探测对抗方法、装置、电子设备及介质 | |
CN111316268A (zh) | 用于银行间金融交易的高级网络安全威胁抑制 | |
WO2021144978A1 (ja) | 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム | |
US11763004B1 (en) | System and method for bootkit detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |