CN115865462A - 基于rasp的安全攻击事件快速处理方法、装置、设备及介质 - Google Patents
基于rasp的安全攻击事件快速处理方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115865462A CN115865462A CN202211497903.6A CN202211497903A CN115865462A CN 115865462 A CN115865462 A CN 115865462A CN 202211497903 A CN202211497903 A CN 202211497903A CN 115865462 A CN115865462 A CN 115865462A
- Authority
- CN
- China
- Prior art keywords
- event
- attack event
- rasp
- security attack
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质,通过在web容器中加载RASP探针,RASP探针防护web容器中是否存在第一安全攻击事件,若web容器存在第一安全攻击事件,则对第一安全攻击事件进行分析得到对应的分析数据,并通过RASP探针将分析数据发送至Portal端,接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略,控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。即本技术方案在进行实施时,通过先进的RASP辅助技术来快速、准确检测到安全攻击事件,同时快速处理模块能够按照事件处理策略对第一安全攻击事件进行快速处理,在提供个性化的防护需求的基础上提高防护效率。
Description
技术领域
本发明涉及网络安全技术领域,具体涉及基于RASP(Runtime application self-protection,运行时应用程序自我保护)的安全攻击事件快速处理方法、装置、设备及介质。
背景技术
由于互联网的迅猛发展,如今的web项目安全越来越受到关注。那么Web应用的安全对于整个项目的成功来说就非常的重要了,如今的安全防护技术大部分都是基于SAST(Static Application Security Testing),其中SAST是通常在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。但是这个防护技术是在软件开发阶段进行的,如果在产线上遇见新的安全漏洞则无技可施,会给产品造成巨大的安全损失,即现有的防护方式仍然存在以下缺点:部署复杂,成本高,普适性差;无法进行安全攻击的实时预警和防御(防护效率低);无法进行Web服务器深层次的安全防御;没法解决用户的个性化安全防御的需求;适用场景有所局限。
因此,现有技术有待于改善。
发明内容
本发明的主要目的在于提出一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质,以至少解决相关技术中web应用的防护方式存在的防护效率低的技术问题。
本发明的第一方面,提供了一种基于RASP的安全攻击事件快速处理方法,包括:
在web容器中加载RASP探针,通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件;
若所述web容器存在所述第一安全攻击事件,则对所述第一安全攻击事件进行分析得到对应的分析数据,并通过所述RASP探针将所述分析数据发送至所述Portal端;
接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略;
控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
本发明的第二方面提供了一种快速处理装置,包括:
加载模块,用于在web容器中加载RASP探针,通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件;
分析模块,用于若所述web容器存在所述第一安全攻击事件,则对所述第一安全攻击事件进行分析得到对应的分析数据,并通过所述RASP探针将所述分析数据发送至所述Portal端;
接收模块,用于接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略;
处理模块,用于通过所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
本发明的第三方面,提供了一种电子设备,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现第一方面提供的基于RASP的安全攻击事件快速处理方法中的步骤。
本发明的第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现第一方面提供的基于RASP的安全攻击事件快速处理方法中的步骤。
本发明提供了一种基于RASP的安全攻击事件快速处理方法、装置、设备及介质,通过在web容器中加载RASP探针,通过RASP探针检测web容器中是否存在第一安全攻击事件,若web容器存在第一安全攻击事件,则对第一安全攻击事件进行分析得到对应的分析数据,并通过RASP探针将分析数据发送至Portal端,接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略,控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。即本技术方案在进行实施时,首先,通过先进的RASP辅助技术,即通过所加载的RASP探针,来快速、准确检测到安全攻击事件;其次,可以通过Portal端实时、快速接收用户所反馈的与第一安全攻击事件相对应的事件处理策略,由于该事件处理策略往往是用户结合实际防护的重点所做出的决定,与实际防护需求相关性更高;最后,控制所选择的快速处理模块按照已接收到的事件快速处理策略快速对第一安全攻击事件进行处理,即可以对生产环境中的Web应用安全攻击事件进行快速处理,提高防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请第一实施例提供的基于RASP的安全攻击事件快速处理方法的基本流程示意图;
图2为本申请第二实施例提供的基于RASP的安全攻击事件快速处理方法的细化流程示意图;
图3为本申请第三实施例提供的应用升级装置的程序模块示意图;
图4为本申请第四实施例提供的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
需要注意的是,相关术语如“第一”、“第二”等可以用于描述各种组件,但是这些术语并不限制该组件。这些术语仅用于区分一个组件和另一组件。例如,不脱离本发明的范围,第一组件可以被称为第二组件,并且第二组件类似地也可以被称为第一组件。术语“和/或”是指相关项和描述项的任何一个或多个的组合。
请参阅图1,图1示出了本发明实施例所提供的一种基于RASP的安全攻击事件快速处理方法,其包括以下步骤:
步骤S101,在web容器中加载RASP探针,通过RASP探针检测web容器中是否存在第一安全攻击事件。
具体的,web容器为一种服务程序,在服务器一个端口就有一个提供相应服务的程序,而这个程序就是处理从客户端发出的请求,如JAVA中的Tomcat容器,ASP的IIS或PWS都是这样的容器。一般来说,一个服务器可以有多个容器,即web容器会处于一个服务器中。
应当理解的是,RASP探针为基于实时应用程序自我保护(RASP,RuntimeApplication Self-Protection)技术的安全检测探针,RASP是一种新型应用安全保护技术,它将保护程序像“疫苗”一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。RASP技术可以快速的将安全防御功能整合到正在运行的应用程序中,它拦截从应用程序到系统的所有调用,确保它们是安全的,并直接在应用程序内验证数据请求。同时该技术不会影响应用程序的设计,因为RASP的检测和保护功能是在应用程序运行的系统上运行的。
需要说明的是,传统的安全漏洞攻击防御技术通常是通过安装防火墙,而安装的防火墙不管是串联的部署模式,还是并联部署模式都需要用到用户的源代码,容易泄露保护应用的隐私。而在本实施例中,将RASP探针加载至web容器中,整个过程不需要使用客户源代码,能够保护私有应用的隐私。同时还可通过RASP探针的检测功能来检测web容器中是否存在第一安全攻击事件。
在本实施例的一些实施方式中,通过RASP探针检测web容器中是否存在第一安全攻击事件的步骤,具体包括:通过RASP探针向Portal端发送规则配置指令,获取Portal端基于规则配置指令反馈的安全检测规则,并采用安全检测规则检测web容器中是否存在第一安全攻击事件。
具体的,由于在web容器中加载RASP探针,该RASP探针可实现与Portal端之间通讯,则相应可以自动生成规则配置指令,并将规则配置指令发送至Portal端,以指示Portal端将预设的安全检测规则或者已配置好的安全检测规则发送至RASP探针,从而通过RASP探针获取安全检测规则,也即实现RASP探针的检测功能,如此可以采用安全检测规则检测web容器中是否存在第一安全攻击事件。
具体的,在Portal端发送安全检测规则之前,需保证RASP探针和web容器在同一个服务器之中,而将RASP探针和web容器部署在同一个服务器,具体的部署方式:将RASP探针的服务器设置为目标服务器,并将web容器的服务器设置为目标服务器,则使得两者同处于一个相同的服务器内。
还需要说明的是,传统的安全漏洞攻击防护技术通常在安装的初始阶段编写防护规则,安装完成之后无法进行修改,或者需要将防护设备关掉之后进行规则修改,修改完成之后再重启设备,在此过程中存在较长的安防真空期,并且过程复杂。而在本实施例中,Portal端与RASP探针、web容器通信连接,而基于Portal端为用于配置安全检测规则的终端,则Portal端可以通过配置指令配置安全检测规则,也即可以将配置好的安全检测规则发送至RASP探针中,基于此,RASP探针会根据相应的安全检测规则进行后续的安全攻击事件的检测。
步骤S102,若web容器存在第一安全攻击事件,则对第一安全攻击事件进行分析得到对应的分析数据,并通过RASP探针将分析数据发送至Portal端。
具体的,当通过检测并检测出web容器存在第一安全攻击事件时,可以按照预设的网络安全攻击分析方法对第一安全攻击事件进行分析,得到对应的分析数据,并通过RASP探针将分析数据发送至Portal端。其中,网络安全攻击分析方法可以是故障树分析方法、攻击图分析方法等常规分析方法。
在本实施例的一些具体实施方式中,对第一安全攻击事件进行攻击来源分析、严重等级分析、当前状态分析及攻击类型分析的多维度分析,得到对应的分析数据。
具体的,攻击来源分析、严重等级分析、当前状态分析及攻击类型分析组成多维度分析,第一维度分析数据、第二维度分析数据、第三维度分析数据、第四维度分析数据一同组成第一安全攻击事件的分析数据,即基于四种不同的分析方式提供四种维度分析模式,使得每种不同的分析方法能够分别执行不同维度的分析,从而对第一安全攻击事件分析出各维度分析信息,因此本实施例所得到的多个安全攻击分析信息能够综合、完整、客观从多个维度反映第一安全攻击事件的分析情况。
其中,在得到多个维度的分析数据时,将第二维度分析数据(分析数据中的当前严重等级)与预设的严重等级进行对比,当对比结果为该第二维度分析数据大于预设的严重等级,执行通过RASP探针将分析数据发送至Portal端的步骤。
在本实施例的一些具体实施方式中,分析数据包括安全攻击事件的攻击来源、严重等级、当前状态及攻击类型;通过RASP探针将分析数据发送至Portal端的步骤具体包括:根据分析数据生成展示指令,通过RASP探针将安全攻击事件的攻击来源、严重等级、当前状态、攻击类型及展示指令发送至Portal端。
具体的,即当得到多个维度的分析数据时(安全攻击事件的攻击来源、严重等级、当前状态、攻击类型),自动化生成展示指令,并控制RASP探针将安全攻击事件的攻击来源、严重等级、当前状态、攻击类型及展示指令一并发送至Portal端,以使得Portal端将安全攻击事件的攻击来源、严重等级、当前状态及攻击类型展示于预设的显示界面中,以供客户进行查看并进行决策输出。
步骤S103,接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略。
当将安全攻击事件的攻击来源、严重等级、当前状态及攻击类型展示于预设的显示界面中时,客户可以根据自身业务逻辑进行决策并输出事件处理策略,由于该事件处理策略往往是用户结合实际防护的重点所做出的决定,与实际防护需求相关性更高,则不同的客户会有不同的事件处理策略,如此可以满足不同客户的个性化需求。在客户做出决定,即输出事件处理策略后,Portal端会将事件处理策略传输至RASP探针。
步骤S104,控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。
具体的,当得到事件处理策略后,从预先设定的、已完成配置的快速处理模块中选择一快速处理模块,控制其按照事件快速处理策略对第一安全攻击事件进行处理。如此,通过所选择的一快速处理模块可以对生产环境中的Web应用安全攻击事件进行快速处理,提高防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
在本实施例的一些具体实施方式中,事件处理策略包括攻击范围信息及待处理操作;在接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略的步骤之后,还包括:从事件处理策略中获取与第一安全攻击事件相对应的攻击范围信息,从预设的单条攻击事件快速处理模块、应用级别攻击事件快速处理模块及服务器级别攻击事件快速处理模块中根据攻击范围信息确定所选择的快速处理模块,将待处理操作发送至所选择的快速处理模块,控制所选择的快速处理模块按照事件快速处理策略中的待处理操作对第一安全攻击事件进行处理。
具体的,web容器中预先设定的、已完成配置的事件处理模块包括单条攻击事件快速处理模块、应用级别攻击事件快速处理模块及服务器级别攻击事件快速处理模块。当得到事件处理策略后,可以根据其中的攻击范围信息来确定所选择的快速处理模块,例如当攻击范围信息为单一事件攻击范围时,则所选择的快速处理模块为单条攻击事件快速处理模块;当攻击范围信息为服务器攻击范围时,所选择的快速处理模块为服务器级别攻击事件快速处理模块;当攻击范围信息为应用攻击范围时,所选择的快速处理模块为应用级别攻击事件快速处理模块。如此,无论客户的决策,web容器中基于具备不同处理能力的各快速处理模块,都能够对第一安全攻击事件执行不同程度、不同级别的处理,即可以对生产环境中的Web应用安全攻击事件进行快速处理,提高防护效率。
在本实施例的一些具体实施方式中,控制所选择的快速处理模块按照事件快速处理策略中的待处理操作对第一安全攻击事件进行处理的步骤,具体包括:当所选择的快速处理模块为单条攻击事件快速处理模块时,控制单条攻击事件快速处理模块按照添加到黑名单、添加到URL白名单、移到回收站中的其中一种待处理操作对第一安全攻击事件进行处理;当所选择的快速处理模块为应用级别攻击事件快速处理模块时,控制应用级别攻击事件快速处理模块按照忽略应用、添加到IP黑名单、移到回收站中的其中一种待处理操作对第一安全攻击事件进行处理;当所选择的快速处理模块为服务器级别攻击事件快速处理模块时,控制服务器级别攻击事件快速处理模块按照关闭服务器、添加到IP黑名单、移到回收站中的其中一种待处理操作对第一安全攻击事件进行处理。
具体的,web容器中配置的各快速处理模块都具备执行三种不同待处理操作的功能,正因为能够执行不同的待处理操作,使得不同处理能力的各快速处理模块能够针对性地执行不同应急程度的待处理操作(可以适应不同客户所输出的不同程度的决策,为其提供个性化处理服务)。如此,当获取到所反馈的事件处理策略包括攻击范围信息及待处理操作后,控制所选择的一快速处理模块对第一安全攻击事件执行其中一种待处理操作,以完成对于第一安全攻击事件的快速处理,有效地提高安全防护效率。
在本实施例的一些具体实施方式中,在控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理的步骤之后,还包括:汇总安全防护信息,通过预设的逻辑链路分析规则对安全防护信息进行分析得到第一分析数据,通过预设的特征匹配规则对第一分析数据进行匹配得到第二分析数据,将第二分析数据与预设的漏洞库中漏洞数据进行比对,确定处于潜在状态的第二安全攻击事件,并将第二安全攻击事件的分析数据发送至server端。
具体的,RASP探针可以通过Portal端配置预设的逻辑链路分析规则、特征匹配规则,以及RASP探针可以建立与漏洞库之间的通讯,则在得到安全防护信息之后,通过预设的逻辑链路分析规则对安全防护信息进行分析得到第一分析数据,通过预设的特征匹配规则对第一分析数据进行匹配得到第二分析数据,再将第二分析数据与预设的漏洞库中漏洞数据进行比对,确定处于潜在状态的第二安全攻击事件,并将第二安全攻击事件的分析数据发送至server端。如此,通过上述逻辑链路分析规则、特征匹配规则、漏洞库比对来确定当前Web可能存在的潜在安全攻击,来进一步提高对于web容器的防护安全性。其中,漏洞库包括CVE和CNNVD权威漏洞库,则通过RASP探针进行联动,以及时防护安全攻击。以及预设的逻辑链路分析规则可以是逻辑树分析法,特征匹配规则可以是特征点匹配方法。
请参阅图2,图2中的方法为本申请第二实施例提供的一种细化的基于RASP的安全攻击事件快速处理方法,该基于RASP的安全攻击事件快速处理方法包括:
步骤S201,在web容器中加载RASP探针;
步骤S202,通过RASP探针向Portal端发送规则配置指令,获取Portal端基于规则配置指令反馈的安全检测规则,并采用安全检测规则检测web容器中是否存在第一安全攻击事件;
步骤S203,若web容器存在第一安全攻击事件,则对第一安全攻击事件进行攻击来源分析、严重等级分析、当前状态分析及攻击类型分析的多维度分析,得到对应的分析数据。
步骤S204,根据分析数据生成展示指令,通过RASP探针将安全攻击事件的攻击来源、严重等级、当前状态、攻击类型及展示指令发送至Portal端;其中,展示指令用于指示Portal端将安全攻击事件的攻击来源、严重等级、当前状态及攻击类型展示于预设的显示界面中;
步骤S205,接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略;
步骤S206,从事件处理策略中获取与第一安全攻击事件相对应的攻击范围信息,从预设的单条攻击事件快速处理模块、应用级别攻击事件快速处理模块及服务器级别攻击事件快速处理模块中根据攻击范围信息确定所选择的快速处理模块;
步骤S207,将待处理操作发送至所选择的快速处理模块,控制所选择的快速处理模块按照事件快速处理策略中的待处理操作对第一安全攻击事件进行处理;
步骤S208,汇总安全防护信息,通过预设的逻辑链路分析规则对所述安全防护信息进行分析得到第一分析数据,通过预设的特征匹配规则对第一分析数据进行匹配得到第二分析数据,将第二分析数据与预设的漏洞库中漏洞数据进行比对,确定处于潜在状态的第二安全攻击事件,并将第二安全攻击事件的分析数据发送至server端。
根据本申请方案所提供的基于RASP的安全攻击事件快速处理方法,首先,通过先进的RASP辅助技术,即通过所加载的RASP探针,来快速、准确检测到安全攻击事件;其次,可以通过Portal端实时接收用户所反馈的与第一安全攻击事件相对应的事件处理策略,由于该事件处理策略往往是用户结合实际防护的重点所做出的决定,与实际防护需求相关性更高;最后,控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理,即可以对生产环境中的Web应用安全攻击事件进行快速处理,提高防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
还需说明的是,本实施例还具备以下优势:本方法和系统可以对生产环境中的Web应用安全攻击事件进行快速处理并进行实时防护;可以同时对Web服务器中的多个安全漏洞进行实时多模块(攻击事件本身、Web应用系统和服务器多维度)进行安全防御;可以根据客户的实际业务需求从攻击事件本身、应用安全防护和服务器安全防护等多维度进行全面安全防护;通过多维度的安全防御检测和攻击防护进一步夯实服务器的安全;准确率高,精确的对攻击事件进行阻断和上报;不用使用客户源代码,能够保护私有应用的隐私;通过与CVE和CNNVD安全漏洞数据库进行实时比对,来确定当前Web可能存在的潜在安全攻击。
图3示出本申请第三实施例所提供的一种快速处理装置,该快速处理装置可用于实施上述基于RASP的安全攻击事件快速处理方法,其具体包括:
加载模块301,用于在web容器中加载RASP探针,通过RASP探针检测web容器中是否存在第一安全攻击事件;
分析模块302,用于若web容器存在所述第一安全攻击事件,则对第一安全攻击事件进行分析得到对应的分析数据,并通过RASP探针将分析数据发送至Portal端;
接收模块303,用于接收Portal端反馈的与第一安全攻击事件相对应的事件处理策略;
处理模块304,用于通过所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理。
应当说明的是,前述实施例中的基于RASP的安全攻击事件快速处理方法均可基于本实施例提供的快速处理装置实现,所属领域的普通技术人员可以清楚的了解到,为描述的方便和简洁,本实施例中所描述的快速处理装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
根据上述快速处理装置的实施,首先,通过先进的RASP辅助技术,即通过所加载的RASP探针,来快速、准确检测到安全攻击事件;其次,可以通过Portal端实时接收用户所反馈的与第一安全攻击事件相对应的事件处理策略,由于该事件处理策略往往是用户结合实际防护的重点所做出的决定,与实际防护需求相关性更高;最后,控制所选择的快速处理模块按照事件快速处理策略对第一安全攻击事件进行处理,即可以对生产环境中的Web应用安全攻击事件进行快速处理,提高防护效率。并且通过RASP技术用来对生产环境上的应用进行实时的保护,可以在产线上为应用进行实时防护,适用场景更符合实际,不会受到局限。
图4示出了本发明第四实施例所提供的电子设备,该电子设备可用于实现前述任一实施例中的基于RASP的安全攻击事件快速处理方法。该电子设备包括:
存储器401、处理器402、总线403及存储在存储器401上并可在处理器402上运行的计算机程序,存储器401和处理器402通过总线403连接。处理器402执行该计算机程序时,实现前述实施例中的基于RASP的安全攻击事件快速处理方法。其中,处理器的数量可以是一个或多个。
存储器401可以是高速随机存取记忆体(RAM,Random Access Memory)存储器,也可为非不稳定的存储器(non-volatile memory),例如磁盘存储器。存储器401用于存储可执行程序代码,处理器402与存储器401耦合。
进一步的,本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可以是设置于上述各实施例中的电子装置中,该计算机可读存储介质可以是存储器。
该计算机可读存储介质上存储有计算机程序,该程序被处理器执行时实现前述实施例中的基于RASP的安全攻击事件快速处理方法。进一步的,该计算机可存储介质还可以是U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本申请所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种基于RASP的安全攻击事件快速处理方法,其特征在于,包括:
在web容器中加载RASP探针,通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件;
若所述web容器存在所述第一安全攻击事件,则对所述第一安全攻击事件进行分析得到对应的分析数据,并通过所述RASP探针将所述分析数据发送至Portal端;
接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略;
控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
2.如权利要求1所述基于RASP的安全攻击事件快速处理方法,其特征在于,所述通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件的步骤,具体包括:
通过所述RASP探针向Portal端发送规则配置指令;其中,所述Portal端为用于配置安全检测规则的终端;
获取所述Portal端基于所述规则配置指令反馈的安全检测规则,并采用所述安全检测规则检测所述web容器中是否存在第一安全攻击事件。
3.如权利要求2所述基于RASP的安全攻击事件快速处理方法,其特征在于,所述对所述第一安全攻击事件进行分析得到对应的分析数据的步骤,具体包括:
对所述第一安全攻击事件进行攻击来源分析、严重等级分析、当前状态分析及攻击类型分析的多维度分析,得到对应的分析数据。
4.如权利要求3所述基于RASP的安全攻击事件快速处理方法,其特征在于,所述通过所述RASP探针将所述分析数据发送至所述Portal端的步骤具体包括:
根据所述分析数据生成展示指令;
通过所述RASP探针将所述安全攻击事件的攻击来源、严重等级、当前状态、攻击类型及所述展示指令发送至所述Portal端;其中,所述展示指令用于指示所述Portal端将所述安全攻击事件的攻击来源、严重等级、当前状态及攻击类型展示于预设的显示界面中。
5.如权利要求1所述基于RASP的安全攻击事件快速处理方法,其特征在于,所述事件处理策略包括攻击范围信息及待处理操作;
在所述接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略的步骤之后,还包括:
从所述事件处理策略中获取与所述第一安全攻击事件相对应的攻击范围信息;
从预设的单条攻击事件快速处理模块、应用级别攻击事件快速处理模块及服务器级别攻击事件快速处理模块中,根据所述攻击范围信息确定所选择的快速处理模块;
将所述待处理操作发送至所选择的快速处理模块;
所述控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理的步骤,具体包括:
控制所选择的快速处理模块按照所述事件快速处理策略中的待处理操作对所述第一安全攻击事件进行处理。
6.如权利要求5所述基于RASP的安全攻击事件快速处理方法,其特征在于,所述控制所选择的快速处理模块按照所述事件快速处理策略中的待处理操作对所述第一安全攻击事件进行处理的步骤,具体包括:
当所选择的快速处理模块为单条攻击事件快速处理模块时,控制所述单条攻击事件快速处理模块按照添加到黑名单、添加到URL白名单、移到回收站中的其中一种待处理操作对所述第一安全攻击事件进行处理;
当所选择的快速处理模块为应用级别攻击事件快速处理模块时,控制所述应用级别攻击事件快速处理模块按照忽略应用、添加到IP黑名单、移到回收站中的其中一种待处理操作对所述第一安全攻击事件进行处理;
当所选择的快速处理模块为服务器级别攻击事件快速处理模块时,控制所述服务器级别攻击事件快速处理模块按照关闭服务器、添加到IP黑名单、移到回收站中的其中一种待处理操作对所述第一安全攻击事件进行处理。
7.如权利要求1所述基于RASP的安全攻击事件快速处理方法,其特征在于,在所述控制所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理的步骤之后,还包括:
汇总安全防护信息,通过预设的逻辑链路分析规则对所述安全防护信息进行分析,得到第一分析数据;
通过预设的特征匹配规则对所述第一分析数据进行匹配,得到第二分析数据;
将所述第二分析数据与预设的漏洞库中漏洞数据进行比对,确定第二安全攻击事件,并将所述第二安全攻击事件的分析数据发送至server端。
8.一种快速处理装置,其特征在于,包括:
检测模块,用于在web容器中加载RASP探针,通过所述RASP探针检测所述web容器中是否存在第一安全攻击事件;
分析模块,用于若所述web容器存在所述第一安全攻击事件,则对所述第一安全攻击事件进行分析得到对应的分析数据,并通过所述RASP探针将所述分析数据发送至所述Portal端;
接收模块,用于接收所述Portal端反馈的与所述第一安全攻击事件相对应的事件处理策略;
处理模块,用于通过所选择的快速处理模块按照所述事件快速处理策略对所述第一安全攻击事件进行处理。
9.一种电子设备,其特征在于,包括存储器、处理器及总线;
所述总线用于实现所述存储器、处理器之间的连接通信;
所述处理器用于执行存储在所述存储器上的计算机程序;
所述处理器执行所述计算机程序时,实现权利要求1至7中任意一项所述基于RASP的安全攻击事件快速处理方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至7中任意一项所述基于RASP的安全攻击事件快速处理方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211497903.6A CN115865462A (zh) | 2022-11-25 | 2022-11-25 | 基于rasp的安全攻击事件快速处理方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211497903.6A CN115865462A (zh) | 2022-11-25 | 2022-11-25 | 基于rasp的安全攻击事件快速处理方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115865462A true CN115865462A (zh) | 2023-03-28 |
Family
ID=85666979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211497903.6A Pending CN115865462A (zh) | 2022-11-25 | 2022-11-25 | 基于rasp的安全攻击事件快速处理方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115865462A (zh) |
-
2022
- 2022-11-25 CN CN202211497903.6A patent/CN115865462A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113228587B (zh) | 用于基于云的控制平面事件监视的系统和方法 | |
| US9584541B1 (en) | Cyber threat identification and analytics apparatuses, methods and systems | |
| US8171550B2 (en) | System and method for defining and detecting pestware with function parameters | |
| US20180082061A1 (en) | Scanning device, cloud management device, method and system for checking and killing malicious programs | |
| CN103279707B (zh) | 一种用于主动防御恶意程序的方法、设备 | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| WO2017056121A1 (en) | Method for the identification and prevention of client-side web attacks | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| CN110138731B (zh) | 一种基于大数据的网络防攻击方法 | |
| US11893110B2 (en) | Attack estimation device, attack estimation method, and attack estimation program | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| US20230087309A1 (en) | Cyberattack identification in a network environment | |
| CN107231364B (zh) | 一种网站漏洞检测方法及装置、计算机装置及存储介质 | |
| Yermalovich et al. | Formalization of attack prediction problem | |
| CN117032894A (zh) | 容器安全状态检测方法、装置、电子设备及存储介质 | |
| KR102541888B1 (ko) | 이미지 기반 악성코드 탐지 방법 및 장치와 이를 이용하는 인공지능 기반 엔드포인트 위협탐지 및 대응 시스템 | |
| US20190188377A1 (en) | Threat Detection System | |
| CN116226865A (zh) | 云原生应用的安全检测方法、装置、服务器、介质及产品 | |
| CN115865462A (zh) | 基于rasp的安全攻击事件快速处理方法、装置、设备及介质 | |
| CN112948831B (zh) | 应用程序风险识别的方法和装置 | |
| CN114499961A (zh) | 一种安全预警方法、装置及计算机可读存储介质 | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| US11449610B2 (en) | Threat detection system | |
| US11763004B1 (en) | System and method for bootkit detection | |
| CN113098847B (zh) | 供应链管理方法、系统、存储介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |