本發(fā)明提出了一種基于RASP零規(guī)則的JNI惡意攻擊檢測方法，包括：實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP實(shí)時(shí)監(jiān)聽網(wǎng)頁中的產(chǎn)生的操作事件；解析所述操作事件，通過調(diào)用相應(yīng)的JIN掃描線程進(jìn)行操作事件掃描；根據(jù)對操作事件的掃描結(jié)果調(diào)用RASP中相應(yīng)的零規(guī)則漏洞檢測算法對操作事件進(jìn)行攻擊行為檢測，并將所述檢測結(jié)果上傳至JAVA層。本發(fā)明的檢測方法在惡意攻擊檢測過程中基于JIN線程的準(zhǔn)確性以及RASP中預(yù)設(shè)的規(guī)則的靈活性，有效提升惡意攻擊檢測效率。另外，本發(fā)明還提供了一種基于RASP零規(guī)則的JNI惡意攻擊檢測裝置。

技術(shù)領(lǐng)域

本發(fā)明屬于信息安全檢測技術(shù)領(lǐng)域，具體為一種基于RASP零規(guī)則的JNI惡意攻擊檢測方法及裝置。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，移動(dòng)終端對網(wǎng)絡(luò)的需求增大也是基于應(yīng)用軟件的不斷增多而形成的，應(yīng)用軟件市場使軟件行銷、安裝和更新一體化，因此開發(fā)者可以很容易的把應(yīng)用程序放到應(yīng)用市場中，人們也可以很容易的從應(yīng)用市場中獲取和使用相應(yīng)的應(yīng)用程序。

通過分析典型漏洞攻擊流程，總結(jié)得到的漏洞攻擊利用規(guī)則集合，具有一定程度的通用性。然而對于傳統(tǒng)WAF的來說，一方面拿不到數(shù)據(jù)庫的查詢語句，只能在請求里尋找SQL注入特征；另一方面也無法識別用戶輸入，所以存在繞過的可能。此外，現(xiàn)有技術(shù)中缺乏有效的JNI一致性檢查方案。在進(jìn)行漏洞檢測時(shí)，不能根據(jù)JNI的一致性來進(jìn)行漏洞檢測從而造成網(wǎng)絡(luò)威脅。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足之處，提出了基于RASP零規(guī)則的JNI惡意攻擊檢測方法及裝置。從而在惡意攻擊檢測過程中基于JNI線程的準(zhǔn)確性以及RASP中預(yù)設(shè)的規(guī)則的靈活性，有效提升惡意攻擊檢測效率。

本發(fā)明提出了一種基于RASP零規(guī)則的JNI惡意攻擊檢測方法，所述方法包括如下步驟：

實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP實(shí)時(shí)監(jiān)聽網(wǎng)頁中的產(chǎn)生的操作事件；

解析所述操作事件，通過調(diào)用相應(yīng)的JNI掃描線程進(jìn)行操作事件掃描；

根據(jù)對操作事件的掃描結(jié)果調(diào)用RASP中相應(yīng)的零規(guī)則漏洞檢測算法對操作事件進(jìn)行攻擊行為檢測，并將所述檢測結(jié)果上傳至JAVA層。

進(jìn)一步，所述實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP實(shí)時(shí)監(jiān)聽網(wǎng)頁中的產(chǎn)生的操作事件的步驟之前，還包括，在實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP中創(chuàng)建JAVA本地接口JNI掃描線程，其中，所述實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP中設(shè)置基于不同JNI掃描線程對應(yīng)的零規(guī)則漏洞檢測模型。

進(jìn)一步，所述零規(guī)則漏洞檢測模型包括基于SQL注入的檢測算法模型、基于WebShell行為識別算法的檢測模型。

進(jìn)一步，所述解析所述操作事件，通過調(diào)用相應(yīng)的JNI掃描線程進(jìn)行操作事件掃描的步驟，還包括，調(diào)用API檢測插件對語句進(jìn)行token解析，去除語句中匹配出的字符特征，再次進(jìn)行token解析，判斷操作事件中攜帶的攻擊類型，若為SQL注入漏洞，則調(diào)用基于SQL漏洞的JNI掃描線程進(jìn)行掃描；若為WebShell行為攻擊特征，則調(diào)用基于WebShell行為攻擊特征的JNI掃描線程進(jìn)行掃描。

進(jìn)一步，所述JNI掃描線程包括基于敏感文件的掃描線程，基于數(shù)據(jù)庫下載的掃描線程以及訪問權(quán)限的掃描線程。

進(jìn)一步，所述基于訪問權(quán)限的掃描線程包括所述操作事件訪問服務(wù)中的訪問權(quán)限，以及，包括所述操作事件中對應(yīng)的訪問用戶訪問所述操作事件以外的訪問權(quán)限。

本發(fā)明的第二方面的目的是提出了一種基于RASP零規(guī)則的JNI惡意攻擊檢測裝置，所述裝置包括：

監(jiān)聽模塊，用于通過實(shí)時(shí)應(yīng)用程序自我保護(hù)系統(tǒng)RASP實(shí)時(shí)監(jiān)聽網(wǎng)頁中的產(chǎn)生的操作事件；

解析模塊，用于解析所述操作事件，通過調(diào)用相應(yīng)的JNI掃描線程進(jìn)行操作事件掃描；