本發(fā)明涉及一種Java?Web應(yīng)用內(nèi)存木馬檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)，該方法中包括：S1：從運(yùn)行中的Java虛擬機(jī)中獲取Class字節(jié)流；S2：將Class字節(jié)流解析為可識(shí)別的Constant和Method；S3：根據(jù)由敏感規(guī)則構(gòu)成的敏感規(guī)則庫(kù)，對(duì)解析后的Constant和Method進(jìn)行匹配，根據(jù)匹配結(jié)果判斷Class字節(jié)流的風(fēng)險(xiǎn)。本發(fā)明相比于傳統(tǒng)的檢測(cè)方法消耗資源更低，進(jìn)而對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行的影響更小，且避免了大量I/O操作。

技術(shù)領(lǐng)域

本發(fā)明涉及木馬檢測(cè)領(lǐng)域，尤其涉及一種Java?Web應(yīng)用內(nèi)存木馬檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

Web應(yīng)用系統(tǒng)現(xiàn)廣泛應(yīng)用于社交、購(gòu)物和郵件等重要業(yè)務(wù)線上，在網(wǎng)絡(luò)資產(chǎn)中占有非常重要的地位，系統(tǒng)的受攻擊面廣和攻擊技術(shù)多，導(dǎo)致系統(tǒng)易被入侵。“無(wú)文件馬”(內(nèi)存馬)是“主機(jī)層安全面”的無(wú)文件馬，其實(shí)現(xiàn)方法有：進(jìn)程注入(shellcode注入)、WMI后門(駐留惡意payload)、遠(yuǎn)程執(zhí)行下載命令(如：powershell、mshta、regsvr32等)。“應(yīng)用層安全面”的無(wú)文件馬(即內(nèi)存馬)是通過(guò)web容器(如tomcat、WebLogic等)或容器中的Web應(yīng)用漏洞(如：任意命令執(zhí)行、文件上傳、反序列化等)使惡意代碼駐留在內(nèi)存中，攻擊者經(jīng)常用內(nèi)存馬做權(quán)限維持。較之傳統(tǒng)的“有文件馬”攻擊，這一攻擊方式可以大大減少攻擊者在靶機(jī)中留下的痕跡(傳統(tǒng)的安全產(chǎn)品對(duì)這類攻擊的檢測(cè)能力不足)。攻擊者可以利用Java、C#、PHP等不同開發(fā)語(yǔ)言構(gòu)造不同類型的內(nèi)存馬。受限于檢測(cè)技術(shù)消耗進(jìn)程cpu資源較大。內(nèi)存馬注入方式以及實(shí)現(xiàn)變化不斷，現(xiàn)有的檢測(cè)方法很難低消耗的有效檢測(cè)出。

現(xiàn)使用內(nèi)存木馬檢測(cè)方法主要分為agent注入反編譯Class文件檢測(cè)、利用請(qǐng)求上下文StandardContext遍歷成員變量filterMaps,servletMappings判斷磁盤源檢測(cè)等其他手段口。Agent注入方式通過(guò)Java?instrumentation機(jī)制，將檢測(cè)jar包attach到j(luò)vm進(jìn)程，檢查加載到j(luò)vm中的類是否異常。整體檢測(cè)思路為：獲取jvm中所有加載的類。遍歷每個(gè)類，判斷是否為風(fēng)險(xiǎn)類。這里把可能被攻擊方新增/修改內(nèi)存中的類，標(biāo)記為風(fēng)險(xiǎn)類(比如實(shí)現(xiàn)了filter/servlet的類)。遍歷風(fēng)險(xiǎn)類，檢查是否為webshell；檢查高風(fēng)險(xiǎn)類的Class文件是否存在；反編譯風(fēng)險(xiǎn)類字節(jié)碼，檢查Java文件中包含惡意代碼。其優(yōu)勢(shì)為內(nèi)測(cè)木馬檢出率高，但對(duì)于目標(biāo)進(jìn)程cpu占用和對(duì)系統(tǒng)IO占用資源消耗較大，用JDK官方工具JMC發(fā)現(xiàn)檢測(cè)過(guò)程中在1核2G?cpu使用率飚升到80％～90％之間，嚴(yán)重影響了業(yè)務(wù)應(yīng)用，有概率直接導(dǎo)致進(jìn)程異常崩潰。經(jīng)研究消耗主要集中在dump?Class文件和Class反編譯。

發(fā)明內(nèi)容

為了解決上述問(wèn)題，本發(fā)明提出了一種Java?Web應(yīng)用內(nèi)存木馬檢測(cè)方法、終端設(shè)備及存儲(chǔ)介質(zhì)。

具體方案如下：

一種Java?Web應(yīng)用內(nèi)存木馬檢測(cè)方法，包括以下步驟：

S1：從運(yùn)行中的Java虛擬機(jī)中獲取Class字節(jié)流；

S2：將Class字節(jié)流解析為可識(shí)別的Constant和Method；

S3：根據(jù)由敏感規(guī)則構(gòu)成的敏感規(guī)則庫(kù)，對(duì)解析后的Constant和Method進(jìn)行匹配，根據(jù)匹配結(jié)果判斷Class字節(jié)流的風(fēng)險(xiǎn)。

進(jìn)一步的，步驟S1中通過(guò)Java?agent技術(shù)從運(yùn)行中的Java虛擬機(jī)中獲取Class字節(jié)流。