本發(fā)明實施例提供一種安全防護方法及裝置，其中方法包括：通過第一監(jiān)控點獲取編譯過程中讀取的待編譯文件；將所述待編譯文件與白名單包括的合法文件進行匹配，得到第一匹配結果；基于所述第一匹配結果確定所述待編譯文件是否安全。本發(fā)明提供的安全防護方法及裝置，只允許對白名單中已知的合法文件進行編譯，不允許對未知待編譯文件進行編譯，屬于白名單的防護思路，即便待編譯文件已上傳，但無法編譯，從而可以避免未知待編譯文件上傳造成的攻擊，實現(xiàn)了對網(wǎng)絡的安全防護。

技術領域

本發(fā)明涉及安全防護技術領域，尤其涉及一種安全防護方法及裝置。

背景技術

隨著信息技術的不斷發(fā)展，人類社會的信息化程度越來越高，整個社會對網(wǎng)絡信息的依賴程度也越來越高，從而網(wǎng)絡安全的重要性也越來越高。目前對網(wǎng)絡安全造成威脅的攻擊也越來越多，例如，攻擊者利用業(yè)務系統(tǒng)自身固有的漏洞上傳任意文件達到攻擊的目的。

相關技術中，通常采用掃描配置基線的防護思路，例如，OpenRASP通過掃描一些常見漏洞的配置基線，輔助修改配置基線中比較危險的配置項，以實現(xiàn)配置項漏洞的修復，從而可以防范任意文件上傳，進而達到防護任意文件上傳造成的攻擊。但這種防護方式只能針對過往出現(xiàn)過的漏洞進行防護，當有新的漏洞出現(xiàn)時無法修改對應的配置文件，從而會導致攻擊者利用新的漏洞上傳任意文件達到攻擊的目的。

發(fā)明內(nèi)容

針對現(xiàn)有技術中的問題，本發(fā)明實施例提供一種安全防護方法及裝置。

具體地，本發(fā)明實施例提供了以下技術方案：

第一方面，本發(fā)明實施例提供了一種安全防護方法，包括：

通過第一監(jiān)控點獲取編譯過程中讀取的待編譯文件；

將所述待編譯文件與白名單包括的合法文件進行匹配，得到第一匹配結果；

基于所述第一匹配結果確定所述待編譯文件是否安全。

進一步地，所述將所述待編譯文件與白名單包括的合法文件進行匹配，得到第一匹配結果，包括：

在確定所述白名單包括的合法文件中包含編譯過程中讀取的所有待編譯文件時，確定所述第一匹配結果為匹配成功；

在確定所述白名單包括的合法文件中不包含編譯過程中讀取的所有待編譯文件時，確定所述第一匹配結果為匹配失敗。

進一步地，所述白名單還包括繼承編譯規(guī)范的合法類文件和所述待編譯文件對應的合法編譯結果文件；所述合法類文件為所述合法文件中的文件；

所述方法還包括：

在基于所述第一匹配結果確定所述待編譯文件安全的情況下，通過第二監(jiān)控點獲取類加載過程中的待加載文件；

將所述待加載文件與所述白名單中的合法類文件和合法編譯結果文件進行匹配，得到第二匹配結果；

基于所述第二匹配結果確定所述待加載文件是否安全。

進一步地，所述將所述待加載文件與所述白名單中的合法類文件和合法編譯結果文件進行匹配，得到第二匹配結果，包括：

確定所述白名單中的合法類文件的集合和合法編譯結果文件的集合的交集；

在確定所述交集中包含類加載過程中的所有待加載文件時，確定所述第二匹配結果為匹配成功；

在確定所述交集中不包含類加載過程中的所有待加載文件時，確定所述第二匹配結果為匹配失敗。

進一步地，在所述將所述待編譯文件與白名單包括的合法文件進行匹配，得到第一匹配結果之前，所述方法還包括：

對部署代碼進行掃描，得到所述部署代碼中的合法文件，并將所述合法文件記錄在所述白名單中。