期刊专题

10.19363/J.cnki.cn10-1380/tn.2022.11.04

面向Java的高对抗内存型Webshell检测技术

引用
由于Web应用程序的复杂性和重要性,导致其成为网络攻击的主要目标之一.攻击者在入侵一个网站后,通常会植入一个Webshell,来持久化控制网站.但随着攻防双方的博弈,各种检测技术、终端安全产品被广泛应用,使得传统的以文件形式驻留的Webshell越来越容易被检测到,内存型Webshell成为新的趋势.内存型Webshell在磁盘上不存在恶意文件,而是将恶意代码注入到内存中,隐蔽性更强,不易被安全设备发现,且目前缺少针对内存型Webshell的检测技术.本文面向Java应用程序,总结内存型Webshell的特征和原理,构建内存型Webshell威胁模型,定义了高对抗内存型Webshell,并提出一种基于RASP(Runtime application self-protection,运行时应用程序自我保护)的动静态结合的高对抗内存型Webshell检测技术.针对用户请求,基于RASP技术监测注册组件类函数和特权类函数,获取上下文信息,根据磁盘是否存在文件以及数据流分析技术进行动态特征检测,在不影响应用程序正常运行的前提下,实时地检测;针对JVM中加载的类及对动态检测方法的补充,研究基于文本特征的深度学习静态检测算法,提升高对抗内存型Webshell的检测效率.实验表明,与其他检测工具相比,本文方法检测内存型Webshell效果最佳,准确率为96.45%,性能消耗为7.74%,具有可行性,并且根据检测结果可以准确定位到内存型Webshell的位置.

内存型Webshell、RASP、动态检测、静态检测

7

TP309.5(计算技术、计算机技术)

中国科学院战略性先导科技专项;中国科学院重点实验室开放基金

2022-12-22(万方平台首次上网日期,不代表论文的发表时间)

共18页

62-79

相关文献
评论
暂无封面信息
查看本期封面目录

信息安全学报

2096-1146

10-1380/TN

7

2022,7(6)

相关作者
相关机构

专业内容知识聚合服务平台

国家重点研发计划“现代服务业共性关键技术研发及应用示范”重点专项“4.8专业内容知识聚合服务技术研发与创新服务示范”

国家重点研发计划资助 课题编号:2019YFB1406304
National Key R&D Program of China Grant No. 2019YFB1406304

©天津万方数据有限公司 津ICP备20003920号-1

信息网络传播视听节目许可证 许可证号:0108284

网络出版服务许可证:(总)网出证(京)字096号

违法和不良信息举报电话:4000115888    举报邮箱:problem@wanfangdata.com.cn

举报专区:https://www.12377.cn/

客服邮箱:op@wanfangdata.com.cn