10.19363/J.cnki.cn10-1380/tn.2022.11.04
面向Java的高对抗内存型Webshell检测技术
由于Web应用程序的复杂性和重要性,导致其成为网络攻击的主要目标之一.攻击者在入侵一个网站后,通常会植入一个Webshell,来持久化控制网站.但随着攻防双方的博弈,各种检测技术、终端安全产品被广泛应用,使得传统的以文件形式驻留的Webshell越来越容易被检测到,内存型Webshell成为新的趋势.内存型Webshell在磁盘上不存在恶意文件,而是将恶意代码注入到内存中,隐蔽性更强,不易被安全设备发现,且目前缺少针对内存型Webshell的检测技术.本文面向Java应用程序,总结内存型Webshell的特征和原理,构建内存型Webshell威胁模型,定义了高对抗内存型Webshell,并提出一种基于RASP(Runtime application self-protection,运行时应用程序自我保护)的动静态结合的高对抗内存型Webshell检测技术.针对用户请求,基于RASP技术监测注册组件类函数和特权类函数,获取上下文信息,根据磁盘是否存在文件以及数据流分析技术进行动态特征检测,在不影响应用程序正常运行的前提下,实时地检测;针对JVM中加载的类及对动态检测方法的补充,研究基于文本特征的深度学习静态检测算法,提升高对抗内存型Webshell的检测效率.实验表明,与其他检测工具相比,本文方法检测内存型Webshell效果最佳,准确率为96.45%,性能消耗为7.74%,具有可行性,并且根据检测结果可以准确定位到内存型Webshell的位置.
内存型Webshell、RASP、动态检测、静态检测
7
TP309.5(计算技术、计算机技术)
中国科学院战略性先导科技专项;中国科学院重点实验室开放基金
2022-12-22(万方平台首次上网日期,不代表论文的发表时间)
共18页
62-79
