[发明专利]一种基于RASP零规则的JNI恶意攻击检测方法及装置

权利要求书

1.一种基于RASP零规则的JNI恶意攻击检测方法，其特征在于：所述方法包括：

实时应用程序自我保护系统RASP实时监听网页中的产生的操作事件；

解析所述操作事件，通过调用相应的JNI扫描线程进行操作事件扫描；解析所述操作事件，通过调用相应的JNI扫描线程进行操作事件扫描的步骤，还包括，调用API检测插件对语句进行token解析，去除语句中匹配出的字符特征，再次进行token解析，判断操作事件中携带的攻击类型，若为SQL注入漏洞，则调用基于SQL漏洞的JNI扫描线程进行扫描；若为WebShell行为攻击特征，则调用基于WebShell行为攻击特征的JNI扫描线程进行扫描；

根据对操作事件的扫描结果调用RASP中相应的零规则漏洞检测算法对操作事件进行攻击行为检测，并将所述检测结果上传至JAVA层；

所述实时应用程序自我保护系统RASP实时监听网页中的产生的操作事件的步骤之前，还包括，在实时应用程序自我保护系统RASP中创建JAVA本地接口JNI扫描线程，其中，所述实时应用程序自我保护系统RASP中设置基于不同JNI扫描线程对应的零规则漏洞检测模型；零规则漏洞检测模型包括基于SQL注入的检测算法模型、基于WebShell行为识别算法的检测模型。

2.根据权利要求1所述的基于RASP零规则的JNI恶意攻击检测方法，其特征在于：所述JNI扫描线程包括基于敏感文件的扫描线程，基于数据库下载的扫描线程以及访问权限的扫描线程。

3.根据权利要求2所述的基于RASP零规则的JNI恶意攻击检测方法，其特征在于：所述基于访问权限的扫描线程包括所述操作事件访问服务中的访问权限，以及，包括所述操作事件中对应的访问用户访问所述操作事件以外的访问权限。

4.一种基于RASP零规则的JNI恶意攻击检测装置，其特征在于：所述装置包括：

监听模块，用于通过实时应用程序自我保护系统RASP实时监听网页中的产生的操作事件；

解析模块，用于解析所述操作事件，通过调用相应的JNI扫描线程进行操作事件扫描；

处理模块，用于根据对操作事件的扫描结果调用RASP中相应的零规则漏洞检测算法对操作事件进行攻击行为检测，并将所述检测结果上传至JAVA层；

所述装置还包括创建模块，用于在实时应用程序自我保护系统RASP中创建JAVA本地接口JNI扫描线程，其中，所述实时应用程序自我保护系统RASP中设置基于不同JNI扫描线程对应的零规则漏洞检测模型；

所述解析模块，还用于调用API检测插件对语句进行token解析，去除语句中匹配出的字符特征，再次进行token解析，判断操作事件中携带的攻击类型，若为SQL注入漏洞，则调用基于SQL漏洞的JNI扫描线程进行扫描；若为WebShell行为攻击特征，则调用基于WebShell行为攻击特征的JNI扫描线程进行扫描。

5.根据权利要求4所述的基于RASP零规则的JNI恶意攻击检测装置，其特征在于：所述装置还包括权限设置模块，用于设置包括操作事件访问服务中的访问权限，以及，包括所述操作事件中对应的访问用户访问所述操作事件以外的访问权限。