[发明专利]一种Java Web应用内存木马检测方法、终端设备及存储介质有效
| 申请号: | 202110685500.3 | 申请日: | 2021-06-21 |
| 公开(公告)号: | CN113312624B | 公开(公告)日: | 2023-06-30 |
| 发明(设计)人: | 曾祥江;郑杭杰;杨雅芳;陈奋;陈荣有 | 申请(专利权)人: | 厦门服云信息科技有限公司;建信金融科技有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F8/30 |
| 代理公司: | 厦门市精诚新创知识产权代理有限公司 35218 | 代理人: | 何家富 |
| 地址: | 361000 福建省厦*** | 国省代码: | 福建;35 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 java web 应用 内存 木马 检测 方法 终端设备 存储 介质 | ||
1.一种Java Web应用内存木马检测方法,其特征在于,包括以下步骤:
S1:通过Java agent技术从运行中的Java虚拟机中获取Class字节流,具体方法为:预先按照Java agent技术规范编写一个jar文件,利用VirtualMachine.attach(pid)将编写的jar文件注入到目标进程中,向Java虚拟机中注册转换Class文件类ClassFileTransformer,调用InstrumentationUtils#retransformClasses重定义Class后,即能抓取到运行在Java虚拟机中的Class字节流;
S2:将Class字节流解析为可识别的Constant和Method;
S3:根据由敏感规则构成的敏感规则库,对解析后的Constant和Method进行匹配,根据匹配结果判断Class字节流的风险;根据匹配结果判断Class字节流的风险的具体方法为:当匹配结果中有命中敏感规则、Class字节流所属包属于Javax.servlet.Filter、Javax.servlet.Servlet和Javax.servlet.ServletRequestListener三者中的任一项的实现类,和不存在磁盘源三个条件均满足时,才判断Class字节流为内存木马。
2.根据权利要求1所述的Java Web应用内存木马检测方法,其特征在于:步骤S2中先将Class字节流按16进制读取为Class字节码文件后,再进行解析。
3.根据权利要求1所述的Java Web应用内存木马检测方法,其特征在于:步骤S3中敏感规则为危险的Java api。
4.一种Java Web应用内存木马检测终端设备,其特征在于:包括处理器、存储器以及存储在所述存储器中并在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~3中任一所述方法的步骤。
5.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1~3中任一所述方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于厦门服云信息科技有限公司;建信金融科技有限责任公司,未经厦门服云信息科技有限公司;建信金融科技有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202110685500.3/1.html,转载请声明来源钻瓜专利网。
