[发明专利]反序列化0day安全风险防御方法、装置与设备

权利要求书

1.一种反序列化零日0day安全风险防御方法，其特征在于，包括：

在基于java实现的业务系统的运行过程中，利用java探针对所述业务系统运行状态进行监控；其中，所述java探针针对java函数库中与指定反序列化攻击方式关联的java函数设置；

依据所述java探针监控到的信息，以及，所述指定反序列化攻击方式对应的判定规则，进行反序列化攻击判定；其中，所述指定反序列化攻击方式对应的判定规则依据所述指定反序列化攻击方式下的攻击特性设置；

在确定存在反序列化攻击的情况下，进行反序列化攻击防御处理。

2.根据权利要求1所述的方法，其特征在于，所述指定反序列化攻击方式包括：invoke方式、readObject方式、forName方式，以及，URLClassLoader方式中的部分或全部；

与invoke方式关联的函数包括invoke函数，针对所述invoke函数设置的java探针用于监控所述invoke函数运行时的调用者caller和方法method的实际名称；

与readObject方式关联的函数包括readObject函数和getInputStream函数，针对所述readObject函数设置的java探针用于监控所述readObject函数运行时的实际流类型，针对所述getInputStream函数设置的java探针用于监控返回的流对象；

与forName方式关联的函数包括forName函数，针对所述forName函数设置的java探针用于监控所述forName运行时输入参数的类名；

与URLClassLoader方式关联的函数包括URLClassLoader函数，针对所述URLClassLoader函数设置的java探针用于监控所述URLClassLoader函数运行时的输入参数。

3.根据权利要求2所述的方法，其特征在于，所述指定反序列化攻击方式包括invoke方式；

invoke方式对应的判定规则包括：在invoke函数运行时的caller是java.lang.ProcessBuilder，且method的实际名称是start；或，invoke函数运行时的caller是java.lang.Runtime，且method的实际名称是exec的情况下，确定存在反序列化攻击；

和/或，

所述指定反序列化攻击方式包括readObject方式；

readObject方式对应的判定规则包括：在对readObject函数运行时的当前实体进行解包装得到的对象中任一对象的哈希码hashcode在内存池的哈希池hashPools中存在相同的hashcode的情况下，确定存在反序列化攻击；其中，所述hashPools中的hashcode包括所述getInputStream函数返回的流对象的hashcode；

和/或，

所述指定反序列化攻击方式包括forName方式；

forName方式对应的判定规则包括：在forName函数运行时的输入参数的类名为java.lang.ProcessBuilder或java.lang.Runtime的情况下，确定存在反序列化攻击；

和/或，

所述指定反序列化攻击方式包括URLClassLoader方式；

URLClassLoader方式对应的判定规则包括：在所述URLClassLoader函数运行时的输入参数为外部不可信地址的情况下，确定存在反序列化攻击。

4.根据权利要求1所述的方法，其特征在于，所述在确定存在反序列化攻击的情况下，进行反序列化攻击防御处理，包括：

在所述业务系统的运行时长未超过预设时长的情况下，进行告警处理；

在所述业务系统的运行时长超过所述预设时长的情况下，进行反序列化攻击行为拦截。