本公开提供一种行为基线库的构造方法、安全检查方法、装置及介质,其中,所述行为基线库的构造方法包括:在应用测试阶段对应用系统进行测试,得到测试结果;基于所述测试结果分析应用系统当前的正常行为和攻击行为,得到第一行为分析结果;基于所述行为分析结果构造行为基线库。本公开在应用测试阶段开始分析应用的正常行为和攻击行为并构造行为基线库,推动了行为基线库构造的左移,节省了应用系统上线运行后行为监测和应用行为基线的学习时间,其至少可以有效解决目前通过应用系统上线运行后对应用的行为进行监测所构造的行为白名单来进行安全检测,所产生的在面对攻击时的延时滞后性问题,对攻击行为实现有效防御,提高了系统的安全性。统的安全性。统的安全性。
【技术实现步骤摘要】
行为基线库的构造方法、安全检查方法、装置及介质
[0001]本公开涉及网络安全
,尤其涉及一种行为基线库的构造方法、一种安全检查方法、一种行为基线库的构造装置、一种安全检查装置以及一种计算机可读存储介质。
技术介绍
[0002]随着云原生技术的广泛使用,应用系统安全已经成为信息安全领域的重要方面,根据调查统计,信息安全攻击有75%都发生在应用层面而非网络层面上,而这方面的防护却相当薄弱。特别是当前云原生技术快速发展、各类应用容器化部署、应用敏捷开发和快速上线的特点,导致了应用可能会出现更多的漏洞与安全问题,进而被攻击者利用后而发起攻击行为。同时,传统的应用系统安全防护主要集中在应用运行时防护,例如web应用安全网关(Web Application Firewall,简称WAF)、web漏洞扫描器等。如何更有效的对应用系统进行防护,已经成为应用系统安全防护亟需解决的重要方面,只有有效的保证应用系统的安全,才能进一步保证操作系统以及整个云环境的安全。
[0003]目前,对于应用系统的安全防护手段除了采用WAF和web漏洞扫描器外,安全从业人员已经开始研究更多的应用保护技术,包括应用行为监测、应用行为白名单、应用堡垒锁以及应用运行时保护技术等,其中应用行为白名单的构建需要依赖于应用行为监测,由于需要对系统功能和安全风险进行监测和分析,在应用系统上线运行后需要监测很长的时间来构建应用的行为白名单,然后通过行为白名单来对应用进行安全防护。因此通过应用系统上线运行后对应用的行为进行监测来构造行为白名单的方法在面对攻击时也存在一定的延时滞后性,当真正的攻击发生时会存在对部分攻击无法抵御的情况。
技术实现思路
[0004]本公开提供了一种行为基线库的构造方法、安全检查方法、行为基线库的构造装置、安全检查装置及计算机可读存储介质,以至少解决目前通过应用系统上线运行后对应用的行为进行监测所构造的行为白名单来进行安全检测,所产生的在面对攻击时存在延时滞后性,可能存在攻击发生时对部分攻击无法抵御的技术问题。
[0005]为实现上述目的,本公开提供一种行为基线库的构造方法,包括:
[0006]在应用测试阶段对应用系统进行测试,得到测试结果;
[0007]基于所述测试结果分析应用系统当前的正常行为和攻击行为,得到第一行为分析结果;以及,基于所述行为分析结果构造行为基线库。
[0008]在一种实施方式中,在应用测试阶段对应用系统进行测试,包括:
[0009]利用交互式应用程序安全测试IAST在测试阶段对应用系统进行测试。
[0010]在一种实施方式中,所述测试结果包括第一测试结果和第二测试结果,所述在应用测试阶段对应用系统进行测试,包括:
[0011]在测试阶段对应用系统进行功能测试,得到第一测试结果;以及,在测试阶段对应用系统进行安全漏洞测试,得到第二测试结果。
[0012]在一种实施方式中,在测试阶段对应用系统进行功能测试,得到第一测试结果,包括:
[0013]获取应用系统的请求数据包,所述请求数据包包括应用功能的请求统一资源定位符、请求头信息、请求参数信息、待访问的文件路径、待执行的代码文件及待调用的代码函数;以及,
[0014]基于所述请求数据包对相应的应用功能进行测试,得到第一测试结果,所述第一测试结果携带所述请求数据包的各项信息。
[0015]在一种实施方式中,在测试阶段对应用系统进行安全漏洞测试,得到第二测试结果,包括:
[0016]在测试阶段对应用系统进行代码扫描,得到产生安全漏洞的代码的定位信息及其风险函数;以及,
[0017]基于所述代码的定位信息及其风险函数生成第二测试结果。
[0018]在一种实施方式中,在基于所述行为分析结果构造行为基线库之后,还包括:
[0019]在应用运行阶段获取应用系统的运行数据;
[0020]基于所述运行数据分析应用系统当前的正常行为和攻击行为,得到第二行为分析结果;以及,
[0021]基于所述第二行为分析结果更新所述行为基线库。
[0022]为实现上述目的,本公开还提供一种安全检查方法,包括:
[0023]在应用运行阶段基于所述的行为基线库的构造方法所构造的行为基线库对应用系统进行安全检查。
[0024]为实现上述目的,本公开还提供一种行为基线库的构造装置,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的行为基线库的构造方法。
[0025]为实现上述目的,本公开还提供一种安全检查装置,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的安全检查方法。
[0026]为实现上述目的,本公开还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的行为基线库的构造方法,或者所述的安全检查方法。
[0027]根据本公开提供的行为基线库的构造方法,通过在应用测试阶段对应用系统进行测试,得到测试结果,然后基于所述测试结果分析应用系统当前的正常行为和攻击行为,得到第一行为分析结果,并基于所述行为分析结果构造行为基线库,在应用测试阶段结合应用测试过程分析应用的正常行为和攻击行为并构造行为基线库,推动了行为基线库构造的左移,节省了应用系统上线运行后行为监测和应用行为基线的学习时间,从而在发生攻击行为时有效降低行为分析的延时滞后性,保障攻击行为的有效防御,提高系统的安全性。
[0028]本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0029]附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
[0030]图1为本公开实施例提供的一种行为基线库的构造方法的流程示意图;
[0031]图2为本公开实施例提供的另一种行为基线库的构造方法的流程示意图;
[0032]图3为本公开实施例提供的一种安全检查方法的流程示意图;
[0033]图4为本公开实施例提供的一种行为基线库的构造装置的结构示意图;
[0034]图5为本公开实施例提供的一种安全检查装置的结构示意图。
具体实施方式
[0035]为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
[0036]需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种行为基线库的构造方法,其特征在于,包括:在应用测试阶段对应用系统进行测试,得到测试结果;基于所述测试结果分析应用系统当前的正常行为和攻击行为,得到第一行为分析结果;以及,基于所述行为分析结果构造行为基线库。2.根据权利要求1所述的方法,其特征在于,在应用测试阶段对应用系统进行测试,包括:利用交互式应用程序安全测试IAST在测试阶段对应用系统进行测试。3.根据权利要求1或2所述的方法,其特征在于,所述测试结果包括第一测试结果和第二测试结果,所述在应用测试阶段对应用系统进行测试,包括:在测试阶段对应用系统进行功能测试,得到第一测试结果;以及,在测试阶段对应用系统进行安全漏洞测试,得到第二测试结果。4.根据权利要求3所述的方法,其特征在于,在测试阶段对应用系统进行功能测试,得到第一测试结果,包括:获取应用系统的请求数据包,所述请求数据包包括应用功能的请求统一资源定位符、请求头信息、请求参数信息、待访问的文件路径、待执行的代码文件及待调用的代码函数;以及,基于所述请求数据包对相应的应用功能进行测试,得到第一测试结果,所述第一测试结果携带所述请求数据包的各项信息。5.根据权利要求3所述的方法,其特征在于,在测试阶段对应用系统进行安全漏洞测试,得到第二测试结果,包括:在测试阶段对应用系统进行代码扫描,得到产生...
【专利技术属性】
技术研发人员:郭新海,徐雷,张小梅,刘安,丁攀,蓝鑫冲,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。