由于Web应用程序的复杂性和重要性,导致其成为网络攻击的主要目标之一.攻击者在入侵一个网站后,通常会植入一个Webshell,来持久化控制网站.但随着攻防双方的博弈,各种检测技术、终端安全产品被广泛应用,使得传统的以文件形式驻留的Webshell越来越容易被检测到,内存型Webshell成为新的趋势.内存型Webshell在磁盘上不存在恶意文件,而是将恶意代码注入到内存中,隐蔽性更强,不易被安全设备发现,且目前缺少针对内存型Webshell的检测技术.本文面向Java应用程序,总结内存型Webshell的特征和原理,构建内存型Webshell威胁模型,定义了高对抗内存型Webshell,并提出一种基于RASP(Runtime application self-protection,运行时应用程序自我保护)的动静态结合的高对抗内存型Webshell检测技术.针对用户请求,基于RASP技术监测注册组件类函数和特权类函数,获取上下文信息,根据磁盘是否存在文件以及数据流分析技术进行动态特征检测,在不影响应用程序正常运行的前提下,实时地检测;针对JVM中加载的类及对动态检测方法的补充,研究基于文本特征的深度学习静态检测算法,提升高对抗内存型Webshell的检测效率.实验表明,与其他检测工具相比,本文方法检测内存型Webshell效果最佳,准确率为96.45％,性能消耗为7.74％,具有可行性,并且根据检测结果可以准确定位到内存型Webshell的位置.

内存型Webshell;RASP;动态检测;静态检测

张金莉;陈星辰;王晓蕾;陈庆旺;代峰;李香龙;冯云;崔翔

中国科学院信息工程研究所 北京中国 100093;中国科学院大学网络空间安全学院 北京中国 100049;广州大学网络空间先进技术研究院 广州中国 510006

信息安全学报

[1]张金莉;陈星辰;王晓蕾;陈庆旺;代峰;李香龙;冯云;崔翔-.面向Java的高对抗内存型Webshell检测技术)[J].信息安全学报,2022(06):62-79

注册组

Java,Webshell,应用程序,网络攻击,攻击者,持久化,控制网,攻防,终端安全,驻留,磁盘,盘上,恶意文件,恶意代码,代码注入,隐蔽性,安全设备,RASP,Runtime,application,self,protection,自我保护,动静态,请求,技术监测,特权,上下文信息,数据流分析,动态特征,特征检测,JVM,动态检测方法,文本特征,静态检测,检测算法,检测效率,检测工具,准确定位

0.351953