RASP按需热部署漏洞类型对应防护策略的方法及系统

技术领域

本发明属于计算机技术领域，尤其涉及RASP按需热部署漏洞类型对应防护策略的方法及系统。

背景技术

本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

在日常软件应用的开发过程中，为了提高开发效率和节约开发成本，越来越多的企业难免会通过软件供应链使用大量的开源组件。与传统供应链不同，开源软件供应链由于迭代快、数量多、用户多样化等特点而暴露在更多风险之下，不法分子可以利用供应链中已有的漏洞进行组合攻击；开发人员由于缺少对软件供应链的甄选，软件应用(比如JavaWeb应用)常常会因为使用了危险或过旧的组件而面临遭受攻击的危险，比如2021年12月被全球广泛应用的组件Apache Log4j2爆出远程代码执行漏洞(CVE-2021-44228)，被行业内喻为“核弹级漏洞”，几乎所有行业都不同程度地受到了该漏洞的影响，漏洞爆出后各厂商紧急组织安全人员进行了人工排查、修复、升级版本；有的厂商还采取了通过配置防火墙策略等方案进行紧急加固。

面对Web应用的安全威胁，传统的在Web应用遭受漏洞攻击事件发生后，通过人工紧急加固配置防火墙策略以及紧急排查漏洞的程序和组件并进行修复、测试、升级版本的应对方案存在较多的缺点，比如基于防火墙检测分析手段容易被绕过、容易错误甄别从而影响应用正常的功能、人工修复升级响应时间长、升级需要重启应用影响正常业务等等。

创新性的RASP(应用运行时自我保护)产品，在安全行业内受到高度关注，相比传统防火墙依赖请求特征检测攻击的模式有了革命性的提升，它将防护引擎嵌入到应用内部，与应用程序融为一体，通过Hook关键函数来实时观测程序运行期间的内部情况，当应用出现可疑行为时，根据当起上下文环境精准识别攻击事件，并进行实时阻断，从而使应用程序具备了自我防护能力，而不需要进行人工干预。

为了适应不同语言的兼容共享以及防护能力的升级维护方便，RASP产品的核心防护功能部分通常以插件或者策略脚本的形式独立存在，该插件或者策略脚本内部包含了当前所支持的所有漏洞类型的检测与防护。

虽然RASP类产品具备实时检测和防护，识别攻击更准确，攻击类型覆盖全面(OWASP TOP 10 2017)，但是尚不具备对危险或过旧组件的漏洞检测能力，因此RASP产品为保持其通用性，如图1所示，在启动初始化时只能将整个防护插件Checker装载并将自身支持的所有防护类型实例化至内存，进而对目标类进行字节码增强，无法做到对Web应用程序按需加载防护类型。这样一来对Web应用来说它可能加载了多余的防护类型和进行了没有必要的字节码增强，存在一定的资源损耗和性能浪费；而且随着业界漏洞数量不断增量的趋势，RASP的防护插件的体积会逐渐积累增加，这种全量携带和装载防护类型的方式在资源和性能消耗上也会逐步扩大，从而增加了Web应用的整体负荷，甚至可能影响到用户体验。

发明内容

为克服上述现有技术的不足，本发明提供了RASP按需热部署漏洞类型对应防护策略的方法及系统，优化RASP产品的防护插件的维护和装载方式,实现针对Web应用按需动态热部署对应漏洞类型的防护策略，精准防护的同时降低RASP的资源和性能损耗，为Web应用提供更高效的防护。

为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

本发明第一方面提供了RASP按需热部署漏洞类型对应防护策略的方法。

RASP按需热部署漏洞类型对应防护策略的方法，包括：

在RASP产品内部集成SCA类组件，Web应用启动时，对当前应用的所有依赖库进行扫描分析得出漏洞检查结果；

通过RASP防护分析器，对漏洞检查结果和统一维护的RASP防护清单库进行综合分析，得出当前应用所需要进行防护的目标类型清单；

Rasp代理从统一按类型维护的插件集合中，根据目标类型清单筛选出目标防护插件，按需热部署相应的插件。

进一步的，所述SCA类组件，具有软件构成分析和检测依赖库漏洞能力，在随Web应用启动时控制SCA类组件优先运行。

进一步的，所述统一维护的RASP防护清单库，是建立RASP自己的防护类型与公开漏洞库数据的映射关系，通过加密文件或数据库文件形式建立，通过RASP的rasp cloud端进行统一的维护和更新。

进一步的，所述得出当前应用所需要进行防护的目标类型清单，是基于防护类型与公开漏洞库数据的映射关系，筛选出SCA的漏洞检查结果对应的防护类型，组成目标类型清单。

进一步的，所述统一按类型维护的插件集合，是将RASP原来一个大而全的防护插件文件按照防护类型拆解为一个个插件文件集合，同时改造RASP agent对防护插件的装载引擎，支持按类型装载和部署对应的防护策略。

进一步的，所述根据目标类型清单筛选出目标防护插件，依据插件集合中防护类型与防护插件的对应关系，从插件集合中筛选出目标类型清单对应的防护插件，组成目标防护插件。

进一步的，所述按需热部署相应的插件，将目标防护插件装载和实例化至内存，并对目标类型进行字节码增强。

本发明第二方面提供了RASP按需热部署漏洞类型对应防护策略的系统。

RASP按需热部署漏洞类型对应防护策略的系统，包括漏洞扫描模块、类型分析模块和插件部署模块：

漏洞扫描模块，被配置为：在RASP产品内部集成SCA类组件，Web应用启动时，对当前应用的所有依赖库进行扫描分析得出漏洞检查结果；

类型分析模块，被配置为：通过RASP防护分析器，对漏洞检查结果和统一维护的RASP防护清单库进行综合分析，得出当前应用所需要进行防护的目标类型清单；

插件部署模块，被配置为：Rasp代理从统一按类型维护的插件集合中，根据目标类型清单筛选出目标防护插件，按需热部署相应的插件。

本发明第三方面提供了计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如本发明第一方面所述的RASP按需热部署漏洞类型对应防护策略的方法中的步骤。

本发明第四方面提供了电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如本发明第一方面所述的RASP按需热部署漏洞类型对应防护策略的方法中的步骤。

以上一个或多个技术方案存在以下有益效果：

本发明提供了一种实现RASP按需动态热部署漏洞类型对应防护策略的方法，主要是优化RASP产品的防护插件的维护和装载方式，实现针对Web应用按需动态热部署对应漏洞类型的防护策略，精准防护的同时降低RASP的资源和性能损耗以及RASP agent与RASPCloud之间策略同步时降低了网络传输，提高了策略同步时效性，为Web应用提供更高效的防护。

本发明中RASP SCA模块的漏洞检测能力，可以及时将Web应用开发阶段发现的漏洞依赖库暴漏出来，便于研发人员及时升级版本或修复漏洞，将应用安全左移至应用产品的发布或上线之前，最大可能降低应用安全隐患，防患于未然；通过整合方案对应用来说具备了安全事件的事前防范和事中保护的双重保障，将非常有效的提升应用的安全性。

本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。

图1为RASP产品现有防御方案示意图。

图2为第一个实施例的方法流程图。

图3为第一个实施例RASP产品按需动态热部署漏洞类型对应防护策略方案的示意图。

图4为第一个实施例SCA模块的示意图。

具体实施方式

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

实施例一

在一个或多个实施方式中，公开了RASP按需热部署漏洞类型对应防护策略的方法，方法流程如图2所示，RASP产品按需动态热部署漏洞类型对应防护策略方案的示意图如图3所示，包括如下步骤：

步骤S1：在RASP产品内部集成SCA类组件，Web应用启动时，对当前应用的所有依赖库进行扫描分析得出漏洞检查结果。

设置SCA模块，通过集成SCA类组件(比如整合危险与过旧检测组件Dependency-Check)在RASP产品内置软件构成分析和检测依赖库漏洞能力，RASP产品在随Web应用启动时可以控制SCA模块优先运行，对当前应用的所有依赖库进行扫描分析得出漏洞检查结果。

步骤S2：通过RASP防护分析器，对漏洞检查结果和统一维护的RASP防护清单库进行综合分析，得出当前应用所需要进行防护的目标类型清单。

设置RASP防护清单库(Protection List Library，简称PLL)，其主要目的是建立RASP自己的防护类型与公开漏洞库数据的映射关系，PLL内置于RASP产品的rasp agent(rasp代理)端和rasp cloud(rasp云安全中心)端，可通过rasp cloud端进行统一的维护和更新。

设置RASP防护分析器(Protection Analyzer，简称PA),PA通过对SCA的漏洞检查结果数据和RASP防护清单库数据进行综合分析，最终得出当前应用所需要进行防护的目标类型清单(Destination Protection List，简称DPL)。

步骤S3：Rasp代理从统一按类型维护的插件集合中，根据目标类型清单筛选出目标防护插件，按需热部署相应的插件。

优化RASP防护插件，将RASP原来一个大而全的防护插件文件按照防护类型拆解为一个个插件文件集合，同时改造RASP agent的对防护插件的装载引擎，支持按类型装载和部署对应的防护策略。

Rasp agent根据所得到的DPL，实现在插件集合中装载和实例化目标防护插件以及相关类和方法的字节码增强，完成按需动态热部署对应漏洞类型防护策略的效果。

实现RASP按需动态热部署漏洞类型对应防护策略方案中关键的两个部分为SCA模块和PLL模块，二者是为RASP防护分析器提供了有力的分析依据，下面对这两个模块进行说明。

SCA模块

集成SCA类组件，比如整合危险与过旧检测组件Dependency-Check，也可以替代为其他SCA类产品或组件；如图4所示，在RASP agent中调整初始模块，在初始化过程中优先启动SCA(Dependency-Check cli)组件进行当前应用依赖库的漏洞扫描；需注意Dependency-Check所依赖的NVD漏洞数据库在局域内网环境无法使用的问题，可通过在内网环境内搭建本地NVD漏洞库或NVD漏洞代理来支持漏洞库的更新，确保在内网和外网环境下均可正常获取漏洞数据库；SCA模块执行完毕输出漏洞检查结果，可作为RASP PA模块的分析依据，同时在Web应用的研发阶段期间，该漏洞检查结果亦可提示研发人员及早的升级或修复漏洞，降低安全风险。

PLL模块

RASP防护清单库(Protection List Library，简称PLL)，其主要目的是建立RASP自己的防护类型与公开漏洞库数据的映射关系，PLL内置于RASP产品的rasp agent(rasp代理)端和rasp cloud(rasp云安全中心)端，可通过rasp cloud端进行统一的维护和更新；PLL可通过加密文件或数据库文件形式建立，其主要字段包括：Hook类信息、Hook方法信息、依赖库名称、依赖库版本、CVE序号、漏洞级别、fixed版本等。

本实施例提供的RASP按需热部署漏洞类型对应防护策略的方法，以RASP类产品或组件整合SCA类产品或组件为一体的应用安全方案，以SCA漏洞检查结果和RASP Hook信息关联映射建立的的RASP防护清单库，RASP防护插件由集中式改进为按类型拆解为插件集合，实行按类型进行热部署，精准防护的同时降低RASP的资源和性能损耗，为Web应用提供更高效的防护。

实施例二

在一个或多个实施例中，公开了RASP按需热部署漏洞类型对应防护策略的系统，包括漏洞扫描模块、类型分析模块和插件部署模块：

漏洞扫描模块，被配置为：在RASP产品内部集成SCA类组件，Web应用启动时，对当前应用的所有依赖库进行扫描分析得出漏洞检查结果；

类型分析模块，被配置为：通过RASP防护分析器，对漏洞检查结果和统一维护的RASP防护清单库进行综合分析，得出当前应用所需要进行防护的目标类型清单；

插件部署模块，被配置为：Rasp代理从统一按类型维护的插件集合中，根据目标类型清单筛选出目标防护插件，按需热部署相应的插件。

实施例三

本实施例的目的是提供计算机可读存储介质。

计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本公开实施例一所述的RASP按需热部署漏洞类型对应防护策略的方法中的步骤。

实施例四

本实施例的目的是提供电子设备。

电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如本公开实施例一所述的RASP按需热部署漏洞类型对应防护策略的方法中的步骤。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。