目前,傳統(tǒng)的Web安全檢測方法作用于程序輸入輸出端,不能防范經(jīng)變形混淆后繞過檢測進入程序內部執(zhí)行的惡意代碼,難以滿足當前Web應用安全防護新需求。本方法基于對傳統(tǒng)數(shù)據(jù)流監(jiān)控方法風險的深入分析,結合RASP技術特性,提出了基于RASP的Web安全檢測方法,在Web應用程序內部的權限判別函數(shù)參數(shù)、系統(tǒng)命令執(zhí)行函數(shù)參數(shù)、數(shù)據(jù)庫操作函數(shù)參數(shù)處埋下RASP探針,在代碼解釋器層面實時檢測數(shù)據(jù)流的變化。本方法基于Java語言進行了實現(xiàn),在實驗室證明該方法在準確率和檢測時間上優(yōu)于傳統(tǒng)的Web安全檢測方法,并在最后分析提出了本方法的部署和應用場景。 

【文章來源】：電信科學. 2020,36(11)

【文章頁數(shù)】：8 頁

【文章目錄】：
1 引言
2 傳統(tǒng)數(shù)據(jù)流監(jiān)控方法的風險
3 RASP技術與產(chǎn)品發(fā)展
4 基于RASP的Web安全檢測方法介紹
    4.1 技術框架
    4.2 部署方案
5 基于RASP的Web安全檢測方法實現(xiàn)
    5.1 各語言實現(xiàn)的關鍵技術
    5.2 基于Java的方法實現(xiàn)
    5.3 運行效果
    5.4 檢測結果與性能比較
6 基于RASP的Web安全檢測方法應用場景
    6.1 部署場景
    6.2 漏洞防御場景
7 結束語


【參考文獻】：
期刊論文
[1]一種基于多視角特征融合的Webshell檢測方法[J]. 林鋒,徐柳婧,陳曉華,戚偉強,陳可,朱添田.  電信科學. 2020(06)



本文編號：3023585