[发明专利]基于代码注入和行为分析的应用程序防攻击方法和系统

权利要求书

1.一种基于代码注入和行为分析的应用程序防攻击方法，其特征在于，包括如下步骤：

步骤101：将防护代码注入需要保护的应用程序，在预定的关键调用位置挂载hook点，标记待监测参数；保护代码的注入点包括：应用程序接口函数、库函数、数据库操作函数、文件操作函数、用户权限函数；

步骤102：执行所述应用程序中的运行指令时，hook函数调用所述防护代码，通过所述防护代码监测被标记参数和所述应用程序中调用关键函数的操作行为，并获取所述hook点的上下文信息；

步骤103：运行统一的防护插件，结合被标记参数、操作行为和获取到的上下文信息进行安全风险分析，识别应用程序中的被监测代码中是否存在可疑webshell；

所述安全风险分析包括：提取被标记参数和所述上下文信息中的事件标识，确定所述操作行为的执行轨迹；若所述执行轨迹包含大量请求数据、访问或下载敏感文件时，即识别为webshell；

其中，根据所述操作行为的执行轨迹识别是否为webshell时，收集应用程序中执行代码的主要临时日志，按文件、注册表、网络，服务信息相关的行为提取行为特征值，将在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后，输入到行为预测信息处理模块，判断操作行为的的执行轨迹是否包含大量请求数据、访问或下载敏感文件；

步骤104：根据安全风险分析结果发出相应的告警提示信息，以提示用户是否继续运行应用程序，或者直接阻断应用程序的运行。

2.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法，其特征在于：所述步骤101中，在所述预定的关键调用位置挂载hook点，包括：对Python程序的python_eval()函数进行hook检测。

3.如权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法，其特征在于：步骤102中的所述上下文信息包括：函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。

4.根据权利要求1所述的基于代码注入和行为分析的应用程序防攻击方法，其特征在于：针对不同的函数调用，提供统一的监控信息传出接口。

5.一种基于代码注入和行为分析的应用程序防攻击系统，其特征在于，包括如下模块：代码注入模块：将防护代码注入需要保护的应用程序，在预定的关键调用位置挂载hook点，标记待监测参数；保护代码的注入点包括：应用程序接口函数、库函数、数据库操作函数、文件操作函数、用户权限函数；

行为监测模块：执行所述应用程序中的运行指令时，hook函数调用所述防护代码，通过所述防护代码监测所述应用程序中调用关键函数的操作行为以及被标记参数，获取所述hook点的上下文信息；

风险分析模块：运行统一的防护插件，结合操作行为、被标记参数和获取到的上下文信息进行安全风险分析，识别应用程序中的被监测代码中是否存在webshell；

所述安全风险分析包括：提取被标记参数和所述上下文信息中的事件标识，确定所述操作行为的执行轨迹；若所述执行轨迹包含大量请求数据、访问或下载敏感文件时，即识别为webshell；

其中，根据所述操作行为的执行轨迹识别是否为webshell时，收集应用程序中执行代码的主要临时日志，按文件、注册表、网络，服务信息相关的行为提取行为特征值，将在日志中检测到的各个监视器的事件信息构造成一个相关信息记录之后，输入到行为预测信息处理模块，判断操作行为的的执行轨迹是否包含大量请求数据、访问或下载敏感文件；

安全处理模块：根据安全风险分析结果发出相应的告警提示信息，以提示用户是否继续运行应用程序，或者直接阻断应用程序的运行。

6.根据权利要求5所述的基于代码注入和行为分析的应用程序防攻击系统，其特征在于：在所述代码注入模块中，在所述预定的关键调用位置挂载hook点，包括：对Python程序的python_eval()函数进行hook检测；所述上下文信息包括：函数调用请求路径、事件标识、参数、服务器信息、防护代码记录的信息。

7.如权利要求5所述的基于代码注入和行为分析的应用程序防攻击系统，其特征在于：针对不同的函数调用，提供统一的监控信息传出接口。