[发明专利]安全防护方法及装置在审
| 申请号: | 202210427319.7 | 申请日: | 2022-04-21 |
| 公开(公告)号: | CN115048647A | 公开(公告)日: | 2022-09-13 |
| 发明(设计)人: | 霍辉东 | 申请(专利权)人: | 奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/57;G06F8/41 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 孟省 |
| 地址: | 100088 北京市西城区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 安全 防护 方法 装置 | ||
本发明实施例提供一种安全防护方法及装置,其中方法包括:通过第一监控点获取编译过程中读取的待编译文件;将所述待编译文件与白名单包括的合法文件进行匹配,得到第一匹配结果;基于所述第一匹配结果确定所述待编译文件是否安全。本发明提供的安全防护方法及装置,只允许对白名单中已知的合法文件进行编译,不允许对未知待编译文件进行编译,属于白名单的防护思路,即便待编译文件已上传,但无法编译,从而可以避免未知待编译文件上传造成的攻击,实现了对网络的安全防护。
技术领域
本发明涉及安全防护技术领域,尤其涉及一种安全防护方法及装置。
背景技术
随着信息技术的不断发展,人类社会的信息化程度越来越高,整个社会对网络信息的依赖程度也越来越高,从而网络安全的重要性也越来越高。目前对网络安全造成威胁的攻击也越来越多,例如,攻击者利用业务系统自身固有的漏洞上传任意文件达到攻击的目的。
相关技术中,通常采用扫描配置基线的防护思路,例如,OpenRASP通过扫描一些常见漏洞的配置基线,辅助修改配置基线中比较危险的配置项,以实现配置项漏洞的修复,从而可以防范任意文件上传,进而达到防护任意文件上传造成的攻击。但这种防护方式只能针对过往出现过的漏洞进行防护,当有新的漏洞出现时无法修改对应的配置文件,从而会导致攻击者利用新的漏洞上传任意文件达到攻击的目的。
发明内容
针对现有技术中的问题,本发明实施例提供一种安全防护方法及装置。
具体地,本发明实施例提供了以下技术方案:
第一方面,本发明实施例提供了一种安全防护方法,包括:
通过第一监控点获取编译过程中读取的待编译文件;
将所述待编译文件与白名单包括的合法文件进行匹配,得到第一匹配结果;
基于所述第一匹配结果确定所述待编译文件是否安全。
进一步地,所述将所述待编译文件与白名单包括的合法文件进行匹配,得到第一匹配结果,包括:
在确定所述白名单包括的合法文件中包含编译过程中读取的所有待编译文件时,确定所述第一匹配结果为匹配成功;
在确定所述白名单包括的合法文件中不包含编译过程中读取的所有待编译文件时,确定所述第一匹配结果为匹配失败。
进一步地,所述白名单还包括继承编译规范的合法类文件和所述待编译文件对应的合法编译结果文件;所述合法类文件为所述合法文件中的文件;
所述方法还包括:
在基于所述第一匹配结果确定所述待编译文件安全的情况下,通过第二监控点获取类加载过程中的待加载文件;
将所述待加载文件与所述白名单中的合法类文件和合法编译结果文件进行匹配,得到第二匹配结果;
基于所述第二匹配结果确定所述待加载文件是否安全。
进一步地,所述将所述待加载文件与所述白名单中的合法类文件和合法编译结果文件进行匹配,得到第二匹配结果,包括:
确定所述白名单中的合法类文件的集合和合法编译结果文件的集合的交集;
在确定所述交集中包含类加载过程中的所有待加载文件时,确定所述第二匹配结果为匹配成功;
在确定所述交集中不包含类加载过程中的所有待加载文件时,确定所述第二匹配结果为匹配失败。
进一步地,在所述将所述待编译文件与白名单包括的合法文件进行匹配,得到第一匹配结果之前,所述方法还包括:
对部署代码进行扫描,得到所述部署代码中的合法文件,并将所述合法文件记录在所述白名单中。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司,未经奇安信科技集团股份有限公司;奇安信安全技术(珠海)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210427319.7/2.html,转载请声明来源钻瓜专利网。
