基于RASP的内网威胁态势感知系统_20200925.docxVIP

目录 TOC \o 1-3 \h \z \u 第一章 概述 2 1.1 课题研究意义 2 1.2 国内外研究现状 3 1.3 当前存在的问题 4 1.4 论文的研究内容 5 第二章 系统架构 7 3.1 可视化前端设计 7 3.2 数据库设计 7 3.3 基于 RASP 的服务器监控 8 3.4 文件威胁鉴定器 10 3.5 基于 Docker 容器的自动化部署 11 第三章 关键技术实现 11 2.1 PHP RASP 技术栈研究分析 11 2.2 信息流污点分析处理 13 2.3 敏感威胁函数 Hook 判断 16 第四章 总结 18 4.1 系统的创新点和特色 18 4.2 系统仍需改进的地方 19 第五章 参考文献 19  第一章 概述 1.1 课题研究意义 习近平总书记关于网络安全和信息化工作重要讲话发表两年来，我国网信事业快速健康发展，互联网日益成为国家发展重要驱动力，数字领域不断实现跨越式发展。与此同时，云计算、大数据、人工智能等领域的飞速发展也为网络安全增加了极大挑战。每个部署在网上的系统、应用都容易受到攻击、入侵，这会使用户和企业面临数据丢失可能，而且如今大多数中小企业对网站、应用安全重视度不高，在服务上线前，没有进行集中性的漏洞测试，这将是一个极大的隐患。如果网站、应用自身安全性低，再加上没有一定的保护机制，黑客可以轻轻松松入侵网站，进行下载任意用户敏感数据等违法行为。 在此背景下，网络安全态势感知被提出，所谓网络安全态势感知是指在网络环境中, 对能够引起网络安全状况发生变化的安全要素进行获取、分析、可视化, 并预测发展趋势, 为决策和后续处置提供依据。网络安全态势感知系统可以通过采集网络流量、安全日志、安全告警、威胁情报等安全数据, 利用数据分析技术, 分析网络行为及用户行为等因素, 对网络当前状态和发展趋势进行分析和预测的系统，通过系统的应用实现对网络安全的实时防护。 RASP（Runtime Application self-protection）是一种在运行时检测攻击并且进行自我保护的一种技术。中文翻译为应用程序运行时防护，其与 WAF 等传统安全防护措施的主要区别于其防护层级更加底层——在功能调用前或调用时能获取访问到当前方法的参数等信息，根据这些信息来判定是否安全。RASP与传统的基于流量监测的安全防护产品来说，优势点在于可以忽略各种绕过流量检测的攻击方式（如分段传输，编码等），只关注功能运行时的传参是否会产生安全威胁。简单来说，RASP不看过程，只看具体参数导致方法实现时是否会产生安全威胁。简单类比一下，RASP就相当于应用程序的主防，其判断是更加精准的。 1.2 国内外研究现状 1999 年, Tim Bass 首次提出了网络安全态势感知（Network Security Situation Awareness, NSSA）的概念[1],随后该技术被应用于入侵检测系统中[2]。Stephen G. Batsell[3]和 Jason Shifflet[4]等人在 Tim Bass 的基础上提出了网络安全态势感知的相关模型。随后学术界开始致力于网络安全态势感知的研究, 美国劳伦斯伯克利国家实验室（Lawrence Berkeley National Labs）的 Stephen Lau 于 2003 年基于网络态势感知概念开发了“The Spinning Cube of Potential Doom”系统[5]。2005 年，卡耐基梅隆大学 Software Engineering Institute 基于网络态势感知模型开发了 SILK 系统[6]。同年，美国国家高级安全系统研究中心的 SIFT 项目也应用了网络态势感知的概念[7]。国内很多高校和研究机构于 2010 年前后也开始对网络安全态势感知的关键技术和相关模型进行了深入研究[8, 9]。目前，国内的上海三零卫士公司开发了针对工业控制系统接入互联网威胁态势感知系统，仁和诚信公司开发了基于大数据的态势感知系统，锐捷网络公司也推出了基于大数据安全平台的安全态势感知解决方案。 因此，设计、开发一个针对内网安全的态势感知系统具有一定的学术意义和实际应用价值。 RASP（Runtime Application Self Protection）运行时应用自我保护。Gartner 在 2014 年应用安全报告里将 RASP 列为应用安全领域的关键趋势，Garter 的咨询师 Joseph Feiman 认为 RASP 是比传统防火墙更好的方法，它可以用来保护应用程序抵御 SQL 注入攻击、跨站脚本和未经授权访问攻击。由于现有的安全