功能简介
应用防护基于 RASP(Runtime Application Self-Protection)技术,在应用运行时识别并处置攻击行为,提供 0day 漏洞防御、内存马注入防御、内存马扫描能力。无需修改应用程序代码或重新部署,可在主机与容器场景快速启用,帮助业务在漏洞修复窗口期建立持续防护能力。
应用场景
场景 | 痛点 | 应用防护方案 | 核心优势 |
热点漏洞突发 | 应用漏洞暂无修复方案,期望应用防护作为缓解措施争取修复时间。 | 情报-引擎-产品打通,分钟/小时级识别漏洞是否可防御;支持检测后一键开启防御。 | 响应时效性强 |
常态化漏洞治理 | 应用漏洞多、修复链路长,因业务原因无法快速闭环,风险长期存在。 | 具备多维度漏洞防护与通用攻击防护能力,并标记漏洞是否支持防护,辅助推进闭环。 | 攻击覆盖面广 |
重保场景 0day 攻击 | 重保期高风险资产需应对未知 0day,需快速完成检测与防御。 | 支持 0day 漏洞防御与内存马检测,可快速开启拦截。 | 0day 兜底能力强 |
功能原理
应用防护部署在应用进程内部,核心目标是防御“已经进入应用执行链路”的攻击。应用防护插件在关键函数调用点执行运行时检测,结合请求参数、调用堆栈、触发函数等上下文识别风险,并按防护配置执行:仅告警不拦截、告警并拦截。相较仅依赖边界流量特征的方案,应用防护更关注真实执行行为,能够提升对攻击链路的识别准确度与处置及时性。
运营策略
以下是应用防护日常运营的关键动作,建议采用“先观察、后收敛、再加严”的渐进式策略,在保障业务稳定的前提下逐步提升拦截强度。
限制说明
限制类型 | 说明 |
系统要求 | Linux 系统主机(JDK 版本 ≥ 1.6.0),目标主机或容器节点已安装并正常运行 Agent。 |
开通条件 | 需同时满足以下条件: 授权条件:已购买主机安全旗舰版,且与目标节点完成绑定。 开通条件:在应用防护 > 防护开关配置 中对目标节点开启防护开关。 |
防护范围
应用防护包含三类能力:漏洞防御、内存马注入和内存马扫描。
应用防护攻击:含漏洞防御与内存马注入。生成虚拟补丁,有效拦截黑客攻击行为与未知漏洞防御(详见下表)。
内存马扫描:支持检测静态内存马风险。
能力类别 | 代表攻击类型 |
注入与执行类 | 内存马注入、表达式注入、反序列化、命令执行、JNDI 注入、JNI 注入、XXE、XPath 注入、SQL 注入、线程注入 |
文件与路径类 | 任意读取文件、遍历目录、JSTL 文件包含、恶意写文件、任意删除文件、恶意上传文件 |
协议与外联类 | AJP 协议、URL 重定向、恶意 DNS 查询、危险协议、SSRF、IP 阻断策略 |
组件与框架类 | 引擎注入、SpringBoot Actuator、恶意 Beans、JDBC 连接、高危方法调用、Unsafe |
对抗与后门类 | 恶意 Attach、恶意反射调用、恶意类加载、扫描器检测、WebShell 后门 |
说明:
应用防护不支持漏洞修复,需配合代码/组件修复闭环;也不支持边界防护,CC、Bot、访问控制等仍建议由 WAF/网关承担。
在云安全中心使用
1. 登录 云安全中心控制台,在左侧导航栏中单击应用防护。
2. 在应用防护页面,您可设置防护开关和防护项、查看告警详情、管理白名单等操作。
