位置:首页 > 网络安全
Java程序恶意行为监控组件
1. 前言
Java程序所执行的业务层面的操作,可以通过查看应用日志了解,但其系统行为缺乏相应的日志,难以根据特定日志快速判定Java程序是否出现了非预期的行为。
以下提供对Java程序行为进行监控的轻量级可快速上线的组件,可以用于辅助判定是否出现了入侵行为。
提供组件的目的
Java程序可能存在系统漏洞,当漏洞被利用时,可能会产生未知的行为,针对关注的Java程序的未知行为进行监控并告警,可以及时发现系统被入侵的情况。
行为监控组件源代码
行为监控组件源代码可从 https://github.com/Adrninistrator/java-behavior-control下载。
可以达到什么效果
对Java程序的创建进程、网络行为进行监控,当出现不在白名单内的未知的行为时,可以由默认处理类,或自定义处理类进行处理。
默认处理类会进行告警,告警的内容包括对应的行为,以及线程调用堆栈,便于分析系统是否被攻击,或漏洞触发的执行过程。
自定义处理类中可以实现自己需要的功能,例如调用监控系统接口、按照自定义格式记录日志、阻断行为等。对未知行为进行阻断存在风险,可能会影响正常功能,需要慎重处理。
建议引入行为监控组件的系统
建议对接入互联网的系统引入行为监控组件,原因如下:
a. 外层系统相对更容易被入侵;
b. 减少需要配置及观察的机器数量。
行为监控原理
Java提供了安全管理器机制,创建进程、网络行为等相关的API在执行前会调用安全管理器进行权限检查。
可实现自定义的安全管理器并进行设置,当相关的行为发生时,会触发自定义安全管理器的检查方法,可以起到监控或阻断的作用。
是否会对正常功能造成影响
JDK 1.8中有约410处对安全管理器的调用,行为监控组件只是实现了安全管理器并增加了判断与打印日志,不影响原有功能。
若存在多个安全管理器,也会调用原有安全管理器的检测方法,避免覆盖已存在的安全管理器。
行为监控组件支持在配置文件发生变化时动态读取,经测试反复加载时(包含1万行的配置文件,读取8万次以上),GC情况正常。
是否会影响性能
不会对系统性能造成影响。经测试,白名单文件中包含1万行数据,使用100并发执行会被监控的行为,当不需要记录告警日志时,行为监控组件处理耗时0 ms;当需要记录告警日志时,行为监控组件处理耗时约30 ms。每种未知行为的最大告警次数可配置。
是否会带来其他安全问题
行为监控组件带来其他安全问题的可能性极小,未使用序列化与反序列化,未提供前端可访问的接口,未执行系统命令,未执行网络操作。
行为监控组件的编译依赖只有org.slf4j:jcl-over-slf4j:1.7.30与commons-io:commons-io:2.7,不存在已知漏洞。
是否会频繁告警
理论上不会出现频繁告警。Java程序产生的需要关注的行为中,正常行为是可以穷举的,范围并不大,将已知的行为配置到白名单后,可以尽可能避免误报。
例如Java程序通常很少需要创建进程(除非由于业务功能需要主动调用);需要监听的端口、需要允许访问的客户端IP、需要访问的远程服务IP与端口,都是固定的,很少发生改变;设置安全管理器的操作极少被调用(除非由于业务功能需要主动调用)。
Java程序如何使用行为监控组件
a. 在工程中添加行为监控组件的Maven依赖;
b. 在初始化时调用行为监控组件的方法;
c. 在日志配置中增加行为监控组件相关的配置。
白名单如何配置
行为监控组件针对不同类型的行为使用单独的白名单配置文件。
配置文件可在Java程序启动前配置,或在Java程序执行时配置,当配置文件发生变化时,行为监控组件会重新读取配置文件,检测配置文件变化的周期可以配置。
监控如何配置
依赖实际使用的监控系统。
若监控系统支持对日志文件内容进行监控,可监控行为监控组件输出的日志文件;
若监控系统只支持其他的方式进行监控,则可在自定义处理类中进行处理。例如监控系统只支持通过HTTP接口进行上报时,可在自定义处理类中调用其接口。
已知的正常行为
与实际的应用有关,例如当用户通过公网访问HTTP服务时,需要访问Tomcat提供的HTTP端口;当应用访问数据库服务时,需要访问数据库提供的端口;当应用访问其他系统的服务时,需要访问其他系统提供的端口。
2. 行为监控组件上线步骤
a. 修改Java程序代码,引入行为监控组件;
b. 测试环境测试,验证对正常功能是否有影响,观察正常的行为;
c. 生产环境灰度发布,验证对正常功能是否有影响;
d. 生产环境全量发布,观察正常的行为;
e. 将正常行为导入白名单配置。
3. 行为监控组件引入方法
3.1. maven依赖
com.github.adrninistrator:java-behavior-control:0.0.1
3.2. 启用行为监控组件
可在Java Web应用原有的初始化操作中,如ServletContainerInitializer、SmartLifecycle等实现类中调用行为监控组件的启用方法。
行为监控组件提供的启用方法为BehaviorControl.register(),如下所示
参数说明如下:
public static void register(String confPath)
public static void register(String confPath, BehaviorHandlerInterface handler, long monitorInterval, String dftAlertFlag, int maxAlertTimes)
说明 | |
---|---|
confPath | 保存配置文件的目录,结尾可包含或不包含目录分隔符“/"”\"。配置文件某行的内容若前后包含空格,在读取时会被去除 |
handler | 自定义处理类实例 |
monitorInterval | 监控配置文件发生变化的时间间隔,单位为毫秒,默认:30000L,代表30秒 |
dftAlertFlag | 默认的告警关键字,用于在出现异常时告警,默认:OnError |
maxAlertTimes | 某个未知行为的告警最大次数,可为0,默认:3 |
前一个方法对于参数2至参数5分别使用默认值:30秒、new DefaultAlertBehaviorHandler(),“OnError”、3次,后一个方法可对参数2至参数4进行设置。可根据需要调用。
3.2.1. 自定义处理类
自定义处理类需要实现BehaviorHandlerInterface接口,需要实现的方法及说明如下:
方法 | 说明 |
---|---|
handleExec | 监控到创建进程行为时进行处理 |
handleListen | 监控到监听端口行为时进行处理 |
handleAccept | 监控到接受Socket连接行为时进行处理 |
handleConnect | 监控到建立Socket连接行为时进行处理 |
handleSetSecurityManager | 监控到设置安全管理器行为时进行处理 |
以上方法的具体参数可参考代码中的注释,在方法中若抛出SecurityException异常,可以阻断对应行为。
3.3. 参数设置
3.4. 日志配置
若使用log4j2,可参考以下格式对行为监控组件的日志进行配置
在<Appenders>添加: <RollingFile name="behaviorControlAppender" fileName="${sys:index.log.home}/behaviorControl.log" filePattern="${sys:index.log.home}/behaviorControl.log.%d{yyyy-MM-dd}.%i.log.gz"> <PatternLayout pattern="%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5p %c{1}.%M(%F:%L - %m%n" /> <Policies> <TimeBasedTriggeringPolicy /> <SizeBasedTriggeringPolicy size="1024 MB" /> </Policies> <DefaultRolloverStrategy max="512" /> </RollingFile>在<Loggers>添加: <AsyncLogger name="behaviorControl" level="info" additivity="false" includeLocation="true"> <AppenderRef ref="behaviorControlAppender" /> </AsyncLogger>
3.5. 配置文件目录建议
建议将白名单配置文件保存在不包含其他文件的目录中,因为需要对配置文件目录中的文件变化进行监控。
行为监控组件在初始化时会创建配置文件目录,不需要手工创建。
若应用部署在docker中,则配置文件目录需要使用docker对应的母机会挂载的目录,防止进程重启后文件丢失。
因此建议配置文件目录使用应用日志目录的“config”子目录,示例如下
System.getProperty("index.log.home") + File.separator + "config"
4. 未知行为默认告警文件与关键字
行为监控组件记录的默认日志文件名为“behaviorControl.log”。
不同类型的未知行为对应的默认告警关键字如下:
行为类型 | 默认告警关键字 |
---|---|
创建进程 | behv_alert_exec |
监听端口 | behv_alert_listen |
接受Socket连接 | behv_alert_accept |
建立Socket连接 | behv_alert_connect |
设置安全管理器 | behv_alert_setsecman |
未知行为进行告警日志中,在对未知行为的操作内容前后均记录了“###”,便于提取。
5. 未知行为告警说明
当行为监控组件发现以下不在白名单中的未知行为出现,且对应操作内容的告警次数未超过允许的最大值时,会在日志中输出告警信息。
5.1. 创建进程
告警示例如下所示:
exec ###calc.exe### behv_alert_exec
对于未知的创建进程行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为被执行程序的相对路径或绝对路径,如上示例中的“calc.exe”。
即对于每个被执行的程序,最多产生指定次数的告警。
5.2. 监听端口
告警示例如下所示:
listen ###8888### behv_alert_listen
对于监听端口的未知行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为监听的端口,如上示例中的“8888”。
即对于每个监听的端口,最多产生指定次数的告警。
5.3. 接受Socket连接
告警示例如下所示:
accept ###10.0.0.1### behv_alert_accept
对于未知的接受Socket连接行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为对应的客户端IP,如上示例中的“10.0.0.1”(只能获取到客户端使用的端口,无法获取到客户端连接的本机端口,因此不处理端口)。
即对于每个客户端IP,最多产生指定次数的告警。
5.4. 建立Socket连接
告警示例如下所示:
connect ###10.0.0.1:8888### behv_alert_connect
对于未知的建立Socket连接行为,若不在白名单内,判断对应行为的告警次数是否超过最大值,用于判断的操作内容为对应的服务器IP与端口,如上示例中的“10.0.0.1:8888”。
即对于每个服务器IP及端口,最多产生指定次数的告警。
5.5. 设置安全管理器
告警示例如下所示:
setSecurityManager behv_alert_setsecman
对于设置安全管理器行为,最多产生指定次数的告警(对于设置安全管理器行为,没有对应的被操作对象,需要根据调用堆栈分析)。
6. 白名单文件
行为监控组件在初始化时,若白名单文件不存在,会创建白名单文件,不需要手动创建。
白名单文件中每条记录占一行。
6.1. 白名单文件-创建进程
创建进程行为的白名单文件名为“exec.conf”。
格式为:[cmd],即被执行程序的相对路径或绝对路径。
6.2. 白名单文件-监听端口
监听端口行为的白名单文件名为“listen.conf”。
格式为:[port],即监听的端口。
6.3. 白名单文件-接受Socket连接
接受Socket连接行为的白名单文件名为“accept.conf”。
格式为:[ip],即对应的客户端IP。
6.4. 白名单文件-建立Socket连接
建立Socket连接行为的白名单文件名为“connect.conf”。
格式为:[ip]:[port],即对应的服务器IP与端口。
7. 常用端口
Tomcat的shutdown端口
在Tomcat的Server.xml文件中配置,如“<Server port="8005"”,各应用配置的端口不同。
Tomcat的JMX端口
若Tomcat应用启动脚本中有配置启动JMX,则会监听两个随机端口,监听JMX端口比启用行为监控组件要早,不会被监控到。
8. 白名单配置
8.1. 白名单配置-创建进程
在创建进程行为的白名单文件中,需要配置Java程序会启动的进程的相对路径或绝对路径,若不会启动进程则不需要配置。
8.2. 白名单配置-监听端口
在监听端口行为的白名单文件中,需要配置Tomcat的shutdown端口,可能会被行为监控组件监控到,与行为监控组件的启用时机有关。
8.3. 白名单配置-接受Socket连接
对于接受Socket连接的行为,若对应的客户端IP为"127.0.0.1"或“localhost”,不会告警,也不需要添加至白名单内。
当Tomcat使用APR Connector时,访问Tomcat的HTTP端口不会使Tomcat发生Socket的accept行为,此类情况不需要在白名单中对对应的客户端IP进行配置。包括用户通过正常业务功能访问Tomcat的HTTP接口等情况。
可参考附录“判断Tomcat是否使用APR Connector”。
8.4. 白名单配置-建立Socket连接
对于建立Socket连接的行为,若对应的服务器IP为"127.0.0.1"或“localhost”,不会告警,也不需要添加至白名单内。
9. 从日志中提取行为到白名单的脚本
可从日志中提取行为到白名单,提取脚本如下所示,可在日志目录中执行。
9.1. 从日志提取到白名单-创建进程
mv config/exec.conf config/exec.conf.bak grep behv_alert_exec behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/exec.conf.bak cat config/exec.conf.bak | sort | uniq | sort > config/exec.conf
9.2. 从日志提取到白名单-监听端口
mv config/listen.conf config/listen.conf.bak grep behv_alert_listen behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/listen.conf.bak cat config/listen.conf.bak | sort | uniq | sort > config/listen.conf
9.3. 从日志提取到白名单-接受Socket连接
mv config/accept.conf config/accept.conf.bak grep behv_alert_accept behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/accept.conf.bak cat config/accept.conf.bak | sort | uniq | sort > config/accept.conf
9.4. 从日志提取到白名单-建立Socket连接
mv config/connect.conf config/connect.conf.bak grep behv_alert_connect behaviorControl.log | awk -F '###' '{print $2}' | sort | uniq | sort >> config/connect.conf.bak cat config/connect.conf.bak | sort | uniq | sort > config/connect.conf
10. 附录
10.1. 判断Tomcat是否使用APR Connector
使用jmap命令查看Tomcat加载的AbstractProtocol实现类,可以确定Tomcat使用的Connector类型。
Linux系统可使用以下命令查看:
jmap -histo [PID]|grep Http|grep Protocol
Windows系统可使用以下命令查看:
jmap -histo [PID]|findstr Http|findstr Protocol
当Tomcat使用Java HTTP Connector时,以上命令执行结果会出现
“org.apache.coyote.http11.Http11Protocol、org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler”。
当Tomcat使用APR Connector时,以上命令执行结果会出现
“org.apache.coyote.http11.Http11AprProtocol、org.apache.coyote.http11.Http11AprProtocol$Http11ConnectionHandler”。