一、项目背景及目标

（一）项目背景

在金融数字化转型的浪潮下，银行系统线上化趋势明显，对应用系统的安全防护提出更高要求。随着网络攻击手段的日益复杂化，传统安全设备（如IDS、WAF）因聚焦网络层和传输层防护，存在对应用层深度攻击的防御盲区。为应对这一挑战，亟需构建覆盖代码级防护的纵深安全体系。同时，我行互联网业务面临0day漏洞、高危CVE攻击等新型威胁，现有防护手段在实时阻断、攻击溯源等方面存在局限。为此，信息技术部网络安全管理室启动RASP应用安全运行防护系统建设项目，通过自主创新实现应用运行时安全防御能力升级。

（二）项目目标

1、构建纵深防御能力

基于RASP（运行时应用自我保护）技术，开发分布式agent防护系统，实现应用函数级攻击实时检测与阻断，填补传统安全设备在代码层防护的空白。

2、覆盖全域安全场景

建立动态策略管理机制，覆盖OWASP TOP 10漏洞及高危CVE漏洞，实现漏洞攻击精准溯源、自动化阻断，显著降低误报率。

3、推动安全流程自动化

利用系统内置IAST灰盒扫描能力，在测试阶段自动化识别安全缺陷，提升新建系统上线前安全测试效率，降低人工测试成本。

4、实现降本增效与自主可控

通过100%自研开发，完成RASP+IAST一体化平台建设，替代外部采购方案，节约成本的同时保障技术自主权。

5、建立可复用的技术资产

设计跨平台agent架构，适配我行主流开发框架与Web服务器，为应用性能监控、日志分析等场景提供可扩展的技术基础。

二、创新点

1、技术架构自主创新

采用Server+Agent分布式架构，管理台可以进行 Agent 的统一管理和监控告警策略下发，架构采用了高可用方案实现实时监控的需求，并完成了信创改造和人行的信创验收。

2、攻防能力跨越提升

精准覆盖OWASP TOP10及85%常见CVE漏洞，测试靶场验证阻断准确率达99%，且对0day漏洞可以起到有效监测。

3、无感探针部署

适配度高，对应用系统影响小：实现无感探针部署，已适配SpringBoot、tomcat等主流框架和中间件，在测试环境验证性能影响性在1%-3%。

4、安全运维深度整合

可通过Syslog 推送告警信息，可以快速完成应急响应和处置。

5、研测一体降本增效

不仅可以部署在生产环境用于监测，还可以部署在测试环境作为IAST灰盒扫描器使用，提高安全测试覆盖度，实现安全测试自动化。

三、项目技术方案

（一）系统架构与部署设计

采用分布式agent+sever架构，agent端负责注入到业务系统应用服务器中，利用插帧技术，在JVM加载类时动态插入检测代码，直接监控 java 底层的敏感方法和函数，实现从"边界防护"到"内生安全"的质变升级。server端负责数据处理、策略下发、agent通信等管理作用。架构设计考虑了高可用机制和冗余设计，并完成信创改造，完成了人行信创验收。以下是各部分具体介绍：

承载银行日常业务的Web应用服务，每台服务器可通过java agent技术无感部署RASP Agent，实现JVM层级的实时安全监控。

2、应用安全运行防护系统服务器集群（sever端）

双活Agent Server（双节点互备）：接收Agent上报的攻击数据，处理峰值流量并保障高可用（故障时自动切换）。

Elasticsearch集群（双节点集群）：存储结构化攻击日志，支持全文检索与实时分析。

MongoDB数据库：存储用户信息、策略配置、Agent元数据及系统审计信息。

Panel Server：部署基于SpringBoot+Vue构建的管理平台，提供数据展示、策略管理、系统维护三大功能模块。

（二）实现核心防护能力

RASP Agent深度融合四重防护技术，具有三个优势，一是监控底层函数不受报文加密的影响，二是再牛的 0day 漏洞最终都要调用关键函数如文件上传 FileOutputStream、命令执行 Runtime.exec 去试图控制系统，这样我们就能在不知道漏洞细节的情况下完成主动防护，三是嵌入应用内部，能够获取完整的执行上下文信息（如用户会话、请求参数、代码调用栈），能够大幅降低误报率。

1、上下文分析

通过构建完整函数调用链，例如追踪HttpServletRequest.getParameter() → SQL.execute()路径，识别参数传递异常。支持结合业务场景动态调整检测策略，如支付接口启用全量检测，静态资源跳过检测。

2、语义引擎

实时解析关键操作语义，例如通过预编译语句校验 + SQL语法树分析（拦截UNION SELECT等恶意片段）检测SQL注入漏洞，通过监控Runtime.exec()及反射调用，阻断bash -c等高危命令来检测RCE攻击。支持动态加载漏洞特征和热补丁及时更新检测规则。

3、参数监测

污点追踪技术：标记用户输入源（如request.getParameter("input")），跟踪其流向数据库查询/文件操作等敏感操作。

4、异常分析

0day攻击拦截：建立正常行为基线（如文件访问路径模式），实时拦截目录穿越、非常规反序列化等异常行为。

四、项目过程管理

1、可行性调研与需求梳理（2024年9月初）

调研当前业务系统运行状态与安全风险点，梳理高价值风险场景，确定技术选型、日志存储与告警方案。

2、PoC 验证（2024年9月中旬）

在测试环境选取一个典型业务系统进行 RASP Agent 注入验证，测试插桩稳定性、性能损耗（要求单节点 QPS 影响 ≤ 5%）与检测准确率。

验证 Elasticsearch 索引能力、Agent与Server 之间的链路稳定性。

3、核心模块开发与自研策略引擎建设（2024年10月-11月）

完成 RASP Agent 核心检测模块开发，包括污点传递、上下文分析、规则匹配、恶意行为阻断。

自研策略中心（采用 Drools + 自定义 DSL 联合），实现可视化规则编排、版本管理、灰度发布能力。

搭建高可用的 Elasticsearch 与 MongoDB 集群，编写数据备份与归档脚本。

4、二次迭代与扩展（2024年11月-12月初）

将核心算法集成轻量级 ML 模型，实现对低频漏洞（如逻辑漏洞、流程绕过）的动态识别与自动化学习。

增加对多语言框架的 Agent 兼容支持，统一上报标准与规则引擎处理。

与上级态势感知平台完成标准化日志对接与告警联动测试。

5、灰度上线与全量推广（2024年12月中旬）

在测试环境进行压测与全链路业务回放，确保系统稳定性和性能指标达标。

制定灰度切换方案：先对非核心业务系统（测试/准生产）进行灰度布置，再逐步切入生产环境。

完成运维文档编写、故障预案与运维培训，并正式将系统在全链路业务中推广上线。

五、运营情况

平台在充分测试后投入生产使用，在重点业务系统中部署agent，并将告警信息接入统一的态势感知平台，方便高效应急处置，已成为除边界防护、主机防护外的重要防护设备，在内部攻防演练中发挥重要防御作用。

六、项目成效

1、防护层面：已跟随项目上线完成多个关键业务系统的 agent 部署，成功发现系统内部敏感信息传输未加密等多项安全合规风险。在内部攻防演练中成功监测拦截反序列化漏洞、内存马注入等边界防护设备无法监测的风险，构筑了纵深防御体系。

2、管理层面：已将告警日志接入我行态势感知平台，建立应用安全"监测-防护-溯源"闭环机制，实现从被动防御到主动免疫的转变。

3、测试层面：iast 扫描器功能已经广泛应用于上线前安全测试，在多个新建系统测试中，发现漏洞数提升 30%，人力成本降低 40%。

4、降本增效层面：突破外部厂商技术壁垒，节约采购成本。

5、发展层面：形成标准化实施文档，可复制到全行业务系统，防护覆盖率提升空间达90%。使用的 java agent 技术还可以经过少量改动，推广用于性能监测、自动化测试、行为监控等。

七、经验总结

以下是技术经验和项目经验总结：

1、技术选型与兼容性优化

热更新架构：采用插件化设计，实现策略秒级生效且无需重启业务 。

多环境适配：项目立项之初就设计支持多语言多服务器环境，并经过多次更新优化，覆盖率超95% 。

2、性能与稳定性平衡

流量分级检测：高危接口全量扫描，低频接口采样检测，静态资源跳过分析，性能影响控制在5%以内 。

熔断机制：实时监控JVM元空间占用率，资源超阈值时自动降级至观察模式，避免业务雪崩 。

3、运维体系创新

全链路监控：集成业务层、JVM层、系统层多维指标，漏洞定位效率提升80% 。

灰度发布策略：按业务优先级分批次上线，结合充分的测试验证策略，重大变更事故率和运行事故率为零 。

4、标准化与制度流程建设

形成标准交付文档，方便快速部署和推广。

与WAF、主机防护系统形成策略联动（如自动同步攻击IP黑名单），构建一体化安全防护网络 。