应用防护基于 RASP(Runtime Application Self-Protection)技术,在应用运行时识别并处置攻击行为,提供 0day 漏洞防御、内存马注入防御、内存马扫描能力。无需修改应用程序代码或重新部署,可在主机与容器场景快速启用,帮助业务在漏洞修复窗口期建立持续防护能力。
说明:
应用场景
场景 | 痛点 | 应用防护方案 | 核心优势 |
热点漏洞突发 | 应用漏洞暂无修复方案,期望应用防护作为缓解措施争取修复时间。 | 情报-引擎-产品打通,分钟/小时级识别漏洞是否可防御;支持检测后一键开启防御。 | 响应时效性强 |
常态化漏洞治理 | 应用漏洞多、修复链路长,因业务原因无法快速闭环,风险长期存在。 | 具备多维度漏洞防护与通用攻击防护能力,并标记漏洞是否支持防护,辅助推进闭环。 | 攻击覆盖面广 |
重保场景 0day 攻击 | 重保期高风险资产需应对未知 0day,需快速完成检测与防御。 | 支持 0day 漏洞防御与内存马检测,可快速开启拦截。 | 0day 兜底能力强 |
功能原理
应用防护部署在应用进程内部,核心目标是防御“已经进入应用执行链路”的攻击。应用防护插件在关键函数调用点执行运行时检测,结合请求参数、调用堆栈、触发函数等上下文识别风险,并按防护配置执行:仅告警不拦截、告警并拦截。相较仅依赖边界流量特征的方案,应用防护更关注真实执行行为,能够提升对攻击链路的识别准确度与处置及时性。
运营策略
以下是应用防护日常运营的关键动作,建议采用“先观察、后收敛、再加严”的渐进式策略,在保障业务稳定的前提下逐步提升拦截强度。
限制说明
限制类型 | 说明 |
系统要求 | Linux 系统主机(JDK 版本 ≥ 1.6.0),目标主机或容器节点已安装并正常运行 Agent。 |
开通条件 | 需同时满足以下条件: 授权条件(满足任一项): 1)客户于 2026 年 1 月 28 日前购买容器安全专业版,且已获得应用防护赠送权益; 2)客户已购买主机安全旗舰版,且与目标节点完成绑定; 3)客户已购买重保防护包,且与目标节点完成绑定。 开通条件:在应用防护 > 防护开关配置 中对目标节点开启防护开关。 |
说明:
为明确计费规则并保障能力长期稳定,容器安全专业版的应用防护赠送策略调整如下:
2026年1月28日(含)后新购:不再赠送应用防护;如需使用,需单独购买重保防护包。
2026年1月28日前已购:继续赠送应用防护(账号级别),适用于续费、扩容及过期后新购等场景;使用时需在控制台保持防护开关开启。
防护范围
应用防护包含三类能力:漏洞防御、内存马注入和内存马扫描。
应用防护攻击:含漏洞防御与内存马注入。生成虚拟补丁,有效拦截黑客攻击行为与未知漏洞防御(详见下表)。
内存马扫描:支持检测静态内存马风险。
能力类别 | 代表攻击类型 |
注入与执行类 | 内存马注入、表达式注入、反序列化、命令执行、JNDI 注入、JNI 注入、XXE、XPath 注入、SQL 注入、线程注入 |
文件与路径类 | 任意读取文件、遍历目录、JSTL 文件包含、恶意写文件、任意删除文件、恶意上传文件 |
协议与外联类 | AJP 协议、URL 重定向、恶意 DNS 查询、危险协议、SSRF、IP 阻断策略 |
组件与框架类 | 引擎注入、SpringBoot Actuator、恶意 Beans、JDBC 连接、高危方法调用、Unsafe |
对抗与后门类 | 恶意 Attach、恶意反射调用、恶意类加载、扫描器检测、WebShell 后门 |
说明:
应用防护不支持漏洞修复,需配合代码/组件修复闭环;也不支持边界防护,CC、Bot、访问控制等仍建议由 WAF/网关承担。
操作步骤
步骤一:安装 Agent
应用防护依托主机安全 Agent 提供能力,无需单独安装新的应用防护组件,轻量无负担。
已安装并在线运行主机安全 Agent 的资产,可直接开启应用防护;
尚未安装 Agent 的资产需先完成安装并确保在线后,再开启应用防护。
步骤二:购买并绑定授权
说明:
应用防护与重保防护授权的关系:
应用防护是功能能力,重保防护授权是获取该能力的计费载体;
一个重保防护包订单中包含多个授权(如:小型防护包含150个授权),购买后授权自动下发,可在应用防护页绑定节点后开启应用防护。
一个授权管一个节点:1个重保防护授权可为1个节点(主机 / 容器节点/超级节点)提供应用防护能力。
同节点共用授权:当同一节点同时承载主机应用与容器应用时,1个授权即可覆盖该节点上的主机与容器防护,无需重复购买。
主机与容器独立管理:主机资产与容器资产在控制台分别管理、分别开启防护开关。
步骤三:开启防护
说明:
开启防护时可能出现瞬时资源升高,通常会逐步回落,建议优先在业务低峰期执行。
手动开启防护
1. 在应用防护 > 防护开关配置 页面,选择目标资产,单击操作列的编辑防护配置。
2. 在编辑防护配置窗口中,按需进行配置,单击保存。
防护项:应用防护攻击(含漏洞防御、内存马注入攻击)、内存马扫描。
检测方式:
标准模式:对高可信度风险进行告警,推荐日常运营场景。
重保模式:在标准模式基础上增加泛化规则,存在一定误报率,推荐重保场景使用。
拦截设置:仅告警不拦截、全量拦截、仅拦截标准模式告警
按需勾选更多保护、性能阈值并针对所选资产开启防护开关。
3. 如需了解更多手动开启防护方式,请参阅以下内容。
1. 获取热点漏洞信息:在 漏洞管理 页中的漏洞概览模块,可以查看新披露漏洞信息,并告知当前是否支持对该漏洞的检测和防御。
2. 热点漏洞自查:单击立即扫描,针对该漏洞选择主机范围进行扫描。
3. 热点漏洞应对措施:针对已检出漏洞的资产进行漏洞修复或单击开启防御,以实现应用防护-漏洞防御。
自动开启防护
说明:
对已使用漏洞防御的存量客户,若在原漏洞防御功能中,设置了防御主机范围是全部旗舰版主机,应用防护会自动沿用该策略,即默认开启新增资产自动开启防护。
步骤四:查看告警
1. 在应用防护 > 告警详情页面,选择告警,单击详情。
2. 在详情页面中查看告警详情,判定是否为误判。
步骤五:误报加白
1. 在应用防护 > 告警白名单页面,单击添加白名单,或单击目标规则操作列中的编辑,对白名单规则进行编辑。
2. 在添加白名单规则页面,按误报类型选择模块:漏洞防御、内存马扫描、内存马注入。
3. 配置加白内容与生效资产范围,单击保存,等待规则生效(通常约 5 分钟)。
常见问题
应用防护与 WAF 有什么区别?
WAF 侧重边界流量防护,应用防护侧重应用内部运行时行为防护,两者能力互补,建议二者同时使用。
对比项 | WAF | 应用防护 |
防护位置 | 网络边界(七层流量) | 应用进程内部(运行时层) |
检测原理 | 基于流量特征匹配与过滤 | 基于函数 Hook + 运行时调用上下文识别真实执行行为 |
擅长场景 | CC、Bot/爬虫、扫描器、访问控制、API 安全等流量型攻击 | 0day、内存马、复杂/加密流量、非 HTTP 协议、内网横向移动 |
0day 防御 | 依赖规则更新,存在滞后性 | 默认支持,无需额外规则即可识别 |
加密流量 | 需先解密才能分析 | 进程内天然可见,无解密压力 |
虚拟补丁 | 基于流量特征,难精确定位漏洞代码 | 可精确定位漏洞利用的执行代码 |
性能影响 | 对应用与业务基本无直接影响 | 运行于应用进程内,有轻量性能开销 |
应用防护与旧版漏洞防御的区别?
相较旧版漏洞防御,新版应用防护在计费模式、防护能力、应急响应、稳定性与运维管控等多个维度全面升级,老客户可平滑切换至新能力。
优化点 | 变化 |
计费模式 | 应用防护支持独立计费(无需购买主机安全)。 应用防护支持主机与容器视角,采用节点级计费方式,同一节点只收取一次费用。 |
防护能力 | 增强漏洞防护与通用攻击防护能力,扩大对常见高风险漏洞及攻击场景(如内存马、漏洞利用)的覆盖,提升整体安全防护与运营闭环能力。 |
内存马检测 | 由仅支持精准 Java 类扫描,升级为通用 Java 内存马检测,覆盖静态检测 + 注入防御。 |
主机/容器一致性 | 由能力不对齐(容器仅支持精准漏洞防御),升级为主机与容器能力完全对齐。 |
应急响应 | 情报-引擎-产品打通,在热点漏洞爆发后 24 小时内即可确认是否可防御。 |
稳定性 | 解决注入时 CPU 短时资源升高问题,设立动态监控体系,进一步提升稳定性与兼容性。 |
运维管控 | 由基础开关配置,升级为细粒度灰度管控、自定义资源 bypass、细粒度加白、日常/重保场景分离。 |
应用防护和重保防护包是什么关系?
应用防护:是主机安全提供的功能能力,整合了原 Java 内存马检测与漏洞防御。
重保防护包:是应用防护的计费载体,一个防护包内包含多个授权(如:小型防护包含150个授权),支持通过扩展防护按需增加。
重保防护包-授权:1授权等于1节点的应用防护能力。
说明:
每个授权用于绑定一个节点(主机节点/容器节点/超级节点),同节点上的主机/容器应用共用1个授权,无须重复购买。
旗舰版主机默认已具备应用防护能力,可直接开启防护,非旗舰版主机若需开启应用防护,可按需购买重保防护包。
如何判断已成功接入?
为什么看不到告警数据?
插件注入异常或防护未开启;
时间窗口内无有效攻击行为;
查询筛选条件(资产/时间/类型)不匹配。
