什么产品可以定义为 RASP？

英为 Runtime application self-protection，它是种新型应安全保护技术，它将保护程序想疫苗样注到应程序和应程序融为体，能实时检测和阻断安全攻击，使应程序具备我保护能，当应程序遇到特定漏洞和攻击时不需要预就可以进动重新配置应对新的攻击。

这意味着，RASP 运在程序执期间，使程序能够我监控和识别有害的输和为。

其实，RASP 不同于传统的安全技术仅在络周边或者终端设备上进保护，它能够让应程序具备我保护能。实时是 RASP 常重要的特点，因为拥有应程序的上下，它不仅可以分析应程序的为也可以结合上下对为进分析，且这些能持续不断的进分析，旦发现有攻击为能刻进响应和处理。

RASP作原理探秘

先，RASP 是以什么形态存在？通常来说 将安全保护代码嵌到运中的服务器应程序，它会实时拦截所有的系统调并确保调安全，最终实现应程序我保护。

RASP 可以应在 Web 应程序和 Web 应程序，对应程序的代码设计没有任何影响，不需要修改任何代码，只需要简单的配置就可以将安全保护功能在服务器程序在运时注。

当前， 只在 Java 虚拟机和 .NET 通运环境得到实现，其他语的 RASP 实现前还没有，笔者估计在2015年必然会有 PHP 实现上市，其他语还需要技术更成熟。

RASP什么时候进保护？

旦 RASP 探测到每个户访问违反预设定的安全条件，RASP 就会接管系统并执必要合理的保护为。个例就是当户执访问数据库的 SQL 命令，如果 RASP 认为这个是个 SQL 注攻击就可以执为。

RASP 有检测和保护两种模式，检测模式在检测到安全攻击时只是记录下来并发送警告给户，保护模式不仅能够检测同时能够实时拦截潜在的安全攻击。

RASP 的保护为可以下种式：

终户会话

停户程序（不影响服务器上其他程序）：这是针对常严重的攻击，如。

发送警报给专门的安全员

发送警告给户

防墙 vs. RASP

RASP 和防墙样都能检测流量和内容，也能够终户会话。 然防墙不拥有应上下，不能在应层检测户流量，必然安全威胁拦截的准确性肯定没有 RASP ，误报率也会提。且在现在移动互联和云计算盛的今天，络边界已经越来越不清晰了，这样也使防墙的安全防护效果也越来越差。

Joseph Feinman 常精确的把防墙喻为簇拥在物周围的保镖，物去哪都带着保镖，看起来防御爆棚，但是物本肌不发达也没有武功，旦保镖被突破或者保镖被调虎离，那么这个物就没有任何保护了，就常危险了。RASP 可以让没有武

功的在很短的时间并且付出的代价不的情况下拥有很的我保护能（听起来有点像神话）。

RASP 的优点

RASP 能够看到系统所有户为的细节，这样对于提安全攻击识别的准确性有常的帮助。 如RASP能常清楚的理解户的逻辑，配置以及数据和事件流，这就给常精确的探测和拦截安全攻击为提供了坚的基础。

另外 RASP 能够我保护数据，能够保护数据从创建到消亡的全过程。

RASP 和应程序运在起，拥有户的数据，RASP 在安全保护上想象的空间常的，RASP 可以满很多企业级的数据保护需求， 如数据透明加解密，些只在系统内使保密数据就可以使加密，即使客将数据偷窃出去，也法破解和解密，这样更不存在

其他的问题了。

RASP 不之处

没有任何安全解决案是完美的，每个案都有优点也有缺点，RASP 也样，虽然它很多独特的优势，但也存在些不可忽视的不，需要安全研发员不断的改善。

先 RASP 是针对应程序的，每个应程序都必须有独的探针，不能像防墙样只在放置个设备就可以了。这样增加了部署困难和防范不完整的风险。

另外个较的不就是对系统性能的影响， 实时拦截，深检测户数据流，这是对精确度和误判率都有很的帮助，但是对户性能有些影响，这些性能消耗也必然影响到户的体验，这也是影响企业客户部署 RASP 的很原因。现在 RASP 的提供商在优化做了很努，部分 RASP 对性能影响在5%左右。

最后使 并不是真正建个安全的应，系统中存在的漏洞还是存在，应了 RASP 后临时提供个虚拟补丁修补上已知漏洞，当不RASP 后这些漏洞还是存在。另外 RASP 也不能修复所有的漏洞，漏洞时刻在更新。企业应该将 RASP 和扫描具结合起来将更有价值。RASP 软件提供商也应该提供实时漏洞更新功能，实现真正零攻击防御。

--------------------------------------------------------