RASP在分析Web攻击的时候通常都会使用Hook技术捕获程序执行时的关键参数信息,然后和RASP的上下文中缓存的请求参数进行关联分析,使用基于攻击行为的分析方式分析出请求的参数中是否包含了恶意攻击。
因为RASP Context中存储着当前线程中所有与Http请求相关联的对象,所以在任意的RASP防御模块中都可以随时随地的获取到Http请求的参数、请求方式、请求文件绝对路径、URL地址等重要数据,同时RASP还会在Context中存储当前线程中的Http请求中的攻击信息,在Servlet或Filter的生命周期结束时将攻击日志写入本地日志文件并清理Context中的缓存对象。