[发明专利]一种基于eBPF的安全防护方法、系统及电子设备

权利要求书

1.一种基于eBPF的安全防护方法，其特征在于，包括：

基于预配置的安全策略对由合法用户注入的eBPF程序所编译的字节码执行标记操作，将执行标记操作后的字节码注入内核态；

按照预设时间基于所述安全策略对内核态中的字节码进行检测，以将内核态中不符合安全策略的字节码确定为异常字节码，并对所述异常字节码进行拦截；

杀死内核态响应由所述异常字节码所形成的进程；

其中，所述执行标记操作包括：

创建与eBPF程序对应的标签数据，并对所述标签数据进行加密，得到加密数据，由所述加密数据生成函数代码，将所述函数代码注入所述eBPF程序所编译的字节码中；

所述检测包括：检测所述字节码中是否存在由加密数据生成的函数代码，并在不存在所述函数代码时，确定所述字节码不符合安全策略。

2.根据权利要求1所述的安全防护方法，其特征在于，所述执行标记操作由部署于用户态的标签进程予以实现，所述安全策略于所述标签进程内以主动方式或者被动方式予以配置。

3.根据权利要求2所述的安全防护方法，其特征在于，所述对内核态中的字节码进行检测由部署于内核态的检测进程予以实现，所述检测进程从所述标签进程中获取安全策略，以基于所述安全策略对内核态中的字节码进行检测。

4.根据权利要求1所述的安全防护方法，其特征在于，所述创建与eBPF程序对应的标签数据，包括：

对所述由合法用户注入的eBPF程序进行签名得到签名值，并将所述签名值作为eBPF程序的ID；

创建签名证书，建立所述ID与所述签名证书的绑定关系，并记录建立绑定关系时的时间戳，同时对时间戳标注有效期；

由所述ID、签名证书以及标注有效期的时间戳形成标签数据。

5.根据权利要求4所述的安全防护方法，其特征在于，在所述执行标记操作之前，还包括：创建与eBPF程序唯一对应的密钥，所述密钥包括公钥与私钥；

在执行标记操作时，通过所述公钥或者私钥对所述标签数据进行加密。

6.根据权利要求5所述的安全防护方法，其特征在于，

检测所述字节码中是否存在由加密数据生成的函数代码，并在存在所述函数代码时，将所述函数代码转换为加密数据，并基于所述加密数据确定所述加密数据对应的字节码是否符合安全策略。

7.根据权利要求6所述的安全防护方法，其特征在于，所述基于所述加密数据确定所述加密数据对应的字节码是否符合安全策略，包括：

通过加密数据对应的eBPF程序对应的密钥中的私钥或者公钥对所述加密数据进行解密，得到解密后的数据，并判断解密后的数据是否符合所述安全策略，以确定解密后的数据对应的字节码是否符合安全策略。

8.根据权利要求7所述的安全防护方法，其特征在于，所述判断解密后的数据是否符合所述安全策略，包括：

判断解密后的数据中的ID是否符合安全策略以及判断解密后的数据中的时间戳是否符合所述安全策略；

若存在任意一种不符合所述安全策略，则确定所述解密后的数据不符合所述安全策略。

9.根据权利要求1至8中任一项所述的安全防护方法，其特征在于，在所述对所述异常字节码进行拦截之后，还包括：将异常字节码的拦截信息反馈至用户。