[发明专利]一种基于eBPF的安全防护方法、系统及电子设备

说明书

本发明提供了一种基于eBPF的安全防护方法、系统及电子设备。该安全防护方法包括：基于预配置的安全策略对由用户注入的eBPF程序所编译的字节码执行标记操作，将执行标记操作后的字节码注入内核态；按照预设时间基于安全策略对内核态中的字节码进行检测，以将内核态中不符合安全策略的字节码确定为异常字节码，并对异常字节码进行拦截；杀死内核态响应由异常字节码所形成的进程。通过本发明，实现了对非法主体冒充用户所注入的字节码的拦截，同时还实现了对时间戳超过有效期的字节码的拦截，以自定义安全策略对不符合安全策略的字节码进行拦截，杀死内核态中由异常字节码所形成的进程，从而保证了内核态的安全。

技术领域

本发明涉及网络安全防护技术领域，尤其涉及一种基于eBPF的安全防护方法、系统及电子设备。

背景技术

扩展的伯克利数据包过滤器（Extended Berkeley Packet Filter，eBPF）是一种数据包过滤技术，从伯克利数据包过滤器（Berkeley Packet Filter，BPF）扩展而得。伯克利数据包过滤器的目的是为了提供一种过滤包的方法，并且要避免从内核空间到用户空间的无用的数据包复制行为。最初是由从用户空间注入到内核的一个简单的字节码构成，它在那个位置利用一个校验器进行检查，以避免内核奔溃或者安全问题；同时，附着到一个套接字上，在每一个接收到的数据包上运行。接着，对BPF进行改造，增加了新的功能，改善了性能，从而得到eBPF。eBPF提供给用户一个虚拟RISC处理器以及一组相关的指令。用户可以直接通过这组指令编写程序；同时，程序在下发到该虚拟机之前也会经过eBPF的检查（例如，检查程序是否会访问不合法的内存地址、检查程序会不会进入无限循环等等），在通过检查后才可以进入执行的环节。

eBPF虽然一定程度上增强了内核态的追踪调试功能，但是也带来了一定的安全问题，非法主体可以通过eBPF编写恶意软件程序损害系统安全。因此，当前对于eBPF的安全问题主要包括恶意软件程序（例如，Rootkit），逃逸等。而现有技术中网络防护方法主要是通过枚举eBPF、Hook敏感函数等方式以解决eBPF的安全问题。而前述网络防护方法在一定程度上很难限制恶意软件程序所造成的安全问题。枚举的方式存在遗漏发现隐藏的恶意代码的风险；Hook敏感函数的方式虽然可以发现隐藏的恶意代码，但是如果存在集合漏洞的话，还是存在一定的风险。

有鉴于此，有必要对现有技术中的eBPF的网络防护方法予以改进，以解决上述问题。

发明内容

本发明的目的在于解决现有技术中由于非法主体冒充用户向用户态注入eBPF程序并非法在用户态中部署非法程序，以将非法主体注入的eBPF程序编译成字节码并注入内核态中形成字节码对应的进程以执行相应业务，所导致的内核态不安全的问题。

为实现上述目的，第一方面，本发明提供了一种基于eBPF的安全防护方法，包括：

基于预配置的安全策略对由用户注入的eBPF程序所编译的字节码执行标记操作，将执行标记操作后的字节码注入内核态；

按照预设时间基于所述安全策略对内核态中的字节码进行检测，以将内核态中不符合安全策略的字节码确定为异常字节码，并对所述异常字节码进行拦截；

杀死内核态响应由所述异常字节码所形成的进程。

作为本发明的进一步改进，所述执行标记操作由部署于用户态的标签进程予以实现，所述安全策略于所述标签进程内以主动方式或者被动方式予以配置。

作为本发明的进一步改进，所述对内核态中的字节码进行检测由部署于内核态的检测进程予以实现，所述检测进程从所述标签进程中获取安全策略，以基于所述安全策略对内核态中的字节码进行检测。

作为本发明的进一步改进，所述执行标记操作，包括：

创建与eBPF程序对应的标签数据，并对所述标签数据进行加密，得到加密数据；