本發明提供了一種基于eBPF的安全防護方法、系統及電子設備。該安全防護方法包括：基于預配置的安全策略對由用戶注入的eBPF程序所編譯的字節碼執行標記操作，將執行標記操作后的字節碼注入內核態；按照預設時間基于安全策略對內核態中的字節碼進行檢測，以將內核態中不符合安全策略的字節碼確定為異常字節碼，并對異常字節碼進行攔截；殺死內核態響應由異常字節碼所形成的進程。通過本發明，實現了對非法主體冒充用戶所注入的字節碼的攔截，同時還實現了對時間戳超過有效期的字節碼的攔截，以自定義安全策略對不符合安全策略的字節碼進行攔截，殺死內核態中由異常字節碼所形成的進程，從而保證了內核態的安全。

技術領域

本發明涉及網絡安全防護技術領域，尤其涉及一種基于eBPF的安全防護方法、系統及電子設備。

背景技術

擴展的伯克利數據包過濾器（Extended Berkeley Packet Filter，eBPF）是一種數據包過濾技術，從伯克利數據包過濾器（Berkeley Packet Filter，BPF）擴展而得。伯克利數據包過濾器的目的是為了提供一種過濾包的方法，并且要避免從內核空間到用戶空間的無用的數據包復制行為。最初是由從用戶空間注入到內核的一個簡單的字節碼構成，它在那個位置利用一個校驗器進行檢查，以避免內核奔潰或者安全問題；同時，附著到一個套接字上，在每一個接收到的數據包上運行。接著，對BPF進行改造，增加了新的功能，改善了性能，從而得到eBPF。eBPF提供給用戶一個虛擬RISC處理器以及一組相關的指令。用戶可以直接通過這組指令編寫程序；同時，程序在下發到該虛擬機之前也會經過eBPF的檢查（例如，檢查程序是否會訪問不合法的內存地址、檢查程序會不會進入無限循環等等），在通過檢查后才可以進入執行的環節。

eBPF雖然一定程度上增強了內核態的追蹤調試功能，但是也帶來了一定的安全問題，非法主體可以通過eBPF編寫惡意軟件程序損害系統安全。因此，當前對于eBPF的安全問題主要包括惡意軟件程序（例如，Rootkit），逃逸等。而現有技術中網絡防護方法主要是通過枚舉eBPF、Hook敏感函數等方式以解決eBPF的安全問題。而前述網絡防護方法在一定程度上很難限制惡意軟件程序所造成的安全問題。枚舉的方式存在遺漏發現隱藏的惡意代碼的風險；Hook敏感函數的方式雖然可以發現隱藏的惡意代碼，但是如果存在集合漏洞的話，還是存在一定的風險。

有鑒于此，有必要對現有技術中的eBPF的網絡防護方法予以改進，以解決上述問題。

發明內容

本發明的目的在于解決現有技術中由于非法主體冒充用戶向用戶態注入eBPF程序并非法在用戶態中部署非法程序，以將非法主體注入的eBPF程序編譯成字節碼并注入內核態中形成字節碼對應的進程以執行相應業務，所導致的內核態不安全的問題。

為實現上述目的，第一方面，本發明提供了一種基于eBPF的安全防護方法，包括：

基于預配置的安全策略對由用戶注入的eBPF程序所編譯的字節碼執行標記操作，將執行標記操作后的字節碼注入內核態；

按照預設時間基于所述安全策略對內核態中的字節碼進行檢測，以將內核態中不符合安全策略的字節碼確定為異常字節碼，并對所述異常字節碼進行攔截；

殺死內核態響應由所述異常字節碼所形成的進程。

作為本發明的進一步改進，所述執行標記操作由部署于用戶態的標簽進程予以實現，所述安全策略于所述標簽進程內以主動方式或者被動方式予以配置。

作為本發明的進一步改進，所述對內核態中的字節碼進行檢測由部署于內核態的檢測進程予以實現，所述檢測進程從所述標簽進程中獲取安全策略，以基于所述安全策略對內核態中的字節碼進行檢測。

作為本發明的進一步改進，所述執行標記操作，包括：

創建與eBPF程序對應的標簽數據，并對所述標簽數據進行加密，得到加密數據；