CN115499144A - 入侵检测方法、装置和系统、电子设备、计算机可读介质 - Google Patents

Abstract

本申请提供了一种入侵检测方法、装置和系统、入侵检测子系统、电子设备、计算机可读存储介质，入侵检测方法包括：获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

Description

入侵检测方法、装置和系统、电子设备、计算机可读介质

技术领域

本申请实施例涉及计算机技术领域，特别涉及入侵检测方法、装置和系统、入侵检测子系统、电子设备、计算机可读存储介质。

背景技术

云平台系统的主要目标之一是尽可能提升物理资源的利用率，从而降低整体的运维成本。为了实现这一目标，必然要允许多个不同的业务进程，甚至是平台管理进程运行在云平台系统的相同物理节点上，这带来了几个方面的问题：

资源争抢，即某些进程可能会占用过多资源，导致其他进程异常；

安全风险，即业务进程的代码由用户上传，因此很难对其进行检查与管控；

隔离失效风险，即一个恶意业务进程可能会影响到其它业务进程。

云平台系统解决上述问题的主要手段之一就是将业务进程封装到虚拟机中。虚拟机可以被视作一个安全沙箱，能够将虚拟机内的进程与外界隔离开来，使其无法轻易地访问或影响外界对象。同时虚拟机还可以设置资源使用的最大配额，结合平台管理进程的物理节点间的调度功能，确保资源分配的合理性。云平台系统可能还会部署一些防病毒或入侵检测系统来加强云平台系统整体的防御能力。

上述方法仍然存在安全问题，并且防病毒或入侵检测系统大多数都是基于已知的特征码或病毒特征或攻击模式，但许多漏洞和攻击模式都是未知的，因此，防御功能存在缺陷。

发明内容

本申请实施例提供一种入侵检测方法、装置和系统、入侵检测子系统、电子设备、计算机可读存储介质。

第一方面，本申请实施例提供一种入侵检测方法，包括：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

第二方面，本申请实施例提供一种入侵检测方法，包括：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

将所述行为基准数据发送给设置在所述物理节点中的代理模块。

第三方面，本申请实施例提供一种电子设备，包括：

至少一个处理器；

存储器，存储器上存储有至少一个程序，当所述至少一个程序被所述至少一个处理器执行时，实现上述任意一种入侵检测方法。

第四方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一种入侵检测方法。

第五方面，本申请实施例提供一种入侵检测装置，包括：

第一获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

第二获取模块，用于获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

检测模块，用于在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

第六方面，本申请实施例提供一种入侵检测装置，包括：

第三获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

通信模块，用于将所述行为基准数据发送给设置在所述物理节点中的代理模块。

第七方面，本申请实施例提供一种入侵检测子系统，包括：

第三获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

通信模块，用于将所述行为基准数据发送给设置在所述物理节点中的代理模块；

其中，所述第三获取模块和所述通信模块设置在相同的物理设备或设置在不同的物理设备中。

第八方面，本申请实施例提供一种入侵检测系统，包括：

设置在云平台系统的物理节点中的代理模块，用于：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息；

入侵检测装置或入侵检测子系统，用于：

接收所述代理模块发送的告警信息，对所述告警信息进行相应的处理得到处理结果；

存储所述告警信息和所述处理结果。

本申请实施例提供的入侵检测方法，基于云平台系统的物理节点的行为基准数据，也就是云平台系统在正常运行状态下物理节点的第一行为数据，对云平台系统实际运行过程中物理节点的第二行为数据进行入侵检测，仅依赖于行为基准数据，而不依赖于已知的特征码或病毒特征或攻击模式进行入侵检测，从而能够有效地防御未知的威胁，完善了防御功能。

附图说明

图1为本申请实施例的云平台系统的组成框图；

图2为本申请实施例的物理节点的软件结构示意图；

图3为本申请一个实施例提供的入侵检测方法的流程图；

图4为本申请另一个实施例提供的入侵检测方法的流程图；

图5为本申请另一个实施例提供的入侵检测装置的组成框图；

图6为本申请另一个实施例提供的入侵检测装置的组成框图；

图7为本申请另一个实施例提供的入侵检测系统的组成框图；

图8为本申请实施例提供的入侵检测系统的一种可实现方式的示意图。

具体实施方式

为使本领域的技术人员更好地理解本申请的技术方案，下面结合附图对本申请提供的入侵检测方法、装置和系统、入侵检测子系统、电子设备、计算机可读存储介质进行详细描述。

在下文中将参考附图更充分地描述示例实施例，但是所述示例实施例可以以不同形式来体现且不应当被解释为限于本文阐述的实施例。反之，提供这些实施例的目的在于使本申请透彻和完整，并将使本领域技术人员充分理解本申请的范围。

在不冲突的情况下，本申请各实施例及实施例中的各特征可相互组合。

如本文所使用的，术语“和/或”包括至少一个相关列举条目的任何和所有组合。

本文所使用的术语仅用于描述特定实施例，且不意欲限制本申请。如本文所使用的，单数形式“一个”和“该”也意欲包括复数形式，除非上下文另外清楚指出。还将理解的是，当本说明书中使用术语“包括”和/或“由……制成”时，指定存在所述特征、整体、步骤、操作、元件和/或组件，但不排除存在或添加至少一个其它特征、整体、步骤、操作、元件、组件和/或其群组。

除非另外限定，否则本文所用的所有术语(包括技术和科学术语)的含义与本领域普通技术人员通常理解的含义相同。还将理解，诸如那些在常用字典中限定的那些术语应当被解释为具有与其在相关技术以及本申请的背景下的含义一致的含义，且将不解释为具有理想化或过度形式上的含义，除非本文明确如此限定。

为了便于后文理解，这里首先对通用的云平台系统做一个简单的介绍。

图1为本申请实施例的云平台系统的组成框图。如图1所示，云平台系统包括至少一个物理节点，物理节点可以由服务器单板实现，不同物理节点之间通过网络进行连接通信。

图2为本申请实施例的物理节点的软件结构示意图。如图2所示，物理节点内部的软件结构大致分为操作系统、平台管理进程和业务进程。

其中，操作系统包括内核和系统核心进程，是物理节点能够正常工作的基础，负责物理节点的软硬件资源的管理与调度，对其他上层进程提供功能接口。

其中，平台管理进程是云平台系统的开发商研发维护的功能组件，平台管理进程定义并实现了特定云平台产品的功能集合。负责实现所在的物理节点的资源管理、用户业务的生命周期管理、负载均衡、高可用等云平台系统必须提供的核心功能。

平台管理进程一般是以普通进程的方式运行在物理节点上的，但也有一些平台管理进程可能是运行在虚拟机或容器内。不同的云平台系统的具体需求或设计理念不同可能会选择不同的进程运行形态。

平台管理进程的核心任务之一就是时刻观察云平台系统内所有物理节点的当前可用资源，同时结合已分配的和待分配的业务虚拟机资源需求，在不同的物理节点间动态调配各个业务虚拟机，从而尽可能地提高所有物理节点的资源利用率，而又不会使个别物理节点的负荷过高。

其中，业务虚拟机是云平台系统应外部用户的请求而建立的，在虚拟机内会运行用户提供的业务进程，这些业务进程的运行形态一般由用户决定，可以是普通进程也可以运行在容器内，云平台系统并不关心。

某些传统的云平台系统可能允许业务进程直接以容器的形态运行在物理节点行，即没有封装到虚拟机内，但容器提供的隔离性很弱，业务进程极易对物理节点整体造成影响。因此，当前主流的云平台系统中都会将业务进程封装到虚拟机内运行。

需要说明的是，图2仅仅是一个物理节点的内部软件结构示意图，实际上云平台系统的物理节点内的软件结构细节要复杂的多。但图2所展示的内容在基本概念上是正确的，能够帮助理解后文将要提到的安全相关问题。

云平台系统将业务进程封装到虚拟机中。虚拟机可以被视作一个安全沙箱，能够将虚拟机内的进程与外界隔离开来，使其无法轻易地访问或影响外界对象。同时虚拟机还可以设置资源使用的最大配额，结合平台管理进程的物理节点间的调度功能，确保资源分配的合理性。云平台系统可能还会部署一些防病毒或入侵检测系统来加强云平台系统整体的防御能力。

上述应对策略提升了云平台系统整体的安全性，但仍存在很大的不足：

虚拟机这个安全沙箱是有可能被突破的；虚拟机本身提供了较好的隔离性，但和其他软件一样，虚拟机的相关管理软件也是可能存在缺陷的。业界已经发现许多案例，通过利用漏洞或不当的配置，允许虚拟机内的进程检测到自身处于沙箱中，进而突破沙箱、对外界产生影响。而相关软件中还存在多少类似的可以被利用的漏洞是一个未知的答案。

某些攻击可能源自内部；虽然云平台系统面临的安全风险主要来自用户上传的缺陷代码或恶意软件(无意的或有意的)，但云平台系统自身的平台管理进程、操作系统以及运维人员都有可能是风险的来源。代码中存在的缺陷、不当的配置以及被社会工程学手段攻陷的运维人员都会导致攻击者获得部分或全部系统的控制权，进而危及到云平台系统的整个基础设施以及上面运行的所有业务载荷。

防病毒或入侵检测系统大多数都是基于业界已知的特征码或病毒特征或攻击模式，因此，需要频繁地更新检测库的内容，但这在很多应用场景下是难以做到的；并且，许多漏洞和攻击模式都是未知的，从而也就无法对这些未知的漏洞和攻击模式进行防御，例如，某些特别订制的变种恶意软件，或是任何0day漏洞，以及所有还未发布的安全补丁的漏洞。

综上，上述方法提供的防御功能存在缺陷。

图3为本申请一个实施例提供的入侵检测方法的流程图。

第一方面，参照图3，本申请一个实施例提供一种入侵检测方法，应用于设置在云平台系统的物理节点中的代理模块，代理模块可以通过手动或自动化编排的方式部署到物理节点中，在部署代理模块时，需要配置入侵检测装置或入侵检测子系统的地址或域名。

该方法包括：

步骤300、获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据。

在本申请中，云平台系统一般包括多个物理节点，不同物理节点的行为基准数据有可能相同，也有可能不相同。一般情况下，不同物理节点的行为基准数据是不同的。因此，在获取云平台系统的物理节点的行为基准数据时，仅需要获取代理模块所在的物理节点的行为基准数据即可，而不需要获取其他物理节点的行为基准数据。

在一些示例性实施例中，获取云平台系统的物理节点的行为基准数据包括：

接收入侵检测装置或入侵检测子系统发送的行为基准数据。

在一些示例性实施例中，为了提高防御性能，需要基于云平台系统自身的不变特性来进行防御，以不变应万变，而不能基于已知的威胁信息来进行防御，这是因为威胁信息会不断地变化，且存在大量的未知领域。

一个正式商用的生产环境一般都具备两个非常有利的特性：

物理节点、操作系统以及平台管理进程都是高度受控的；

用户控制的业务进程都被封装在虚拟机进程内，与外界的交互都要通过虚拟机系统，一定程度上也可以被认为是受控的。

简而言之，商用的生产环境的物理节点上的所有对象一般都是严格受控的，例如，所使用的硬件型号、操作系统版本、安装的系统软件组成及版本号、平台管理软件的组成和版本号、物理节点的文件清单、业务虚拟机进程的资源使用范围等内容都是在规划、部署以及升级前就都能预先确定下来的。对于任何一个正式商用的生产环境，上述与规划和管控流程一般也都是保证系统稳定、有效运维的基本方法。

更进一步的，物理节点上除了业务软件外，其他软件的成分都是固定且受控的，而这些系统或平台软件代码本身也是已知且不变的；业务软件的成分和代码虽然不受控制，但其都被封装在虚拟机这个沙箱内，对外表现为一个虚拟机进程，这个虚拟机进程对外界造成影响的合法范围一般也是规划好的，例如能够访问哪个目录的文件，能够打开哪些端口等等。

也就是说，云平台系统自身的不变特性可以是指预先规划好的对外界造成影响的合法范围，和/或，云平台系统内部自身界定的合法范围。

也就是说，行为基准数据即是用于界定物理节点的合法对象和/或合法对象的合法行为边界的数据。在获得了云平台系统的合法行为边界后，就可以以不变应万变，这是因为任何攻击入侵行为不论使用了何种巧妙的技术、执行了多少复杂的步骤，最终产生的结果基本只有三种类型：以某个非法的身份执行一些非法的操作；或者是以某个合法的身份执行一些非法的操作；或者是以某个非法的身份执行一些合法的操作。无论过程如何，只要异常的结果发生，就会被发现。在这种检测机制下，不仅能发现利用已知漏洞或攻击模式的入侵行为，还能发现利用未知漏洞或攻击模式的入侵行为。

例如，行为基准数据包括以下至少之一：

物理节点上的合法进程的信息清单；

物理节点上的合法文件的信息清单；

物理节点上的合法进程可访问的资源清单；

物理节点上的合法进程可创建的网络端口范围；

物理节点上的合法进程可通信的通信终端；

物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

更具体的说，行为基准数据包括以下至少之一：

物理节点上的合法进程的信息清单；

物理节点上的合法文件的信息清单；

物理节点上的合法进程可访问的文件范围；

物理节点上的合法进程可访问的目录范围；

物理节点上的合法进程可访问的网络端口范围；

物理节点上的合法进程可创建的网络端口范围；

物理节点上的合法进程可访问的目标网络地址范围；

物理节点上的合法进程可访问的目标网络域名范围；

物理节点上的合法进程可访问的硬件设备；

物理节点上的合法进程可通信的通信终端；

物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，进程的信息包括以下至少之一：进程名称、进程的参数。

在一些示例性实施例中，文件的信息包括以下至少之一：文件名称、文件路径。

在一些示例性实施例中，物理节点上的合法进程的信息清单中还可以包括：被豁免的进程的信息子清单。在另一些示例实施例中，行为基准数据还包括：物理节点上被豁免的进程的信息清单。

在一些示例性实施例中，物理节点上的合法文件的信息清单中还可以包括：被豁免的文件的信息子清单。在另一些示例性实施例中，行为基准数据还包括：物理节点上被豁免的文件的信息清单。

在本申请实施例中，豁免的意思是后面在进行入侵检测时，也就是在将第二行为数据和行为基准数据进行比对时，不需要判断其是否与行为基准数据冲突。

步骤301、获取云平台系统实际运行过程中物理节点的第二行为数据。

在一些示例性实施例中，为了完善防御功能，所采集的第二行为数据应该保证底层的操作系统和平台管理进程也纳入检测范围，即检测范围要足够大，并且检测动作发生的级别越低越好，从而避免被潜在的攻击者绕过或破坏，即要有足够的检测深度。如果能够在操作系统的内核层级进行检测，那么可以同时满足检测范围和检测深度的要求。因为内核在整个系统中所处的层级非常低(基本上仅次于硬件)，而权限和管辖范围又非常大，几乎所有上层进程都无法脱离内核功能的支持，同时也无法绕过内核级的监控。

目前有两种方法能够扩展内核的功能，即在内核中加入检测相关的功能逻辑模块来实现对行为基准数据的采集，一种是在内核中实现并加载内核模块(Kernel Module)，另一种是在内核中实现并加载扩展的伯克利包过滤器(eBPF，extended Berkeley PacketFilter)代理模块，即上述代理模块采用eBPF代码实现，因此，代理模块也可以称之为eBPF代理模块。

其中，内核模块是Linux内核在很久之前就已经支持的一种扩展方式。内核模块允许用户编写的扩展代码被编译成特定格式后以一种可插拔的方式动态加载(或卸载)到内核中，从而能够灵活地扩展内核的功能。

内核模块直接运行在内核态，因此权限极高、性能损失小。内核模块的主要缺点在于对异常保护的隔离不足：内核模块代码中的任何缺陷都可能直接导致内核崩溃，进而使得物理节点瘫痪。这对于生产环境来说是一个后果严重的巨大风险，由于难以保证内核模块代码中不存在任何缺陷，因此在很多场景下使用自定义的内核模块是受到限制的。

另一方面，较新版本(4.3以上版本)的Linux内核中加入了eBPF功能子系统，其原本的目标是实现一种新的包过滤器，以取代iptable子系统，但后续的演进对其进行了大幅的扩展。eBPF功能子系统本质上是一个运行在内核里的微型虚拟机，用户可以在规定的限制条件下编写功能代码，编译后这些代码将加载到内核中执行。在加载eBPF代码之前，内核会对eBPF代码进行类型、语义以及其他合法性检查，确保其不存在可能导致挂死或崩溃的缺陷。在运行时，内核还会执行其他一些保护措施以防止eBPF代码崩溃。在性能方面，其与传统的内核模块相当。

合法的eBPF代码可以挂载到内核中几乎任意一个可探测点(probe)上。其中比较重要的几类内核可探测点有：

软硬件计数器，用于记录内核中的软硬件的事件的计数；

跟踪点(Tracepoint)，即内核预先设计预留的一批内部状态探测点，主要用于程序的调试(Debug)、调用堆栈分析、性能数据的获取等；

kProbe，即具体的内核函数的可探测点，其粒度比Tracepoint更细，可以直接观察到具体内核函数的调用和执行情况，一般主要也是用于Debug和性能分析。

如果一个可探测点挂载有用户提供的eBPF代码，那么每当内核的内部逻辑执行到该处时，内核就会先按照加载顺序依次执行eBPF代码，然后再继续执行原有的逻辑。eBPF的这种机制，等同于为内核全域都添加了可编程接口，在确保安全的同时，极大地提升了内核的扩展灵活度。

在上面提到的三类可探测点中，软硬件计数器会因为物理节点的软硬件配置的不同而不同；kProbe会因为内核版本的变化而变化。因此当环境发生变化或内核版本发生变更时，原有的eBPF代码可能需要修改并重新编译。但对于Tracepoint而言，尤其是其中的系统调用(syscall)，内核维护团队承诺其跨版本的接口稳定性。因此，如果用户编写的eBPF代码仅涉及syscall，那么就可以在不同的环境、不同的内核版本下使用。

在一些示例性实施例中，第二行为数据包括以下至少之一：

所述物理节点上运行的进程的信息；

所述物理节点上的文件的信息；

所述物理节点上运行的进程所访问的资源；

所述物理节点上运行的进程所创建的网络端口；

所述物理节点上运行的进程所通信的通信终端；

所述物理节点上运行的进程所调用的系统调用函数。

更具体的说，第二行为数据包括以下至少之一：

物理节点上运行的进程的信息；

物理节点上的文件的信息；

物理节点上运行的进程所访问的文件；

物理节点上运行的进程所访问的目录；

物理节点上运行的进程所访问的网络端口；

物理节点上运行的进程所创建的网络端口；

物理节点上运行的进程所访问的目标网络地址；

物理节点上运行的进程所访问的目标网络域名；

物理节点上运行的进程所访问的硬件设备；

物理节点上运行的进程所通信的通信终端；

物理节点上运行的进程所调用的系统调用函数。

步骤302、在行为基准数据和第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

在一些示例性实施例中，所述行为基准数据和所述第二行为数据存在冲突包括以下至少之一：

所述行为基准数据中的所述物理节点上的合法进程的信息清单中包括所述第二行为数据中的所述物理节点上运行的进程的信息；

所述行为基准数据中的所述物理节点上的合法文件的信息清单包括所述第二行为数据中的所述物理节点上的文件的信息；

所述行为基准数据中的所述物理节点上的合法进程可访问的资源清单包括所述第二行为数据中的所述物理节点上运行的进程所访问的资源；

所述行为基准数据中的所述物理节点上的合法进程可创建的网络端口范围包括所述第二行为数据中的所述物理节点上运行的进程所创建的网络端口；

所述行为基准数据中的所述物理节点上的合法进程可通信的通信终端包括所述第二行为数据中的所述物理节点上运行的进程所通信的通信终端；

所述行为基准数据中的所述物理节点上的合法进程可调用的系统调用函数集合包括所述第二行为数据中的所述物理节点上运行的进程所调用的系统调用函数。

更具体的说，行为基准数据和第二行为数据存在冲突包括以下至少之一：

行为基准数据中的物理节点上的合法进程的信息清单中包括第二行为数据中的物理节点上运行的进程的信息；

行为基准数据中的物理节点上的合法文件的信息清单包括第二行为数据中的物理节点上的文件的信息；

行为基准数据中的物理节点上的合法进程可访问的文件范围包括第二行为数据中的物理节点上运行的进程所访问的文件；

行为基准数据中的物理节点上的合法进程可访问的目录范围包括第二行为数据中的物理节点上运行的进程所访问的目录；

行为基准数据中的物理节点上的合法进程可访问的网络端口范围包括第二行为数据中的物理节点上运行的进程所访问的网络端口；

行为基准数据中的物理节点上的合法进程可创建的网络端口范围包括第二行为数据中的物理节点上运行的进程所创建的网络端口；

行为基准数据中的物理节点上的合法进程可访问的目标网络地址范围包括第二行为数据中的物理节点上运行的进程所访问的目标网络地址；

行为基准数据中的物理节点上的合法进程可访问的目标网络域名范围包括第二行为数据中的物理节点上运行的进程所访问的目标网络域名；

行为基准数据中的物理节点上的合法进程可访问的硬件设备包括第二行为数据中的物理节点上运行的进程所访问的硬件设备；

行为基准数据中的物理节点上的合法进程可通信的通信终端包括第二行为数据中的物理节点上运行的进程所通信的通信终端；

行为基准数据中的物理节点上的合法进程可调用的系统调用函数集合包括第二行为数据中的物理节点上运行的进程所调用的系统调用函数。

在一些示例性实施例中，接收入侵检测装置或入侵检测子系统发送的行为基准数据之前，该方法还包括：

与入侵检测装置或入侵检测子系统建立连接；

接收入侵检测装置或入侵检测子系统发送的行为基准数据包括：

通过建立的连接接收入侵检测装置或入侵检测子系统发送的行为基准数据。

在一些示例性实施例中，可以根据预先配置的入侵检测装置或入侵检测子系统的地址或域名与入侵检测装置或入侵检测子系统建立连接。

本申请实施例提供的入侵检测方法，基于云平台系统的物理节点的行为基准数据，也就是云平台系统在正常运行状态下物理节点的第一行为数据，对云平台系统实际运行过程中物理节点的第二行为数据进行入侵检测，仅依赖于行为基准数据，而不依赖于已知的特征码或病毒特征或攻击模式进行入侵检测，从而能够有效地防御未知的威胁，完善了防御功能。

图4为本申请另一个实施例提供的入侵检测方法的流程图。

第二方面，参照图4，本申请另一个实施例提供一种入侵检测方法，包括：

步骤400、获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据。

在本申请中，云平台系统一般包括多个物理节点，不同物理节点的行为基准数据有可能相同，也有可能不相同。一般情况下，不同物理节点的行为基准数据是不同的。因此，在获取云平台系统的物理节点的行为基准数据时，需要获取不同的物理节点对应的行为基准数据。

在一些示例性实施例中，获取云平台系统的物理节点的行为基准数据包括：

接收用户上传的行为基准数据。

在一些示例性实施例中，由于不同物理节点的行为基准数据不同，因此，用户在上传行为基准数据时，应上传物理节点的信息和行为基准数据之间的对应关系；其中，物理节点的信息至少包含以下内容至少之一：物理节点的名称、物理节点的访问地址、物理节点的鉴权信息。

在一些示例性实施例中，用户上传的行为基准数据可以通过构建的云平台系统的基准环境来获得，后续也可以通过分析各软件的功能行为和配置数据来进一步完善。该基准环境可以在研发实验室内构建，也可以直接使用现有的测试环境，也可以是新部署的生产环境。基准环境应尽可能贴近实际生产环境(如操作系统版本、软件组成等均应与实际的生产环境相同)，以确保采集的行为基准数据的全面性和有效性。如果待检测的云平台系统的生产环境发生了变更(如软硬件升级等)，则应相应地调整基准环境与之匹配，以供后续重新采集行为基准数据。

在一些示例性实施例中，为了完善防御功能，所采集的行为基准数据应该保证底层的操作系统和平台管理进程也纳入检测范围，即检测范围要足够大，并且检测动作发生的级别越低越好，从而避免被潜在的攻击者绕过或破坏，即要有足够的检测深度。如果能够在操作系统的内核层级进行检测，那么可以同时满足检测范围和检测深度的要求。因为内核在整个系统中所处的层级非常低(基本上仅次于硬件)，而权限和管辖范围又非常大，几乎所有上层进程都无法脱离内核功能的支持，同时也无法绕过内核级的监控。

目前有两种方法能够扩展内核的功能，即在内核中加入检测相关的功能逻辑模块来实现对行为基准数据的采集，一种是在内核中实现并加载内核模块(Kernel Module)，另一种是在内核中实现并加载eBPF代理模块。

其中，内核模块是Linux内核在很久之前就已经支持的一种扩展方式。内核模块允许用户编写的扩展代码被编译成特定格式后以一种可插拔的方式动态加载(或卸载)到内核中，从而能够灵活地扩展内核的功能。

内核模块直接运行在内核态，因此权限极高、性能损失小。内核模块的主要缺点在于对异常保护的隔离不足：内核模块代码中的任何缺陷都可能直接导致内核崩溃，进而使得物理节点瘫痪。这对于生产环境来说是一个后果严重的巨大风险，由于难以保证内核模块代码中不存在任何缺陷，因此在很多场景下使用自定义的内核模块是受到限制的。

另一方面，较新版本(4.3以上版本)的Linux内核中加入了eBPF功能子系统，原本的目标是实现一种新的包过滤器，以取代iptable子系统，但后续的演进对其进行了大幅的扩展。eBPF功能子系统本质上是一个运行在内核里的微型虚拟机，用户可以在规定的限制条件下编写功能代码，编译后这些代码将加载到内核中执行。在加载eBPF代码之前，内核会对eBPF代码进行类型、语义以及其他合法性检查，确保其不存在可能导致挂死或崩溃的缺陷。在运行时，内核还会执行其他一些保护措施以防止eBPF代码崩溃。在性能方面，其与传统的内核模块相当。

合法的eBPF代码可以挂载到内核中几乎任意一个可探测点(probe)上。其中比较重要的几类内核可探测点有：

软硬件计数器，用于记录内核中的软硬件的事件的计数；

跟踪点(Tracepoint)，即内核预先设计预留的一批内部状态探测点，主要用于程序的调试(Debug)、调用堆栈分析、性能数据的获取等；

kProbe，即具体的内核函数的可探测点，其粒度比Tracepoint更细，可以直接观察到具体内核函数的调用和执行情况，一般主要也是用于Debug和性能分析。

如果一个可探测点挂载有用户提供的eBPF代码，那么每当内核的内部逻辑执行到该处时，内核就会先按照加载顺序依次执行eBPF代码，然后再继续执行原有的逻辑。eBPF的这种机制，等同于为内核全域都添加了可编程接口，在确保安全的同时，极大地提升了内核的扩展灵活度。

在上面提到的三类可探测点中，软硬件计数器会因为物理节点的软硬件配置的不同而不同；kProbe会因为内核版本的变化而变化。因此当环境发生变化或内核版本发生变更时，原有的eBPF代码可能需要修改并重新编译。但对于Tracepoint而言，尤其是其中的系统调用(syscall)，内核维护团队承诺其跨版本的接口稳定性。因此，如果用户编写的eBPF代码仅涉及syscall，那么久可以在不同的环境、不同的内核版本下使用。

在一些示例性实施例中，为了提高防御性能，需要基于云平台系统自身的不变特性来进行防御，以不变应万变，而不能基于已知的威胁信息来进行防御，这是因为威胁信息会不断地变化，且存在大量的未知领域。

一个正式商用的生产环境一般都具备两个非常有利的特性：

物理节点、操作系统以及平台管理进程都是高度受控的；

用户控制的业务进程都被封装在虚拟机进程内，与外界的交互都要通过虚拟机系统，一定程度上也可以被认为是受控的。

简而言之，商用的生产环境的物理节点上的所有对象一般都认为是严格受控的，例如，所使用的硬件型号、操作系统版本、安装的系统软件组成及版本号、平台管理软件的组成和版本号、物理节点的文件清单、业务虚拟机进程的资源使用范围等内容都是在规划、部署以及升级前就都能预先确定下来的。对于任何一个正式商用的生产环境，上述与规划和管控流程一般也都是保证系统稳定、运维有效的基本方法。

更进一步的，物理节点上除了业务软件外，其他软件的成分都是固定且受控的，而这些系统或平台软件代码本身也是已知且不变的；业务软件的成分和代码虽然不受控制，但其都被封装在虚拟机这个沙箱内，对外表现为一个虚拟机进程，这个虚拟机进程对外界造成影响的合法范围一般也是规划好的，例如能够访问哪个目录的文件，能够打开哪些端口等等。

也就是说，云平台系统自身的不变特性可以是指预先规划好的对外界造成影响的合法范围，和/或，云平台系统内部自身界定的合法范围。

也就是说，行为基准数据即是用于界定物理节点的合法对象和/或合法对象的合法行为边界的数据。在获得了云平台系统的合法行为边界后，就可以以不变应万变，这是因为任何攻击入侵行为不论使用了何种巧妙的技术、执行了多少复杂的步骤，最终产生的结果基本只有三种类型：以某个非法的身份执行一些非法的操作；或者是以某个合法的身份执行一些非法的操作；或者是以某个非法的身份执行一些合法的操作。无论过程如何，只要异常的结果发生，就会被发现。在这种检测机制下，不仅能发现利用已知漏洞或攻击模式的入侵行为，还能发现利用未知漏洞或攻击模式的入侵行为。

例如，行为基准数据包括以下至少之一：

物理节点上的合法进程的信息清单；

物理节点上的合法文件的信息清单；

物理节点上的合法进程可访问的资源清单；

物理节点上的合法进程可创建的网络端口范围；

物理节点上的合法进程可通信的通信终端；

物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

更具体的说，行为基准数据包括以下至少之一：

物理节点上的合法进程的信息清单；

物理节点上的合法文件的信息清单；

物理节点上的合法进程可访问的文件范围；

物理节点上的合法进程可访问的目录范围；

物理节点上的合法进程可访问的网络端口范围；

物理节点上的合法进程可创建的网络端口范围；

物理节点上的合法进程可访问的目标网络地址范围；

物理节点上的合法进程可访问的目标网络域名范围；

物理节点上的合法进程可访问的硬件设备；

物理节点上的合法进程可通信的通信终端；

物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，进程的信息包括以下至少之一：进程名称、进程的参数。

在一些示例性实施例中，文件的信息包括以下至少之一：文件名称、文件路径。

在一些示例性实施例中，物理节点上的合法进程的信息清单中还可以包括：被豁免的进程的信息子清单。在另一些示例实施例中，行为基准数据还包括：物理节点上被豁免的进程的信息清单。

在一些示例性实施例中，物理节点上的合法文件的信息清单中还可以包括：被豁免的文件的信息子清单。在另一些示例性实施例中，行为基准数据还包括：物理节点上被豁免的文件的信息清单。

在本申请实施例中，豁免的意思是后面在进行入侵检测时，也就是在将第二行为数据和行为基准数据进行比对时，并需要判断其是否与行为基准数据冲突。

在一些示例性实施例中，上述行为基准数据可以采用多种通用方法来获取，这里仅列举一个可实现的例子：

find命令可以获取物理节点上的文件的信息清单；

top命令可以获取物理节点上的进程的信息清单；

对于特定的进程，通过ls-l/proc/进程ID/fd命令可以获得该进程打开的文件的信息；

ipcs命令可以获取所有进程间(ipc)通信的信息，如通信终端的信息；

由于Linux上所有的设备也是文件，因此通过ls-l/proc/进程ID/fd命令也可以获知进程访问了哪些硬件设备；

使用strace-p进程ID可以得到指定进程调用syscall的情况；

可以利用现有的eBPF工具(如bpftrace)来获取物理节点进程调用syscall的数据。

上述数据获取后可以简单地处理成便于搜索匹配的统一数据格式(例如哈希表(HashMap))供存储和使用。

步骤401、将行为基准数据发送给设置在物理节点中的代理模块。

在本申请实施例中，由于不同物理节点的行为基准数据不同，因此，需要将行为基准数据发送给对应的物理节点中的代理模块。

在一些示例性实施例中，该方法还包括：

接收代理模块发送的告警信息，对告警信息进行相应的处理得到处理结果；

存储告警信息和处理结果。

在一些示例性实施例中，对告警信息进行相应的处理得到处理结果包括：根据预先设置的告警信息管理配置数据对告警信息进行相应的处理得到处理结果。

在本申请实施例中，应该将告警信息和处理结果对应存储，也就是要存储告警信息和处理结果之间的对应关系。

在一些示例性实施例中，将行为基准数据发送给物理节点之前，该方法还包括：

与代理模块建立连接；

将行为基准数据发送给设置在物理节点中的代理模块包括：

通过建立的连接将行为基准数据发送给代理模块。

在一些示例性实施例中，该方法还包括：

接收物理节点注册请求；其中，物理节点注册请求包括：物理节点的信息；

存储物理节点的信息。

在一些示例性实施例中，物理节点的信息至少包含以下内容至少之一：物理节点的名称、物理节点的访问地址、物理节点的鉴权信息。

在一些示例性实施例中，该方法还包括：

接收用户发送的数据获取请求；

获取数据获取请求对应的数据，显示获得的数据。

这里用户获取的数据可以是当前告警信息和对应的处理结果，也可以是历史告警信息和对应的处理结果，也可以是物理节点的行为基准数据，也可以是代理模块的连接状态信息和工作状态信息等等。

本申请实施例提供的入侵检测方法，基于云平台系统的物理节点的行为基准数据，也就是云平台系统在正常运行状态下物理节点的第一行为数据，对云平台系统实际运行过程中物理节点的第二行为数据进行入侵检测，仅依赖于行为基准数据，而不依赖于已知的特征码或病毒特征或攻击模式进行入侵检测，从而能够有效地防御未知的威胁，提高了防御性能。

第三方面，本申请另一个实施例提供一种电子设备，包括：

至少一个处理器；

存储器，存储器上存储有至少一个程序，当至少一个程序被至少一个处理器执行时，实现上述任意一种入侵检测方法。

其中，处理器为具有数据处理能力的器件，其包括但不限于中央处理器(CPU)等；存储器为具有数据存储能力的器件，其包括但不限于随机存取存储器(RAM，更具体如SDRAM、DDR等)、只读存储器(ROM)、带电可擦可编程只读存储器(EEPROM)、闪存(FLASH)。

在一些实施例中，处理器、存储器通过总线相互连接，进而与计算设备的其它组件连接。

第四方面，本申请另一个实施例提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述任意一种入侵检测方法。

图5为本申请另一个实施例提供的入侵检测装置的组成框图。

第五方面，本申请另一个实施例提供一种入侵检测装置，包括：

第一获取模块501，用于获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据；

第二获取模块502，用于获取云平台系统实际运行过程中物理节点的第二行为数据；

检测模块503，用于在行为基准数据和第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

在一些示例性实施例中，第一获取模块501具体用于：

接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

在一些示例性实施例中，第一获取模块501具体用于：

与所述入侵检测装置或所述入侵检测子系统建立连接；

通过建立的连接接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

在一些示例性实施例中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

在一些示例性实施例中，第二获取模块502具体用于：

通过设置在所述物理节点中的扩展的伯克利包过滤器eBPF代理模块获取所述第二行为数据。

在一些示例性实施例中，所述第二行为数据包括以下至少之一：

所述物理节点上运行的进程的信息；

所述物理节点上的文件的信息；

所述物理节点上运行的进程所访问的资源；

所述物理节点上运行的进程所创建的网络端口；

所述物理节点上运行的进程所通信的通信终端；

所述物理节点上运行的进程所调用的系统调用函数。

在一些示例性实施例中，所述行为基准数据和所述第二行为数据存在冲突包括以下至少之一：

所述行为基准数据中的所述物理节点上的合法进程的信息清单中包括所述第二行为数据中的所述物理节点上运行的进程的信息；

所述行为基准数据中的所述物理节点上的合法文件的信息清单包括所述第二行为数据中的所述物理节点上的文件的信息；

所述行为基准数据中的所述物理节点上的合法进程可访问的资源清单包括所述第二行为数据中的所述物理节点上运行的进程所访问的资源；

所述行为基准数据中的所述物理节点上的合法进程可创建的网络端口范围包括所述第二行为数据中的所述物理节点上运行的进程所创建的网络端口；

所述行为基准数据中的所述物理节点上的合法进程可通信的通信终端包括所述第二行为数据中的所述物理节点上运行的进程所通信的通信终端；

所述行为基准数据中的所述物理节点上的合法进程可调用的系统调用函数集合包括所述第二行为数据中的所述物理节点上运行的进程所调用的系统调用函数。

本申请实施例的入侵检测装置的具体实现过程与前述实施例的入侵检测方法的具体实现过程相同，这里不再赘述。

图6为本申请另一个实施例提供的入侵检测装置的组成框图。

第六方面，本申请另一个实施例提供一种入侵检测装置，包括：

第三获取模块601，用于获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据；

通信模块602，用于将行为基准数据发送给设置在物理节点中的代理模块。

在一些示例性实施例中，通信模块602还用于：

接收所述代理模块发送的告警信息；

还包括：

告警信息处理模块603，用于对所述告警信息进行相应的处理得到处理结果；

存储模块604，用于存储所述告警信息和所述处理结果。

在一些示例性实施例中，通信模块602还用于：

与所述代理模块建立连接；

通过建立的连接将所述行为基准数据发送给所述代理模块。

在一些示例性实施例中，第三获取模块601具体用于：

接收用户上传的所述行为基准数据。

在一些示例性实施例中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

本申请实施例的入侵检测装置的具体实现过程与前述实施例的入侵检测方法的具体实现过程相同，这里不再赘述。

第七方面，本申请另一个实施例提供一种入侵检测子系统，包括：

第三获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据；

通信模块，用于将行为基准数据发送给设置在物理节点中的代理模块；

其中，第三获取模块和通信模块设置在相同的物理设备或设置在不同的物理设备中。

在一些示例性实施例中，通信模块还用于：

接收所述代理模块发送的告警信息；

还包括：

告警信息处理模块，用于对所述告警信息进行相应的处理得到处理结果；

存储模块，用于存储所述告警信息和所述处理结果；

第三获取模块、通信模块、告警信息处理模块和存储模块设置在相同的物理设备或设置在不同的物理设备中。

在一些示例性实施例中，通信模块还用于：

与所述代理模块建立连接；

通过建立的连接将所述行为基准数据发送给所述代理模块。

在一些示例性实施例中，第三获取模块具体用于：

接收用户上传的所述行为基准数据。

在一些示例性实施例中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

本申请实施例的入侵检测子系统的具体实现过程与前述实施例的入侵检测方法的具体实现过程相同，这里不再赘述。

图7为本申请另一个实施例提供的入侵检测系统的组成框图。

第八方面，参照图7，本申请另一个实施例提供一种入侵检测系统，包括：

设置在云平台系统的物理节点中的代理模块701，用于：

获取云平台系统的物理节点的行为基准数据；其中，行为基准数据为云平台系统在正常运行状态下物理节点的第一行为数据；

获取云平台系统实际运行过程中物理节点的第二行为数据；

在行为基准数据和第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息；

入侵检测装置或入侵检测子系统702，用于：

接收代理模块发送的告警信息，对告警信息进行相应的处理得到处理结果；

存储告警信息和处理结果。

在一些示例性实施例中，入侵检测装置或入侵检测子系统702还用于：

获取云平台系统的物理节点的行为基准数据；将所述行为基准数据发送给所述代理模块；

代理模块701具体用于采用以下方式实现所述获取云平台系统的物理节点的行为基准数据：接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

在一些示例性实施例中，入侵检测装置或入侵检测子系统702具体用于采用以下方式实现所述获取云平台系统的物理节点的行为基准数据：与所述物理节点的代理模块建立连接；通过建立的连接将所述行为基准数据发送给所述物理节点的代理模块；

代理模块701具体用于采用以下方式实现所述获取云平台系统的物理节点的行为基准数据：与所述入侵检测装置或所述入侵检测子系统建立连接；通过建立的连接接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

在一些示例性实施例中，入侵检测装置或入侵检测子系统702具体用于采用以下方式实现所述获取云平台系统的物理节点的行为基准数据：接收用户上传的所述行为基准数据。

在一些示例性实施例中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

在一些示例性实施例中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

在一些示例性实施例中，代理模块701具体用于采用以下方式实现所述获取所述云平台系统实际运行过程中所述物理节点的第二行为数据：

通过设置在所述物理节点中的eBPF代理模块获取所述第二行为数据。

在一些示例性实施例中，所述第二行为数据包括以下至少之一：

所述物理节点上运行的进程的信息；

所述物理节点上的文件的信息；

所述物理节点上运行的进程所访问的资源；

所述物理节点上运行的进程所创建的网络端口；

所述物理节点上运行的进程所通信的通信终端；

所述物理节点上运行的进程所调用的系统调用函数。

在一些示例性实施例中，所述行为基准数据和所述第二行为数据存在冲突包括以下至少之一：

所述行为基准数据中的所述物理节点上的合法进程的信息清单中包括所述第二行为数据中的所述物理节点上运行的进程的信息；

所述行为基准数据中的所述物理节点上的合法文件的信息清单包括所述第二行为数据中的所述物理节点上的文件的信息；

所述行为基准数据中的所述物理节点上的合法进程可访问的资源清单包括所述第二行为数据中的所述物理节点上运行的进程所访问的资源；

所述行为基准数据中的所述物理节点上的合法进程可创建的网络端口范围包括所述第二行为数据中的所述物理节点上运行的进程所创建的网络端口；

所述行为基准数据中的所述物理节点上的合法进程可通信的通信终端包括所述第二行为数据中的所述物理节点上运行的进程所通信的通信终端；

所述行为基准数据中的所述物理节点上的合法进程可调用的系统调用函数集合包括所述第二行为数据中的所述物理节点上运行的进程所调用的系统调用函数。

本申请实施例的入侵检测系统的具体实现过程与前述实施例的入侵检测方法的具体实现过程相同，这里不再赘述。

图8为本申请实施例提供的入侵检测系统的一种可实现方式的示意图。如图8所示，入侵检测系统包括：设置在云平台系统的物理节点中的代理模，以及入侵检测装置或入侵检测子系统；

入侵检测装置或入侵检测子系统包括：代理管理模块、用户交互模块、存储模块、告警信息处理模块；

其中，代理管理模块、用户交互模块、存储模块、告警信息处理模块可以设置在同一物理设备中，也可以设置在不同的物理设备中。

其中，入侵检测装置或入侵检测子系统可以采用微服务架构来实现，关键组件均以容器化形式部署运行。也就是说，代理管理模块、用户交互模块、存储模块、告警信息处理模块均看成是一个微服务。

下面具体描述各个模块的功能。

(一)代理模块

代理模块与代理管理模块之间保持连接，获取行为基准数据作为检测依据，持续获取所在的物理节点的第二行为数据，参照行为基准数据进行对比检测，如果发现存在冲突，生成告警信息上报给代理管理模块，代理管理模块会将告警信息透传给告警信息处理模块。

具体来说，代理模块与代理管理模块建立连接；

在接收到代理管理模块发送的代理模块所在的物理节点的行为基准数据的情况下，代理模块将行为基准数据配置到自身中；

代理模块实时获取所在的物理节点的第二行为数据，将第二行为数据与行为基准数据进行对比，在第二行为数据与行为基准数据存在冲突的情况下，生成告警信息，向代理管理模块发送告警信息。

(二)代理管理模块

代理管理模块负责与所有代理模块建立连接，维持与代理模块的所有连接，将连接的状态信息发送给存储模块，从存储模块获取物理节点的信息和行为基准数据之间的对应关系，基于对应关系对代理模块进行配置，也是代理模块上报告警信息的通道。

具体来说，代理管理模块与所有代理模块建立连接，将所有代理模块的连接状态信息和工作状态信息发送给存储模块；

在接收到存储模块发送的物理节点的信息和行为基准数据之间的对应关系的情况下，根据物理节点的信息将对应的行为基准数据发送给对应的物理节点中的代理模块；

在接收到代理模块发送的告警信息的情况下，代理管理模块将告警信息透传给告警信息处理模块。

(三)用户交互模块

用户交互模块负责提供用户交互界面以及功能接口，用户可以通过用户交互模块提供的界面或功能接口来进行物理节点的注册、上传云平台系统的物理节点的行为基准数据、观察当前及历史告警信息和对应的处理结果等。用户交互模块接收到的数据会发送给存储模块进行归档和持久化存储。

具体来说，在接收到用户发送的物理节点注册请求的情况下，用户交互模块将物理节点注册请求中的物理节点的信息发送给存储模块；

在接收到用户上传的物理节点的信息和行为基准数据之间的对应关系的情况下，用户交互模块将物理节点的信息和行为基准数据之间的对应关系发送给存储模块；

在接收到用户发送的数据获取请求的情况下，用户交互模块将数据获取请求发送给存储模块；接收存储模块发送的数据获取请求对应的数据，显示数据获取请求对应的数据。

(四)存储模块

存储模块统一负责数据的存储和交互，保存从用户交互模块输入的数据，根据用户交互模块的请求提供指定的数据集，将物理节点的信息和行为基准数据之间的对应关系提供给代理管理模块，存储代理管理模块提供的代理信息，保存从告警信息处理模块输入的告警信息和处理结果，向告警信息处理模块提供告警信息管理配置数据。

具体来说，在接收到用户交互模块发送的物理节点的信息的情况下，存储模块存储物理节点的信息；

在接收到用户交互模块发送的物理节点的信息和行为基准数据之间的对应关系的情况下，存储模块存储物理节点的信息和行为基准数据之间得到对应关系；

在接收到用户交互模块发送的数据获取请求的情况下，存储模块获取数据获取请求对应的数据，将获得的数据发送给用户交互模块；

存储模块可以采用主动或被动方式将物理节点的信息和行为基准数据之间的对应关系发送给代理管理模块；

存储模块预先设置告警信息管理配置数据，将告警信息管理配置数据发送给告警信息处理模块；

在接收到告警信息处理模块发送的告警信息和处理结果之间的对应关系的情况下，存储告警信息和处理结果之间的对应关系；

在接收到代理管理模块发送的代理模块的连接状态信息和工作状态信息(即代理信息)的情况下，保存代理模块和连接状态信息之间的对应关系。

(五)告警信息处理模块

告警信息处理模块从存储模块获取告警信息管理配置数据，从代理管理模块获得代理模块上报的告警信息，根据告警信息管理配置数据触发执行对告警信息的相关处理，将告警信息和处理结果发送给存储模块进行归档。

具体来说，在接收到存储模块发送的告警信息管理配置数据，且接收到代理管理模块发送的告警信息的情况下，根据告警信息管理配置数据对告警信息进行相应的处理得到处理结果，将告警信息和处理结果之间的对应关系发送给存储模块。

下面描述代理模块的内部组成。

代理模块内部一般包括三个部分：主框架子模块、eBPF辅助库子模块和eBPF字节码子模块。

其中，主框架子模块主要负责实现代理模块的基本框架功能。例如，与代理管理模块建立连接并通信、向内核中挂载eBPF字节码子模块(一般要通过eBPF辅助库子模块提供的便利功能)、接收代理管理模块提供的行为基准数据、获取eBPF字节码子模块返回的第二行为数据、将第二行为数据与行为基准数据进行对比、在第二行为数据与行为基准数据存在冲突的情况下，生成告警信息，将告警信息发送给代理管理模块。

其中，eBPF辅助库子模块一般是一个便利函数库，其提供的功能可以让主框架子模块能够更便利地对eBPF字节码子模块进行管理和数据交互，例如向内核中加载或卸载eBPF字节码子模块、获取缓冲区中的输出数据(即第二行为数据)等等。

其中，eBPF字节码子模块是真正会运行在内核中eBPF虚拟机内的程序，即针对eBPF字节码子模块是以虚拟机机器码的形态存在的情况，一般是先使用C/C++语言开发(由于eBPF虚拟机的特殊限制，实际上是使用C/C++的一个子集)，然后通过clang编译器输出eBPF格式的字节码，最后将字节码合入到代理模块中。

目前在业界存在多种eBPF辅助库的实现，不同的库在实现语言、功能丰富程度以及封装层次都不尽相同。其中主要的有：

bcc(https://github.com/iovisor/bcc)：允许开发者使用多种语言来开发eBPF程序。开发者可以选择利用其提供的功能函数来间接生成最终的eBPF字节码，也可以利用其功能来加载已有的eBPF字节码；

bpftrace(https://github.com/iovisor/bpftrace)：该库提供了一种自定义脚本语言，开发者只需要编写脚本，程序会自动生成对应的eBPF字节码加载到内核中执行；

gobpf(https://github.com/iovisor/gobpf)：golang语言实现的辅助库，开发者需要自行提供eBPF字节码，或是用该库中的汇编语言函数编写eBPF程序，然后利用该库提供的其他功能实现最终的golang二进制程序；

libbpf(https://github.com/libbpf/libbpf)：C/C++语言实现的辅助库，开发者需要自行提供eBPF字节码，或是用该库中的汇编语言函数编写eBPF程序，然后利用该库提供的其他功能实现最终的C/C++二进制程序。

在实现过程中，eBPF辅助库的选择往往也决定了主框架子模块的实现语言和可能要依赖的库。开发者当然也可以不使用任何依赖库，而是仅使用C/C++语言配合内核代码来完成所有的部分(主应用逻辑+eBPF管理+eBPF字节码)，但这样做的工作量和难度都较大，一般还是建议基于上述主流辅助库之一进行开发。具体的开发步骤和方法可以参考对应辅助库的帮助文档与示例。

下面描述代理管理模块内部组成。

代理管理模块内部一般包括三个部分：连接管理子模块、行为基准数据管理子模块和告警管理子模块。

其中，连接管理子模块负责维护与各个代理模块之间的连接和保活，记录各个代理模块的连接状态信息和工作状态信息，将各个代理模块的连接状态信息和工作状态信息发送给存储模块。

其中，行为基准数据管理子模块从存储模块中获取不同物理节点的行为基准数据，并发送给相应的代理模块，在存储模块中的行为基准数据发生变更时，将新的行为基准数据及时发送给相应的代理模块。

其中，告警管理子模块负责将告警信息发送给告警信息处理模块。

代理管理模块不包含任何eBPF相关的技术实现，仅仅是一个非常通用的数据和状态维护者。因此，代理管理模块可以使用任何主流编程语言和框架库来实现，没有任何特殊的限制或约束。

本申请上述各个模块具体实现的功能不作限定，上述各个模块具体实现的功能也可以采用更小的模块来实现，也可以将两个或两个以上模块的功能合并成一个大模块来实现，本申请实施例对模块的划分不作限定，具体的模块划分也不用于限定本申请实施例的保护范围。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器，如中央处理器、数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字多功能盘(DVD)或其它光盘存储、磁盒、磁带、磁盘存储或其它磁存储器、或者可以用于存储期望的信息并且可以被计算机访问的任何其它的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其它传输机制之类的调制数据信号中的其它数据，并且可包括任何信息递送介质。

本文已经公开了示例实施例，并且虽然采用了具体术语，但它们仅用于并仅应当被解释为一般说明性含义，并且不用于限制的目的。在一些实例中，对本领域技术人员显而易见的是，除非另外明确指出，否则可单独使用与特定实施例相结合描述的特征、特性和/或元素，或可与其它实施例相结合描述的特征、特性和/或元件组合使用。因此，本领域技术人员将理解，在不脱离由所附的权利要求阐明的本申请的范围的情况下，可进行各种形式和细节上的改变。

Claims (20)

1.一种入侵检测方法，包括：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

2.根据权利要求1所述的入侵检测方法，其中，所述获取云平台系统的物理节点的行为基准数据包括：

接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

3.根据权利要求2所述的入侵检测方法，所述接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据之前，该方法还包括：

与所述入侵检测装置或所述入侵检测子系统建立连接；

所述接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据包括：

通过建立的连接接收所述入侵检测装置或所述入侵检测子系统发送的所述行为基准数据。

4.根据权利要求1所述的入侵检测方法，其中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

5.根据权利要求4所述的入侵检测方法，其中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

6.根据权利要求1-5任意一项所述的入侵检测方法，其中，所述获取所述云平台系统实际运行过程中所述物理节点的第二行为数据包括：

通过设置在所述物理节点中的扩展的伯克利包过滤器eBPF代理模块获取所述第二行为数据。

7.根据权利要求1-5任意一项所述的入侵检测方法，其中，所述第二行为数据包括以下至少之一：

所述物理节点上运行的进程的信息；

所述物理节点上的文件的信息；

所述物理节点上运行的进程所访问的资源；

所述物理节点上运行的进程所创建的网络端口；

所述物理节点上运行的进程所通信的通信终端；

所述物理节点上运行的进程所调用的系统调用函数。

8.根据权利要求1-5任意一项所述的入侵检测方法，其中，所述行为基准数据和所述第二行为数据存在冲突包括以下至少之一：

所述行为基准数据中的所述物理节点上的合法进程的信息清单中包括所述第二行为数据中的所述物理节点上运行的进程的信息；

所述行为基准数据中的所述物理节点上的合法文件的信息清单包括所述第二行为数据中的所述物理节点上的文件的信息；

所述行为基准数据中的所述物理节点上的合法进程可访问的资源清单包括所述第二行为数据中的所述物理节点上运行的进程所访问的资源；

所述行为基准数据中的所述物理节点上的合法进程可创建的网络端口范围包括所述第二行为数据中的所述物理节点上运行的进程所创建的网络端口；

所述行为基准数据中的所述物理节点上的合法进程可通信的通信终端包括所述第二行为数据中的所述物理节点上运行的进程所通信的通信终端；

所述行为基准数据中的所述物理节点上的合法进程可调用的系统调用函数集合包括所述第二行为数据中的所述物理节点上运行的进程所调用的系统调用函数。

9.一种入侵检测方法，包括：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

将所述行为基准数据发送给设置在所述物理节点中的代理模块。

10.根据权利要求9所述的入侵检测方法，该方法还包括：

接收所述代理模块发送的告警信息，对所述告警信息进行相应的处理得到处理结果；

存储所述告警信息和所述处理结果。

11.根据权利要求9所述的入侵检测方法，所述将所述行为基准数据发送给所述物理节点之前，该方法还包括：

与所述代理模块建立连接；

所述将所述行为基准数据发送给设置在所述物理节点中的代理模块包括：

通过建立的连接将所述行为基准数据发送给所述代理模块。

12.根据权利要求9-11任意一项所述的入侵检测方法，其中，所述获取云平台系统的物理节点的行为基准数据包括：

接收用户上传的所述行为基准数据。

13.根据权利要求9-11任意一项所述的入侵检测方法，其中，所述行为基准数据包括以下至少之一：

所述物理节点上的合法进程的信息清单；

所述物理节点上的合法文件的信息清单；

所述物理节点上的合法进程可访问的资源清单；

所述物理节点上的合法进程可创建的网络端口范围；

所述物理节点上的合法进程可通信的通信终端；

所述物理节点上的合法进程可调用的系统调用函数集合。

14.根据权利要求13所述的入侵检测方法，其中，所述资源包括以下至少之一：

文件、目录、网络端口、目标网络地址、目标网络域名、硬件设备。

15.一种电子设备，包括：

至少一个处理器；

存储器，所述存储器上存储有至少一个程序，当所述至少一个程序被所述至少一个处理器执行时，实现根据权利要求1-8任意一项所述的入侵检测方法，或实现根据权利要求9-14任意一项所述的入侵检测方法。

16.一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现根据权利要求1-8任意一项所述的入侵检测方法，或实现根据权利要求9-14任意一项所述的入侵检测方法。

17.一种入侵检测装置，包括：

第一获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

第二获取模块，用于获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

检测模块，用于在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息。

18.一种入侵检测装置，包括：

第三获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

通信模块，用于将所述行为基准数据发送给设置在所述物理节点中的代理模块。

19.一种入侵检测子系统，包括：

第三获取模块，用于获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

通信模块，用于将所述行为基准数据发送给设置在所述物理节点中的代理模块；

其中，所述第三获取模块和所述通信模块设置在相同的物理设备或设置在不同的物理设备中。

20.一种入侵检测系统，包括：

设置在云平台系统的物理节点中的代理模块，用于：

获取云平台系统的物理节点的行为基准数据；其中，所述行为基准数据为所述云平台系统在正常运行状态下所述物理节点的第一行为数据；

获取所述云平台系统实际运行过程中所述物理节点的第二行为数据；

在所述行为基准数据和所述第二行为数据存在冲突的情况下，生成告警信息，向入侵检测装置或入侵检测子系统上报告警信息；

入侵检测装置或入侵检测子系统，用于：

接收所述代理模块发送的告警信息，对所述告警信息进行相应的处理得到处理结果；

存储所述告警信息和所述处理结果。

Images