CN117290857A - 基于eBPF实现云原生安全的系统、方法、设备及介质 - Google Patents
基于eBPF实现云原生安全的系统、方法、设备及介质 Download PDFInfo
- Publication number
- CN117290857A CN117290857A CN202311587390.2A CN202311587390A CN117290857A CN 117290857 A CN117290857 A CN 117290857A CN 202311587390 A CN202311587390 A CN 202311587390A CN 117290857 A CN117290857 A CN 117290857A
- Authority
- CN
- China
- Prior art keywords
- ebpf
- program
- ebpf program
- kernel
- pod
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 68
- 238000012544 monitoring process Methods 0.000 claims abstract description 42
- 230000006399 behavior Effects 0.000 claims description 22
- 230000006870 function Effects 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/30—Creation or generation of source code
- G06F8/37—Compiler construction; Parser generation
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请公开了一种基于eBPF实现云原生安全的系统、方法、设备及介质,主要涉及云原生安全技术领域,用以解决现有的方案无法在容器运行时动态应用安全策略,且只能管控到进程这个粒度的问题。包括:安全策略生成模块,创建自定义资源;安全策略执行模块,获得自定义资源,收集对应的POD事件;eBPF程序模块,将编译内核区eBPF程序,并附加到LSM钩子的名称对应的Hook钩子函数上;安全策略监控模块,建立基于内核区eBPF程序的tracee‑eBPF程序,监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
Description
技术领域
本申请涉及云原生安全技术领域,尤其涉及一种基于eBPF实现云原生安全的系统、方法、设备及介质。
背景技术
云原生是一个技术体系,它是一种基于云计算技术的应用程序开发和部署方法,旨在帮助企业更快、更可靠地构建、发布、运行现代化应用程序。云原生的核心理念是将应用程序拆分成小型、独立的部分,并将这些部分组合成松散耦合的微服务。kubernetes,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效,Kubernetes提供了应用部署,规划,更新,维护的一种机制。然而,由于Kubernetes在多个容器之间共享内核,可能会导致容器被突破或权限被提升,可能会引起重大的安全问题,现有的解决方案主要是基于挂载内核函数并编写过滤策略,在内核层出现异常攻击时触发预置的策略,无需再返回用户层而直接发出告警甚至阻断。
但是,现在的解决方案并非万无一失,无法保证在运行时完美隔离或防止每一个操作的威胁,无法在容器运行时动态应用安全策略。此外,现有的解决方案都只能用于特定对象,如进程、网络、文件,且只能管控到进程这个粒度,如果发生误报的时候,杀死进程对系统稳定性和性能有很大的影响,也会涉及到正常业务的流转。
发明内容
针对现有技术的上述不足,本申请提供一种基于eBPF实现云原生安全的系统、方法、设备及介质,以解决现有的方案无法在容器运行时动态应用安全策略,且只能管控到进程这个粒度的问题。
第一方面,本申请提供了一种基于eBPF实现云原生安全的系统,系统包括:安全策略生成模块,用于获取自定义资源数据,以创建Kubernetes平台对应的自定义资源;其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称;安全策略执行模块,与安全策略生成模块相连,用于获得自定义资源;基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件;eBPF程序模块,与安全策略执行模块相连,用于将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;安全策略监控模块,与安全策略执行模块和eBPF程序模块相连,用于建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
进一步地,eBPF程序模块包括编译单元,用于将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
进一步地,系统包括映射区;用于在将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上之后,在调用Hook钩子函数时,事件被存储至用户区能够访问的映射区。
进一步地,安全策略监控模块作为docker容器运行,在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,将监控记录日志和内核事件写入syslog系统工具中。
进一步地,系统还包括安全策略增强模块,用于在tracee-eBPF程序从POD事件中监控到syscall系统调用、process进程或socket套接字的行为时,确定监控到syscall系统调用、process进程或socket套接字的行为对应的容器,进而将对应的容器的容器标签作为安全策略生成模块获取的自定义资源数据中的容器标签。
第二方面,本申请提供了一种基于eBPF实现云原生安全的方法,方法包括:获取自定义资源数据,以创建Kubernetes平台对应的自定义资源;其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称;基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件;将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
进一步地,将用户区的eBPF程序编译为内核区eBPF程序,具体包括:将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
进一步地,在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,方法还包括:将监控记录日志和内核事件写入syslog系统工具中。
第三方面,本申请提供了一种基于eBPF实现云原生安全的设备,设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述任一项的一种基于eBPF实现云原生安全的方法。
第四方面,本申请提供了一种非易失性计算机存储介质,其上存储有计算机指令,计算机指令在被执行时实现如上述任一项的一种基于eBPF实现云原生安全的方法。
本领域技术人员能够理解的是,本申请至少具有如下有益效果:
本申请公开的一种基于eBPF实现云原生安全的系统、方法、设备及介质,通过利用eBPF(extended Berkeley Packet Filter 可扩展数据包过滤器)可以在不修改内核或加载内核模块的情况下能够安全有效扩展内核功能的特性(以解决现有的方案无法在容器运行时动态应用安全策略的问题),将安全策略传递到内核内部,并挂接到LSM(LinuxSecurity Module Linux内核安全模块)的Hook钩子函数上,来实现对监控对象行为的监控,并且可以在运行时动态地将容器安全策略应用到单个Kubernetes平台上(以解决现有的方案只能管控到进程这个粒度的问题),提供细粒度的控制,允许用户利用LSM函数的参数(自定义资源数据)来控制容器的行为,实现对Kubernetes云原生的安全监控。
附图说明
下面参照附图来描述本公开的部分实施例,附图中:
图1是本申请实施例提供的一种基于eBPF实现云原生安全的系统内部结构示意图。
图2是本申请实施例提供的一种基于eBPF实现云原生安全的方法流程图。
图3是本申请实施例提供的一种基于eBPF实现云原生安全的设备内部结构示意图。
具体实施方式
本领域技术人员应当理解的是,下文所描述的实施例仅仅是本公开的优选实施例,并不表示本公开仅能通过该优选实施例实现,该优选实施例仅仅是用于解释本公开的技术原理,并非用于限制本公开的保护范围。基于本公开提供的优选实施例,本领域普通技术人员在没有付出创造性劳动的情况下所获得的其它所有实施例,仍应落入到本公开的保护范围之内。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
下面通过附图对本申请实施例提出的技术方案进行详细的说明。
图1为本申请实施例提供的一种基于eBPF实现云原生安全的系统。如图1所示,本申请实施例提供的系统,主要包括:安全策略生成模块110、安全策略执行模块120、eBPF程序模块130和安全策略监控模块140。
其中,安全策略生成模块110,用于获取自定义资源数据,以创建Kubernetes平台对应的自定义资源。
需要说明的是,获取自定义资源数据的方法可以为通过预设界面获取用户触发生成的自定义资源数据。其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称。
其中,安全策略执行模块120,与安全策略生成模块110相连,用于获得自定义资源;基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件。
需要说明的是,Kubernetes平台分为用户区和内核区;每个容器标签对应一个容器,且每个容器都有对应的POD,在容器运行时,会产生该POD对应的POD事件。
其中,eBPF程序模块130,与安全策略执行模块120相连,用于将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;
需要说明的是,本申请可以利用eBPF程序模块130在不修改内核或加载内核模块的情况下安全有效地扩展了内核的功能。具体地,需要将用户区的eBPF程序需要编译为内核区eBPF程序。
实现过程可以为:eBPF程序模块130中的编译单元实现,具体过程为:将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT(Just In Time)编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
另外,系统包括映射区,用于在将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上之后,在调用Hook钩子函数时,事件被存储至用户区能够访问的映射区。补充说明,这些内核区eBPF程序被附加到定义的Hook钩子函数上。每当调用Hook钩子时,事件都会存储在用户空间也能够访问的映射区中。
其中,安全策略监控模块140,与安全策略执行模块120和eBPF程序模块130相连,用于建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
需要说明的是,安全策略监控模块140作为docker容器运行,在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,还可以将监控记录日志和内核事件写入syslog系统工具中。
需要补充说明的是,tracee-eBPF程序还可以连接到kprobes、原始跟踪点等来监视syscall系统调用、process进程和socket套接字的行为。
另外,系统还包括安全策略增强模块,用于在tracee-eBPF程序从POD事件中监控到syscall系统调用、process进程或socket套接字的行为时,确定监控到syscall系统调用、process进程或socket套接字的行为对应的容器,进而将对应的容器的容器标签作为安全策略生成模块110获取的自定义资源数据中的容器标签。
除此之外,本申请实施例还提供了一种基于eBPF实现云原生安全的方法,如图2所示,本申请实施例提供的方法,主要包括以下步骤:
步骤210、获取自定义资源数据,以创建Kubernetes平台对应的自定义资源。
其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称。
步骤220、基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件。
步骤230、将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上。
其中,将用户区的eBPF程序编译为内核区eBPF程序,具体可以为:
将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
步骤240、建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,方法还可以包括:
将监控记录日志和内核事件写入syslog系统工具中。
以上为本申请中的方法实施例,基于同样的发明构思,本申请实施例还提供了一种基于eBPF实现云原生安全的设备。如图3所示,该设备包括:处理器;以及存储器,其上存储有可执行代码,当可执行代码被执行时,使得处理器执行如上述实施例中的一种基于eBPF实现云原生安全的方法。
具体地,服务器端获取自定义资源数据,以创建Kubernetes平台对应的自定义资源;其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称;基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件;将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
除此之外,本申请实施例还提供了一种非易失性计算机存储介质,其上存储有可执行指令,在该可执行指令被执行时,实现如上述的一种基于eBPF实现云原生安全的方法。
至此,已经结合前文的多个实施例描述了本公开的技术方案,但是,本领域技术人员容易理解的是,本公开的保护范围并不仅限于这些具体实施例。在不偏离本公开技术原理的前提下,本领域技术人员可以对上述各个实施例中的技术方案进行拆分和组合,也可以对相关技术特征作出等同的更改或替换,凡在本公开的技术构思和/或技术原理之内所做的任何更改、等同替换、改进等都将落入本公开的保护范围之内。
Claims (10)
1.一种基于eBPF实现云原生安全的系统,其特征在于,所述系统包括:
安全策略生成模块,用于获取自定义资源数据,以创建Kubernetes平台对应的自定义资源;其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称;
安全策略执行模块,与安全策略生成模块相连,用于获得自定义资源;基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件;
eBPF程序模块,与安全策略执行模块相连,用于将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;
安全策略监控模块,与安全策略执行模块和eBPF程序模块相连,用于建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
2.根据权利要求1所述的基于eBPF实现云原生安全的系统,其特征在于,eBPF程序模块包括编译单元,
用于将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;
通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
3.根据权利要求1所述的基于eBPF实现云原生安全的系统,其特征在于,系统包括映射区;
用于在将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上之后,在调用Hook钩子函数时,事件被存储至用户区能够访问的映射区。
4.根据权利要求1所述的基于eBPF实现云原生安全的系统,其特征在于,安全策略监控模块作为docker容器运行,在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,将监控记录日志和内核事件写入syslog系统工具中。
5.根据权利要求1所述的基于eBPF实现云原生安全的系统,其特征在于,所述系统还包括安全策略增强模块,
用于在tracee-eBPF程序从POD事件中监控到syscall系统调用、process进程或socket套接字的行为时,确定监控到syscall系统调用、process进程或socket套接字的行为对应的容器,进而将对应的容器的容器标签作为安全策略生成模块获取的自定义资源数据中的容器标签。
6.一种基于eBPF实现云原生安全的方法,其特征在于,所述方法包括:
获取自定义资源数据,以创建Kubernetes平台对应的自定义资源;其中,自定义资源数据至少包括:容器标签、syscall系统调用和LSM钩子的名称;
基于syscall系统调用的信息,在用户区创建eBPF程序;确定容器标签在Kubernetes平台中对应的POD,进而收集对应的POD事件;
将用户区的eBPF程序编译为内核区eBPF程序,并将内核区eBPF程序附加到LSM钩子的名称对应的Hook钩子函数上;
建立基于内核区eBPF程序的tracee-eBPF程序;通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件。
7.根据权利要求6所述的基于eBPF实现云原生安全的方法,其特征在于,将用户区的eBPF程序编译为内核区eBPF程序,具体包括:
将代码形式的用户区的eBPF程序编译为字节流形式的eBPF程序;
通过syscall系统调用,将字节流形式的eBPF程序导入预设eBPF验证器,以验证字节流形式的eBPF程序是否存在安全隐患,以在不存在安全隐患时,使用eBFP JIT编译器将字节流形式的eBPF程序编译为本机内核代码形式的内核区eBPF程序。
8.根据权利要求6所述的基于eBPF实现云原生安全的方法,其特征在于,在通过tracee-eBPF程序监控POD事件中的syscall系统调用、process进程和socket套接字的行为,生成监控记录日志;并从POD事件中收集内核事件之后,所述方法还包括:
将监控记录日志和内核事件写入syslog系统工具中。
9.一种基于eBPF实现云原生安全的设备,其特征在于,所述设备包括:
处理器;
以及存储器,其上存储有可执行代码,当所述可执行代码被执行时,使得所述处理器执行如权利要求6-8任一项所述的一种基于eBPF实现云原生安全的方法。
10.一种非易失性计算机存储介质,其特征在于,其上存储有计算机指令,所述计算机指令在被执行时实现如权利要求6-8任一项所述的一种基于eBPF实现云原生安全的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311587390.2A CN117290857B (zh) | 2023-11-27 | 2023-11-27 | 基于eBPF实现云原生安全的系统、方法、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311587390.2A CN117290857B (zh) | 2023-11-27 | 2023-11-27 | 基于eBPF实现云原生安全的系统、方法、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117290857A true CN117290857A (zh) | 2023-12-26 |
CN117290857B CN117290857B (zh) | 2024-03-26 |
Family
ID=89257604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311587390.2A Active CN117290857B (zh) | 2023-11-27 | 2023-11-27 | 基于eBPF实现云原生安全的系统、方法、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117290857B (zh) |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019204725A1 (en) * | 2018-04-20 | 2019-10-24 | Draios Inc. | Programmatic container monitoring |
CN112817597A (zh) * | 2021-01-12 | 2021-05-18 | 山东兆物网络技术股份有限公司 | 运行在用户空间的基于ebpf的软件容器实现方法 |
CN113794605A (zh) * | 2021-09-10 | 2021-12-14 | 杭州谐云科技有限公司 | 一种基于eBPF的内核丢包检测方法、系统和装置 |
CN113986459A (zh) * | 2021-10-21 | 2022-01-28 | 浪潮电子信息产业股份有限公司 | 一种容器访问的控制方法、系统、电子设备及存储介质 |
CN115495746A (zh) * | 2022-11-16 | 2022-12-20 | 安超云软件有限公司 | 一种基于eBPF的安全防护方法、系统及电子设备 |
CN115576649A (zh) * | 2022-10-24 | 2023-01-06 | 四川启睿克科技有限公司 | 一种基于行为监控的容器运行时安全检测方法 |
CN115617610A (zh) * | 2022-10-26 | 2023-01-17 | 杭州谐云科技有限公司 | 一种基于Kubernetes的旁路无侵入式应用运行中的全行为监测方法及系统 |
US20230052452A1 (en) * | 2021-08-12 | 2023-02-16 | International Business Machines Corporation | Socket transferring for hpc networks using kernel tracing |
CN115834448A (zh) * | 2022-11-24 | 2023-03-21 | 上海交通大学 | 基于eBPF的主机侧轻量级容器流量监控系统及方法 |
CN116107846A (zh) * | 2023-04-12 | 2023-05-12 | 北京长亭未来科技有限公司 | 一种基于EBPF的Linux系统事件监控方法及装置 |
CN116389027A (zh) * | 2022-12-20 | 2023-07-04 | 四川大学 | 一种基于eBPF的云环境下Payload进程检测方法及装置 |
CN116719579A (zh) * | 2023-06-20 | 2023-09-08 | 中国建设银行股份有限公司 | Ai模型可观测性实现方法、装置、电子设备及存储介质 |
-
2023
- 2023-11-27 CN CN202311587390.2A patent/CN117290857B/zh active Active
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019204725A1 (en) * | 2018-04-20 | 2019-10-24 | Draios Inc. | Programmatic container monitoring |
CN112817597A (zh) * | 2021-01-12 | 2021-05-18 | 山东兆物网络技术股份有限公司 | 运行在用户空间的基于ebpf的软件容器实现方法 |
US20230052452A1 (en) * | 2021-08-12 | 2023-02-16 | International Business Machines Corporation | Socket transferring for hpc networks using kernel tracing |
CN113794605A (zh) * | 2021-09-10 | 2021-12-14 | 杭州谐云科技有限公司 | 一种基于eBPF的内核丢包检测方法、系统和装置 |
CN113986459A (zh) * | 2021-10-21 | 2022-01-28 | 浪潮电子信息产业股份有限公司 | 一种容器访问的控制方法、系统、电子设备及存储介质 |
CN115576649A (zh) * | 2022-10-24 | 2023-01-06 | 四川启睿克科技有限公司 | 一种基于行为监控的容器运行时安全检测方法 |
CN115617610A (zh) * | 2022-10-26 | 2023-01-17 | 杭州谐云科技有限公司 | 一种基于Kubernetes的旁路无侵入式应用运行中的全行为监测方法及系统 |
CN115495746A (zh) * | 2022-11-16 | 2022-12-20 | 安超云软件有限公司 | 一种基于eBPF的安全防护方法、系统及电子设备 |
CN115834448A (zh) * | 2022-11-24 | 2023-03-21 | 上海交通大学 | 基于eBPF的主机侧轻量级容器流量监控系统及方法 |
CN116389027A (zh) * | 2022-12-20 | 2023-07-04 | 四川大学 | 一种基于eBPF的云环境下Payload进程检测方法及装置 |
CN116107846A (zh) * | 2023-04-12 | 2023-05-12 | 北京长亭未来科技有限公司 | 一种基于EBPF的Linux系统事件监控方法及装置 |
CN116719579A (zh) * | 2023-06-20 | 2023-09-08 | 中国建设银行股份有限公司 | Ai模型可观测性实现方法、装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
王圣凯等: "基于eBPF的云环境下payload进程检测方法", 计算机应用研究, vol. 40, no. 7, 31 July 2023 (2023-07-31) * |
高巍: "基于操作系统eBPF在云原生环境下的技术研究", 电子技术与软件工程, pages 70 - 74 * |
Also Published As
Publication number | Publication date |
---|---|
CN117290857B (zh) | 2024-03-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101122787B1 (ko) | 보안관련 프로그래밍 인터페이스 | |
US11036534B2 (en) | Techniques for serverless runtime application self-protection | |
JP4629332B2 (ja) | 状態参照モニタ | |
CN110851241A (zh) | Docker容器环境的安全防护方法、装置及系统 | |
KR20100107464A (ko) | 화일 시스템 인터페이스를 이용하여 시스템 이벤트 통지 메카니즘을 운영하기 위한 방법 및 장치 | |
CN109194606B (zh) | 攻击检测系统、方法、计算机设备及存储介质 | |
US11704133B2 (en) | Isolating applications at the edge | |
CN108334404B (zh) | 应用程序的运行方法和装置 | |
CN114676424B (zh) | 一种容器逃逸检测与阻断方法、装置、设备及存储介质 | |
WO2023155686A1 (zh) | 一种数据处理的方法和装置 | |
Compastié et al. | Unikernel-based approach for software-defined security in cloud infrastructures | |
CN109977644B (zh) | 一种Android平台下分级权限管理方法 | |
US11861364B2 (en) | Circular shadow stack in audit mode | |
KR20160138523A (ko) | 위험 파일에 대응하는 행위 정보를 결정하는 방법 및 장치 | |
CN117290857B (zh) | 基于eBPF实现云原生安全的系统、方法、设备及介质 | |
CN115362433A (zh) | 用于动态代码的影子堆栈强制范围 | |
CN111679887A (zh) | 一种代理容器的配置方法及装置 | |
CN114968470A (zh) | 基于k8s集群的容器检测方法、装置、电子设备及存储装置 | |
CN117251247A (zh) | 运维审计平台部署方法、装置、电子设备及存储介质 | |
Oliveira et al. | WSFAggressor: an extensible web service framework attacking tool | |
CN116956272A (zh) | 权限调用监控方法、装置及电子设备 | |
CN112685063B (zh) | 特征库更新方法、装置、网络设备及可读存储介质 | |
CA2543938C (en) | Programming and development infrastructure for an autonomic element | |
CN110806860B (zh) | 安卓环境下的应用封装方法、装置及应用运行方法、装置 | |
CN116257841B (zh) | 一种基于Kubernetes的函数处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |