【技术实现步骤摘要】
本专利技术实施例涉及计算机,尤其涉及一种程序检测方法、装置、设备、存储介质及程序产品。
技术介绍
1、近些年随着扩展伯克利数据包过滤器(extended berkeley packet filter,ebpf)技术的兴起,ebpf以其在网络监控、网络观测、网络跟踪、性能分析以及安全等领域的优势,备受各互联网大厂的青睐,并落地了许多基于ebpf的产品。与此同时,ebpf的出现也为攻击者提供了新的攻击手段,例如通过修改网络数据包绕过系统防火墙,通过修改系统调用参数获取系统敏感数据等;基于ebpf的攻击手段具备隐秘性,现有防护手段很难发现。如何识别恶意的ebpf,建立完善的防御体系迫在眉睫。
技术实现思路
1、本专利技术实施例提供一种程序检测方法、装置、设备、存储介质及程序产品,可以准确的检测出非法ebpf程序,提高ebpf系统的安全性。
2、第一方面,本专利技术实施例提供了一种一种程序检测方法,包括:
3、检测ebpf用户态程序对内核态的调用操作;
4、获取所述调用操作对应的调用属性参数;其中,所述调用属性参数包括原始调用属性参数及第一签名数据,所述第一签名数据为所述ebpf用户态程序对所述原始调用属性参数进行签名获得;
5、对所述调用属性参数进行验签,获得验签结果;其中,所述验签结果包括验签通过及验签不通过;
6、将所述验签结果发送至所述内核态,使得内核态基于所述验签结果对所述调用操作进行处理。
7、第二方面,本
8、调用操作检测模块,用于检测ebpf用户态程序对内核态的调用操作;
9、调用属性参数获取模块,用于获取所述调用操作对应的调用属性参数;其中,所述调用属性参数包括原始调用属性参数及第一签名数据,所述第一签名数据为所述ebpf用户态程序对所述原始调用属性参数进行签名获得;
10、验签结果获取模块,用于对所述调用属性参数进行验签,获得验签结果;其中,所述验签结果包括验签通过及验签不通过;
11、调用操作处理模块,用于将所述验签结果发送至所述内核态,使得内核态基于所述验签结果对所述调用操作进行处理。
12、第三方面,本专利技术实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本专利技术实施例中所述的程序检测方法。
13、第四方面,本专利技术实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本专利技术实施例中所述的程序检测方法。
14、第五方面,本专利技术实施例还提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如本专利技术实施例中所述的程序检测方法。
15、本专利技术实施例公开了一种程序检测方法、装置、设备、存储介质及程序产品。检测ebpf用户态程序对内核态的调用操作;获取调用操作对应的调用属性参数;其中,调用属性参数包括原始调用属性参数及第一签名数据,第一签名数据为ebpf用户态程序对原始调用属性参数进行签名获得;对调用属性参数进行验签,获得验签结果;其中,验签结果包括验签通过及验签不通过;将验签结果发送至内核态,使得内核态基于验签结果对调用操作进行处理。本实施例提供的程序检测方法,当检测到ebpf用户态程序对内核态的调用操作,对该调用操作对应的调用属性参数进行验签,根据验签结果确定该ebpf用户态程序是否非法,可以准确的检测出非法ebpf程序,提高ebpf系统的安全性。
本文档来自技高网...【技术保护点】
1.一种程序检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,获取所述调用操作对应的调用属性参数,包括:
3.根据权利要求1所述的方法,其特征在于,对所述调用属性参数进行验签,获得验签结果,包括:
4.根据权利要求3所述的方法,其特征在于,将所述调用属性参数拆分为原始调用属性参数及第一签名数据,包括:
5.根据权利要求3所述的方法,其特征在于,基于所述原始调用属性参数对所述第一签名数据进行验签,获得验签结果,包括:
6.根据权利要求1所述的方法,其特征在于,将所述验签结果发送至所述内核态,使得内核态基于所述验签结果对所述调用操作进行处理,包括:
7.根据权利要求1所述的方法,其特征在于,所述调用属性参数的获取方式为:
8.根据权利要求7所述的方法,其特征在于,将所述第一签名数据和所述原始调用属性参数进行拼接,获得调用属性参数,包括:
9.根据权利要求7所述的方法,其特征在于,所述系统调用请求还包括操作类型参数;在将所述第一签名数据和所述原始调用属性参数进行拼接,获
10.根据权利要求1所述的方法,其特征在于,所述调用操作包括如下任意一种:映射表创建操作、映射表处理操作、BPF程序加载操作、BPF程序挂载操作、BPF程序卸载操作、BPF程序映射挂载至目标中的操作、BPF程序查找操作、BTF信息验证操作。
11.根据权利要求10所述的方法,其特征在于,所述BPF程序由BPF指令集构成。
12.一种程序检测装置,其特征在于,包括:
13.一种电子设备,其特征在于,包括存储器,处理器及存储在存储器上并可在处理器运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1-11中任一项所述的程序检测方法。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-11中任一所述的程序检测方法。
15.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序在被处理器执行时实现如权利要求1-11中任一项所述的程序检测方法。
...【技术特征摘要】
1.一种程序检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,获取所述调用操作对应的调用属性参数,包括:
3.根据权利要求1所述的方法,其特征在于,对所述调用属性参数进行验签,获得验签结果,包括:
4.根据权利要求3所述的方法,其特征在于,将所述调用属性参数拆分为原始调用属性参数及第一签名数据,包括:
5.根据权利要求3所述的方法,其特征在于,基于所述原始调用属性参数对所述第一签名数据进行验签,获得验签结果,包括:
6.根据权利要求1所述的方法,其特征在于,将所述验签结果发送至所述内核态,使得内核态基于所述验签结果对所述调用操作进行处理,包括:
7.根据权利要求1所述的方法,其特征在于,所述调用属性参数的获取方式为:
8.根据权利要求7所述的方法,其特征在于,将所述第一签名数据和所述原始调用属性参数进行拼接,获得调用属性参数,包括:
9.根据权利要求7所述的方法,其特征在于,所述系统调用请求还包括操作类型参数;在将所述第一签名数据和...
【专利技术属性】
技术研发人员:王文强,
申请(专利权)人:中国建设银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。