本發(fā)明屬于計(jì)算機(jī)，尤其涉及一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法及系統(tǒng)。

背景技術(shù)：

1、態(tài)勢(shì)感知要素是指在網(wǎng)絡(luò)環(huán)境中，全面理解和掌握當(dāng)前安全狀態(tài)、動(dòng)態(tài)變化以及未來(lái)可能發(fā)展的關(guān)鍵因素，通常包括威脅情報(bào)、網(wǎng)絡(luò)異常流量、日志事件、漏洞及數(shù)據(jù)泄露等面臨的安全態(tài)勢(shì)，獲取這些態(tài)勢(shì)要素的過(guò)程，目前比較常用的方法有使用函數(shù)調(diào)用堆棧觀測(cè)工具如profile、offcputime和memleak來(lái)獲取關(guān)鍵的函數(shù)調(diào)用堆棧的核心數(shù)據(jù)要素的過(guò)程，即通過(guò)這些工具來(lái)捕獲和分析系統(tǒng)或應(yīng)用程序的運(yùn)行時(shí)行為，以識(shí)別、理解和解決潛在的異常情況。

2、當(dāng)前的解決方案中相關(guān)工具繁雜，各個(gè)工具的問(wèn)題不一，如profile工具主要用于on_cpu調(diào)用堆棧采樣，通過(guò)設(shè)置采樣頻率來(lái)捕獲cpu上正在執(zhí)行的函數(shù)調(diào)用堆棧，功能較為單一，只能進(jìn)行on_cpu采樣，無(wú)法提供off_cpu的調(diào)用堆棧信息，限制了對(duì)其他類型問(wèn)題(如i/o等待)的分析能力；再如offcputime工具用于采集off_cpu調(diào)用堆棧，即cpu空閑或進(jìn)程在等待資源時(shí)的調(diào)用堆棧信息，但無(wú)法實(shí)時(shí)顯示數(shù)據(jù)，需要事后分析采集的數(shù)據(jù)，另外，數(shù)據(jù)量較大，處理和分析復(fù)雜，實(shí)時(shí)調(diào)試的應(yīng)用場(chǎng)景有限。而memleak工具專用于采集內(nèi)存泄露相關(guān)的調(diào)用堆棧信息，幫助開(kāi)發(fā)者識(shí)別程序中導(dǎo)致內(nèi)存泄露的代碼路徑，無(wú)法正常顯示用戶態(tài)調(diào)用堆棧，可能會(huì)遺漏關(guān)鍵的內(nèi)存泄露信息；此外，在涉及子進(jìn)程時(shí)，memleak的有效性和準(zhǔn)確性也受到限制，無(wú)法全面分析內(nèi)存泄露問(wèn)題。這些解決方案采集的數(shù)據(jù)量大，輸出的信息繁雜，調(diào)用堆棧數(shù)據(jù)通常以文本形式輸出，篇幅龐大，不便于直接查閱和分析，分析這些數(shù)據(jù)需要進(jìn)一步的工具支持。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明的實(shí)施例提供一種基于ebpf(extended?berkeley?packet?filter)技術(shù)的態(tài)勢(shì)感知要素提取方法及系統(tǒng)，以解決現(xiàn)有方法無(wú)法快速準(zhǔn)確進(jìn)行態(tài)勢(shì)感知要素提取的問(wèn)題。

2、本發(fā)明實(shí)施例一方面提供了一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法，包括：

3、基于態(tài)勢(shì)感知要素提取需求，構(gòu)建ebpf用戶區(qū)監(jiān)控程序，其中，所述ebpf用戶區(qū)監(jiān)控程序?yàn)楹笈_(tái)運(yùn)行，且其運(yùn)行于基于node.js的js引擎中；所述ebpf用戶區(qū)監(jiān)控程序用于加載預(yù)先構(gòu)建的態(tài)勢(shì)感知要素提取策略庫(kù)中的策略，基于加載的策略獲取對(duì)應(yīng)的態(tài)勢(shì)感知要素，并執(zhí)行對(duì)應(yīng)的安全措施；

4、基于預(yù)先定義的態(tài)勢(shì)感知要素的內(nèi)核對(duì)象，構(gòu)建用于內(nèi)核對(duì)象采集的ebpf內(nèi)核程序，所述ebpf內(nèi)核程序基于預(yù)先構(gòu)建的ebpf機(jī)器碼，經(jīng)安全驗(yàn)證后編譯獲得，且所述ebpf內(nèi)核程序執(zhí)行于內(nèi)核區(qū)；

5、基于ebpf內(nèi)核程序采集的內(nèi)核對(duì)象，所述ebpf用戶區(qū)監(jiān)控程序基于加載的策略從所述內(nèi)核對(duì)象中獲取對(duì)應(yīng)的態(tài)勢(shì)感知要素，并基于獲得的態(tài)勢(shì)感知要素執(zhí)行對(duì)應(yīng)的安全措施。

6、進(jìn)一步的，所述基于態(tài)勢(shì)感知要素提取需求，構(gòu)建ebpf用戶區(qū)監(jiān)控程序，具體為：基于當(dāng)前場(chǎng)景下的態(tài)勢(shì)感知要素提取需求，從預(yù)先構(gòu)建的態(tài)勢(shì)感知要素提取策略庫(kù)選擇對(duì)應(yīng)策略，實(shí)現(xiàn)策略配置；通過(guò)ebpf用戶區(qū)監(jiān)控程序加載配置的策略，按照配置策略收集相關(guān)的態(tài)勢(shì)感知要素，以及，對(duì)獲得的態(tài)勢(shì)感知要素進(jìn)行判斷，執(zhí)行相應(yīng)的安全措施。

7、進(jìn)一步的，所述態(tài)勢(shì)感知要素包括威脅情報(bào)、網(wǎng)絡(luò)異常流量、日志事件、漏洞以及數(shù)據(jù)泄露面臨的安全態(tài)勢(shì)。

8、進(jìn)一步的，所述ebpf用戶區(qū)監(jiān)控程序基于加載的策略從所述內(nèi)核對(duì)象中獲取對(duì)應(yīng)的態(tài)勢(shì)感知要素，具體為：基于ebpf映射和ebpf環(huán)形緩沖區(qū)在ebpf內(nèi)核程序與ebpf用戶區(qū)監(jiān)控程序之間構(gòu)建通信路徑；其中，所述ebpf環(huán)形緩沖區(qū)用于存儲(chǔ)ebpf內(nèi)核程序采集的數(shù)據(jù)；所述ebpf映射用于講ebpf換姓緩沖區(qū)中的數(shù)據(jù)推送給ebpf用戶監(jiān)控程序。

9、進(jìn)一步的，所述用戶區(qū)監(jiān)控程序采用c/c++語(yǔ)言實(shí)現(xiàn)，其具體執(zhí)行如下功能：讀取預(yù)先構(gòu)建的態(tài)勢(shì)感知要素提取策略庫(kù)中的策略，并將所述策略傳遞至內(nèi)核的ebpf?maps數(shù)據(jù)結(jié)構(gòu)，經(jīng)內(nèi)核處理后，從ebpf內(nèi)核程序采集的數(shù)據(jù)中獲取相應(yīng)的態(tài)勢(shì)感知元素，并將結(jié)果返回給javascript調(diào)用函數(shù)。

10、進(jìn)一步的，所述基于node.js的js引擎用于ebpf用戶區(qū)監(jiān)控程序的執(zhí)行，其通過(guò)node.js的模塊系統(tǒng)加載擴(kuò)展模塊，并提供與擴(kuò)展模塊的交互接口，用于實(shí)現(xiàn)ebpf用戶區(qū)監(jiān)控程序?qū)?nèi)核區(qū)系統(tǒng)資源和庫(kù)函數(shù)的調(diào)用。

11、本發(fā)明實(shí)施例另一方面提供了一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取系統(tǒng)，包括：

12、用戶監(jiān)控程序構(gòu)建單元，其用于基于態(tài)勢(shì)感知要素提取需求，構(gòu)建ebpf用戶區(qū)監(jiān)控程序，其中，所述ebpf用戶區(qū)監(jiān)控程序?yàn)楹笈_(tái)運(yùn)行，且其運(yùn)行于基于node.js的js引擎中；所述ebpf用戶區(qū)監(jiān)控程序用于加載預(yù)先構(gòu)建的態(tài)勢(shì)感知要素提取策略庫(kù)中的策略，基于加載的策略獲取對(duì)應(yīng)的態(tài)勢(shì)感知要素，并執(zhí)行對(duì)應(yīng)的安全措施；

13、ebpf內(nèi)核程序構(gòu)建單元，其用于基于預(yù)先定義的態(tài)勢(shì)感知要素的內(nèi)核對(duì)象，構(gòu)建用于內(nèi)核對(duì)象采集的ebpf內(nèi)核程序，所述ebpf內(nèi)核程序基于預(yù)先構(gòu)建的ebpf機(jī)器碼，經(jīng)安全驗(yàn)證后編譯獲得，且所述ebpf內(nèi)核程序執(zhí)行于內(nèi)核區(qū)；

14、態(tài)勢(shì)感知要素提取單元，其用于基于ebpf內(nèi)核程序采集的內(nèi)核對(duì)象，所述ebpf用戶區(qū)監(jiān)控程序基于加載的策略從所述內(nèi)核對(duì)象中獲取對(duì)應(yīng)的態(tài)勢(shì)感知要素，并基于獲得的態(tài)勢(shì)感知要素執(zhí)行對(duì)應(yīng)的安全措施。

15、本發(fā)明實(shí)施例還提供了一種電子設(shè)備，包括處理器，所述處理器用于執(zhí)行存儲(chǔ)器中存儲(chǔ)的計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如前所述的一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法。

16、本發(fā)明實(shí)施例還提供了一種非暫態(tài)可讀存儲(chǔ)介質(zhì)，所述可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如前所述的一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法。

17、本發(fā)明實(shí)施例最后還提供了一種計(jì)算機(jī)程序產(chǎn)品，所述計(jì)算機(jī)程序產(chǎn)品包括計(jì)算機(jī)程序，所述計(jì)算機(jī)程序被處理器執(zhí)行時(shí)，實(shí)現(xiàn)所述的一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法。

18、與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：

19、(1)本發(fā)明所述方案提供了一種基于ebpf技術(shù)的態(tài)勢(shì)感知要素提取方法及系統(tǒng)，所述方案基于ebpf技術(shù)并結(jié)合javascript技術(shù)，將現(xiàn)有技術(shù)中龐大的態(tài)勢(shì)感知要素的提取代碼劃分為運(yùn)行于后臺(tái)的ebpf用戶區(qū)代碼和運(yùn)行于內(nèi)核空間的ebpf內(nèi)核程序，在實(shí)現(xiàn)ebpf內(nèi)核程序輕量化的同時(shí)有效提高了態(tài)勢(shì)感知要素提取代碼的執(zhí)行效率；同時(shí)，結(jié)合構(gòu)建的基于node.js的js引擎，實(shí)現(xiàn)了ebpf內(nèi)核程序?qū)?nèi)核區(qū)系統(tǒng)資源和庫(kù)函數(shù)的調(diào)用以及ebpf內(nèi)核程序與ebpf用戶區(qū)監(jiān)控程序之間的通信，通過(guò)javascript實(shí)現(xiàn)了數(shù)據(jù)高效存取，從而消除開(kāi)發(fā)者不斷插樁的沉重負(fù)擔(dān)，為提取態(tài)勢(shì)感知要素提供從代碼到基礎(chǔ)設(shè)施的監(jiān)控及診斷能力。

20、(2)本發(fā)明通過(guò)ebpf用戶區(qū)監(jiān)控程序和態(tài)勢(shì)感知要素提取策略庫(kù)的設(shè)計(jì)，可根據(jù)需求通過(guò)ebpf用戶區(qū)監(jiān)控程序加載不同的策略，能夠有效應(yīng)對(duì)不同場(chǎng)景需求。

21、(3)本發(fā)明所述方案通過(guò)利用ebpf，能夠監(jiān)控系統(tǒng)調(diào)用事件、文件系統(tǒng)事件、內(nèi)存管理事件、進(jìn)程管理事件、安全事件、網(wǎng)絡(luò)數(shù)據(jù)包處理的能力，利用javascript的虛擬機(jī)技術(shù)實(shí)現(xiàn)了零侵?jǐn)_、全棧的指標(biāo)、追蹤、調(diào)用日志、函數(shù)剖析數(shù)據(jù)采集，生成態(tài)勢(shì)感知要素的流程機(jī)制。

22、本發(fā)明附加方面的優(yōu)點(diǎn)將在下面的描述中部分給出，部分將從下面的描述中變得明顯，或通過(guò)本發(fā)明的實(shí)踐了解到。