基于eBPF技术的Linux系统内核漏洞补丁缓解方法及其系统技术方案

本发明专利技术实施例公开了基于eBPF技术的Linux系统内核漏洞补丁缓解方法及其系统。方法包括：部署eBPF补丁缓解程序；提取Linux系统网络及内核信息；运行Linux系统可执行文件，并监控网络侧行为监控；判断是否存在可执行文件运行行为或网络侧行为；若是，则介入可执行文件运行时内核插桩；插入正常补丁逻辑转换代码；判断监控结果中是否存在网络侧行为；若是，则介入网络侧行为运行时网络插桩，以得到介入结果；判断介入结果是否匹配网络包规则库；若是，则插桩网络层函数并修改网络响应包；判断插桩过程是否存在异常；若是，则生成带相关信息细节的告警信息。通过实施本发明专利技术实施例的方法可实现无需实际安装正常Linux内核漏洞补丁也可以精准防御Linux内核漏洞攻击。以精准防御Linux内核漏洞攻击。以精准防御Linux内核漏洞攻击。

【技术实现步骤摘要】
基于eBPF技术的Linux系统内核漏洞补丁缓解方法及其系统


[0001]本专利技术涉及Linux系统内核漏洞防御
，更具体地说是指基于eBPF技术的Linux系统内核漏洞补丁缓解方法及其系统。

技术介绍

[0002]近年来，大量的Linux系统内核漏洞被发现并公开，黑客利用这些漏洞对Linux系统主机发起远程代码执行、提权、DDos等攻击，对网络安全造成了巨大的风险。由于Linux内核漏洞的特殊性，必须安装官方补丁才能完全防御内核漏洞攻击，而大量的Linux系统主机中往往因为运行着重要的业务应用而无法安装补丁并重启主机，依靠传统的防火墙已经无法阻止黑客对Linux系统主机的内核漏洞攻击。
[0003]因此，有必要设计一种新的方法，实现无需实际安装正常Linux内核漏洞补丁也可以精准防御Linux内核漏洞攻击。

技术实现思路

[0004]本专利技术的目的在于克服现有技术的缺陷，提供基于eBPF技术的Linux系统内核漏洞补丁缓解方法及其系统。
[0005]为实现上述目的，本专利技术采用以下技术方案：基于eBPF技术的Linux系统内核漏洞补丁缓解方法，包括：部署eBPF补丁缓解程序；提取Linux系统网络及内核相关信息；利用eBPF补丁缓解程序运行Linux系统可执行文件，并监控网络侧行为监控，以得到监控结果；判断所述监控结果中是否存在可执行文件运行行为或网络侧行为；若所述监控结果中存在可执行文件运行行为或网络侧行为，则利用eBPF补丁缓解程序介入可执行文件运行时内核插桩；插入正常补丁逻辑转换代码；判断所述监控结果中是否存在网络侧行为；若所述监控结果中存在网络侧行为，则利用eBPF补丁缓解程序介入网络侧行为运行时网络插桩，以得到介入结果；判断所述介入结果是否匹配网络包规则库；若所述介入结果匹配网络包规则库，则插桩网络层函数并修改网络响应包；判断插桩过程是否存在异常；若插桩过程存在异常，则生成带相关信息细节的告警信息，以进行异常告警。
[0006]其进一步技术方案为：所述判断所述监控结果中是否存在网络侧行为之后，还包括：若所述监控结果中不存在网络侧行为，则执行所述判断插桩过程是否存在异常；
所述判断所述介入结果是否匹配网络包规则库之后，还包括：若所述介入结果不匹配网络包规则库，则执行所述判断插桩过程是否存在异常。
[0007]其进一步技术方案为：所述eBPF补丁缓解程序是通过对Linux系统的内核以及网络进行插桩注入实现补丁缓解的，内置了两项检测特征和两项插桩特征，分别为针对内核的涉漏洞内核函数检测特征、正常补丁逻辑重写插桩特征，以及针对网络的涉漏洞网络请求数据包检测特征、网络响应包修改插桩特征。
[0008]其进一步技术方案为：所述Linux系统网络及内核相关信息包括：网卡信息；网络服务及端口开放信息；网络服务及开放端口对应协议类型信息；内核版本信息；当前系统已有补丁程序信息；进程、服务及可执行文件信息。
[0009]其进一步技术方案为：所述判断所述监控结果中是否存在可执行文件运行行为或网络侧行为，包括：获取Linux系统内核及补丁信息合集、Linux系统网络信息合集；根据所述Linux系统内核及补丁信息合集获取各个内核及补丁数据集；针对Linux系统网络信息合集，获取各个网络数据集；根据各个网络数据集以及各个内核及补丁数据集计算是否存在可执行文件运行或者网络侧行为发生，并生成标记后的行为特征合集。
[0010]其进一步技术方案为：所述插入正常补丁逻辑转换代码，包括：从正常补丁逻辑重写插桩特征数据集中获取对应的插桩代码；利用所述插桩代码进行插桩。
[0011]其进一步技术方案为：所述插桩网络层函数并修改网络响应包，包括：从网络响应包修改插桩特征数据集中获取对应的网络响应包；利用所述网络响应包进行插桩修改。
[0012]本专利技术还提供了基于eBPF技术的Linux系统内核漏洞补丁缓解系统，包括：部署单元，用于部署eBPF补丁缓解程序；提取单元，用于提取Linux系统网络及内核相关信息；文件运行单元，用于利用eBPF补丁缓解程序运行Linux系统可执行文件，并监控网络侧行为监控，以得到监控结果；第一判断单元，用于判断所述监控结果中是否存在可执行文件运行行为或网络侧行为；第一插桩单元，用于若所述监控结果中存在可执行文件运行行为或网络侧行为，则利用eBPF补丁缓解程序介入可执行文件运行时内核插桩；代码插入单元，用于插入正常补丁逻辑转换代码；第二判断单元，用于判断所述监控结果中是否存在网络侧行为；第二插桩单元，用于若所述监控结果中存在网络侧行为，则利用eBPF补丁缓解程序介入网络侧行为运行时网络插桩，以得到介入结果；第三判断单元，用于判断所述介入结果是否匹配网络包规则库；第三插桩单元，用于若所述介入结果匹配网络包规则库，则插桩网络层函数并修改网络响应包；第四判断单元，用于判断插桩过程是否存在异常；
告警单元，用于若插桩过程存在异常，则生成带相关信息细节的告警信息，以进行异常告警。
[0013]本专利技术还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。
[0014]本专利技术还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法。
[0015]本专利技术与现有技术相比的有益效果是：本专利技术通过利用eBPF技术及手段，以可执行文件运行行为和网络行为的监控、内核函数调用的代码插桩、网络包的插桩重写为依托，在可执行文件运行时以及网络流量包响应之前实现动态补丁注入，实现无需实际安装正常Linux内核漏洞补丁也可以精准防御Linux内核漏洞攻击。
[0016]下面结合附图和具体实施例对本专利技术作进一步描述。
附图说明
[0017]为了更清楚地说明本专利技术实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0018]图1为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解方法的应用场景示意图；图2为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解方法的流程示意图；图3为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解方法的子流程示意图；图4为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解方法的子流程示意图；图5为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解方法的子流程示意图；图6为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解系统的示意性框图；图7为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解系统的第一判断单元的示意性框图；图8为本专利技术实施例提供的基于eBPF技术的Linux系统内核漏洞补丁缓解系统的代码插入单元的示意性框图；图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.基于eBPF技术的Linux系统内核漏洞补丁缓解方法，其特征在于，包括：部署eBPF补丁缓解程序；提取Linux系统网络及内核相关信息；利用eBPF补丁缓解程序运行Linux系统可执行文件，并监控网络侧行为监控，以得到监控结果；判断所述监控结果中是否存在可执行文件运行行为或网络侧行为；若所述监控结果中存在可执行文件运行行为或网络侧行为，则利用eBPF补丁缓解程序介入可执行文件运行时内核插桩；插入正常补丁逻辑转换代码；判断所述监控结果中是否存在网络侧行为；若所述监控结果中存在网络侧行为，则利用eBPF补丁缓解程序介入网络侧行为运行时网络插桩，以得到介入结果；判断所述介入结果是否匹配网络包规则库；若所述介入结果匹配网络包规则库，则插桩网络层函数并修改网络响应包；判断插桩过程是否存在异常；若插桩过程存在异常，则生成带相关信息细节的告警信息，以进行异常告警。2.根据权利要求1所述的基于eBPF技术的Linux系统内核漏洞补丁缓解方法，其特征在于，所述判断所述监控结果中是否存在网络侧行为之后，还包括：若所述监控结果中不存在网络侧行为，则执行所述判断插桩过程是否存在异常；所述判断所述介入结果是否匹配网络包规则库之后，还包括：若所述介入结果不匹配网络包规则库，则执行所述判断插桩过程是否存在异常。3.根据权利要求1所述的基于eBPF技术的Linux系统内核漏洞补丁缓解方法，其特征在于，所述eBPF补丁缓解程序是通过对Linux系统的内核以及网络进行插桩注入实现补丁缓解的，内置了两项检测特征和两项插桩特征，分别为针对内核的涉漏洞内核函数检测特征、正常补丁逻辑重写插桩特征，以及针对网络的涉漏洞网络请求数据包检测特征、网络响应包修改插桩特征。4.根据权利要求1所述的基于eBPF技术的Linux系统内核漏洞补丁缓解方法，其特征在于，所述Linux系统网络及内核相关信息包括：网卡信息；网络服务及端口开放信息；网络服务及开放端口对应协议类型信息；内核版本信息；当前系统已有补丁程序信息；进程、服务及可执行文件信息。5.根据权利要求1所述的基于eBPF技术的Linux系统内核漏洞补丁缓解方法，其特征在于，所述判断所述监控结果中是否存在可执行文件运行行为或网络侧行为，包括：获取Linux系统内核及补丁信息合集、Linux系统网络信息合集；根据...

【专利技术属性】
技术研发人员：覃锦端，王月兵，柳遵梁，刘聪，毛菲，
申请(专利权)人：杭州美创科技有限公司，
类型：发明
国别省市：