进程安全检测方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种进程安全检测方法、装置、电子设备及存储介质，涉及云计算技术领域。该方法包括：当接收到目标进程的进程创建指令时，通过eBPF模块获取目标进程的进程信息；通过eBPF模块确定进程白名单中是否包含目标进程的进程信息；当进程白名单中不包含目标进程的进程信息时，通过eBPF模块确定预备名单中是否包含目标进程的进程信息；当预备名单中包含目标进程的进程信息时，创建目标进程。因此，本公开可以适应云平台敏捷高效部署的特点，安全检测的效率较高，可以有效增加了安全防护能力，确保云上相关业务的执行。确保云上相关业务的执行。确保云上相关业务的执行。

【技术实现步骤摘要】
进程安全检测方法、装置、电子设备及存储介质


[0001]本公开涉及云计算
，尤其涉及一种进程安全检测方法、装置、电子设备及存储介质。

技术介绍

[0002]随着云计算技术的发展，越来越多的用户将业务部署在云平台内。并且，用户希望对云平台内的业务进行监控，保障业务的安全运行。因此，需要对业务的各个进程进行安全检测。
[0003]在相关技术中，可以通过采集电子设备上的进程信息计算该进程的异常得分，判定是否为恶意进程。
[0004]但是，这种在传统物理设备上的检测方法效率慢无法适应云上容器灵活快捷的特点，且计算异常得分的准确性较低。因此，目前亟需一种可以对云平台中各个进程进行安全检测的方法，有效增加了云上的安全防护能力，确保云上相关业务的执行。
[0005]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0006]本公开提供一种进程安全检测方法、装置、电子设备及存储介质，至少在一定程度上克服相关技术效率慢无法适应云上容器灵活快捷的特点，且检测准确性较低的问题。
[0007]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0008]根据本公开实施例的一个方面，提供一种进程安全检测方法，该方法由宿主机执行，所述宿主机中包括：预置的eBPF(Extended Berkeley Packet Filter，扩展的伯克利包过滤器)模块以及预设的进程白名单与预备名单，其中，所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息；
[0009]该方法包括：当接收到目标进程的进程创建指令时，通过所述eBPF模块获取所述目标进程的进程信息；通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息；当所述进程白名单中不包含所述目标进程的进程信息时，通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息；当所述预备名单中包含所述目标进程的进程信息时，创建所述目标进程。
[0010]在本公开的一些实施例中，当所述预备名单中包含所述目标进程的进程信息时，创建所述目标进程，包括：当所述预备名单中包含所述目标进程的进程信息时，通过所述eBPF模块检测所述目标进程是否为恶意进程；当所述目标进程不为恶意进程时，将所述目标进程的进程信息加入所述进程白名单，创建所述目标进程。
[0011]在本公开的一些实施例中，本公开实施例提供的进程安全检测方法还包括：当所述预备名单中不包含所述目标进程的进程信息时，通过所述eBPF模块判断所述目标进程是
否为恶意进程；当所述目标进程不为恶意进程时，将所述目标进程的进程信息加入所述预备名单，创建所述目标进程。
[0012]在本公开的一些实施例中，本公开实施例提供的进程安全检测方法还包括：当所述进程白名单中包含所述目标进程的进程信息时，创建所述目标进程。
[0013]在本公开的一些实施例中，目标进程的进程信息包括：进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程系统调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
[0014]在本公开的一些实施例中，宿主机中的eBPF模块运行在虚拟机或容器中，本公开实施例提供的进程安全检测方法还包括：确定所述eBPF模块的相关程序，将所述eBPF模块的相关程序载入内核；通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析，得到所述eBPF模块，所述eBPF模块中包括至少一个插桩点，所述插桩点用于对所述目标进程的进程信息进行获取与检测。
[0015]在本公开的一些实施例中，所述宿主机中的eBPF模块运行在容器中，本公开实施例提供的进程安全检测方法还包括：将所述进程白名单与所述预备名单存储在eBPF Maps键值结构中；将所述eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包，得到镜像文件，所述镜像文件用于创建与运行所述目标进程。
[0016]在本公开的一些实施例中，eBPF模块运行在容器中，所述创建所述目标进程之后，本公开实施例提供的进程安全检测方法还包括：通过所述eBPF模块对进入容器的流量进行过滤；将过滤后的流量发送至流量分析节点，得到流量分析结果；当所述流量分析结果指示存在与所述目标进程相关的恶意网络流量时，停止所述目标进程，并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
[0017]在本公开的一些实施例中，创建所述目标进程之后，本公开实施例提供的进程安全检测方法还包括：获取所述目标进程的系统调用信息；通过所述eBPF模块判断所述目标进程的系统调用信息是否超出所述进程白名单中允许的系统调用限制范围；若超出，则停止所述目标进程，并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
[0018]根据本公开的另一个方面，提供一种进程安全检测装置，应用于宿主机，所述宿主机中包括：预置的eBPF模块以及预设的进程白名单与预备名单，其中，所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息；
[0019]该装置包括：
[0020]进程信息获取模块，用于当接收到目标进程的进程创建指令时，通过所述eBPF模块获取所述目标进程的进程信息；
[0021]进程白名单确定模块，用于通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息；
[0022]预备名单确定模块，用于当所述进程白名单中不包含所述目标进程的进程信息时，通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息；
[0023]目标进程创建模块，用于当所述预备名单中包含所述目标进程的进程信息时，创建所述目标进程。
[0024]在本公开的一些实施例中，目标进程创建模块，用于当所述预备名单中包含所述目标进程的进程信息时，通过所述eBPF模块检测所述目标进程是否为恶意进程；当所述目
标进程不为恶意进程时，将所述目标进程的进程信息加入所述进程白名单，创建所述目标进程。
[0025]在本公开的一些实施例中，本公开实施例提供的进程安全检测装置还包括：
[0026]恶意进程检测模块，用于当所述预备名单中不包含所述目标进程的进程信息时，通过所述eBPF模块判断所述目标进程是否为恶意进程；
[0027]目标进程创建模块，用于当所述目标进程不为恶意进程时，将所述目标进程的进程信息加入所述预备名单，创建所述目标进程。
[0028]在本公开的一些实施例中，目标进程创建模块，用于当所述进程白名单中包含所述目标进程的进程信息时，创建所述目标进程。
[0029]在本公开的一些实施例中，目标进程的进程信息包括：进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程系统调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种进程安全检测方法，其特征在于，由宿主机执行，所述宿主机中包括：预置的eBPF模块以及预设的进程白名单与预备名单，其中，所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息；所述方法包括：当接收到目标进程的进程创建指令时，通过所述eBPF模块获取所述目标进程的进程信息；通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息；当所述进程白名单中不包含所述目标进程的进程信息时，通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息；当所述预备名单中包含所述目标进程的进程信息时，创建所述目标进程。2.根据权利要求1所述的进程安全检测方法，其特征在于，所述当所述预备名单中包含所述目标进程的进程信息时，创建所述目标进程，包括：当所述预备名单中包含所述目标进程的进程信息时，通过所述eBPF模块检测所述目标进程是否为恶意进程；当所述目标进程不为恶意进程时，将所述目标进程的进程信息加入所述进程白名单，创建所述目标进程。3.根据权利要求1所述的进程安全检测方法，其特征在于，所述方法还包括：当所述预备名单中不包含所述目标进程的进程信息时，通过所述eBPF模块判断所述目标进程是否为恶意进程；当所述目标进程不为恶意进程时，将所述目标进程的进程信息加入所述预备名单，创建所述目标进程。4.根据权利要求1至3任一所述的进程安全检测方法，其特征在于，所述方法还包括：当所述进程白名单中包含所述目标进程的进程信息时，创建所述目标进程。5.根据权利要求1至3任一所述的进程安全检测方法，其特征在于，所述目标进程的进程信息包括：进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程系统调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。6.根据权利要求2或3所述的进程安全检测方法，其特征在于，所述宿主机中的eBPF模块运行在虚拟机或容器中，所述方法还包括：确定所述eBPF模块的相关程序，将所述eBPF模块的相关程序载入内核；通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析，得到所述eBPF模块，所述eBPF模块中包括至少一个插桩点，所述插桩点用于对所述目标进程的进程信息进行获取与检测。7.根据权利要求6所述的进程安全检测方法，其特征在于，所...

【专利技术属性】
技术研发人员：郭雪松，熊子晗，陈军，陈大北，冯远，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：