基于eBPF的文件保护方法、装置、设备和介质与流程 专利技术说明

计算;推算;计数设备的制造及其应用技术基于ebpf的文件保护方法、装置、设备和介质技术领域1.本公开涉及信息安全技术领域，具体地涉及一种基于ebpf的文件保护方法、装置、设备、介质和程序产品。背景技术：2.随着网络技术发展，云时代来临，各大企业飞速上云以便更好地提供服务以及信息系统的开发迭代。但是其中存在的安全风险也不容小觑。随着企业业务上云，重要的数据以及服务都在云环境存储以及运行，攻击者也将目光转移至云上，为了一己私利攻击企业云上设施窃取关键数据，或是上传webshell控制企业云服务器或虚拟机，成为黑客内网渗透的切入点。3.常见的文件操作监控处理手段存在很多不足。如通过日志监控文件操作情况，工作人员通常需要花费大量时间去审计日志，不仅要花大量人力成本，还需要工作人员具备一定安全能力识别敏感文件操作；而基于流量进行敏感文件操作检测的安全设备，又无法应对流量加密的状况；还有一种基于应用插桩的文件保护设备，一旦黑客利用操作系统级漏洞进行文件高危操作，此种设备就变得束手无策。技术实现要素：4.鉴于上述问题，本公开提供了可以深入到系统的内核空间对系统的文件操作进行实时监控和有效拦截的基于ebpf的文件保护方法、装置、设备、介质和程序产品。5.根据本公开的第一个方面，提供了一种基于ebpf的文件保护方法。所述方法包括：响应于当前触发的目标系统调用为ebpf程序挂钩的系统调用，通过所述ebpf程序捕获所述目标系统调用，其中，所述ebpf程序为注入到内核空间的程序，其中，所述ebpf程序包括文件保护配置信息，其中，在注入所述ebpf程序的过程中将所述ebpf程序与所述文件保护配置信息中设置的用于文件操作的系统调用挂钩；判断所述目标系统调用所属的文件操作类型；按照所述文件保护配置信息中设置的与所述目标系统调用所属的文件操作类型对应的校验方式，校验所述目标系统调用的合法性，得到校验结果；当所述校验结果为不合法时，所述ebpf程序拦截所述目标系统调用；以及当所述校验结果为合法时，所述ebpf程序放行所述目标系统调用。其中，按照所述文件保护配置信息中设置的与所述目标系统调用所属的文件操作类型对应的校验方式，校验所述目标系统调用的合法性包括：当所述目标系统调用所属的文件操作类型为文件写操作时，校验所述目标系统调用中的待写入数据的合法性；以及当所述目标系统调用所属的文件操作类型为非文件写操作时，校验所述目标系统调用的访问权限的合法性；6.根据本公开的实施例，所述当所述目标系统调用所属的文件操作类型为文件写操作时，校验所述目标系统调用中的待写入数据的合法性包括：所述ebpf程序将所述目标系统调用中的待写入数据传输给文件特征检测子系统；以及利用所述文件特征检测子系统校验所述待写入数据的合法性，并将校验结果发送给所述ebpf程序。7.根据本公开的实施例，所述利用所述文件特征检测子系统校验所述待写入数据的合法性包括：基于所述待写入数据与高危病毒木马文件库中的数据的文件特征对比，校验所述待写入数据的合法性。8.根据本公开的实施例，所述文件特征对比包括从以下至少一个方面进行对比：文件hash值、特定签名或文件结构。9.根据本公开的实施例，其中，所述非文件写操作包括以下至少一种文件操作：文件读操作、文件关闭操作或文件打开操作。10.根据本公开的实施例，所述文件保护配置信息包括禁止访问信息，其中，所述当所述目标系统调用所属的文件操作类型为非文件写操作时，校验所述目标系统调用的访问权限的合法性包括：所述ebpf程序匹配所述目标系统调用的参数和所述禁止访问信息；若匹配成功，则确定所述目标系统调用的访问权限不合法；以及若匹配不成功，则确定所述目标系统调用的访问权限合法。11.根据本公开的实施例，所述目标系统调用的参数包括以下至少之一：所述目标系统调用访问的文件名，所述目标系统调用访问的文件路径，或触发所述目标系统调用的程序。所述禁止访问信息包括以下至少一个维度的参数：禁止访问的文件名、禁止访问的文件路径或黑名单程序。12.根据本公开的实施例，向所述内核空间注入所述ebpf程序的过程如下：获取用户提供的所述文件保护配置信息，其中，所述文件保护配置信息中设置用于文件操作的系统调用的文件操作类型包括文件写操作和非文件写操作，其中，针对文件写操作和非分件写操作设置有不同的校验方式；基于所述文件保护配置信息，生成所述ebpf程序的代码；以及将所述ebpf程序的代码注入到所述内核空间中。13.根据本公开的实施例，在将所述ebpf程序的代码注入到所述内核空间中的过程中，不重启所述系统。14.根据本公开的实施例，所述将所述ebpf程序的代码注入到所述内核空间中包括：将所述ebpf程序的代码编译为字节码；调用所述系统中的ebpf程序加载接口函数；以及利用所述ebpf程序加载接口函数将所述字节码加载到所述内核空间。15.根据本公开的实施例，所述获取用户提供的所述文件保护配置信息包括：向运维终端提供规则模板；以及接收所述运维终端发送的报文，其中，所述报文是基于在所述规则模板中填写完成的所述文件保护配置信息而生成的。16.根据本公开的实施例，在所述ebpf程序拦截所述目标系统调用之后，所述方法还包括：向所述运维终端发送对所述目标系统调用的拦截信息。17.本公开实施例的另一方面，还提供了一种基于ebpf的文件保护装置。所述装置包括监控阻断模块。所述监控阻断模块为注入到内核空间的ebpf程序，其中，所述ebpf程序包括文件保护配置信息，其中，在注入所述ebpf程序的过程中将所述ebpf程序与所述文件保护配置信息中设置的用于文件操作的系统调用挂钩。其中，所述监控阻断模块包括监控单元、判断单元、校验单元和处理单元。监控单元用于响应于当前触发的目标系统调用为ebpf程序挂钩的系统调用，通过所述ebpf程序捕获所述目标系统调用。判断单元用于判断所述目标系统调用所属的文件操作类型。校验单元用于按照所述文件保护配置信息中设置的与所述目标系统调用所属的文件操作类型对应的校验方式，校验所述目标系统调用的合法性，得到校验结果。处理单元用于当所述校验结果为不合法时，拦截所述目标系统调用；以及当所述校验结果为合法时，放行所述目标系统调用。其中，所述校验单元包括文件写操作校验子单元和其他文件操作校验子单元。所述文件写操作校验子单元用于当所述目标系统调用所属的文件操作类型为文件写操作时，校验所述目标系统调用中的待写入数据的合法性。其他文件操作校验子单元用于当所述目标系统调用所属的文件操作类型为非文件写操作时，校验所述目标系统调用的访问权限的合法性。18.根据本公开的实施例，所述装置还包括代码生成和注入模块。所述代码生成和注入模块用于：获取用户提供的所述文件保护配置信息，其中，所述文件保护配置信息中设置用于文件操作的系统调用的文件操作类型包括文件写操作和非文件写操作，其中，针对文件写操作和非分件写操作设置有不同的校验方式；基于所述文件保护配置信息，生成所述ebpf程序的代码；以及将所述ebpf程序的代码注入到所述内核空间中。19.本公开实施例的第三方面，提供了一种电子设备。所述电子设备包括一个或多个处理器和存储器。所述存储器用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得一个或多个处理器执行上述方法。20.本公开实施例的第四方面，还提供了一种计算机可读存储介质，其上存储有可执行指令，该指令被处理器执行时使处理器执行上述方法。21.本公开实施例的第五方面，还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述方法。22.上述一个或多个实施例具有如下优点或有益效果：可以至少部分地解决相关技术中对系统中的文件数据保护不全面不及时的问题，可以在系统的内核空间注入自定义的文件保护配置信息，通过ebpf程序在内核空间进行文件操作的实时监控和检测，其中，根据该文件保护配置信息，能够按照不同类型的文件操作可能对系统造成危害的方式针对性进行筛查，提高了文件保护的全面性和准确性，保障了系统的稳健性。附图说明23.通过以下参照附图对本公开实施例的描述，本公开的上述内容以及其他目的、特征和优点将更为清楚，在附图中：24.图1示意性示出了根据本公开实施例的基于ebpf的文件保护方法、装置、设备、介质和程序产品的应用场景图；25.图2示意性示出了根据本公开实施例的基于ebpf的文件保护方法的流程图；26.图3示意性示出了本公开一实施例的基于ebpf的文件保护方法中对文件写操作类型的系统调用进行合法性校验的流程图；27.图4示意性示出了本公开另一实施例的基于ebpf的文件保护方法中对非文件写操作类型的系统调用进行合法性校验的流程图；28.图5示意性示出了本公开另一实施例的基于ebpf的文件保护方法中注入ebpf程序的流程图；29.图6示意性示出了ebpf程序的代码加载到内核空间的原理图；30.图7示意性示出了本公开再一实施例的基于ebpf的文件保护方法的流程图；31.图8示意性示出了根据本公开一实施例的文件保护装置的方框图；32.图9示意性示出了本公开一实施例的文件保护装置中监控阻断模块的方框图；33.图10示意性示出了应用根据本公开了另一实施例的文件保护装置的系统架构；34.图11示意性示出了图10所示的文件保护装置中策略管理子系统的结构框图；35.图12示意性示出了图10所示的文件保护装置中文件保护子系统的结构框图；36.图13示意性示出了图10所示的文件保护装置中文件特征检测子系统的结构框图；以及37.图14示意性示出了适于实现根据本公开实施例的基于ebpf的文件保护装置的电子设备的方框图。具体实施方式38.以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。39.在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。40.在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。41.在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。本文中术语“第一”、“第二”等命名都仅用于区分，而不具有任何限制含义，以及附图中的任何元素数量均用于示例而非限制。42.发明人分析认为，常见的文件操作监控处理手段，诸如通过日志监控文件操作情况、基于流量进行敏感文件操作检测的安全设备和基于应用插桩的文件保护设备，都无法深入宿主机或虚拟机的底层进行文件操作的检测。从而一旦主机或虚拟机的文件系统被攻击者入侵后，就缺乏有效的应对机制，难以全面地保护系统的文件安全。43.有鉴于此，本公开提供了一种基于ebpf的文件保护方法、装置、设备、介质和程序产品。其中，ebpf是extended berkeley packet filter的缩写，全称为扩展的伯克利数据包过滤器，是一种高级的内核态编程技术，可以通过该技术实现自定义编写程序并加载到内核空间中。44.本公开实施例借助于ebpf技术，在系统的内核空间注入包含用户自定义的文件保护配置信息的ebpf程序，其中，在注入ebpf程序的过程中将所ebpf程序与文件保护配置信息中设置的用于文件操作的系统调用hook挂钩。这样，当触发文件操作的系统调用时，ebpf程序就可以实时捕获该系统调用。然后可以对捕获的该系统调用进行合法性校验。其中，本公开实施例可以区分该系统调用是否文件写操作，针对性的采取不同的方式进行校验。具体的，对于文件写操作的系统调用，校验待写入数据的合法性；而对与非文件写操作的系统调用，校验该系统调用的访问权限是否合法。然后根据校验结果，仅放行合法的系统调用，而拦截不合法的系统调用。45.以此方式，本公开实施例可以在系统的内核空间注入自定义的文件保护配置信息，通过ebpf程序按照该文件保护配置信息进行文件操作的实时监控和检测，提高了文件保护的全面性，保障了系统的稳健性。46.图1示意性示出了根据本公开实施例的基于ebpf的文件保护方法、装置、设备、介质和程序产品的应用场景图。图1示意性示出了根据本发明实施例的系统防护方法、装置、设备、介质和程序产品的应用场景图。47.如图1所示，根据该实施例的应用场景100可以包括用户终端101、102、103，网络104和服务器105。进一步地，在另一些实施例中，应用场景100还可以进一步包括运维终端107和网络106，运维终端107可以通过网络106与服务器105通信。网络104和网络106可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。在一个实施例中，网络104可以是互联网，网络106可以是内网。48.用户(例如，消费者、普通员工等)可以使用用户终端101、102、103通过网络104与服务器105交互，以接收或发送消息等。用户终端101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、办公类应用、邮箱客户端、社交平台软件等(仅为示例)。49.服务器105可以是提供各种服务的服务器，例如对用户利用用户终端101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理，并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给用户终端101、102、103。服务器105可以设置于云端，可以是云服务器主机或虚拟机。50.运维终端107可以是运维人员使用的终端设备。运维人员可以通过在运维终端107中的操作，向服务器105下发指令，控制在服务器105的内核空间中注入ebpf程序。从而在服务器105与用户终端101、102、103交互过程中，该ebpf程序对服务器105的文件系统进行监控，保护服务器105中的文件不被恶意篡改或者被窃取等。51.可见，在应用场景100中，本公开实施例所提供的基于ebpf的文件保护方法可以由服务器105执行。相应地，本发明实施例所提供基于ebpf的文件保护装置、设备、介质和程序产品可以设置于服务器105中。需要注意的是，图1所示仅为可以应用本发明实施例的系统架构的示例，以帮助本领域技术人员理解本发明的技术内容，但并不意味着本发明不可以用于其他设备、系统、环境或场景。52.应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。53.需要说明的是，本公开实施例确定的基于ebpf的文件保护方法、装置、设备、介质和程序产品可用于金融领域，也可用于除金融领域之外的任意领域，本公开对应用领域不做限定。54.以下将基于图1描述的场景，通过图2～图7对本公开各个实施例的基于ebpf的文件保护方法进行详细描述。应注意，以下方法中各个操作的序号仅作为该操作的表示以便描述，而不应被看作表示该各个操作的执行顺序。除非明确指出，否则该方法不需要完全按照所示顺序来执行。55.图2示意性示出了根据本公开实施例的基于ebpf的文件保护方法的流程图。56.如图2所示，根据该实施例基于ebpf的文件保护方法可以包括操作s210～操作s260。57.在操作s210，响应于当前触发的目标系统调用为ebpf程序挂钩的系统调用，通过ebpf程序捕获目标系统调用，其中，ebpf程序为注入到内核空间的程序，其中，ebpf程序包括文件保护配置信息，其中，在注入ebpf程序的过程中将ebpf程序与文件保护配置信息中设置的用于文件操作的系统调用挂钩。58.接下来在操作s220，判断目标系统调用是否属于文件写操作。若是，则执行操作s231；若否，则执行操作s232。59.在一个实施例中，目标系统调用为write()时，属于文件写操作，否则属于非文件写操作。60.非文件写操作可以包括以下至少一种文件操作：文件读操作、文件关闭操作或文件打开操作，诸如open()、read()、close()等。61.通过操作s220判断目标系统调用所属的文件操作类型，可以方便在接下来的处理中，按照文件保护配置信息中设置的与目标系统调用所属的文件操作类型对应的校验方式，校验目标系统调用的合法性，得到校验结果。62.具体地，在操作s231，当目标系统调用所属的文件操作类型为文件写操作时，校验目标系统调用中的待写入数据的合法性。例如，从write()操作中提取参数，得到待写入数据，然后对待写入数据进行检测。例如，可以通过训练号的机器学习模型检测待写入数据是否涉及不合规的信息。或者例如可以将待检测数据与预先收集的高危木马病毒文件的数据等进行比较，确定待校验数据是否是木马文件。63.在操作s232，当目标系统调用所属的文件操作类型为非文件写操作时，校验目标系统调用的访问权限的合法性。例如，可以提取目标系统调用的参数，诸如要访问的文件名、文件路径或者触发目标系统调用的程序名等，判断这些参数是否属于预设的禁止访问信息。64.具体地，文件写操作(如，write())如果要危害系统的话，会通过写入数据中携带的病毒来实现，从而在操作s231中对这类系统调用统一检测待写入数据的合法性。非文件写操作，如果要危害系统的话，通常是以越权访问的方式窃取文件数据、或者改变文件的状态来实现，从而在操作s232中针对这类系统调用会检测访问权限的合法性。以此方式，本公开实施例可以根据目标系统调用可能会系统带来危害的具体方式，针对性的进行校验，提高文件保护的针对性。65.接下来在操作s240，判断从操作s231或操作s232得到的校验结果是否为合法。若否，则执行操作s250；若是，则执行操作s260。66.在操作s250，当校验结果为不合法时，ebpf程序拦截目标系统调用。67.在操作s260，当校验结果为合法时，ebpf程序放行目标系统调用。68.本公开实施例，通过ebpf程序来捕获被该ebpf程序hook住的文件操作系统调用，实现了采用自动化的模式，在内核空间实时监控拦截对系统有危害的文件操作。相比于相关技术中要通过人力审计文件操作日志来查找存在危害系统文件安全的操作的方案，本公开实施例不仅可以降低人力成本，还可以在有危害的文件操作执行前事先拦截，起到文件保护的预防作用。69.本公开实施例，可以从系统的内核空间对执行文件操作的系统调用进行监控拦截，可以解决基于流量进行敏感文件操作检测的安全设备无法监控加密流量的缺点。具体地，基于流量进行敏感文件操作检测的安全设备，是在系统的用户空间中对危害系统文件安全的操作进行检测和拦截的，然而如果用户空间中接收到的操作的参数(例如，要写入的数据)为加密数据时，这种安全设备就难以应对这种情况。与此不同，本公开实施例是在系统的内核空间进行文件操作的系统调用的拦截，用户空间接收到加密数据后，需要在用户空间解密后，才能触发系统调用，因为唯有解密后才能知道要触发的系统调用和系统调用的参数具体是什么。对比可以看出，本公开实施例在系统的内核空间中进行文件操作的系统调用的拦截，所拦截的数据是已经解密后的数据，从而，相比于基于流量进行敏感文件操作检测的安全设备，本公开实施例可以有效应对加密流量的检测，而且本公开实施例在内核空间进行文件操作的拦截和检测，检测范围更广，对系统的文件安全的保护效力更高。70.另外，相比于相关技术中基于应用插桩的文件保护设备仅能在应用层对文件操作进行拦截的方案，本公开实施例不但可以监控拦截web等应用进程或线程触发的敏感高危文件操作，还可以拦截由于操作系统漏洞引发的操作系统层进程或线程触发的敏感高危文件操作，提高了对系统文件保护的全面性，加强了系统安全能力。71.图3示意性示出了本公开一实施例的基于ebpf的文件保护方法中在操作s231对文件写操作类型的系统调用进行合法性校验的流程图。72.如图3所示，根据该实施例，当目标系统调用属于文件写操作类型的系统调用时，在上述操作s231中进行合法性校验的过程可以包括操作s301～操作s303。73.在操作s301，ebpf程序将目标系统调用中的待写入数据传输给文件特征检测子系统，利用文件特征检测子系统校验待写入数据的合法性。74.文件特征检测子系统可以运行在用户空间或内核空间，且可以集成有一些用于校验的数据库(如，高危病毒木马文件库)或人工智能检测模型等。75.通过文件特征检测子系统进行待写入数据的检测，不仅可以扩展对待写入数据的检测手段，还可以避免将待写入数据的检测流程全部编写到ebpf程序中的麻烦，实现对待写入数据的检测的模块化、标准化。同时还可以缩小注入到内核空间的ebpf程序的体积，提高ebpf程序在内核空间的注入效率和运行效率。76.当文件特征检测子系统运行在系统的用户空间时，还可以减少在内核空间中运行待写入数据的检测流程所耗费的资源。77.一实施例中可以在操作s302，文件特征检测子系统基于待写入数据与高危病毒木马文件库中的数据的文件特征对比，校验待写入数据的合法性。78.文件特征对比包括从以下至少一个方面进行对比：文件hash值、特定签名或文件结构。通过文件特征对比，可以分析确定待写入数据是否携带高危病毒木马信息。79.然后在操作s303，文件特征检测子系统将检测结果发送给ebpf程序。其中，当待写入数据携带高危病毒木马信息，则检测结果为不合法。当待写入数据不携带高危病毒木马信息，则检测结果为合法。80.图4示意性示出了本公开另一实施例的基于ebpf的文件保护方法中在操作s232对非文件写操作类型的系统调用进行合法性校验的流程图。81.如图4所示，根据该实施例，ebpf程序中所包含的文件保护配置信息还可以包括禁止访问信息，当目标系统调用为非文件写操作类型的系统调用时，在上述操作s232中进行合法性校验的过程可以包括可操作s401～操作s404。82.在操作s401，ebpf程序匹配目标系统调用的参数和禁止访问信息。83.该禁止访问信息例如可以包括以下至少一个维度的参数：禁止访问的文件名、禁止访问的文件路径或黑名单程序。或者在一些实施例中，该禁止访问信息还可以包括多个维度参数之间的关联关系。例如，可以规定某些文件不允许特定的程序访问，例如：data文件夹下的文件不能被哪些黑名单程序访问。84.相应地，目标系统调用的参数包括以下至少之一：目标系统调用访问的文件名，目标系统调用访问的文件路径，或触发目标系统调用的程序。85.接下来在操作s402，判断操作s401的匹配结果是否是匹配成功。若是，则执行操作s403；若否，则执行操作s404。86.在操作s403，若匹配成功，则确定目标系统调用的访问权限不合法。87.在操作s404，若匹配不成功，则确定目标系统调用的访问权限合法。88.以此方式，本公开实施例可以根据文件保护配置信息中的配置，仅允许具有访问权限的目标系统调用执行相应的文件操作(诸如，读文件、关文件或打开文件)，从而避免了恶意的读文件导致敏感数据的泄露，或者敏感文件的恶意打开或关闭，对系统状态的破坏。89.图5示意性示出了本公开另一实施例的基于ebpf的文件保护方法中注入ebpf程序的流程图。90.如图5所示，根据该实施例的文件防护方法还包括操作s501～操作s503。其中，操作s501～操作s503在操作s210之前执行，用于向内核空间注入ebpf程序。91.首先在操作s501，获取用户提供的文件保护配置信息，其中，文件保护配置信息中设置用于文件操作的系统调用的文件操作类型包括文件写操作和非文件写操作，其中，针对文件写操作和非分件写操作设置有不同的校验方式。92.该文件保护配置信息可以是从根据开发人员或者运维人员在运维终端107中的操作传输而来的报文中携带的信息，也可以是存储在云端等位置的用户文档中的信息。93.接下来在操作s502，基于文件保护配置信息，生成ebpf程序的代码。该ebpf程序的代码例如可以是c、c++或python等语言代码。94.例如，可以提供用户交互界面，由用户(例如，运维人员)在该用户交互界面中编辑文件保护配置信息，例如，填写上述禁止访问信息中各个维度的参数，或填写用于将文件写操作的系统调用传输到文件特征检测子系统的传输地址或传输方式等信息。在一个实施例中，该用户交互界面可以是包含列表、下拉按钮或选择按钮、逻辑运算符等的规则模板。例如，可以向运维人员或者开发人员使用的运维终端107提供该规则模板，由运维人员或者开发人员在规则模板中填写文件保护配置信息，填写完成后以报文的方式发送给服务器105。然后服务器105在收到该报文之后从中提取上述文件保护配置信息，并转换生成ebpf程序的代码。使用规则模板可以降低编写文件保护配置信息的门槛，并提高ebpf程序的生成效率。95.然后在操作s503，将ebpf程序的代码注入到内核空间中。其中，在注入ebpf程序的过程中将ebpf程序与文件保护配置信息中设置的用于文件操作的系统调用hook挂钩。96.图6示意性示出了ebpf程序的代码加载到内核空间的原理图。结合图6，在ebpf程序的代码注入到内核空间中时，先将ebpf程序的代码通过clang编译器或底层虚拟机(low level virtual machine，llvm)编译为字节码，然后可以通过调用服务器105的系统中的ebpf程序加载接口函数(例如：bpf_attach_kprobe()、bpf_prog_load()等函数)，将字节码动态地加载到内核空间，此过程可以是全程热部署，不需要重启服务器105。97.本实施例可以方便非专业的开发人员或运维人员进行自定义的文件保护配置信息的编写，并自动化地向内核空间中注入ebpf程序。98.图7示意性示出了本公开再一实施例的基于ebpf的文件保护方法的流程图。99.如图7所示，根据该实施例的基于ebpf的文件保护方法可以包括操作s1～s7。100.首先在操作s1：运维人员可以在运维终端107的监控管理界面中编辑文件保护配置信息。例如，可以在运维终端107中提供规则模板，方便非专业编程人员通过规则模板来自定义地填写文件保护配置信息。101.接下来在操作s2：以报文的形式转发用户填写的文件保护配置信息。运维终端基于用户填写的文件保护配置信息生成报文，转发至服务器105。102.接下来在操作s3：服务器105根据报文中的文件保护配置信息生成ebpf程序并注入到服务器105的内核空间中。103.接下来在操作s4：当加载到内核空间中的ebpf程序监测到有进程或线程进行文件操作时，触发文件保护ebpf钩子，捕获当前触发的目标系统调用。104.在操作s5：ebpf程序判断该目标系统调用是否为文件写操作。105.在操作s6：如果是文件写操作，则将该目标系统调用中的待写入数据输出至文件特征检测子系统，通过文件特征校验来判别是否为存在威胁的文件数据，并将校验结果反馈至ebpf程序。ebpf程序通过反馈的结果进行判别是否放行该目标系统调用，最终反馈至运维终端107，供运维人员查看。106.在操作s7：如果不是文件写操作，则通过与文件保护配置信息中的禁止访问信息的规则匹配等方式，校验目标系统调用的访问权限是否合法(如是否访问运维人员配置的禁止访问的敏感路径、敏感文件等)，并将结果反馈至运维终端107，供运维人员查看。107.反馈给运维终端107的结果可以包括目标系统调用所属的文件操作类型、所使用的校验方式、校验结果、放行或拦截等信息，方便运维人员根据运维终端107的结果查看ebpf程序运行状态，以及对不合法的文件操作进行监控分析。108.图8示意性示出了根据本公开一实施例的文件保护装置800的方框图。109.如图8所示，根据本公开一实施例的文件保护装置800可以包括监控阻断模块810。根据本公开另一些实施例，该文件保护装置800还可以进一步包括文件特征检测子系统820和/或代码生成和注入模块830。该文件保护装置800可以执行参考前述图2～图7所描述的方法。110.监控阻断模块810为注入到内核空间的ebpf程序，其中，ebpf程序包括文件保护配置信息，其中，在注入ebpf程序的过程中将ebpf程序与文件保护配置信息中设置的用于文件操作的系统调用挂钩。监控阻断模块810用于当触发的目标系统调用为ebpf程序挂钩的系统调用时，根据文件保护配置信息中配置的合法性校验方式，校验目标系统调用的合法性，并在校验目标系统调用合法时放行目标系统调用，而当目标系统调用不合法时，拦截目标系统调用。其中，文件保护配置信息中设置的用于文件操作的系统调用的文件操作类型包括文件写操作和非文件写操作，其中，针对文件写操作和非分件写操作设置有不同的校验方式。111.文件特征检测子系统820用于当目标系统调用属于文件写操作时，接收监控阻断模块810传输的该目标系统调用中的待写入数据，并校验待写入数据的合法性，并将校验结果发送给监控阻断模块810。在一个实施例中，文件特征检测子系统820可以基于待写入数据与高危病毒木马文件库中的数据的文件特征对比，校验待写入数据的合法性。112.代码生成和注入模块830用于：获取用户提供的文件保护配置信息，其中，文件保护配置信息中设置用于文件操作的系统调用的文件操作类型包括文件写操作和非文件写操作，其中，针对文件写操作和非分件写操作设置有不同的校验方式；基于文件保护配置信息，生成ebpf程序的代码；以及将ebpf程序的代码注入到内核空间中。113.图9示意性示出了本公开一实施例的文件保护装置中监控阻断模块810的方框图。114.结合图8和图9，在一实施例中，监控阻断模块810可以包括监控单元811、判断单元812、校验单元813和处理单元814。115.监控单元811用于响应于当前触发的目标系统调用为ebpf程序挂钩的系统调用，通过ebpf程序捕获目标系统调用。在一个实施例中，监控单元811可以执行前文介绍的操作s210。116.判断单元812用于判断目标系统调用所属的文件操作类型。在一个实施例中，判断单元812可以执行前文介绍的操作s220。117.校验单元813用于按照文件保护配置信息中设置的与目标系统调用所属的文件操作类型对应的校验方式，校验目标系统调用的合法性，得到校验结果。118.其中，校验单元813包括文件写操作校验子单元8131和其他文件操作校验子单元8132。119.文件写操作校验子单元8131用于当目标系统调用所属的文件操作类型为文件写操作时，校验目标系统调用中的待写入数据的合法性。在一个实施例中，文件写操作校验子单元8131可以执行前文介绍的操作s231。120.在一个实施例中，文件写操作校验子单元8131用于当目标系统调用所属的文件操作类型为文件写操作时，将ebpf程序将目标系统调用中的待写入数据传输给文件特征检测子系统820。文件特征检测子系统820用于校验待写入数据的合法性，并将校验结果发送给文件写操作校验子单元8131。121.其他文件操作校验子单元8132用于当目标系统调用所属的文件操作类型为非文件写操作时，校验目标系统调用的访问权限的合法性。在一个实施例中，其他文件操作校验子单元8132可以执行前文介绍的操作s232。122.处理单元840用于当校验结果为不合法时，拦截目标系统调用；以及当校验结果为合法时，放行目标系统调用。在一个实施例中，处理单元840可以执行前文介绍的操作s260。123.根据本公开的实施例，监控阻断模块810、文件特征检测子系统820、代码生成和注入模块830、监控单元811、判断单元812、校验单元813和处理单元814中的任意多个模块可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，监控阻断模块810、文件特征检测子系统820、代码生成和注入模块830、监控单元811、判断单元812、校验单元813和处理单元814中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，监控阻断模块810、文件特征检测子系统820、代码生成和注入模块830、监控单元811、判断单元812、校验单元813和处理单元814中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。124.图10示意性示出了应用根据本公开了另一实施例的文件保护装置1000的系统架构。125.如图10所示，该系统架构包括监控管理面板1001、文件保护装置1000和云服务器主机或虚拟机1002。在该系统架构中，文件保护装置1000可以通过监控管理面板1001与运维人员交互。同时，文件保护装置1000可以执行本公开实施例的文件保护方法，用于对云服务器主机或虚拟机1002中的文件数据进行保护。126.监控管理面板1001：可用于运维人员人工配置文件保护配置信息，并且可以查看文件保护装置1000的运行状态以及报警、阻拦恶意文件操作。127.文件保护装置1000：可以根据本公开实施例的基于ebpf的文件保护方法，在操作系统的内核空间监控文件操作，并根据文件保护配置信息对恶意的文件操作行为进行拦截。128.其中，文件保护装置1000包括策略管理子系统1003、文件保护子系统1004和文件特征检测子系统820。129.策略管理子系统1003：用于接收来自监控管理面板1001人工配置的文件保护配置信息，转化为报文，通过远程接口调用，发送至文件保护子系统1004。该策略管理子系统1003可以和监控管理面板1001一起，集成在运维终端107。130.文件保护子系统1004：接收来自策略管理子系统1003的报文，提取其中的文件保护配置信息，然后依照信息转换规则或预定的转换模板生成ebpf程序的代码。再按照上述图6示意的方式，将ebpf程序的代码编译为字节码后，通过ebpf程序加载接口函数动态附加到云服务器主机或虚拟机1002的系统内核空间中，过程中均为热部署，无需重启云服务器主机或虚拟机1002。待ebpf程序加载完成后，若云服务器主机或虚拟机1002中的线程或进程触发被该ebpf程序钩住的系统调用，就会触发ebpf程序中文件保护配置信息中的拦截规则。具体可以是：首先判断所拦截的系统调用是否为文件写操作，如果是则发送至文件特征检测子系统105，通过文件特征的比对进行校验；如果不是，文件写操作(例如：文件读、文件关闭、文件打开)，则进行按照文件保护配置信息中的禁止访问信息进行访问权限的合法性校验，若校验不通过，则被视为危险操作，进行拦截，同时将拦截信息反馈给监控管理面板1001。131.文件特征检测子系统820：如触发文件保护子系统1004对文件写操作类型的系统调用的检测，例如，检测到云服务器主机或虚拟机1002的系统正在执行文件上传或覆盖行为，文件保护子系统1004将用于上传或覆盖的待写入数据先传入文件特征检测子系统820。在文件特征检测子系统820中通过提取待写入数据中的文件特征码等文件特征，然后与高危病毒木马文件库中的文件特征进行比对，识别是否为恶意病毒木马文件。若为恶意病毒木马文件则进行文件抛弃，拒绝写入云服务器主机或虚拟机1002，反之则通知文件保护子系统104放行此次操作，最终将处理结果反馈给监控管理面板1001。132.图11示意性示出了图10所示的文件保护装置1000中策略管理子系统1003的结构框图。133.如图11所示，策略管理子系统1003包括配置信息接收模块301、指令整合和下发模块302和结果接收模块303。134.配置信息接收模块301内置用于编写文件保护配置信息的规则库。运维人员通过监控管理界面1001中的规则模板，自定义配置文件保护配置信息中的规则参数，例如，设置文件名或文件路径，指定某某特定文件或某某特定路径不允许被下载；又例如，还可以关联设置文件名或文件路径、和程序名，来指定如data文件夹下的文件不能被某某黑名单程序读写；再例如，设置所有上传的文件中待写入的数据都需安全检测等。然后生成一套模板化、结构化的文件保护配置信息。135.指令整合和下发模块302将文件保护配置信息转化为具体的报文，其中，报文参数可以包括云服务器主机或虚拟机1002的ip地址和文件保护配置信息。然后通过远程接口调用，将报文发送至文件保护子系统1004。136.结果接收模块303接收文件保护子系统1004反馈的拦截信息以及恶意文件或恶意操作信息，动态显示给监控管理面板1001，供运维人员查看。137.图12示意性示出了图10所示的文件保护装置1000中文件保护子系统1004的结构框图。138.如图12所示，文件保护子系统1004可以包括报文接收模块401、代码生成和注入模块830、监控阻断模块810和结果反馈模块404。139.报文接收模块401负责接收由策略管理子系统1003发送的报文。140.代码生成和注入模块830将接收到的报文中的文件保护配置信息，转换为ebpf程序的代码，并通过如前文图6所示的过程，对ebpf程序的代码进行编译，然后通过云服务器主机或虚拟机1002的系统的ebp程序加载接口函数，自动化的将ebpf程序注入到云主机云服务器主机或虚拟机1002的系统内核中，从而形成监控阻断模块810。141.结果反馈模块404对接结果接收模块303，反馈给运维人员查看文件保护处理结果。142.代码生成和注入模块830的主要作用是将接收到的一套基于规则模板写成的结构化、模板化的文件保护配置信息，转化为具有文件保护功能的ebpf程序，注入至由报文中的ip地址对应的云主机或虚拟机中，如数据库服务器、web服务器或某个云主机或虚拟机中。在一个实施例中，注入过程为调用系统api：“bpf()”函数(例如：bpf_attach_kprobe()、bpf_prog_load()等函数)，设置系统内核空间中的文件操作系统调用(诸如open()、read()、write()、close()等系统文件调用函数)被hook住，以便进行监控143.监控阻断模块820：当ebpf程序注入完毕后，便成为运行于系统内核空间的监控阻断模块820。监控阻断模块820等待线程(或进程)进行文件操作类系统调用时，会触发文件保护ebpf钩子，捕获此次文件操作，然后会依据文件保护配置信息对文件操作进行过滤阻断(例如：检测到访问文件路径若为用户自定义的/dra/路径存放的敏感文件，则不允许访问)；若此次为文件写操作，则会将待写入数据输出至文件特征检测子系统830，待文件特征检测子系统830将文件检测完毕后，将结果回馈给监控阻断模块403。监控阻断模块820的详细介绍可以参考前文介绍，此处不再赘述。144.图13示意性示出了图10所示的文件保护装置1000中文件特征检测子系统820的结构框图。145.如图13所示，文件特征检测子系统820包括文件接收模块501、文件特征对比模块502和对比结果模块503。146.文件接收模块501负责接收监控阻断模块810传入的待写入数据，将待写入数据发送至文件特征对比模块502。147.文件特征对比模块502通过文件特征对比，包括但不限于文件hash值、特定签名、文件结构等方面的特征对比分析，确定待写入数据是否为高危病毒木马文件。148.对比结果模块503将文件特征对比模块502的分析结果反馈至监控阻断模块810。149.本公开实施例的文件保护装置1000，可通过ebpf技术在云服务器主机或虚拟机1002的底层注入自定义的文件保护配置信息，当系统执行到文件操作时，便触发对该文件操作的检测流程，进行文件操作的检查，如判定为恶意文件操作或恶意文件上传，则在云服务器主机或虚拟机1002的内核空间进行拦截抛弃。以此方式，提高了对云服务器主机或虚拟机1002文件操作监控的全面性，并且可以进行实时的敏感高危操作拦截，保障系统稳健性，提升了云服务器主机或虚拟机1002的安全性。150.图14示意性示出了适于实现根据本公开实施例的基于ebpf的文件保护装置的电子设备1400的方框图。151.如图14所示，根据本公开实施例的电子设备1400包括处理器1401，其可以根据存储在只读存储器(rom)1402中的程序或者从存储部分1408加载到随机访问存储器(ram)1403中的程序而执行各种适当的动作和处理。处理器1401例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))等等。处理器1401还可以包括用于缓存用途的板载存储器。处理器1401可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。152.在ram 1403中，存储有电子设备1400操作所需的各种程序和数据。处理器1401、rom 1402以及ram 1403通过总线1404彼此相连。处理器1401通过执行rom 1402和/或ram 1403中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom 1402和ram 1403以外的一个或多个存储器中。处理器1401也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。153.根据本公开的实施例，电子设备1400还可以包括输入/输出(i/o)接口1405，输入/输出(i/o)接口1405也连接至总线1404。电子设备1400还可以包括连接至i/o接口1405的以下部件中的一项或多项：包括键盘、鼠标等的输入部分1406；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分1407；包括硬盘等的存储部分1408；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分1409。通信部分1409经由诸如因特网的网络执行通信处理。驱动器1410也根据需要连接至i/o接口1405。可拆卸介质1411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1410上，以便于从其上读出的计算机程序根据需要被安装入存储部分1408。154.本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。155.根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom 1402和/或ram 1403和/或rom 1402和ram 1403以外的一个或多个存储器。156.本公开的实施例还包括一种计算机程序产品，其包括计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，该程序代码用于使计算机系统实现本公开实施例所提供的方法。157.在该计算机程序被处理器1401执行时执行本公开实施例的系统/装置中限定的上述功能。根据本公开的实施例，上文描述的系统、装置、模块、单元等可以通过计算机程序模块来实现。158.在一种实施例中，该计算机程序可以依托于光存储器件、磁存储器件等有形存储介质。在另一种实施例中，该计算机程序也可以在网络介质上以信号的形式进行传输、分发，并通过通信部分1409被下载和安装，和/或从可拆卸介质1411被安装。该计算机程序包含的程序代码可以用任何适当的网络介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。159.在这样的实施例中，该计算机程序可以通过通信部分1409从网络上被下载和安装，和/或从可拆卸介质1411被安装。在该计算机程序被处理器1401执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。160.根据本公开的实施例，可以以一种或多种程序设计语言的任意组合来编写用于执行本公开实施例提供的计算机程序的程序代码，具体地，可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。程序设计语言包括但不限于诸如java，c++，python，“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。161.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。162.本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。163.以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。









图片声明：本站部分配图来自人工智能系统AI生成,觅知网授权图片,PxHere摄影无版权图库。本站只作为美观性配图使用,无任何非法侵犯第三方意图,一切解释权归图片著作权方,本站不承担任何责任。如有恶意碰瓷者,必当奉陪到底严惩不贷!




内容声明：本文中引用的各种信息及资料（包括但不限于文字、数据、图表及超链接等）均来源于该信息及资料的相关主体（包括但不限于公司、媒体、协会等机构）的官方网站或公开发表的信息。部分内容参考包括:(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供参考使用,不准确地方联系删除处理！本站为非盈利性质站点,发布内容不收取任何费用也不接任何广告!




免责声明：我们致力于保护作者版权，注重分享，被刊用文章因无法核实真实出处，未能及时与作者取得联系，或有版权异议的，请联系管理员，我们会立即处理，本文部分文字与图片资源来自于网络，部分文章是来自自研大数据AI进行生成,内容摘自(百度百科,百度知道,头条百科,中国民法典,刑法,牛津词典,新华词典,汉语词典,国家院校,科普平台)等数据,内容仅供学习参考,不准确地方联系删除处理!的,若有来源标注错误或侵犯了您的合法权益，请立即通知我们，情况属实，我们会第一时间予以删除，并同时向您表示歉意,谢谢!