一种基于eBPF技术的容器行为监控的方法及系统与流程

本发明涉及计算机和网络安全防御，尤其是一种基于ebpf技术的容器行为监控的方法及系统。

背景技术：

1、现有技术主要通过在容器中安装监控探针来实现对容器中的行为监控，每一个容器中都安置一个监控探针，这些探针会记录容器中的命令执行、文件操作、网络操作等并通过网络将相关的日志消息发送给宿主机的管理组件，由管理组件进行日志分析从而具备监控所有容器行为的能力。

2、现有技术的实现缺点主要在于部署的成本很高，每增加一个容器都需要部署一个探针，非常冗余，且探针本身也会有被恶意攻击者终止的风险，一旦探针被攻击者恶意终止，这将无法保障恶意行为监控能力的稳定运行。

3、并且该方案随着容器的增加探针发送的数据就会非常庞大，给下游日志解析极大的增加了负担，也给网络通信增加了压力。

技术实现思路

1、针对现有技术存在的问题，本发明的目的在于基于ebpf实现多容器行为监控，降低部署成本，用户可以自定义规则实现灵活的监控想要监控的容器行为，精准锁定恶意入侵者的攻击，并且支持处理海量的日志数据。

2、为实现上述目的，本发明提供一种基于ebpf技术的容器行为监控的方法，所述方法包括以下步骤：

3、s1.基于ebpf技术挂载在系统调用事件上，监控系统调用事件的产生，并记录事件的行为信息；

4、s2.根据解析规则对事件的行为信息进行规则解析以判断是否属于危险行为；

5、s3.若判断属于危险行为则判断执行策略是否为告警；若判断不属于危险行为则丢弃所述行为信息；

6、s4.若判断执行策略为告警，则将当前事件的行为信息发送给日志告警组件进行告警。

7、进一步，步骤s1中，包括以下子步骤：

8、s101.通过规则组件在规则数据库中构建系统调用监控策略表，在系统调用监控策略表中配置需要监控的系统调用以及执行的策略；

9、s102.通过规则组件在规则数据库中构建系统调用参数表，以便探测组件获取系统调用传入的参数值；

10、s103.规则组件将规则下发给探测组件，探测组件通过ebpf完成系统调用事件的挂载；

11、s104.当相关的系统调用产生时，挂载的探测组件程序会被调用执行，该程序会将捕获到的事件的行为信息传递给过滤组件。

12、进一步，捕获事件的行为信息包括系统调用名称、系统调用的参数序号、系统调用的参数名、系统调用的参数类型和系统调用的参数值。

13、进一步，步骤s2中包括以下子步骤：

14、s201.过滤组件接收到捕获信息表的信息之后，将系统调用名称传递给规则组件；

15、s202.规则组件将基于捕获到的系统调用名称与数据库进行匹配，若匹配成功，则判断为危险行为，若匹配不成功则判断为非危险行为，返回匹配失败，过滤组件丢弃当前捕获的信息。

16、进一步，所述方法通过基于ebpf实现的syscall监控，容器技术采用共用的宿主机内核，使得部署一份监控系统能够同时监控宿主机上的所有容器。

17、另一方面，本发明提供一种基于ebpf技术的容器行为监控的系统，所述系统包括监控引擎，监控引擎的主要组成部分为探测组件、过滤组件、规则管理组件和日志告警组件，所述系统用于实现根据权利要求1-5任一项所述的基于ebpf技术的容器行为监控的方法。

18、进一步，所述探测组件用于监控系统调用事件的产生，并将该行为记录下来发送给过滤组件；其工作原理在于基于ebpf实现挂载在要监控的系统调用事件上，当攻击者在容器中发起系统调用时，触发ebpf挂载的事件，在该事件上执行探测组件挂载的逻辑，记录下该行为，并将该信息发送给过滤组件。

19、进一步，过滤组件用于接收探测组件发送的消息并调用规则组件提供的解析规则接口完成规则的解析以决定是否要将当前事件发送给日志告警组件；其基于规则组件提供的过滤规则完成日志告警的过滤，并按照规则中定义好的行为触发事件告警，由日志告警模块统一发送告警消息。

20、进一步，规则管理组件用于存储和解析规则文件，并向过滤组件提供规则匹配的接口；规则组件集成了一套自己的存储规则的文件格式和解析引擎，这些规则可以用来描述如何对待各种各样的系统调用发生时的处理方式。

21、进一步，日志告警组件用于对用户开放告警接口完成告警日志的发送。

22、本发明的有益效果在于：本发明的技术是基于ebpf实现的系统调用事件监控，能实现部署一份监控系统同时监控并区分宿主机上的所有容器中的恶意行为，而不需要在每一个容器上安装探针，极大的降低了部署的成本，简化了部署的步骤；

23、由于搭配了完善的规则引擎，用户可以自定义规则实现灵活的监控想要监控的容器行为，精准锁定恶意入侵者的攻击；

24、日志告警组件适配所有的标准通信方式，并且支持处理海量的日志数据。

技术特征：

1.一种基于ebpf技术的容器行为监控的方法，其特征在于，所述方法包括以下步骤：

2.根据权利要求1所述的一种基于ebpf技术的容器行为监控的方法，其特征在于，步骤s1中，包括以下子步骤：

3.根据权利要求2所述的一种基于ebpf技术的容器行为监控的方法，其特征在于，捕获事件的行为信息包括系统调用名称、系统调用的参数序号、系统调用的参数名、系统调用的参数类型和系统调用的参数值、执行进程的上下文信息；所述执行进程的上下文信息包括进程pid、进程名称、父进程pid和进程命名空间id信息。

4.根据权利要求1所述的一种基于ebpf技术的容器行为监控的方法，其特征在于，步骤s2中包括以下子步骤：

5.根据权利要求1所述的一种基于ebpf技术的容器行为监控的方法，其特征在于，所述方法通过基于ebpf实现的syscall监控，容器技术采用共用的宿主机内核，使得部署一份监控系统能够同时监控宿主机上的所有容器。

6.一种基于ebpf技术的容器行为监控的系统，其特征在于，所述系统包括监控引擎，监控引擎的主要组成部分为探测组件、过滤组件、规则管理组件和日志告警组件，所述系统用于实现根据权利要求1-5任一项所述的基于ebpf技术的容器行为监控的方法。

7.根据权利要求6所述的一种基于ebpf技术的容器行为监控的系统，其特征在于，所述探测组件用于监控系统调用事件的产生，并将该行为记录下来发送给过滤组件；其工作原理在于基于ebpf实现挂载在要监控的系统调用事件上，当攻击者在容器中发起系统调用时，触发ebpf挂载的事件，在该事件上执行探测组件挂载的逻辑，记录下该行为，并将该信息发送给过滤组件。

8.根据权利要求6所述的一种基于ebpf技术的容器行为监控的系统，其特征在于，过滤组件用于接收探测组件发送的消息并调用规则组件提供的解析规则接口完成规则的解析以决定是否要将当前事件发送给日志告警组件；其基于规则组件提供的过滤规则完成日志告警的过滤，并按照规则中定义好的行为触发事件告警，由日志告警模块统一发送告警消息。

9.根据权利要求6所述的一种基于ebpf技术的容器行为监控的系统，其特征在于，规则管理组件用于存储和解析规则文件，并向过滤组件提供规则匹配的接口；规则组件集成了一套自己的存储规则的文件格式和解析引擎，这些规则可以用来描述如何对待各种各样的系统调用发生时的处理方式。

10.根据权利要求6所述的一种基于ebpf技术的容器行为监控的系统，其特征在于，日志告警组件用于对用户开放告警接口完成告警日志的发送。

技术总结
本发明公开了一种基于eBPF技术的容器行为监控的方法及系统，所述方法包括以下步骤：S1.基于eBPF技术挂载在系统调用事件上，监控系统调用事件的产生，并记录事件的行为信息；S2.根据解析规则对事件的行为信息进行规则解析以判断是否属于危险行为；S3.若判断属于危险行为则判断执行策略是否为告警；若判断不属于危险行为则丢弃所述行为信息；S4.若判断执行策略为告警，则将当前事件的行为信息发送给日志告警组件进行告警。本发明基于eBPF实现多容器行为监控，降低部署成本，用户可以自定义规则实现灵活的监控想要监控的容器行为，精准锁定恶意入侵者的攻击，并且支持处理海量的日志数据。

技术研发人员：吴凯涛,董阳,白宇星
受保护的技术使用者：宁波如磐科技有限公司
技术研发日：
技术公布日：2024/3/27