买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：江苏润和软件股份有限公司

摘要：本发明提供了一种基于eBPF技术的动态终端系统网络防护的方法，其特征在于，包括服务端策略管理程序和在终端设备安装网络防护应用，通过防护应用和服务端交互，通过服务端下发设备动态终端系统网络防护策略，防护应用根据策略在设备上运行、保护终端设备安全；其中所述服务端策略管理程序包括：策略管理模块和安全告警查看模块和终端管理模块，所述防护应用包括：策略配置模块、进程监控模块、网络监控模块、数据传输监控模块和行为检测模块；本发明通过动态更新策略，可以及时的调整检查策略，针对一些突发的安全事件可以及时的响应，提高设备安全性，通过服务端远程管理设备的安全策略，减少运维人员的终端的设置工作量，从而提升运维效率。

主权项：1.一种基于eBPF技术的动态终端系统网络的防护方法，其特征在于，包括服务端策略管理程序和在终端设备安装网络防护应用，通过防护应用和服务端交互，通过服务端下发设备动态终端系统网络防护策略，防护应用根据策略在设备上运行、保护终端设备安全；其中所述服务端策略管理程序包括：策略管理模块、安全告警查看模块和终端管理模块，所述防护应用包括：策略配置模块、进程监控模块、网络监控模块、数据传输监控模块和行为检测模块；服务端策略管理程序和终端设备之间数据交互包括：安全策略下发、安全事件上报；具体包括如下步骤：步骤1：系统由服务端策略管理程序和终端设备上的客户端程序组成，服务端策略管理程序和终端设备分别安装基础运行时,应用打包会将涉及的所有模块打包成为一个全量的安装包，包括这些模块需要的能力的描述信息，供平台安装时使用；步骤2：服务端策略管理程序：一个BS架构的服务端程序，管理者通过浏览器登录，后进行管理；步骤3：服务端策略管理程序包含以下模块：策略管理模块：系统管理人员用来给终端设备配置策略；安全告警查看模块：用来查看各个终端设备上报的安全事件信息，包括违规进程开启，非法ip和port访问，流量异常告警；终端管理模块：管理系统中的终端设备的基础信息包括：接入鉴权，安全策略激活关闭；步骤4：管理员登录服务端策略管理程序后先通过终端管理模块配置设备基础信息，然后通过策略管理模块配置进程控制规则、网络ip、端口白名单、流量控制规则策略信息；其中进程控制规则具体包括以下内容：规则动作：禁止（not）,允许（allow）进程名字符串列表，["proc_name_1","proc_name_2","proc_name_3"]实例如下：禁止程序"proc_name_1","proc_name_2","proc_name_3"执行not["proc_name_1","proc_name_2","proc_name_3"]允许程序ABC执行allow["ABC"]如程序没有设置控制规则，则允许执行，并上报安全事件给服务端策略管理程序，其中流量控制规则具体包括以下内容：规则动作：禁止（not）,允许（allow），限制访问流量（limit）规则方向：入站（in），出站（out）Ip范围：网段net10.20.0.016，Ip地址10.20.1.10，端口范围：端口段portrange133-135，具体端口port8080，如不设置表示所有端口；实例如下：禁止某网段访问终端设备notinnet10.20.0.016允许设备访问某Ipallowout10.20.1.10限制与某Ip出站流量每秒不超过10M，如超过将抛弃数据包limitout10.20.1.10port808010Ms；步骤5：客户端程序安装启动后，根据安装包中的配置信息连接服务端策略管理程序；步骤6：客户端程序通过Https双向认证方式通信，获取服务端策略管理程序中配置的策略；步骤7：解析配置文件中进程监控规则，通过eBPF设置内核探针，截获进程启动事件；步骤8：解析配置文件中网络监控规则，通过eBPF的XDP模块添加内核网络层的数据监听程序；步骤9：解析配置文件中数据传输监控规则，通过eBPF的TC模块模加内核网络层的数据监听程序；步骤10：客户端程序在根据上面步骤7到步骤9设置解析配置规则时也会调用对应的行为检测模块注册相对应的eBPF程序，同时把规则配置信息设置到bpf_map中方便内核态的eBPF程序运行时获取客户端程序在用户态设置的配置信息，从而在内核态通过eBPF检查当前数据是否符合用户态设置的规则；步骤11：当eBPF监听收到系统创建进程的探针回调时，获取创建的进程名称，查询进程名是否存在于bpf_map中禁止启动的进程名列表中，如果存在中断进程启动，并通过bpf_perf_event发送安全告警事件给行为检测模块；步骤12：当eBPF的XDP模块的数据监听程序收到回调时，通过解析出网络来源地ip、port以及目的地ip、port，结合bpf_map中设置的规则判断是否允许数据包通过，如不符合规则通过bpf_perf_event发送安全告警事件给行为检测模块；步骤13：当eBPF的TC模块的数据监听程序收到回调时，通过回调的数据对象获取网络数据包信息：来源地ip、port，目的地ip、port，数据传输内容，分别根据目的地或者来源地信息统计网络流量，当网络流量达到设置的限额时，开始丢弃数据包，并通过bpf_perf_event发送安全告警事件给行为检测模块；步骤14：当客户端程序的行为检测模块收到eBPF程序通过bpf_perf_event发送的安全告警事件后，通过Https发送到服务端策略管理程序的安全告警查看模块；步骤15：系统管理员可以通过浏览器登录服务端策略管理程序，通过安全告警查看模块查看设备的安全报警信息；步骤16：系统管理根据安全告警信息反馈的安全问题，通过安全策略配置模块修改设备的安全规则；步骤17：当终端设备的安全策略被修改后，将查询设备基础信息中配置的终端设备客户端程序对应的ip和port，通过TCP协议发送json格式的配置信息给终端程序；步骤18：设备端收到下发的配置信息后将执行上述步骤7到步骤9的过程。

全文数据：

权利要求：

百度查询： 江苏润和软件股份有限公司 一种基于eBPF技术的动态终端系统网络防护的方法