本申請實(shí)施例涉及但不限于網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及一種入侵防御方法、管理單元、系統(tǒng)和存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、隨著云計(jì)算、虛擬化技術(shù)的廣泛應(yīng)用，以及數(shù)據(jù)中心、電信網(wǎng)元等分布式系統(tǒng)結(jié)構(gòu)日趨復(fù)雜，以及各種新型的網(wǎng)絡(luò)攻擊方式層出不窮，對入侵檢測技術(shù)提出了更高的要求，包括更低的攻擊誤判率，更快的響應(yīng)速度、更少的風(fēng)險(xiǎn)損失等。但是相關(guān)技術(shù)中，入侵檢測技術(shù)大多基于事后風(fēng)險(xiǎn)緩解，無法對攻擊進(jìn)行即時(shí)阻斷且無法適應(yīng)差異化的環(huán)境，因此，亟需一種入侵防御的方法能即時(shí)阻斷攻擊和提升維護(hù)和部署的便利性。

技術(shù)實(shí)現(xiàn)思路

1、以下是對本文詳細(xì)描述的主題的概述。本概述并非是為了限制權(quán)利要求的保護(hù)范圍。

2、本申請實(shí)施例提供了一種入侵防御方法、管理單元、系統(tǒng)和存儲(chǔ)介質(zhì)，能夠即時(shí)阻斷攻擊和提升維護(hù)和部署的便利性。

3、第一方面，根據(jù)本申請實(shí)施例提供的入侵防御方法，包括：

4、采集內(nèi)核中待跟蹤資產(chǎn)對象對應(yīng)的上下文運(yùn)行數(shù)據(jù)，并對所述上下文運(yùn)行數(shù)據(jù)進(jìn)行安全管理，得到所述待跟蹤資產(chǎn)對象對應(yīng)的第一目標(biāo)安全控制策略；

5、將所述第一目標(biāo)安全控制策略對應(yīng)的第一目標(biāo)bpf字節(jié)碼掛載在linux安全模塊中，以通過所述linux安全模塊對目標(biāo)資產(chǎn)對象進(jìn)行監(jiān)控防御。

6、第二方面，根據(jù)本申請實(shí)施例提供的入侵防御方法，包括：

7、響應(yīng)于安全策略配置請求，從所述安全策略配置請求中提取出第二目標(biāo)安全控制策略；

8、對所述第二目標(biāo)安全控制策略進(jìn)行策略校驗(yàn)，以確定是否與預(yù)設(shè)的存儲(chǔ)位置中記錄的安全控制策略沖突；

9、當(dāng)策略校驗(yàn)通過，將所述第二目標(biāo)安全控制策略保存在所述存儲(chǔ)位置；

10、在所述第二目標(biāo)安全控制策略激活時(shí)，將所述第二目標(biāo)安全控制策略對應(yīng)的第二目標(biāo)bpf字節(jié)碼掛載在linux安全模塊中。

11、第三方面，本申請實(shí)施例還提供了入侵防御管理單元，包括：

12、一個(gè)或多個(gè)處理器；

13、存儲(chǔ)器，其上存儲(chǔ)有一個(gè)或多個(gè)程序，當(dāng)所述一個(gè)或多個(gè)程序被所述一個(gè)或多個(gè)處理器執(zhí)行，使得所述一個(gè)或多個(gè)處理器實(shí)現(xiàn)：

14、如第一方面任一所述的入侵防御方法；

15、或，

16、如第二方面任一所述的入侵防御方法。

17、第四方面，本申請實(shí)施例還提供了入侵防御管理系統(tǒng)，包括：

18、內(nèi)核；

19、入侵防御管理單元，所述入侵防御管理單元通過執(zhí)行如第一方面或第二方面所述的方法對目標(biāo)資產(chǎn)對象進(jìn)行監(jiān)控防御處理；

20、管理平臺，所述管理平臺用于與所述入侵防御管理單元進(jìn)行交互，以維護(hù)和管理所述入侵防御管理單元。

21、第五方面，本申請實(shí)施例還提供了一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)：

22、如第一方面任一所述的入侵防御方法；

23、或，

24、如第二方面任一所述的入侵防御方法。

25、本申請實(shí)施例通過linux安全模塊加載目標(biāo)bpf字節(jié)碼，以在內(nèi)核中實(shí)時(shí)監(jiān)控內(nèi)核的行為，進(jìn)而可以實(shí)現(xiàn)對應(yīng)用行為的及時(shí)阻斷。同時(shí)，由于目標(biāo)bpf字節(jié)碼是應(yīng)用于內(nèi)核，與防御的負(fù)載的形態(tài)無關(guān)，而目標(biāo)安全控制策略為用戶面的安全控制策略。因此，實(shí)際部署時(shí)，僅需考慮不同平臺下目標(biāo)安全控制策略在用戶層面的適配，部署和維護(hù)更為簡單。因此，和相關(guān)技術(shù)相比，本申請實(shí)施例能夠即時(shí)阻斷攻擊和提升維護(hù)和部署的便利性。

技術(shù)特征：

1.一種入侵防御方法，所述方法包括以下步驟：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，對所述上下文運(yùn)行數(shù)據(jù)進(jìn)行安全管理，得到所述待跟蹤資產(chǎn)對象對應(yīng)的第一目標(biāo)安全控制策略，包括：

3.根據(jù)權(quán)利要求2所述的入侵防御方法，其特征在于，在所述根據(jù)所述用戶意圖，從所述候選安全控制策略中確定第一目標(biāo)安全控制策略之前，所述方法還包括：

4.根據(jù)權(quán)利要求3所述的入侵防御方法，其特征在于，所述第一目標(biāo)bpf字節(jié)碼通過如下步驟獲?。?/p>

5.根據(jù)權(quán)利要求2所述的入侵防御方法，其特征在于，所述候選安全控制策略包括候選進(jìn)程控制策略、候選文件控制策略和候選網(wǎng)絡(luò)訪問控制策略至少之一；所述上下文運(yùn)行數(shù)據(jù)包括進(jìn)程上下文數(shù)據(jù)、網(wǎng)絡(luò)上下文數(shù)據(jù)和文件上下文數(shù)據(jù)至少之一；所述根據(jù)所述上下文運(yùn)行數(shù)據(jù)和安全管理規(guī)則，得到所述待跟蹤資產(chǎn)對象對應(yīng)的候選安全控制策略；至少包括如下之一：

6.根據(jù)權(quán)利要求5所述的入侵防御方法，其特征在于，所述執(zhí)行權(quán)限包括允許權(quán)限、阻止權(quán)限及審計(jì)權(quán)限；所述允許權(quán)限表示放行當(dāng)前訪問行為，所述阻止權(quán)限表示阻斷當(dāng)前訪問行為，所述審計(jì)權(quán)限表示上報(bào)當(dāng)前訪問行為的違例信息。

7.根據(jù)權(quán)利要求5所述的入侵防御方法，其特征在于，所述進(jìn)程安全過濾條件包括進(jìn)程參數(shù)以及正則表達(dá)使能參數(shù)；所述文件安全過濾條件包括文件參數(shù)以及正則表達(dá)使能參數(shù)；所述網(wǎng)絡(luò)安全訪問過濾條件包括網(wǎng)絡(luò)參數(shù)以及正則表達(dá)使能參數(shù)。

8.根據(jù)權(quán)利要求1所述的入侵防御方法，其特征在于，所述待跟蹤資產(chǎn)對象包括第一進(jìn)程、第一文件和網(wǎng)絡(luò)行為；所述采集內(nèi)核中待跟蹤資產(chǎn)對象對應(yīng)的上下文運(yùn)行數(shù)據(jù)，包括：

9.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述上下文運(yùn)行數(shù)據(jù)通過如下步驟采集得到：

10.一種入侵防御方法，所述方法包括以下步驟：

11.根據(jù)權(quán)利要求10所述的入侵防御方法，其特征在于，所述響應(yīng)于安全策略配置請求，從所述安全策略配置請求中提取出第二目標(biāo)安全控制策略，包括：

12.根據(jù)權(quán)利要求10所述的入侵防御方法，其特征在于，所述在所述第二目標(biāo)安全控制策略激活時(shí)，將所述第二目標(biāo)安全控制策略對應(yīng)的第二目標(biāo)bpf字節(jié)碼掛載在所述linux安全模塊中，包括：

13.根據(jù)權(quán)利要求10所述的入侵防御方法，其特征在于，所述方法還包括：

14.一種入侵防御管理單元，包括：

15.一種入侵防御管理系統(tǒng)，包括：

16.根據(jù)權(quán)利要求15所述的入侵防御管理系統(tǒng)，其特征在于，所述入侵防御管理單元包括：

17.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，所述程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)：

技術(shù)總結(jié)
本申請?zhí)峁┝艘环N入侵防御方法、管理單元、系統(tǒng)和存儲(chǔ)介質(zhì)，涉及網(wǎng)絡(luò)安全領(lǐng)域，方法包括采集內(nèi)核中待跟蹤資產(chǎn)對象對應(yīng)的上下文運(yùn)行數(shù)據(jù)，并對上下文運(yùn)行數(shù)據(jù)進(jìn)行安全管理，得到待跟蹤資產(chǎn)對象對應(yīng)的第一目標(biāo)安全控制策略；將第一目標(biāo)安全控制策略對應(yīng)的第一目標(biāo)BPF字節(jié)碼掛載在Linux安全模塊中，以通過Linux安全模塊對目標(biāo)資產(chǎn)對象進(jìn)行監(jiān)控防御?；蛘唔憫?yīng)于安全策略配置請求，從安全策略配置請求中提取出第二目標(biāo)安全控制策略；在第二目標(biāo)安全控制策略激活時(shí)，將第二目標(biāo)安全控制策略對應(yīng)的第二目標(biāo)BPF字節(jié)碼掛載在Linux安全模塊中。因此，通過上述入侵防御方法，本申請實(shí)施例能夠即時(shí)阻斷攻擊和提升維護(hù)和部署的便利性。

技術(shù)研發(fā)人員：侯芳,董路明
受保護(hù)的技術(shù)使用者：中興通訊股份有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/6/30