CN115544509A - 进程安全检测方法、装置、电子设备及存储介质 - Google Patents

进程安全检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115544509A
CN115544509A CN202211379916.3A CN202211379916A CN115544509A CN 115544509 A CN115544509 A CN 115544509A CN 202211379916 A CN202211379916 A CN 202211379916A CN 115544509 A CN115544509 A CN 115544509A
Authority
CN
China
Prior art keywords
information
target
target process
module
ebpf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211379916.3A
Other languages
English (en)
Inventor
郭雪松
熊子晗
陈军
陈大北
冯远
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202211379916.3A priority Critical patent/CN115544509A/zh
Publication of CN115544509A publication Critical patent/CN115544509A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)

Abstract

本公开提供了一种进程安全检测方法、装置、电子设备及存储介质,涉及云计算技术领域。该方法包括:当接收到目标进程的进程创建指令时,通过eBPF模块获取目标进程的进程信息;通过eBPF模块确定进程白名单中是否包含目标进程的进程信息;当进程白名单中不包含目标进程的进程信息时,通过eBPF模块确定预备名单中是否包含目标进程的进程信息;当预备名单中包含目标进程的进程信息时,创建目标进程。因此,本公开可以适应云平台敏捷高效部署的特点,安全检测的效率较高,可以有效增加了安全防护能力,确保云上相关业务的执行。

Description

进程安全检测方法、装置、电子设备及存储介质
技术领域
本公开涉及云计算技术领域,尤其涉及一种进程安全检测方法、装置、电子设备及存储介质。
背景技术
随着云计算技术的发展,越来越多的用户将业务部署在云平台内。并且,用户希望对云平台内的业务进行监控,保障业务的安全运行。因此,需要对业务的各个进程进行安全检测。
在相关技术中,可以通过采集电子设备上的进程信息计算该进程的异常得分,判定是否为恶意进程。
但是,这种在传统物理设备上的检测方法效率慢无法适应云上容器灵活快捷的特点,且计算异常得分的准确性较低。因此,目前亟需一种可以对云平台中各个进程进行安全检测的方法,有效增加了云上的安全防护能力,确保云上相关业务的执行。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开提供一种进程安全检测方法、装置、电子设备及存储介质,至少在一定程度上克服相关技术效率慢无法适应云上容器灵活快捷的特点,且检测准确性较低的问题。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的一个方面,提供一种进程安全检测方法,该方法由宿主机执行,所述宿主机中包括:预置的eBPF(Extended Berkeley Packet Filter,扩展的伯克利包过滤器)模块以及预设的进程白名单与预备名单,其中,所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息;
该方法包括:当接收到目标进程的进程创建指令时,通过所述eBPF模块获取所述目标进程的进程信息;通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息;当所述进程白名单中不包含所述目标进程的进程信息时,通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息;当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程。
在本公开的一些实施例中,当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程,包括:当所述预备名单中包含所述目标进程的进程信息时,通过所述eBPF模块检测所述目标进程是否为恶意进程;当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述进程白名单,创建所述目标进程。
在本公开的一些实施例中,本公开实施例提供的进程安全检测方法还包括:当所述预备名单中不包含所述目标进程的进程信息时,通过所述eBPF模块判断所述目标进程是否为恶意进程;当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述预备名单,创建所述目标进程。
在本公开的一些实施例中,本公开实施例提供的进程安全检测方法还包括:当所述进程白名单中包含所述目标进程的进程信息时,创建所述目标进程。
在本公开的一些实施例中,目标进程的进程信息包括:进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程***调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
在本公开的一些实施例中,宿主机中的eBPF模块运行在虚拟机或容器中,本公开实施例提供的进程安全检测方法还包括:确定所述eBPF模块的相关程序,将所述eBPF模块的相关程序载入内核;通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析,得到所述eBPF模块,所述eBPF模块中包括至少一个插桩点,所述插桩点用于对所述目标进程的进程信息进行获取与检测。
在本公开的一些实施例中,所述宿主机中的eBPF模块运行在容器中,本公开实施例提供的进程安全检测方法还包括:将所述进程白名单与所述预备名单存储在eBPF Maps键值结构中;将所述eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包,得到镜像文件,所述镜像文件用于创建与运行所述目标进程。
在本公开的一些实施例中,eBPF模块运行在容器中,所述创建所述目标进程之后,本公开实施例提供的进程安全检测方法还包括:通过所述eBPF模块对进入容器的流量进行过滤;将过滤后的流量发送至流量分析节点,得到流量分析结果;当所述流量分析结果指示存在与所述目标进程相关的恶意网络流量时,停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
在本公开的一些实施例中,创建所述目标进程之后,本公开实施例提供的进程安全检测方法还包括:获取所述目标进程的***调用信息;通过所述eBPF模块判断所述目标进程的***调用信息是否超出所述进程白名单中允许的***调用限制范围;若超出,则停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
根据本公开的另一个方面,提供一种进程安全检测装置,应用于宿主机,所述宿主机中包括:预置的eBPF模块以及预设的进程白名单与预备名单,其中,所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息;
该装置包括:
进程信息获取模块,用于当接收到目标进程的进程创建指令时,通过所述eBPF模块获取所述目标进程的进程信息;
进程白名单确定模块,用于通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息;
预备名单确定模块,用于当所述进程白名单中不包含所述目标进程的进程信息时,通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息;
目标进程创建模块,用于当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程。
在本公开的一些实施例中,目标进程创建模块,用于当所述预备名单中包含所述目标进程的进程信息时,通过所述eBPF模块检测所述目标进程是否为恶意进程;当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述进程白名单,创建所述目标进程。
在本公开的一些实施例中,本公开实施例提供的进程安全检测装置还包括:
恶意进程检测模块,用于当所述预备名单中不包含所述目标进程的进程信息时,通过所述eBPF模块判断所述目标进程是否为恶意进程;
目标进程创建模块,用于当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述预备名单,创建所述目标进程。
在本公开的一些实施例中,目标进程创建模块,用于当所述进程白名单中包含所述目标进程的进程信息时,创建所述目标进程。
在本公开的一些实施例中,目标进程的进程信息包括:进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程***调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
在本公开的一些实施例中,宿主机中的eBPF模块运行在虚拟机或容器中,本公开实施例提供的进程安全检测装置还包括:
程序载入模块,用于确定所述eBPF模块的相关程序,将所述eBPF模块的相关程序载入内核;
eBPF模块确定模块,用于通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析,得到所述eBPF模块,所述eBPF模块中包括至少一个插桩点,所述插桩点用于对所述目标进程的进程信息进行获取与检测。
在本公开的一些实施例中,宿主机中的eBPF模块运行在容器中,本公开实施例提供的进程安全检测装置还包括:
名单存储模块,用于将所述进程白名单与所述预备名单存储在eBPF Maps键值结构中;
镜像文件确定模块,用于将所述eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包,得到镜像文件,所述镜像文件用于创建与运行所述目标进程。
在本公开的一些实施例中,eBPF模块运行在容器中,本公开实施例提供的进程安全检测装置还包括:
流量过滤模块,用于通过所述eBPF模块对进入容器的流量进行过滤;
流量分析模块,用于将过滤后的流量发送至流量分析节点,得到流量分析结果;
目标进程停止模块,用于当所述流量分析结果指示存在与所述目标进程相关的恶意网络流量时,停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
在本公开的一些实施例中,本公开实施例提供的进程安全检测装置还包括:
***调用信息获取模块,用于获取所述目标进程的***调用信息;
***调用限制范围确定模块,用于通过所述eBPF模块判断所述目标进程的***调用信息是否超出所述进程白名单中允许的***调用限制范围;
目标进程停止模块,用于若超出,则停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储该处理器的可执行指令;其中,该处理器配置为经由执行该可执行指令来执行上述的进程安全检测方法。
根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的进程安全检测方法。
根据本公开的另一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行本公开任一实施例中的各种可选方式中提供的进程安全检测方法。
本公开的实施例所提供的技术方案,可以通过eBPF模块来获取目标进程的进程信息,并通过预设的进程白名单与预备名单来对需要进行创建的目标进程进行安全检测。因此,本公开的安全检测的效率较高,可以有效增加了安全防护能力,确保云上相关业务的执行。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本公开实施例中一种进程安全检测方法的实施环境的示意图;
图2示出本公开实施例中一种进程安全检测方法的流程图;
图3示出本公开实施例中一种eBPF工作机制的示意图;
图4示出本公开实施例中一种创建目标进程的过程示意图;
图5示出本公开实施例中一种进程安全检测的过程示意图;
图6示出本公开实施例中一种进程安全检测装置示意图;
图7示出本公开实施例中一种电子设备的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
图1示出了本公开实施例提供的一种进程安全检测方法的实施环境的示意图。
如图1所示,进程安全检测方法的实施环境可以包括终端设备101和宿主机102。
示例性地,终端设备101可以向宿主机102发送目标进程的进程创建指令。之后,该宿主机102可以对该目标进程的进程创建指令进行接收,并根据本公开实施例提供的进程安全检测方法对目标进程进行检测。
其中,终端设备101和宿主机102之间可以通过网络进行通信示例性地,该网络可以是有线网络,也可以是无线网络。
可选地,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark-up Language,HTML)、可扩展标记语言(ExtensibleMarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(Internet ProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
终端设备101可以是各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机、台式计算机、可穿戴设备、增强现实设备、虚拟现实设备等。
可选地,不同的终端设备101中可以安装有相同的应用程序的客户端,或安装有基于不同操作***的同一类型应用程序的客户端。基于终端平台的不同,该应用程序的客户端的具体形态也可以不同,比如,该应用程序客户端可以是手机客户端、PC客户端等。
宿主机102可以为服务器。示例性地,该服务器可以是提供各种服务的服务器,例如对用户利用终端设备101所进行操作的装置提供支持的后台管理服务器。后台管理服务器可以对接收到的请求等数据进行分析等处理,并将处理结果反馈给终端设备101。
可选地,服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(Content Delivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
本领域技术人员可以知晓,图1中的终端设备101和宿主机102的数量仅仅是示意性的,根据实际需要,可以具有任意数目的终端设备101和宿主机102,本公开实施例对此不作限定。
下面结合附图及实施例对本示例实施方式进行详细说明。
首先,本公开实施例中提供了一种进程安全检测方法,该方法可以由任意具备计算处理能力的宿主机执行。
图2示出本公开实施例中一种进程安全检测方法的流程图,如图2所示,本公开实施例中提供的进程安全检测方法可以包括如下步骤S202至S208。
S202,当接收到目标进程的进程创建指令时,通过eBPF模块获取目标进程的进程信息。
本公开实施例不对该目标进程进行限定,该目标进程可以为任一类型的进程,该目标进程可以根据应用场景进行确定。并且,本公开实施例不对应用场景进行限定,例如本公开实施例可以应用于线上购物下单或数据查询等场景。
另外,本公开实施例也不对目标进程的进程创建指令的形式进行限定,该目标进程的进程创建指令可以触发eBPF模块对目标进程的进程信息进行获取即可。
示例性地,宿主机中可以包括:预置的eBPF模块、预设的进程白名单、预设的预备名单。其中,进程白名单中可以包括宿主机中的虚拟环境正常运行所需的各个进程的进程信息。示例性地,该虚拟环境可以为容器环境或虚拟机环境,因而宿主机中的eBPF模块可以对应运行在虚拟机或容器中。
在一些实施例中,目标进程的进程信息可以包括:进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程***调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
在一种可能的实施方式中,预设的进程白名单中的任一进程的进程信息可以表示为Pinfo[i]。示例性地,Pinfo[i]:{pname,pid,puser,pcpu,pmem,psyscall,pnet,patr}。其中,pname为进程名信息,pid为进程号信息,puser为进程所属用户信息,pcpu为进程占用信息,pmem为进程占用内存信息,psyscall为进程***调用信息,pnet为进程网络通信信息,patr为进程内存特征码信息。
在一些实施例中,本公开实施例不对该eBPF模块的确定方法进行限定,在一种可能的实施方法中,可以先确定eBPF模块的相关程序,将eBPF模块的相关程序载入内核。之后,可以通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析,得到eBPF模块,eBPF模块中包括至少一个插桩点,插桩点用于对目标进程的进程信息进行获取与检测。
本公开实施例不对该eBPF模块的相关程序进行限定,该eBPF模块的相关程序可以用于对进程信息进行获取,并可以根据本公开实施例提供的方法对获取的进程信息进行安全检测。
在确定eBPF模块的相关程序后,可以将该相关程序载入内核,该内核也可称为内核空间。内核中包括一个eBPF验证器(eBPF Verifier),该eBPF验证器可以对eBPF模块的相关程序进行进行静态和动态分析。示例性地,该静态和动态分析可以用于确保eBPF模块的相关程序在运行时不会出现因无限循环和内存越界而导致的内核崩溃问题。在静态和动态分析之后,即可以得到eBPF模块。
在实例性实施例中,该eBPF模块中的插桩点可以包括Kprobes、Uprobes、tracepoints等。本公开实施例不对此进行限定。eBPF模块可以通过插桩点来对目标进程的进程信息进行获取。
在一些实施例中,以宿主机中的eBPF模块运行在容器中为例,本公开实施例提供的进程安全检测方法还可包括:将进程白名单与预备名单存储在eBPF Maps键值结构中;将eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包,得到镜像文件,镜像文件用于创建与运行目标进程。
在一种可能的实施方式中,若当前容器中不包括进程白名单与预备名单,需要对进程白名单与预备名单进行预设。此时,可以将该容器正常运行所需的各个进程的进程信息写入进程白名单。并且,初始的预备名单可以为空。
之后,可以将预设好的进程白名单与预备名单存储在eBPF Maps键值结构中。需要说明的是,该eBPF Maps键值结构可以与eBPF模块进行交互。
在一些实施例中,将已运行的eBPF模块的相关程序和预设有进程白名单的容器打包作为镜像文件,后续其他微服务都可以在该容器的镜像文件上创建并运行。示例性地,目标进程即可以为一种微服务。
S204,通过eBPF模块确定进程白名单中是否包含目标进程的进程信息。
在一些实施例中,在eBPF模块获取目标进程的进程信息后,可以通过eBPF模块的插桩点来对确定进程白名单中是否包含目标进程的进程信息。此时,eBPF模块可以将目标进程的进程信息与进程白名单中的进程信息进行对比,若进程白名单中存在与目标进程的进程信息一致的进程信息,即证明进程白名单中包含目标进程的进程信息;反之,即不包含目标进程的进程信息。
S206,当进程白名单中不包含目标进程的进程信息时,通过eBPF模块确定预备名单中是否包含目标进程的进程信息。
在示例性实施例中,此时通过eBPF模块确定预备名单中是否包含目标进程的进程信息的方法可以与确定进程白名单中是否包含目标进程的进程信息的方法相同。
或者,在一些实施例中,本公开实施例提供的进程安全检测方法还可包括:当进程白名单中包含目标进程的进程信息时,创建目标进程。
需要说明的是,在该种情况下,可以不再执行S206与S208的步骤,直接创建目标进程。
S208,当预备名单中包含目标进程的进程信息时,创建目标进程。
在一些实施例中,当预备名单中包含目标进程的进程信息时,创建目标进程,包括:当预备名单中包含目标进程的进程信息时,通过eBPF模块检测目标进程是否为恶意进程;当目标进程不为恶意进程时,将目标进程的进程信息加入进程白名单,创建目标进程。
本公开实施例不对eBPF模块检测目标进程是否为恶意进程进行限定。在示例性实施例中,eBPF模块可以获取外界威胁情报,并可以基于该外界威胁情报,判断目标进程是否为恶意进程。
本公开实施例也不对该外界威胁情报的内容进行限定,该外界威胁情报可以根据经验或应用场景确定。
或者,eBPF模块也可以通过其他方法对目标进程是否为恶意进程进行判断。
在一些实施例中,本公开实施例提供的进程安全检测方法还可包括:当预备名单中不包含目标进程的进程信息时,通过eBPF模块判断目标进程是否为恶意进程;当目标进程不为恶意进程时,将目标进程的进程信息加入预备名单,创建目标进程。
在示例性实施例中,该eBPF模块判断目标进程是否为恶意进程的方法如上所述,此处不再赘述。之后,即可以在目标进程不为恶意进程时,将目标进程的进程信息加入预备名单,并可以创建目标进程。示例性地,该目标进程可以创建在容器的镜像文件中。
在一些实施例中,以eBPF模块运行在容器中为例,创建目标进程之后,本公开实施例提供的进程安全检测方法还可包括:通过eBPF模块对进入容器的流量进行过滤;将过滤后的流量发送至流量分析节点,得到流量分析结果;当流量分析结果指示存在与目标进程相关的恶意网络流量时,停止目标进程,并将进程白名单和/或预备名单中的目标进程的进程信息删去。
在示例性实施例中,内核态的eBPF模块可以附着在XDP(Express Data Path,快速数据通路)跟踪点上,并可以根据规则对进入容器的流量进行过滤,本公开实施例不对该过滤所用的规则进行限定。
在示例性实施例中,该流量分析节点可以为宿主机中任一一个可以用于对流量进行分析的虚拟机或容器。本公开实施例不对该流量分析节点的类型进行限定,该流量分析节点可以接收eBPF模块发送的过滤后的流量,并可以对该过滤后的流量进行分析,得到流量分析结果。
在一些实施例中,创建目标进程之后,本公开实施例提供的进程安全检测方法还可包括:获取目标进程的***调用信息;通过eBPF模块判断目标进程的***调用信息是否超出进程白名单中允许的***调用限制范围;若超出,则停止目标进程,并将进程白名单和/或预备名单中的目标进程的进程信息删去。
示例性地,创建目标进程之后,该目标进程可以在宿主机的虚拟环境中运行。此时,eBPF模块可以通过kprobes插桩点,来获取目标进程的***调用信息。并且,该eBPF模块还可以获取进程白名单中允许的***调用限制范围。示例性地,该进程白名单中允许的***调用限制范围可以通过进程白名单中的进程***调用信息进行获取。
在一些可能的实施方式中,该eBPF模块可以对目标进程的占用资源以及各个权限信息进行获取,当eBPF模块发现目标进程的占用资源或其它权限超出进程白名单相应的限制范围时,eBPF模块可以停止目标进程,并将进程白名单和/或预备名单中的目标进程的进程信息删去。
另外,在示例性实施例中,eBPF模块还可以获取目标进程的内存特征码信息,将该目标进程的内存特征码信息与进程白名单中对应的内存特征码信息进行对比,判断当前的目标进程的完整性。
综上,本公开为防止进程白名单的存在会影响不在白名单中的目标进程的创建速度,设置了白名单中进程灵活调整机制。该进程灵活调整机制包括设立预备名单,初次通过恶意进程检测的目标进程可以被加入预备名单。并在该目标进程第二次创建时,其再次通过通过恶意进程检测后,即可被加入进程白名单,减少后续该目标进程创建所需时间,因此,本公开可以适应云上灵活高效的特点。
需要说明的是,本公开通过eBPF技术构建了一种用于对进程进行安全检测的方法,该方法可以综合分析目标进程的全生命周期的信息,选取检测要点,利用eBPF深入内核,轻量可编程的特点,在目标进程相关安全事件触发后,该方法能够对目标进程的创建、资源占有、网络通信和***调用等事件进行检测,在及时发现恶意进程的同时降低了云平台中宿主机的安全开销。
本公开的实施例所提供的方法,可以通过eBPF模块来获取目标进程的进程信息,并通过预设的进程白名单与预备名单来对需要进行创建的目标进程进行安全检测。因此,本公开可以适应云平台敏捷高效部署的特点,安全检测的效率较高,可以有效增加了安全防护能力,确保云上相关业务的执行。
在一些实施例中,一种可能的eBPF工作机制的示意图可以如图3所示。在图3中,可以包括内核空间与用户空间。首先,可以在用户空间中根据需要对应确定eBPF模块的相关程序,并将eBPF模块的相关程序载入内核空间。之后,即可以通过eBPF验证器,对eBPF模块的相关程序进行进行静态和动态分析,得到eBPF模块。
如图3所示,该eBPF模块中包括Kprobes、Uprobes、tracepoints、Perf_events等插桩点。
另外,可以在用户空间中对进程白名单与预备名单进行预设,并通过数据存储单元将进程白名单与预备名单存储在内核空间中的eBPF Maps键值结构中,该eBPF Maps键值结构即图3中的Maps。该Maps可以与eBPF模块进行连接。
之后,该eBPF模块可以对目标进程进行eBPF检测,示例性地,该eBPF检测的过程可以包括对目标进程的进程信息进行获取,并通过进程白名单以及预备名单,判断该目标进程是否可以被创建。并且,在该目标进程进入内核空间后,eBPF模块还可以对该目标进程的***调用以及套接字等进行检测。
在一些实施例中,一种可能的创建目标进程的过程示意图可以如图4所示。
S401,接收目标进程的进程创建指令。
S402,确定进程白名单中是否包含目标进程的进程信息。若包含,则执行S403。若不包含,则执行S404。
S403,创建目标进程。
S404,确定预备名单中是否包含目标进程的进程信息。若包含,则执行S405。若不包含,则执行S408。
S405,对该目标进程进行安全检测。示例性地,该安全检测可以为通过eBPF模块检测目标进程是否为恶意进程。若不为恶意进程则安全检测通过,执行S406。反之,则不通过,执行S407。
S406,将目标进程的进程信息加入进程白名单,并执行S403。
S407,拒绝创建目标进程。
S408,对该目标进程进行安全检测。
S409,将目标进程的进程信息加入预备名单,并执行S403。
需要说明的是,该图4中的各个步骤的实施方式可以参见S202至S208的相应内容,此处不再赘述。
在一些实施例中,一种可能的进程安全检测的过程示意图可以如图5所示。首先,可以创建进程白名单与预备名单。之后,即可以创建镜像文件,并拉取该镜像创建容器。当接收到目标进程的进程创建指令时,可以通过本公开实施例提供的方法,查询查询进程白名单与预备名单,从而确定进该目标进程是否可以被创建。之后,可以进行安全检测。示例性地,该安全检测可以为通过eBPF模块检测目标进程是否为恶意进程。若不为恶意进程则安全检测通过;反之,则不通过。其中,该段各个步骤的实施方式可以参见S202至S206的内容,此处不再赘述。
之后,可以继续对该目标进程进行安全检测。示例性地,此处的安全检测可以包括对进程占用信息、进程网络通信信息、进程特征码信息以及进程***调用信息的检测。若检测到存在与目标进程相关的恶意进程时。可以进行恶意进程处理。示例性地,此时可以停止目标进程,并将进程白名单和/或预备名单中的目标进程的进程信息删去。
示例性地,如图5所示,在恶意进程处理后,可以对后续创建的进程进行循环检测。
基于同一发明构思,本公开实施例中还提供了一种进程安全检测装置,如下面的实施例所述。由于该装置实施例解决问题的原理与上述方法实施例相似,因此该装置实施例的实施可以参见上述方法实施例的实施,重复之处不再赘述。
图6示出本公开实施例中一种进程安全检测装置示意图,如图6所示,该装置应用于宿主机,该宿主机中包括:预置的eBPF模块以及预设的进程白名单与预备名单,其中,该进程白名单中包括该宿主机中的虚拟环境正常运行所需的各个进程的进程信息;该装置包括:
进程信息获取模块601,用于当接收到目标进程的进程创建指令时,通过该eBPF模块获取该目标进程的进程信息;
进程白名单确定模块602,用于通过该eBPF模块确定该进程白名单中是否包含该目标进程的进程信息;
预备名单确定模块603,用于当该进程白名单中不包含该目标进程的进程信息时,通过该eBPF模块确定该预备名单中是否包含该目标进程的进程信息;
目标进程创建模块604,用于当该预备名单中包含该目标进程的进程信息时,创建该目标进程。
在本公开的一些实施例中,目标进程创建模块604,用于当该预备名单中包含该目标进程的进程信息时,通过该eBPF模块检测该目标进程是否为恶意进程;当该目标进程不为恶意进程时,将该目标进程的进程信息加入该进程白名单,创建该目标进程。
在本公开的一些实施例中,本公开实施例提供的进程安全检测装置还包括:
恶意进程检测模块,用于当该预备名单中不包含该目标进程的进程信息时,通过该eBPF模块判断该目标进程是否为恶意进程;
目标进程创建模块604,用于当该目标进程不为恶意进程时,将该目标进程的进程信息加入该预备名单,创建该目标进程。
在本公开的一些实施例中,目标进程创建模块604,用于当该进程白名单中包含该目标进程的进程信息时,创建该目标进程。
在本公开的一些实施例中,目标进程的进程信息包括:进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程***调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
在本公开的一些实施例中,宿主机中的eBPF模块运行在虚拟机或容器中,本公开实施例提供的进程安全检测装置还包括:
程序载入模块,用于确定该eBPF模块的相关程序,将该eBPF模块的相关程序载入内核;
eBPF模块确定模块,用于通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析,得到该eBPF模块,该eBPF模块中包括至少一个插桩点,该插桩点用于对该目标进程的进程信息进行获取与检测。
在本公开的一些实施例中,宿主机中的eBPF模块运行在容器中,本公开实施例提供的进程安全检测装置还包括:
名单存储模块,用于将该进程白名单与该预备名单存储在eBPF Maps键值结构中;
镜像文件确定模块,用于将该eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包,得到镜像文件,该镜像文件用于创建与运行该目标进程。
在本公开的一些实施例中,eBPF模块运行在容器中,本公开实施例提供的进程安全检测装置还包括:
流量过滤模块,用于通过该eBPF模块对进入容器的流量进行过滤;
流量分析模块,用于将过滤后的流量发送至流量分析节点,得到流量分析结果;
目标进程停止模块,用于当该流量分析结果指示存在与该目标进程相关的恶意网络流量时,停止该目标进程,并将该进程白名单和/或预备名单中的目标进程的进程信息删去。
在本公开的一些实施例中,本公开实施例提供的进程安全检测装置还包括:
***调用信息获取模块,用于获取该目标进程的***调用信息;
***调用限制范围确定模块,用于通过该eBPF模块判断该目标进程的***调用信息是否超出该进程白名单中允许的***调用限制范围;
目标进程停止模块,用于若超出,则停止该目标进程,并将该进程白名单和/或预备名单中的目标进程的进程信息删去。
本公开的实施例所提供的装置,可以通过eBPF模块来获取目标进程的进程信息,并通过预设的进程白名单与预备名单来对需要进行创建的目标进程进行安全检测。因此,本公开的安全检测的效率较高,可以有效增加了安全防护能力,确保云上相关业务的执行。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为***、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“***”。
下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于:上述至少一个处理单元710、上述至少一个存储单元720、连接不同***组件(包括存储单元720和处理单元710)的总线730。
其中,该存储单元存储有程序代码,该程序代码可以被该处理单元710执行,使得该处理单元710执行本说明书上述“具体实施方式”部分中描述的根据本公开各种示例性实施方式的步骤。
存储单元720可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)7201和/或高速缓存存储单元7202,还可以进一步包括只读存储单元(ROM)7203。
存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204,这样的程序模块7205包括但不限于:操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线730可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、***总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备700也可以与一个或多个外部设备740(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备700交互的设备通信,和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口750进行。并且,电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器760通过总线730与电子设备700的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备700使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质可以是可读信号介质或者可读存储介质。其上存储有能够实现本公开上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当该程序产品在终端设备上运行时,该程序代码用于使该终端设备执行本说明书上述“具体实施方式”部分中描述的根据本公开各种示例性实施方式的步骤。
本公开中的计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
在本公开中,计算机可读存储介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。
可选地,计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
在具体实施时,可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,该程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围由所附的权利要求指出。

Claims (12)

1.一种进程安全检测方法,其特征在于,由宿主机执行,所述宿主机中包括:预置的eBPF模块以及预设的进程白名单与预备名单,其中,所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息;
所述方法包括:
当接收到目标进程的进程创建指令时,通过所述eBPF模块获取所述目标进程的进程信息;
通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息;
当所述进程白名单中不包含所述目标进程的进程信息时,通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息;
当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程。
2.根据权利要求1所述的进程安全检测方法,其特征在于,所述当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程,包括:
当所述预备名单中包含所述目标进程的进程信息时,通过所述eBPF模块检测所述目标进程是否为恶意进程;
当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述进程白名单,创建所述目标进程。
3.根据权利要求1所述的进程安全检测方法,其特征在于,所述方法还包括:
当所述预备名单中不包含所述目标进程的进程信息时,通过所述eBPF模块判断所述目标进程是否为恶意进程;
当所述目标进程不为恶意进程时,将所述目标进程的进程信息加入所述预备名单,创建所述目标进程。
4.根据权利要求1至3任一所述的进程安全检测方法,其特征在于,所述方法还包括:
当所述进程白名单中包含所述目标进程的进程信息时,创建所述目标进程。
5.根据权利要求1至3任一所述的进程安全检测方法,其特征在于,所述目标进程的进程信息包括:进程名信息、进程号信息、进程所属用户信息、进程占用信息、进程占用内存信息、进程***调用信息、进程网络通信信息、进程内存特征码信息中的至少一个。
6.根据权利要求2或3所述的进程安全检测方法,其特征在于,所述宿主机中的eBPF模块运行在虚拟机或容器中,所述方法还包括:
确定所述eBPF模块的相关程序,将所述eBPF模块的相关程序载入内核;
通过eBPF验证器对eBPF模块的相关程序进行静态和动态分析,得到所述eBPF模块,所述eBPF模块中包括至少一个插桩点,所述插桩点用于对所述目标进程的进程信息进行获取与检测。
7.根据权利要求6所述的进程安全检测方法,其特征在于,所述宿主机中的eBPF模块运行在容器中,所述方法还包括:
将所述进程白名单与所述预备名单存储在eBPF Maps键值结构中;
将所述eBPF模块的相关程序与预设有进程白名单与预备名单的容器进行打包,得到镜像文件,所述镜像文件用于创建与运行所述目标进程。
8.根据权利要求7所述的进程安全检测方法,其特征在于,所述eBPF模块运行在容器中,所述创建所述目标进程之后,所述方法还包括:
通过所述eBPF模块对进入容器的流量进行过滤;
将过滤后的流量发送至流量分析节点,得到流量分析结果;
当所述流量分析结果指示存在与所述目标进程相关的恶意网络流量时,停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
9.根据权利要求7或8所述的进程安全检测方法,其特征在于,所述创建所述目标进程之后,所述方法还包括:
获取所述目标进程的***调用信息;
通过所述eBPF模块判断所述目标进程的***调用信息是否超出所述进程白名单中允许的***调用限制范围;
若超出,则停止所述目标进程,并将所述进程白名单和/或预备名单中的目标进程的进程信息删去。
10.一种进程安全检测装置,其特征在于,应用于宿主机,所述宿主机中包括:预置的eBPF模块以及预设的进程白名单与预备名单,其中,所述进程白名单中包括所述宿主机中的虚拟环境正常运行所需的各个进程的进程信息;
所述装置包括:
进程信息获取模块,用于当接收到目标进程的进程创建指令时,通过所述eBPF模块获取所述目标进程的进程信息;
进程白名单确定模块,用于通过所述eBPF模块确定所述进程白名单中是否包含所述目标进程的进程信息;
预备名单确定模块,用于当所述进程白名单中不包含所述目标进程的进程信息时,通过所述eBPF模块确定所述预备名单中是否包含所述目标进程的进程信息;
目标进程创建模块,用于当所述预备名单中包含所述目标进程的进程信息时,创建所述目标进程。
11.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~9中任意一项所述的进程安全检测方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~9中任意一项所述的进程安全检测方法。
CN202211379916.3A 2022-11-04 2022-11-04 进程安全检测方法、装置、电子设备及存储介质 Pending CN115544509A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211379916.3A CN115544509A (zh) 2022-11-04 2022-11-04 进程安全检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211379916.3A CN115544509A (zh) 2022-11-04 2022-11-04 进程安全检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115544509A true CN115544509A (zh) 2022-12-30

Family

ID=84720371

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211379916.3A Pending CN115544509A (zh) 2022-11-04 2022-11-04 进程安全检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115544509A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451269A (zh) * 2023-03-29 2023-07-18 北京华路时代信息技术股份有限公司 数据保护方法、装置、电子设备和可读存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116451269A (zh) * 2023-03-29 2023-07-18 北京华路时代信息技术股份有限公司 数据保护方法、装置、电子设备和可读存储介质

Similar Documents

Publication Publication Date Title
US10469512B1 (en) Optimized resource allocation for virtual machines within a malware content detection system
CN111191226B (zh) 利用提权漏洞的程序的确定方法、装置、设备及存储介质
CN109194606B (zh) 攻击检测***、方法、计算机设备及存储介质
CN111488254A (zh) 一种机器学习模型的部署与监控装置和方法
US8904492B2 (en) Method of controlling information processing system, computer-readable recording medium storing program for controlling apparatus
CN113114680B (zh) 用于文件上传漏洞的检测方法和检测装置
CN112631590B (zh) 组件库生成方法、装置、电子设备和计算机可读介质
CN113961245A (zh) 一种基于微服务应用的安全防护***、方法及介质
US20230214229A1 (en) Multi-tenant java agent instrumentation system
CN114024764A (zh) 数据库异常访问的监控方法、监控***、设备和存储介质
CN114116078A (zh) 基于微前端的应用数据处理方法、装置、设备及介质
CN115544509A (zh) 进程安全检测方法、装置、电子设备及存储介质
CN110971482B (zh) 基于ebpf的后端服务器检测方法、装置及电子设备
CN110704131B (zh) 一种html5应用调用原生应用的方法和装置
CN117032894A (zh) 容器安全状态检测方法、装置、电子设备及存储介质
KR101434094B1 (ko) 안드로이드 플랫폼에서 인텐트 모니터링을 통한 유해 어플리케이션 차단 방법
CN115174192A (zh) 应用安全防护方法及装置、电子设备和存储介质
CN114020513A (zh) 一种处理日志信息的方法和装置
US20230376632A1 (en) Protecting confidential information in online applications
CN117609076A (zh) 基于动态网关的模拟测试方法、装置、设备及存储介质
CN116881079A (zh) 数据处理方法、装置、电子设备及存储介质
CN115460293A (zh) 数据处理方法、数据交互***、电子设备及存储介质
CN116707836A (zh) 漏洞确定方法、装置、电子设备及存储介质
CN113535568A (zh) 应用部署版本的验证方法、装置、设备和介质
CN115809465A (zh) 一种安卓iast的实现方法、***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination