(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221094595 3.X (22)申请日 2022.08.08 (71)申请人 中山大学 地址 510275 广东省广州市新港西路13 5号 (72)发明人 陈鹏飞　钟源　郑子彬　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 杨艺 (51)Int.Cl. G06F 21/60(2013.01) G06F 16/23(2019.01) G06F 16/2458(2019.01) (54)发明名称 一种基于 eBPF的自动化访问控制方法、 系统 及设备 (57)摘要 本发明涉及访问控制技术领域， 公开了一种 基于eBPF的自动化访 问控制方法、 系统及设备。 本发明将eBPF程序载入内核， 并将已有访问控制 策略存储于eBPF  maps内； 对各类系统调用行为 进行拦截和记录， 初始时该访问控制策略允许任 何系统调用行为通过执行直至通过执行的系统 调用行为达到预置数量； 当对应的访问控制日志 数量达到 所述预置数量时， 根据所存储的访问控 制日志基于频繁项集挖掘算法进行访问控制策 略挖掘， 根据得到的访问控制策略挖掘结果更新 存储于所述eBPF  maps内的访问控制策略； 本发 明能够完成系统权限控制清单的自主配置， 大幅 度地减少人力配置的成本， 降低造成系统安全漏 洞的可能性。 权利要求书3页 说明书12页 附图4页 CN 115221541 A 2022.10.21 CN 115221541 A 1.一种基于eBPF的自动化访问控制方法， 其特 征在于， 包括： 获取预置的访问控制策略并创建eBPF程序， 将所述eBPF程序载入至Linux系统内核， 将 所述访问控制策略存 储于eBPF maps内； 监控各类系统调用行为， 根据 所述访问控制策略对监控到的系统调用行为执行对应的 控制动作， 并记录和保存对应的访问控制日志； 其中， 所述控制动作包括通过执行或拒绝执 行， 所述访问控制策略包括 允许任何系统调用行为通过执行直至通过执行的系统调用行为 达到预置数量； 若存储的与通过执行的系统调用行为对应的访问控制日志数量达到所述预置数量， 根 据所存储的访问控制日志基于频繁项集挖掘算法进行访问控制策略挖掘， 根据得到的访问 控制策略挖掘结果更新存 储于所述eBPF  maps内的访问控制策略。 2.根据权利要求1所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述根据 所述 访问控制策略对监控到的系统调用行为执 行对应的控制动作， 包括： 对监控到的系 统调用行为， 利用Linux安全模块的钩子函数确定是否满足所述访问控 制策略对应的要求， 在满足时通过 执行。 3.根据权利要求1所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述根据 所存 储的访问控制日志基于频繁项集挖掘算法进 行访问控制策略挖掘， 根据得到的访问控制策 略挖掘结果更新存 储于所述eBPF  maps内的访问控制策略， 包括： 根据当前存储的访问控制日志基于频繁项集挖掘算法确定最优访问控制规则集合， 根 据所述最优访问控制规则集 合更新存 储于所述eBPF  maps内的访问控制策略； 根据新存储的访 问控制日志， 采用频繁项集挖掘算法进行持续学习， 根据得到的学习 结果更新所述最优访问控制规则集合， 并基于更新的最优访问控制规则集合更新存储于所 述eBPF maps内的访问控制策略。 4.根据权利要求3所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述根据当前 存储的访问控制日志基于频繁项集挖掘算法确定最优访问控制规则集 合， 包括： 步骤S10， 根据 所存储的访问控制日志确定对应的系统调用访问记录集合， 设置待生成 访问控制规则集 合为空集， 并设置待覆盖访问记录集 合为所述系统调用访问记录集 合； 步骤S20， 根据 所存储的访问控制日志， 基于频繁项集挖掘算法生成关联集合并将候选 规则集合置为空集； 步骤S30， 对于所得的关联集合的每一项， 生成对应的访问控制规则并添加至所述候选 规则集合， 根据候选规则与所述所存储的访问控制日志的相关性， 对所述候选规则集合中 的各候选规则进 行分析评分， 选取其中评 分值最大的候选规则归入所述待生成访问控制规 则集合； 步骤S40， 从所述待覆盖访问记录集合中， 删除所述最优访问控制规则集合的规则所能 覆盖的系统调用访问记录， 重复步骤S20和步骤S30， 直至所述待覆盖访问记录集合中的所 有系统调用访问记录被删除； 步骤S50， 当所述待覆盖访问记录集合中的所有系统调用访问记录被删除后， 将当前得 到的待生成访问控制规则集 合作为对应的最优访问控制规则集 合。 5.根据权利要求4所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述根据候选 规则与所述所存储的访问控制日志的相关性， 对所述候选规则集合中的各候选规则进 行分权　利　要　求　书 1/3 页 2 CN 115221541 A 2析评分， 包括： 获取所述系统调用访问记录集合中每条系统调用访问记录对应的键值对， 构建对应的 键值对集 合； 确定各所述候选规则的第一相关性数量和第二相关性数量； 其中， 所述第一相关性数 量为对应候选规则 在所述系统调用访问记录集合中能够覆盖的系统调用访问记录的数量， 所述第二相关性数量 为对应候选规则在所述键值对集 合中能够覆盖的键值对的数量； 根据所述第 一相关性数量计算各所述候选规则的覆盖率， 将候选规则包含的键值对总 数与对应第二相关性数量的差值作为第三相关性数量， 根据所述第三相关性数量计算各所 述候选规则的过度特权率； 其中， 所述覆盖率为对应候选规则的第一相关性数量与所述系 统调用访问记录集合的系统调用访问记录总数的比值， 所述过度特权率为对应候选规则的 第三相关性数量与所述键值对集 合的键值对总数的比值； 根据所述覆盖率和过度特权率对各 所述候选规则进行评分。 6.根据权利要求5所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述根据 所述 覆盖率和过度特权率对各 所述候选规则进行评分， 包括： 按照下式计算各 所述候选规则的评分值： Si＝ai+ω(1‑bi) 式中， Si为候选规则i的评分值， ai为候选规则i的覆盖率， bi为候选规则i的过度特权 率。 7.根据权利要求4所述的基于eBPF的自动化访问控制方法， 其特征在于， 所述对于所得 的关联集 合的每一项， 生成对应的访问控制规则并添加至所述 候选规则集 合， 包括： 对于所得的关联集合的每一项， 生成对应的基于属性的访问控制规则并添加至所述候 选规则集 合。 8.一种基于eBPF的自动化访问控制系统， 其特 征在于， 包括： 内核程序载入模块， 用于获取预置的访问控制策略并创建eBPF程序， 将所述eBPF程序 载入至Linux系统内核， 将所述访问控制策略存 储于eBPF maps内； 访问监控模块， 用于监控各类系统调用行为， 根据所述访 问控制策略对监控到的系统 调用行为执行对应的控制动作， 并记录和保存对应的访问控制日志； 其中， 所述控制动作包 括通过执行或拒绝执行， 所述访问控制策略包括 允许任何系统调用行为通过执行直至通过 执行的系统调用行为达 到预置数量； 访问控制策略挖掘与 更新模块， 用于若存储的与通过执行的系统调用行为对应的访问 控制日志数量达到所述预置数量， 根据所存储的访问控制日志基于频繁项集挖掘算法进 行 访问控制策 略挖掘， 根据得到的访问控制策 略挖掘结果更新存储于所述eBPF  maps内的访 问控制策略。 9.一种基于eBPF的自动化访问控制设备， 其特 征在于， 包括： 存储器， 用于存储指令； 其中， 所述指令用于实现如权利要求1 ‑7任意一项所述的基于 eBPF的自动化访问控制方法； 处理器， 用于执 行所述存储器中的指令 。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求1 ‑7任意一项所述的基于eBPF的自权　利　要　求　书 2/3 页 3 CN 115221541 A 3