11月12日，由西安邮电大学主办，中国科学院软件研究所指导的首届中国eBPF大会在线上顺利举办！会议邀请到了中山大学、浙江大学、东南大学等国内名校及华为、阿里、字节跳动等众多国内名企共同探讨eBPF技术发展、在网络安全领域或其他的应用。

　　深信服创新研究院高级Linux内核技术专家许庆伟荣幸受邀参与本次大会。主会场上，许庆伟与来自阿里、华为、腾讯的技术专家，及来自东南大学的教授、浙江大学的学生同台针对「eBPF技术及发展」进行圆桌研讨；在分会场二「eBPF在网络安全的应用」中，许庆伟又为线上诸多技术专家及同好分享了《基于eBPF的内核漏洞检测实践》议题。

　　随着智能化、数字化、云化的飞速发展，全球基于Linux系统的设备数以百亿计，而这些设备的安全保障主要取决于主线内核的安全性和健壮性。

　　传统的内核安全存在周期长、效率低以及版本适配的问题，有没有新的技术能够实现高效检测内核漏洞？

　　以下是深信服创新研究院许庆伟在本次大会中的分享回顾。

　　议题分享：

　　许庆伟从“内核安全策略演进”切入，阐述了传统内核安全存在的问题，并从Seccomp阶段到eBPF阶段为我们分析BPF安全特性的演进。

　　既然传统内核安全方案都存在各自的缺陷，那么eBPF为内核安全检测带来了什么价值呢？许庆伟最后用一个实例展示eBPF如何快速高效地检测到Rootkit攻击。

　　圆桌环节：

　　目前正在做的与eBPF有关的事情

　　市面上的安全策略和安全方案基本都还在应用层，但近年来eBPF基础设施的安全性也越来越重要，现在也常看到有基于eBPF的攻击行为，加上eBPF在云原生的应用，针对内核的攻击行为势必越来越多，内核安全漏洞的危害性也被人们所意识，因此深信服创新研究院把部分研究重心放在内核层，比如我一直在研究的LSM和eBPF的结合。

　　谈eBPF未来的发展

　　我近期也对eBPF做了很多思考，如其他教授、专家所说，目前eBPF也存在着碎片化、不标准的问题。所以对于未来的发展，我这边有2个初步想法：

　　1 做一套从底到上的标准：内核态向上有一层标准接口，应用态也有一层标准接口。虽然eBPF有辅助函数，但也会存在很多编译、语言、代码框架等的问题，因此需要一套从底到上的标准；

　　2 针对安全等方面可做统一规范：从安全的角度看，可观测性的能力还比较弱，都仅处于初级的检测并告警的阶段，如果做出阻断动作，就会影响到业务。因此针对安全等重要方面，可以从可观测性或平台标准化做统一的规范，对整体eBPF的发展也将有很大帮助。

　　eBPF理想的编程语言需要具备什么特点？

　　不管从内核态角度和应用态角度看，下发到内核态，都亟需一套标准化的框架和接口。现在我们提出的观点是，希望有更多的初学者能够更深入地使用eBPF，那么就应该降低使用的复杂性，或在复杂性上做个封装，才能够引导更多人来学习和使用eBPF。

　　深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究，推动技术创新变革与落地，拥有安全和云计算领域500+ 专利，实现攻击和检测技术的相互赋能，并及时把能力输入到业务线中，实现自身产品的迭代优化。未来，深信服千里目安全技术中心也将不断提高专业技术造诣，深度洞察网络安全威胁，持续为网络安全赋能。