针对目前云环境下攻击载荷(payload)所体现出的新特征以及目前检测方法性能损耗较高的问题，提出了一种利用eBPF技术在内核态检测反向连接类payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控，通过筛选TCP标志位定位疑似反向连接类payload进程所在容器，并对该容器进程组后续访问文件行为进行追踪以控制损害。实验证明，该方法可以有效检测出并定位被入侵容器，且其性能消耗极低，多线程性能Unixbench分数损耗仅为0.53%。

• 出版日期2023
• 单位四川大学