当前位置:首页 > 报告详情

分会场2_巫强_主机安全领域eBPF的探索与实践-巫强_报告PPT.pdf

上传人: 科*** 编号:713376 2025-06-08 18页 1MB

1、主机安全领域eBPF的探索与实践第三届 eBPF开发者大会w w w.e b p f t r a v e l.c o m中 国 西 安2025/04/19巫强 字节跳动终端安全第 三 届 e B P F 开 发 者 大 会LKMLKM&eBPFeBPFByteHIDS Elkeid CWPP/主机入侵检测字节跳动终端安全团队开发的主机入侵检测系统,驱动组件的目标是跟踪和审计所有高危操作,如进程创 建、文件创建、网络连接和权限提升等LKM eBPFByteHIDS:https:/ 三 届 e B P F 开 发 者 大 会为什么 不得不用 eBPF为什么 用 eBPF高可用场景,低侵入性用户需求

2、以及对LKM的忧虑Linux发行版及众多内核版本的适配模块签名校验:Secure Boot、可信计算环境、云主机证书链管理用户自定义内核:缺失头文件,模块支持(CONFIG_MODULES)权限限制:禁止root权限(CAP_SYS_MODULE),SECCOMP为什么 不用 eBPF内核版本:支持与否/支持程度,如tail call可用性 4.2-5.10特殊场景及性能要求:lockdown模式(v5.4),架构/硬件相关图片来源:https:/ 高枕无忧第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4

3、.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操作入口或返回点,64位系统中32位进程、)工程便利(参数获取与信息流关联)性能影响(内核版本与架构)第 三 届 e B P F 开 发 者 大 会为什么 不用 kretprobe性能问题-可扩展性(v6.7通过objpool解决):死锁风险(5.12移

4、除hash lock后才解决):第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操作入口或返回点,64位系统中32位进程、)工程便利(参数获取与信息流关联)性能影响

5、(内核版本与架构)第 三 届 e B P F 开 发 者 大 会Tracepoint:32位程序的syscall?第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操

6、作入口或返回点,64位系统中32位进程、)工程便利(参数获取与信息流关联)性能影响(内核版本与架构)第 三 届 e B P F 开 发 者 大 会问题:架构无关的悖论底层设计:ISA:eBPF 字节码、Just-In-Time编译器、虚拟机(BPF VM)细节依赖:Tracepoint是对Raw Tracepoint的封装,前者禁止了对pt_regs 的访问,牺牲灵便性的代价来换取跨架构的兼容性实际需求:1.64位系统下32位进程的判断(ARM64/X86_64/X64_32)2.Rootkit检测需要对IDT表/CRx寄存器的审计(X86:SMEP/S

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了eBPF技术在主机安全领域的应用与实践,以字节跳动终端安全团队开发的ByteHIDS Elkeid CWPP/主机入侵检测系统为例,介绍了eBPF在监控高危操作、适应不同Linux发行版和内核版本等方面的优势。关键点如下: 1. eBPF技术具有高可用性和低侵入性,能满足用户需求和对LKM的担忧。 2. eBPF需考虑内核版本、特殊场景及性能要求,如lockdown模式和架构/硬件相关问题。 3. eBPF常用监控机制包括Kprobe、Kretprobe、Tracepoint等,需关注功能实现、工程便利性和性能影响。 4. 文章提到了性能评估数据,如在启用HIDS的情况下,Rawtp sys_exit对syscall性能的影响较小。 5. eBPF技术面临的问题包括ringbuf类型选择、map动态调整及内存占用、部署与内核适配等。 引用核心数据:启用HIDS(elkeid.ko)后,Syscall性能下降约53.1%(5.4.0-48内核版本)和65.3%(5.8及以上内核版本使用BPF_CORE_READ)。这表明eBPF技术在实际应用中对系统性能有一定影响,但仍在可接受范围内。
"eBPF在内销安全中的优势?" "Elkeid驱动监控点如何优化?" "eBPF部署的内核适配难题?"
客服
商务合作
小程序
服务号
折叠