基于eBPF和ConvLSTM的5G-R网络安全审计系统研究

1

作者 陈律 李辉 刘畅 《铁道标准设计》 北大核心 2024年第4期203-210,共8页

在铁路5G专网快速发展的背景下,铁路网络信息安全关系到铁路运行安全等方面。但当前成熟的铁路网络安全设备多是针对可能存在的非法入侵、外网干预等外部安全隐患,对于内部使用不当或通信异常带来的安全问题,还未有系统性的检测方法。因... 在铁路5G专网快速发展的背景下,铁路网络信息安全关系到铁路运行安全等方面。但当前成熟的铁路网络安全设备多是针对可能存在的非法入侵、外网干预等外部安全隐患,对于内部使用不当或通信异常带来的安全问题,还未有系统性的检测方法。因此,提出一种可同时进行网络内外异常检测、集流量抓取和数据分析为一体的实时性较强的网络安全审计系统成为迫切需要。设计从网络安全审计的三大关键技术出发,分别对应本系统的数据采集、数据解析、流量识别三个模块,并说明系统在网络中部署的环境与位置。具体运用了eBPF技术抓取网络流量数据包,利用深度学习的数据预处理方法提取其中特征信息,并导入已训练好的ConvLSTM模型中进行预测,最终判断是否出现异常流量。通过两个数据集的实验验证并与传统算法进行对比,此网络安全审计系统针对外部攻击流量的预测准确率可以达到0.97,针对内部通信异常预测准确率为0.96,实现了对外部或内部因素导致的网络流量异常问题的监测与排查,以便快速反应采取进一步措施。针对5G-R场景进行的网络安全审计系统设计和研究可以为未来铁路面临的网络安全挑战提供技术支撑和帮助。 展开更多

关键词 铁路通信 5G-R 网络安全审计 ebpf 深度学习 ConvLSTM

下载PDF 职称材料

基于eBPF的内核堆漏洞动态缓解机制

2

作者 王子成 郭迎港 +2 位作者 钟炳南 陈越琦 曾庆凯 《软件学报》 EI CSCD 北大核心 2024年第7期3332-3354,共23页

内核堆漏洞是目前操作系统安全的主要威胁之一,用户层攻击者通过触发漏洞能够泄露或修改内核敏感信息,破坏内核控制流,甚至获取root权限.但是由于漏洞的数量和复杂性剧增,从漏洞首次被报告到开发者给出修复补丁(patch)往往需要较长时间... 内核堆漏洞是目前操作系统安全的主要威胁之一,用户层攻击者通过触发漏洞能够泄露或修改内核敏感信息,破坏内核控制流,甚至获取root权限.但是由于漏洞的数量和复杂性剧增,从漏洞首次被报告到开发者给出修复补丁(patch)往往需要较长时间,而内核现阶段采用的缓解机制均能被稳定绕过.为此提出一种基于eBPF的内核堆漏洞动态缓解框架,用于在修复时间窗口中降低内核安全风险.动态缓解框架采取数据对象空间随机化策略,在每次分配时为漏洞报告中涉及的数据对象分配随机地址,并充分利用eBPF的动态、安全特性将空间随机化对象在运行时注入内核,使得攻击者无法准确放置攻击负载,堆漏洞几乎无法被利用.评估40个真实内核堆漏洞,并收集12个绕过现有缓解机制的攻击程序进行进一步分析和实验,证实动态缓解框架提供充足的安全性.性能测试表明,即使在严苛情况下,大量分配的4类数据对象仅对系统造成约1%的性能损耗和可以忽略不计的内存损耗,同时增加保护对象的数量几乎不引入额外性能损耗.所提机制对比相关工作适用范围更广,安全性更强,而且无需安全专家发布的漏洞补丁,可以根据漏洞报告生成缓解程序,具备广阔应用前景. 展开更多

关键词 系统安全 漏洞缓解 ebpf

下载PDF 职称材料

云计算在高密度校园交通管理网络系统中的应用探索

3

作者 常会丽 仝镇熙 李喜棠 《信息与电脑》 2024年第10期47-51,共5页

文章深入探讨了容器编排平台(Kubernetes)边缘虚拟化和扩展的伯克利包过滤扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的集成,以此作为增强校园交通管理系统内数据处理的策略。利用边缘计算,Kubernetes编排容器化应... 文章深入探讨了容器编排平台(Kubernetes)边缘虚拟化和扩展的伯克利包过滤扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的集成,以此作为增强校园交通管理系统内数据处理的策略。利用边缘计算,Kubernetes编排容器化应用程序提高数据处理效率,以实现云边协同的目标。Cilium网络插件与eBPF的整合在提高网络性能、提供简化、安全和可观察的网络分辨率以及确保有效流量管理的低延迟通信方面起着关键作用。 展开更多

关键词 Kubernetes ebpf 边缘计算 低延迟 云边协同

下载PDF 职称材料

基于eBPF的虚拟化网络与云原生网络应用 被引量：1

4

作者 施苏峰 《网络安全与数据治理》 2023年第2期9-18,共10页

近年来,随着eBPF的内核代码安全注入机制的发展,eBPF已经在网络优化、性能监控等方面获得大量应用。介绍了eBPF在网络功能虚拟化领域的应用概述,以及其基于容器架构发展而来的云原生网络功能领域的应用概述,并举出了eBPF用于上述领域的... 近年来,随着eBPF的内核代码安全注入机制的发展,eBPF已经在网络优化、性能监控等方面获得大量应用。介绍了eBPF在网络功能虚拟化领域的应用概述,以及其基于容器架构发展而来的云原生网络功能领域的应用概述,并举出了eBPF用于上述领域的典型应用:网络功能虚拟化领域的负载均衡、快速丢包、限流应用,以及云原生网络功能领域的Kubernetes容器网络加速、服务网格加速应用。 展开更多

关键词 ebpf 网络功能虚拟化 云原生 负载均衡 Kubernetes 服务网格

下载PDF 职称材料

基于非侵入式数据采集的微服务依赖关系发现方法

5

作者 付楠 程光 +3 位作者 滕跃 戴广晔 陈子涵 付睿哲 《网络空间安全科学学报》 2023年第2期112-121,共10页

随着云计算和云原生技术的发展,大规模应用在云上的部署、扩展和管理等方面变得更加灵活,国内企业应用迁移上云成为趋势。然而,面向大规模且复杂的应用,服务依赖关系发现作为故障检测和定位的基础变得十分困难。现有数据采集技术需要修... 随着云计算和云原生技术的发展,大规模应用在云上的部署、扩展和管理等方面变得更加灵活,国内企业应用迁移上云成为趋势。然而,面向大规模且复杂的应用,服务依赖关系发现作为故障检测和定位的基础变得十分困难。现有数据采集技术需要修改原有应用代码并很难覆盖全部容器网络,没有将流量数据与拓扑结构相关联,使得生成的服务依赖关系视野局限且效果不佳。针对以上问题,文章提出了基于非侵入式数据采集的微服务依赖关系发现方法。该方法主要包含基于eBPF技术的数据采集方法 Barnacle和基于流量和拓扑数据关联的服务依赖关系发现。文章描述了Barnacle的实现方案,设计了容器网络的跨层拓扑发现框架,对比分析了Barnacle的性能,并展示了使用Barnacle挖掘服务依赖关系的案例。实验表明,Barnacle满足非侵入、用户透明、跨层关联、高性能和高覆盖范围的要求。与现有数据采集技术相比,使用Barnacle挖掘服务依赖关系可以获得更完备的微服务种类,发现更完整的依赖关系,提供更广泛的监测视角。 展开更多

关键词 流量采集 拓扑发现 微服务依赖 ebpf Kubernetes

下载PDF 职称材料

基于eBPF的云环境下payload进程检测方法

6

作者 王圣凯 阮树骅 汪邓喆 《计算机应用研究》 CSCD 北大核心 2023年第7期2157-2161,共5页

针对目前云环境下攻击载荷(payload)所体现出的新特征以及目前检测方法性能损耗较高的问题,提出了一种利用eBPF技术在内核态检测反向连接类payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控,通过筛选TCP标... 针对目前云环境下攻击载荷(payload)所体现出的新特征以及目前检测方法性能损耗较高的问题,提出了一种利用eBPF技术在内核态检测反向连接类payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控,通过筛选TCP标志位定位疑似反向连接类payload进程所在容器,并对该容器进程组后续访问文件行为进行追踪以控制损害。实验证明,该方法可以有效检测出并定位被入侵容器,且其性能消耗极低,多线程性能Unixbench分数损耗仅为0.53%。 展开更多

关键词 ebpf sock连接分析 payload检测 异常容器定位 访问文件监控

下载PDF 职称材料

基于Kubernetes的多云网络成本优化模型

7

作者 高明 刘铭 +1 位作者 陈泱婷 王伟明 《电信科学》 2023年第2期71-82,共12页

以Kubernetes为代表的云原生编排系统在多云环境中被云租户广泛使用,随之而来的网络观测性问题愈发突出,跨云跨地区的网络流量成本尤为突出。在Kubernetes中引入扩展的伯克利数据包过滤器(extended Berkeley packet filter,eBPF)技术采... 以Kubernetes为代表的云原生编排系统在多云环境中被云租户广泛使用,随之而来的网络观测性问题愈发突出,跨云跨地区的网络流量成本尤为突出。在Kubernetes中引入扩展的伯克利数据包过滤器(extended Berkeley packet filter,eBPF)技术采集操作系统内核态的网络数据特征解决网络观测问题,随后将网络数据特征建模为二次分配问题(quadratic assignment problem,QAP),使用启发式搜索与随机搜索组合的方法在实时计算的场景下求得最佳近优解。此模型在网络资源成本优化中优于Kubernetes原生调度器中仅基于计算资源的调度策略,在可控范围内增加了调度链路的复杂度,有效降低了多云多地区部署环境中的网络资源成本。 展开更多

关键词 Kubernetes ebpf 多云网络 二次分配问题

下载PDF 职称材料

基于PKS硬件特性的eBPF内存隔离机制

8

作者 李浩 古金宇 +2 位作者 夏虞斌 臧斌宇 陈海波 《软件学报》 EI CSCD 北大核心 2023年第12期5921-5939,共19页

Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快... Linux内核中的eBPF(extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来,eBPF机制得到了快速发展,随着加入越来越多的新功能,其检查器也变得愈发复杂.观察到复杂的eBPF安全检查器存在的两个问题:一是“假阴性”问题:检查器复杂的安全检查逻辑中存在诸多漏洞,而攻击者可以利用这些漏洞设计能够通过检查的恶意eBPF程序来攻击内核;二是“假阳性”问题:检查器采用静态检查的方式,由于缺乏运行时信息只能进行保守检查,可能造成原本安全的程序无法通过检查,也只能支持很受限的语义,为eBPF程序的开发带来了困难.通过进一步分析,发现eBPF检查器中的静态模拟执行检查机制代码量大,复杂度高,分析保守,是引起安全漏洞和误报的主要原因.因此,提出使用轻量级动态检查的方式取代eBPF检查器中的静态模拟执行检查机制,eBPF检查器中原本由于模拟执行而存在的漏洞与保守检查不复存在,从而能够消除诸多上述的“假阴性”和“假阳性”问题.具体来说,将eBPF程序运行在内核态沙箱中,由沙箱对程序运行时的内存访问进行动态检查,保证程序无法对内核内存进行非法访问;为高效实现轻量化的内核态沙箱,利用新型硬件特性Intel PKS(protection keys for supervisor)进行零开销的访存指令检查,并提出高效的内核与沙箱中eBPF程序交互方法.评测结果表明,所提方法能够消除内核eBPF检查器中的内存安全漏洞(自2020年以来该类型漏洞在eBPF检查器的总漏洞中占比超过60%);即使在吞吐量较高的网络包处理场景下,轻量化内核沙箱带来的性能开销低于3%. 展开更多

关键词 ebpf PKS 内存隔离 操作系统内核

下载PDF 职称材料

Container Instrumentation and Enforcement System for Runtime Security of Kubernetes Platform with eBPF

9

作者 Songi Gwak Thien-Phuc Doan Souhwan Jung 《Intelligent Automation & Soft Computing》 SCIE 2023年第8期1773-1786,共14页

Containerization is a fundamental component of modern cloud-native infrastructure,and Kubernetes is a prominent platform of container orchestration systems.However,containerization raises significant security concerns... Containerization is a fundamental component of modern cloud-native infrastructure,and Kubernetes is a prominent platform of container orchestration systems.However,containerization raises significant security concerns due to the nature of sharing a kernel among multiple containers,which can lead to container breakout or privilege escalation.Kubernetes cannot avoid it as well.While various tools,such as container image scanning and configuration checking,can mitigate container workload vulnerabilities,these are not foolproof and cannot guarantee perfect isolation or prevent every active threat in runtime.As such,a policy enforcement solution is required to tackle the problem,and existing solutions based on LSM(Linux Security Module)frameworks may not be adequate for some situations.To address this,we propose an enforcement system based on BPF-LSM,which leverages eBPF(extended Berkeley Packet Filter)technology to provide fine-grained control and dynamic adoption of security policies.In this paper,we compare different LSM implementations to highlight the challenges of current enforcement solutions before detailing the design of our eBPF-based Kubernetes Runtime Instrumentation and Enforcement System(KRSIE).Finally,we evaluate the effectiveness of our system using a real-world scenario,as measuring the performance of a policy enforcement system is a complex task.Our results show that KRSIE can successfully control containers’behaviors using LSM hooks at container runtime,offering improved container security for cloud-native infrastructure. 展开更多

关键词 CONTAINER kubernetes runtime security ebpf ENFORCEMENT

下载PDF 职称材料

基于操作系统eBPF在云原生环境下的技术研究 被引量：2

10

作者 高巍 《电子技术与软件工程》 2022年第17期70-74,共5页

本文基于eBPF技术提供的跟踪和分析、可观测性和监控、服务网格、企业安全等关键技术,与大数据、人工智能、分布式治理技术一起极大地提升了云原生环境下的性能优化和自动化运维,为操作系统内核与云原生环境之间架起技术纽带。

关键词 LINUX内核 ebpf 云原生 可观测性 微服务 服务网格

下载PDF 职称材料

基于DPDK的eBPF报文过滤器研究与实现

11

作者 王余雷 程鹏 +1 位作者 娄方亮 谢海峰 《价值工程》 2020年第34期200-202,共3页

为了更好地应对大流量复杂场景的精准报文过滤,本文研究了eBPF报文过滤器的架构、原理等,并且基于DPDK的eBPF报文过滤器实现了灵活的抓包功能,已在通讯系统中得到广泛的应用。

关键词 DPDK ebpf 过滤器

下载PDF 职称材料

基于eBPF的云上威胁观测系统

12

作者 刘斯诺 阮树骅 +1 位作者 陈兴蜀 郑涛 《信息网络安全》 CSCD 北大核心 2024年第4期534-544,共11页

随着云上威胁的种类和攻击路径更加多样化,单一维度的威胁数据难以准确刻画复杂多变的威胁行为。文章提出一种基于扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的威胁观测系统ETOS(eBPF-Based Threat Observability S... 随着云上威胁的种类和攻击路径更加多样化,单一维度的威胁数据难以准确刻画复杂多变的威胁行为。文章提出一种基于扩展伯克利数据包过滤器(extended Berkeley Packet Filter,eBPF)的威胁观测系统ETOS(eBPF-Based Threat Observability System),首先,通过评估威胁行为中各动作的危险程度,对关键动作分层分类设置观测点位,从而在目标机器上实现按需动态激活eBPF探针,获取多维结构化威胁行为数据,能够有效表达云环境中的威胁行为,降低数据分析的预处理成本;然后,设计一种通用eBPF探针模板,实现探针库的自动化扩展;最后,文章在容器云平台上复现了18个容器逃逸通用漏洞披露(Common Vulnerabilities and Exposures,CVE),并利用ETOS观测威胁行为。实验结果表明,ETOS能够在多个层次观测威胁行为,输出多维结构化威胁数据,引入系统和网络的总体开销均低于2%,满足云平台运行要求。 展开更多

关键词 威胁观测 ebpf可观测性 云计算安全 数据采集

下载PDF 职称材料

基于数据处理器的QUIC加密/解密卸载

13

作者 王继昌 吕高锋 +1 位作者 刘忠沛 杨翔瑞 《计算机工程与科学》 CSCD 北大核心 2023年第11期1960-1969,共10页

QUIC作为与TCP并行的新兴传输协议,其优化方法沿用TCP研究路线,其中的主流是硬件卸载技术,将计算密集型功能模块卸载到网络设备,使用硬件卸载的方式代替主机CPU进行计算。然而由于硬件卸载通用性较差,性能虽高但无法保证用户可编程性。... QUIC作为与TCP并行的新兴传输协议,其优化方法沿用TCP研究路线,其中的主流是硬件卸载技术,将计算密集型功能模块卸载到网络设备,使用硬件卸载的方式代替主机CPU进行计算。然而由于硬件卸载通用性较差,性能虽高但无法保证用户可编程性。为了克服这个限制,提出了软件卸载模型——NanoBPF,基于DPU中RISC众核的协议卸载模型,通过修改BootLoader的启动代码,引导启动eBPF代码作为运行时环境,对协议栈中CPU占用率较高的加密/解密功能模块进行软件卸载。其中,加密/解密功能模块使用高级语言(C)编写,并被编译成自定义的BPF字节码动态载入DPU。通过本地和基于Docker的网络拓扑对该原型系统的吞吐量和公平性进行验证,结果表明,报文加密/解密的软件卸载能提高协议栈近13%的报文吞吐率,且在一定条件下能够保证与TCP的链路公平性。 展开更多

关键词 DPU 加密/解密 软件卸载 多核并行 ebpf代码

下载PDF 职称材料

基于eBPF的配置库应用拓扑自动发现功能的实现

14

作者 李强 李光兆 《互联网周刊》 2024年第4期46-48,共3页

在运维数字化转型、智能化发展的时代背景下,配置管理库是数字化运维必不可少的核心工具,其中应用拓扑是配置管理库的一个重要功能,也是配置管理数据的一个重要消费场景。与传统手工绘制的应用拓扑不同,配置管理库中的应用拓扑是依托于... 在运维数字化转型、智能化发展的时代背景下,配置管理库是数字化运维必不可少的核心工具,其中应用拓扑是配置管理库的一个重要功能,也是配置管理数据的一个重要消费场景。与传统手工绘制的应用拓扑不同,配置管理库中的应用拓扑是依托于配置数据的动态拓扑图,但其仍依赖配置数据的准确性和更新的实时性。eBPF技术以在操作系统中进行动态插装的方式,通过采集IP和端口间的访问关系,实时跟踪获取每个节点的信息,从而自动获取应用之间的调用关系,建立应用拓扑的二、三层关系,减少配置库的维护成本,增加应用拓扑的准确性和实时性。 展开更多

关键词 配置管理库 应用拓扑 动态跟踪 ebpf技术

下载PDF 职称材料

eBPF技术在操作系统动态跟踪中的应用研究 被引量：5

15

作者 刘伟 廖平 《中国金融电脑》 2022年第8期81-84,共4页

伴随互联网技术的深入普及,操作系统变得日趋复杂,如何在其出现疑难问题时实现快速定位,已成为当前运维领域一个重要的研究方向。传统模式下,操作系统跟踪技术通常需要重新编译系统内核,不仅会给系统性能带来负面影响,甚至还可能导致系... 伴随互联网技术的深入普及,操作系统变得日趋复杂,如何在其出现疑难问题时实现快速定位,已成为当前运维领域一个重要的研究方向。传统模式下,操作系统跟踪技术通常需要重新编译系统内核,不仅会给系统性能带来负面影响,甚至还可能导致系统崩溃。针对上述挑战,动态跟踪技术通过在系统运行时进行动态插桩,能够精准定位操作系统的故障点,并尽可能减少对系统性能的影响。 展开更多

关键词 操作系统 动态跟踪 ebpf技术

下载PDF 职称材料

基于eBPF的应用程序性能监控研究

16

作者 赵晨雨 《IT经理世界》 2020年第10期123-123,共1页

近年来随着互联网的发展,应用程序的架构变得越来越复杂,许多开发人员也开始关注应用程序的性能问题,而应用程序的性能问题往往反映在整体系统的性能状态上,所以要在多个维度分析应用程序的性能[1].最近几年eBPF技术在Linux内核中取得... 近年来随着互联网的发展,应用程序的架构变得越来越复杂,许多开发人员也开始关注应用程序的性能问题,而应用程序的性能问题往往反映在整体系统的性能状态上,所以要在多个维度分析应用程序的性能[1].最近几年eBPF技术在Linux内核中取得了较大的发展,这大大提高了Linux内核的可观测性,也为应用程序的性能数据提取提供了新的思路.本文首先介绍eBPF [2]技术,提出了基于eBPF的应用程序性能监控方案,从而为运维人员分析应用程序性能提供新的思路. 展开更多

关键词 LINUX 应用程序 性能 ebpf

原文传递