基于eBPF的云环境下payload进程检测方法

针对目前云环境下攻击载荷（Payload）所体现出的新特征以及目前检测方法性能损耗较高的问题,提出了一种利用eBPF技术在内核态检测反向连接类Payload进程从而定位被入侵容器的方法。该方法在内核态对服务端TCP连接进行监控,通过筛选TCP标志位定位疑似反向连接类Payload进程所在容器,并对该容器进程组后续访问文件行为进行追踪以控制损害。实验证明,该方法可以有效检出并定位被入侵容器,且其性能消耗极低,多线程性能Unixbench分数损耗仅为0.53%。     

基于eBPF的内核堆漏洞动态缓解机制

内核堆漏洞是目前操作系统安全的主要威胁之一, 用户层攻击者通过触发漏洞能够泄露或修改内核敏感信息, 破坏内核控制流, 甚至获取root权限. 但是由于漏洞的数量和复杂性剧增, 从漏洞首次被报告到开发者给出修复补丁(patch)往往需要较长时间, 而内核现阶段采用的缓解机制均能被稳定绕过. 为此提出一种基于eBPF的内核堆漏洞动态缓解框架, 用于在修复时间窗口中降低内核安全风险. 动态缓解框架采取数据对象空间随机化策略, 在每次分配时为漏洞报告中涉及的数据对象分配随机地址, 并充分利用eBPF的动态、安全特性将空间随机化对象在运行时注入内核, 使得攻击者无法准确放置攻击负载, 堆漏洞几乎无法被利用. 评估40个真实内核堆漏洞, 并收集12个绕过现有缓解机制的攻击程序进行进一步分析和实验, 证实动态缓解框架提供充足的安全性. 性能测试表明, 即使在严苛情况下, 大量分配的4类数据对象仅对系统造成约1%的性能损耗和可以忽略不计的内存损耗, 同时增加保护对象的数量几乎不引入额外性能损耗. 所提机制对比相关工作适用范围更广, 安全性更强, 而且无需安全专家发布的漏洞补丁, 可以根据漏洞报告生成缓解程序, 具备广阔应用前景.     

Performance evaluation of portable time synchronization method using eBPF

The Precision Time Protocol (PTP) is a widely used protocol for high-precision time synchronization, but it requires hardware or driver support for network interface card. Therefore, we propose a portable time synchronization method that is independent of them. Our method uses eBPF to synchronize time by recording timestamps of PTP packets in the kernel. eBPF is provided by the kernel and is backward-compatible, making it independent of hardware or other software. To demonstrate the portability and high-precision time synchronization capabilities of our method, we compared the time synchronization precision in physical environment and virtual machine. We also modified server settings that could affect time synchronization precision, and clarified the effects of these changes. The experiments showed that our method can achieve the similar level of time synchronization precision as conventional methods while remaining portable and independent of other components.     

基于Kubernetes的多云网络成本优化模型

以Kubernetes为代表的云原生编排系统在多云环境中被云租户广泛使用,随之而来的网络观测性问题愈发突出,跨云跨地区的网络流量成本尤为突出。在Kubernetes中引入扩展的伯克利数据包过滤器（extended Berkeleypacketfilter,eBPF）技术采集操作系统内核态的网络数据特征解决网络观测问题,随后将网络数据特征建模为二次分配问题（quadratic assignment problem,QAP）,使用启发式搜索与随机搜索组合的方法在实时计算的场景下求得最佳近优解。此模型在网络资源成本优化中优于Kubernetes原生调度器中仅基于计算资源的调度策略,在可控范围内增加了调度链路的复杂度,有效降低了多云多地区部署环境中的网络资源成本。     

基于PKS硬件特性的eBPF内存隔离机制

Linux内核中的eBPF (extended Berkeley packet filter)机制可以将用户提供的不受信任的程序安全地加载到内核中.在eBPF机制中,检查器负责检查并保证用户提供的程序不会导致内核崩溃或者恶意地访问内核地址空间.近年来, eBPF机制得到了快速发展,随着加入越来越多的新功能,其检查器也变得愈发复杂.观察到复杂的eBPF安全检查器存在的两个问题:一是“假阴性”问题:检查器复杂的安全检查逻辑中存在诸多漏洞,而攻击者可以利用这些漏洞设计能够通过检查的恶意eBPF程序来攻击内核;二是“假阳性”问题:检查器采用静态检查的方式,由于缺乏运行时信息只能进行保守检查,可能造成原本安全的程序无法通过检查,也只能支持很受限的语义,为eBPF程序的开发带来了困难.通过进一步分析,发现eBPF检查器中的静态模拟执行检查机制代码量大,复杂度高,分析保守,是引起安全漏洞和误报的主要原因.因此,提出使用轻量级动态检查的方式取代eBPF检查器中的静态模拟执行检查机制, eBPF检查器中原本由于模拟执行而存在的漏洞与保守检查不复存在,从而能够消除诸多上述的“假阴性”和“假阳性”问题.具体...