戴世鑫--eBPF在安全领域的应用实践.pdf

《戴世鑫--eBPF在安全领域的应用实践.pdf》由会员分享，可在线阅读，更多相关《戴世鑫--eBPF在安全领域的应用实践.pdf（29页珍藏版）》请在三个皮匠报告上搜索。

1、eBPF在安全领域的应用实践第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m中 国 西 安戴世鑫中兴通讯信息安全治理存在的挑战eBPF能解决的问题权限失败通用维测方案展望第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m中 国 西 安 Linux在各领域广泛应用，有近60%的嵌入式产品选择Linux作为操作系统。典型应用领域有路由器、汽车、机器人、智能终端等。信息安全治理存在的挑战第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f

2、t r a v e l.c o m安全威胁加剧随着万物互联时代的到来，设备从传统的单机向网联化、智能化扩展，信息安全日趋重要，设备上暴露的安全漏洞可能引发更加严重的后果。以5G电信设备为例：5G 网络实现了移动网络从面向人的连接向面向机器连接的演变，安全问题可能引发严重事故。电信设备面临基础设施、网管接口等方面的安全威胁。操作系统作为基站设备必要部分，是电信业务运行的基础，需提升安全性以应对上述威胁。另外，随着国际局势变化等影响，近年国内外运营商、政府等对电信设备的安全测试愈加严格。信息安全治理存在的挑战第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r

3、a v e l.c o m为应对安全威胁，对系统每个层面均进行信息安全治理。如漏洞处理、内核功能层的网络安全配置、用户组件层的鉴权认证、应用层的服务安全等。其中，应用操作系统提供的安全机制进行安全加固，是一个必要环节。信息安全治理存在的挑战第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m信息安全治理存在的挑战操作系统给产品提供多种安全机制。但加固后业务申请权限失败时，内核提供信息有限，业务很难及时定位原因。内核仅返回一个错误编号EXXX，业务侧原因是啥？为什么不允许？为什么参数无效？为什么权限不够？为引导用户更好地使用安全机制

4、，进行安全设计与安全部署。迫切需要一种高效的权限失败根因分析方案。第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m工具名功能优点缺点capable获取所有申请的能力与结果能力缺失的故障能够定位缺失的能力单能力缺失场景retsnoop获取特定函数集合的返回值能批量的对内核兴趣函数执行结果进行监控应用门槛高，需要知道函数清单eperm获取系统调用层面发生权限失败能监控系统调用层面发生的权限失败单系统调用场景audit日志获取SELinux等鉴权模块生成日志SELinux等少部分鉴权模块原生支持覆盖不全安全领域存在的问题社区现有解决

5、方案无法满足权限失败定位诉求，无完备的Linux权限失败分析工具及方案。第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m安全领域存在的问题应对权限失败，更完善的分析方案是？第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o m第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o meBPF能解决的问题eBPF是一种在Linux内核中实现的安全且高效的沙盒执行环境。能够在不修改源码或加载内核模块的情况下，注入

6、一段程序至系统几乎任意位置，且被安全地执行，最终达到对系统观测和流程修改的目的。eBPF广泛应用于安全审计、性能分析、网络过滤等领域。eBPF优势：1、高效。更专注于数据处理；数据采集与分析一体；统一的方法使用内核各种维测机制；便捷的数据通信机制，利于数据处理。2、安全。eBPF程序执行前会进行验证，确保其不会对系统造成破坏。3、维测模块与产品解耦，跨平台与跨版本。第 二 届 中 国 e B P F 开 发 者 大 会W W W.e b p f t r a v e l.c o mkprobe/uprobe/ftrace/tracepoint/perf_event/USDT/user_event