分会场2_巫强_主机安全领域eBPF的探索与实践-巫强_报告PPT.pdf

1、主机安全领域eBPF的探索与实践第三届 eBPF开发者大会w w w.e b p f t r a v e l.c o m中 国 西 安2025/04/19巫强 字节跳动终端安全第 三 届 e B P F 开 发 者 大 会LKMLKM&eBPFeBPFByteHIDS Elkeid CWPP/主机入侵检测字节跳动终端安全团队开发的主机入侵检测系统，驱动组件的目标是跟踪和审计所有高危操作，如进程创 建、文件创建、网络连接和权限提升等LKM eBPFByteHIDS：https:/ 三 届 e B P F 开 发 者 大 会为什么 不得不用 eBPF为什么 用 eBPF高可用场景，低侵入性用户需求

2、以及对LKM的忧虑Linux发行版及众多内核版本的适配模块签名校验：Secure Boot、可信计算环境、云主机证书链管理用户自定义内核：缺失头文件，模块支持(CONFIG_MODULES)权限限制：禁止root权限(CAP_SYS_MODULE)，SECCOMP为什么 不用 eBPF内核版本：支持与否/支持程度，如tail call可用性 4.2-5.10特殊场景及性能要求:lockdown模式(v5.4)，架构/硬件相关图片来源：https:/ 高枕无忧第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4

3、.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操作入口或返回点，64位系统中32位进程、)工程便利（参数获取与信息流关联）性能影响（内核版本与架构）第 三 届 e B P F 开 发 者 大 会为什么 不用 kretprobe性能问题-可扩展性(v6.7通过objpool解决)：死锁风险(5.12移

4、除hash lock后才解决)：第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操作入口或返回点，64位系统中32位进程、)工程便利（参数获取与信息流关联）性能影响

5、（内核版本与架构）第 三 届 e B P F 开 发 者 大 会Tracepoint：32位程序的syscall?第 三 届 e B P F 开 发 者 大 会eBPF常用监控机制:Kprobe(v4.1)Kretprobe Tracepoint(v4.7)sys_enter_xxxsys_exit_xxxRaw-tracepoint(v4.17)sys_enter sys_exitFprobe(x86:v5.5 arm64:6.0)fentry fexitBPF LSM(v5.7:Kernel Runtime Security Instrumentation)主要考量因素:功能实现 (高危操

6、作入口或返回点，64位系统中32位进程、)工程便利（参数获取与信息流关联）性能影响（内核版本与架构）第 三 届 e B P F 开 发 者 大 会问题：架构无关的悖论底层设计：ISA:eBPF 字节码、Just-In-Time编译器、虚拟机(BPF VM)细节依赖：Tracepoint是对Raw Tracepoint的封装，前者禁止了对pt_regs 的访问，牺牲灵便性的代价来换取跨架构的兼容性实际需求：1.64位系统下32位进程的判断（ARM64/X86_64/X64_32）2.Rootkit检测需要对IDT表/CRx寄存器的审计（X86:SMEP/S