11月12日,由西安邮电大学主办,中国科学院软件研究所指导的首届中国eBPF大会在线上顺利举办!会议邀请到了中山大学、浙江大学、东南大学等国内名校及华为、阿里、字节跳动等众多国内名企共同探讨eBPF技术发展、在网络安全领域或其他的应用。
深信服创新研究院高级Linux内核技术专家许庆伟荣幸受邀参与本次大会。主会场上,许庆伟与来自阿里、华为、腾讯的技术专家,及来自东南大学的教授、浙江大学的学生同台针对「eBPF技术及发展」进行圆桌研讨;在分会场二「eBPF在网络安全的应用」中,许庆伟又为线上诸多技术专家及同好分享了《基于eBPF的内核漏洞检测实践》议题。
随着智能化、数字化、云化的飞速发展,全球基于Linux系统的设备数以百亿计,而这些设备的安全保障主要取决于主线内核的安全性和健壮性。
传统的内核安全存在周期长、效率低以及版本适配的问题,有没有新的技术能够实现高效检测内核漏洞?
以下是深信服创新研究院许庆伟在本次大会中的分享回顾。
议题分享:
许庆伟从“内核安全策略演进”切入,阐述了传统内核安全存在的问题,并从Seccomp阶段到eBPF阶段为我们分析BPF安全特性的演进。
既然传统内核安全方案都存在各自的缺陷,那么eBPF为内核安全检测带来了什么价值呢?许庆伟最后用一个实例展示eBPF如何快速高效地检测到Rootkit攻击。
圆桌环节:
目前正在做的与eBPF有关的事情
市面上的安全策略和安全方案基本都还在应用层,但近年来eBPF基础设施的安全性也越来越重要,现在也常看到有基于eBPF的攻击行为,加上eBPF在云原生的应用,针对内核的攻击行为势必越来越多,内核安全漏洞的危害性也被人们所意识,因此深信服创新研究院把部分研究重心放在内核层,比如我一直在研究的LSM和eBPF的结合。
谈eBPF未来的发展
我近期也对eBPF做了很多思考,如其他教授、专家所说,目前eBPF也存在着碎片化、不标准的问题。所以对于未来的发展,我这边有2个初步想法:
1 做一套从底到上的标准:内核态向上有一层标准接口,应用态也有一层标准接口。虽然eBPF有辅助函数,但也会存在很多编译、语言、代码框架等的问题,因此需要一套从底到上的标准;
2 针对安全等方面可做统一规范:从安全的角度看,可观测性的能力还比较弱,都仅处于初级的检测并告警的阶段,如果做出阻断动作,就会影响到业务。因此针对安全等重要方面,可以从可观测性或平台标准化做统一的规范,对整体eBPF的发展也将有很大帮助。
eBPF理想的编程语言需要具备什么特点?
不管从内核态角度和应用态角度看,下发到内核态,都亟需一套标准化的框架和接口。现在我们提出的观点是,希望有更多的初学者能够更深入地使用eBPF,那么就应该降低使用的复杂性,或在复杂性上做个封装,才能够引导更多人来学习和使用eBPF。
深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究,推动技术创新变革与落地,拥有安全和云计算领域500+ 专利,实现攻击和检测技术的相互赋能,并及时把能力输入到业务线中,实现自身产品的迭代优化。未来,深信服千里目安全技术中心也将不断提高专业技术造诣,深度洞察网络安全威胁,持续为网络安全赋能。