eBPF-IDS: Dynamic networking and security programming for IDS detection

Abstract

An Intrusion detection system (IDS) is an essential component in information security. This tool allows for the monitoring of environments, enabling visibility over various scenarios and possession capabilities of alerting for possible breaches in security. These intrusions can harm confidentiality, integrity and availability properties. When it comes to the mechanism by which intrusions are detected, a new frontier, is by using Machine Learning (ML).extended Berkeley Packet Filter (eBPF) is a tool that allows the kernel to be modified dynamically. One of its properties is analysing traffic at a very early point in the kernel. The level at which eBPF is inserted and its performance make it a great solution to be combined with an IDS.This thesis will analyse the topics of eBPF and IDS with the final goal of intersecting both. To fulfil this objective, a literature review on the topics was conducted. This review initially focused on the research of eBPF-IDS solutions to assess the state of the art. It then progressed to the examination of ML methods of detecting port scans. Both domains were then compared to determine the best options to follow. From there, a proof of concept was developed. The implemented IDS used ML in combination with eBPF, functions in the hardware domain using XDP Offload, and is capable of detecting efficiently different types of port scans.From the evaluation of the final solution, it presented promising results. Given this assessment, it is possible to assume that real-world scenarios could apply this type of solution.

Os Sistemas de Deteção de Intrusões (IDS) é um componente essencial na segurança da informação. Esta ferramenta permite monitorizar sistemas, proporcionando visibilidade sobre vários cenários com a capacidade de emitir alertas para possíveis intrusões. Essas intrusões podem causar danos à confidencialidade, integridade e disponibilidade dos dados. No que diz respeito ao mecanismo pelo qual intrusões são identificadas, uma nova fronteira é através do uso de Aprendizado de Máquina (ML).O Berkeley Packet Filter estendido (eBPF), é uma ferramenta que permite a modificação dinâmica do kernel. Uma de suas propriedades é a de analisar o tráfego no início do kernel. O nível em que o eBPF é inserido e seu desempenho tornam no uma ótima solução para ser combinada com um IDS. Esta tese irá analisar os tópicos de eBPF e IDS, com o objetivo final de os intersectar. Para alcançar este objetivo foi realizado uma análise da literatura. A análise focou-se primeiro em soluções eBPF-IDS para determinar o estado da arte. Depois, foram examinadas soluções que usassem ML para detetar varreduras de portas. Os dois domínios foram juntados para tentar determinar as melhores decisões a seguir. Em seguida, foi desenvolvida uma prova de conceito. O IDS implementado, usa ML junto com eBPF, e funciona na camada de hardware usando XDP Offload, sendo capaz de detetar de forma efetiva diferentes tipos de varreduras de portas. A avaliação da solução final, demonstrou resultados promissores. Através desta análise, é possível assumir que cenários reais podem aplicar este tipo de solução.