id: 36048
Title: Безпековий моніторинг інформаційних систем за допомогою eBPF
Authors: Хрущак С.В., Бойко О.Р., Терьохіна М.Ю.
Keywords: моніторинг, eBPF, інформаційні системи, виявлення загроз, кіберзахист, розширення ядра, ICMP
Date of publication: 2024-05-22 08:29:27
Last changes: 2024-05-22 08:29:27
Year of publication: 2024
Summary: У статті розглянуто використання систем, заснованих на технології eBPF для забезпечення безпекового моніторингу в інформаційних системах, а саме запобіганню використання прихованих каналів передачі даних за допомогою ICMP трафіку. eBPF (розширений фільтр пакетів Берклі) – це сучасна технологія, що дозволяє безпечно виконувати код у віртуальній машині всередині ядра Linux чи завантаженим безпосередньо на мережеву карту й таким чином надає багато можливостей по розширенню ядра, без необхідності внесення змін у саме ядро. З часом ця технологія стала ключовою для побудови багатьох сучасних систем моніторингу подій ядра та мережі. Описано призначення та можливості технології eBPF, зокрема її використання для моніторингу події системи, включаючи мережевий трафік та системні виклики, для вчасного виявлення потенційних загроз. Проведено аналіз методів початкового зараження систем основними найбільш вживаними фреймворками віддаленого керування та ботнетами і виділено шляхи покращення для їх виявлення. Основна увага у статті приділяється розробці механізму, який може виявляти і аналізувати ICMP пакети в реальному часі для визначення потенційних замаскованих каналів зараження мережі, не накладаючи значного навантаження на систему. Описано підхід до розробки та впровадження програми з використанням eBPF, що забезпечує фільтрацію та обробку ICMP трафіку в мережі. Проведено тестування розробленої системи з використанням Висвітлено можливі проблеми, які можуть виникнути під час реалізації системи моніторингу на основі eBPF та розглядаються можливі напрями подальших досліджень у цій галузі. Ця стаття може бути використана фахівцями з інформаційної безпеки та адміністраторами компʼютерних мереж, які цікавляться використанням передових технологій для забезпечення безпеки даних та інформаційних систем.
URI: http://repository.vsau.org/repository/getfile.php/36048.pdf
Publication type: Статті у наукових фахових виданнях України (Copernicus та інші)
Publication: Наука і техніка сьогодні. 2024. № 4 (32). С. 1251-1262. DOI: https://doi.org/10.52058/2786-6025-2024-4(32)-1251-1262
In the collections :
Published by: Адміністратор
File : 36048.pdf Size : 4074378 byte Format : Adobe PDF Access : For all
| |
|
|
