Titulo Estágio
eBPF-IDS: Dynamic networking and security programming for IDS detection
Local do Estágio
DEI
Enquadramento
O kernel do Linux tem incluído tecnologias que tem possibilitado a sua programação de forma dinâmica. O extended Berkeley Packet Filter (eBPF) é um dos exemplos que possibilita a programação dinâmica do kernel para controlar equipamentos de rede, para permitir uma monitorização eficiente, o tracing de eventos e até a própria segurança do sistema.
A grande vantagem do eBPF prende-se com a sua performance, dado que os programas em eBPF são executados ao nível do kernel. Tendo assim acesso a um conjunto de informação bastante relevante para a monitorização e segurança. Estas funcionalidades estendem-se a microserviços e a plataformas de orquestração como o kubernetes em que possibilita a especificação de forwarding pipelines de forma programática.
Os mecanismos de deteção de intrusões (IDS) requerem uma quantidade de dados considerável para permitir a identificação de intrusões com algum grau de precisão. Existem trabalhos pioneiros que combinam a utilização de eBPF para possibilitar o desenvolvimento de IDS de elevada performance.
O objetivo deste trabalho é desenhar e implementar uma prova de conceito para um sistema IDS recorrendo a eBPF: eBPF-IDS
Objetivo
O estágio a desenvolver tem os seguintes objetivos:
- Identificar modelos ML usados em IDS e que possam ser implementados através de eBPF;
- Aquisição de conhecimento de eBPF e do ciclo de desenvolvimento de programas eBPF;
- Desenho de uma prova de conceito para o eBPF-IDS.
- Avaliação preliminar do eBPF-IDS.
Adicionalmente, espera-se que como resultado do trabalho seja possível a publicação de um artigo científico numa conferência ou revista internacional.
Plano de Trabalhos - Semestre 1
T1.1 – Análise do estado da arte relativamente a modelos ML usados em IDS.
T1.2 – Análise do estado da arte relativamente IDS através de eBPF, identificação de eventos e métricas relevantes para IDS.
T1.3 – Análise do estado da arte relativamente a eBPF.
T1.4 – Definição do caso de uso e identificação do(s) vetor(es) de ataque.
T1.5 – Escrita do relatório intermédio.
O trabalho terá por base, resultados obtidos previamente em ataques de reconhecimento (scanning). Os ataques de scanning são normalmente utilizados para identificar serviços, máquinas que depois podem ser atacados, por exemplo com ataques de negação de serviço (DoS).
Plano de Trabalhos - Semestre 2
T2.1 – implementação de programas em eBPF para recolha de informação.
T2.2 – implementação de modelos ML em eBPF para IDS.
T2.3 – integração numa prova de conceito: ePBF-IDS.
T2.4 – Avaliação da prova de conceito eBPF-IDS.
T2.3 – Elaboração da documentação para efeitos de dissertação e de publicação científica.
Condições
O aluno terá acesso a todos os recursos computacionais necessários para desenvolver o trabalho. Será também disponibilizado um local de trabalho no CISUC (Centro de Informática e Sistemas da Universidade de Coimbra). A avaliação poderá ser feita recorrendo a recursos computacionais disponíveis no departamento.
Observações
As atividades propostas nesta dissertação enquadram-se no projeto NEXUS.
Porque é que este estágio é interessante?
- Participação num projeto nacional com participantes de renome;
- Possibilidade de contribuir para uma Internet mais segura e confiável;
Orientador
Bruno Sousa
bmsousa@dei.uc.pt 📩