Titulo Estágio
eBPF-IDS: Dynamic networking and security programming for IDS detection
Local do Estágio
DEI-FCTUC
Enquadramento
O kernel do Linux tem incluído tecnologias que tem possibilitado a sua programação de forma dinâmica. O extended Berkeley Packet Filter (eBPF) é um dos exemplos que possibilita a programação dinâmica do kernel para controlar equipamentos de rede, para permitir uma monitorização eficiente, o tracing de eventos e até a própria segurança do sistema.
A grande vantagem do eBPF prende-se com a sua performance, dado que os programas em eBPF são executados ao nível do kernel. Tendo assim acesso a um conjunto de informação bastante relevante para a monitorização e segurança. Estas funcionalidades estendem-se a microserviços e a plataformas de orquestração como o kubernetes em que possibilita a especificação de forwarding pipelines de forma programática.
Os mecanismos de deteção de intrusões (IDS) requerem uma quantidade de dados considerável para permitir a identificação de intrusões com algum grau de precisão. Existem trabalhos pioneiros que combinam a utilização de eBPF para possibilitar o desenvolvimento de IDS de elevada performance.
O objetivo deste trabalho é desenhar e implementar uma prova de conceito para um sistema IDS recorrendo a eBPF: eBPF-IDS.
Objetivo
O estágio a desenvolver tem os seguintes objetivos:
- Identificar modelos ML usados em IDS e que possam ser implementados através de eBPF;
- Aquisição de conhecimento de eBPF e do ciclo de desenvolvimento de programas eBPF;
- Desenho de uma prova de conceito para o eBPF-IDS.
- Avaliação preliminar do eBPF-IDS.
Adicionalmente, espera-se que como resultado do trabalho seja possível a publicação de um artigo científico numa conferência ou revista internacional.
Plano de Trabalhos - Semestre 1
T1.1 – Análise do estado da arte relativamente a modelos ML usados em IDS.
T1.2 – Análise do estado da arte relativamente IDS através de eBPF, identificação de eventos e métricas relevantes para IDS.
T1.3 – Análise do estado da arte relativamente a eBPF.
T1.4 – Definição do caso de uso e identificação do(s) vetor(es) de ataque.
T1.5 – Escrita do relatório intermédio.
Plano de Trabalhos - Semestre 2
T2.1 – implementação de programas em eBPF para recolha de informação.
T2.2 – implementação de modelos ML em eBPF para IDS.
T2.3 – integração numa prova de conceito: ePBF-IDS.
T2.4 – Avaliação da prova de conceito eBPF-IDS.
T2.3 – Elaboração da documentação para efeitos de dissertação e de publicação científica.
Condições
O aluno terá acesso a todos os recursos computacionais necessários para desenvolver o trabalho. Será também disponibilizado um local de trabalho no CISUC (Centro de Informática e Sistemas da Universidade de Coimbra). A avaliação através de simulação poderá ser feita recorrendo a recursos computacionais disponíveis no departamento.
Observações
O estágio será coorientado pelo Professor Tiago Cruz.
As atividades propostas nesta dissertação enquadram-se no projeto NEXUS.
Porque é que este estágio é interessante?
- Participação num projeto nacional com participantes de renome;
- Possibilidade de contribuir para uma Internet mais segura e confiável;
Orientador
Bruno Sousa
bmsousa@dei.uc.pt 📩