探索创新边界:eHIDS - 开源的eBPF驱动的主机入侵检测系统

于 2024-05-08 09:45:40 发布
阅读量881 收藏 16
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00011/article/details/138559958
版权

探索创新边界:eHIDS - 开源的eBPF驱动的主机入侵检测系统

eHIDS Logo

在网络安全的世界中,eHIDS是一个独特的存在,它是一款基于先进的eBPF(Extended Berkeley Packet Filter)内核技术实现的主机入侵检测系统(Host Intrusion Detection System)示例项目。尽管它只是一个DEMO,但其潜力和潜力却不可小觑。

项目介绍

eHIDS设计简洁而强大,提供了一系列监控功能,包括TCP和UDP网络数据捕获、DNS信息跟踪、进程活动捕获,甚至包括JAVA RASP命令执行场景的事件捕获。它的核心优势在于开发者只需要编写三份文件即可实现对内核模式的支持,大大降低了学习曲线和开发成本。

项目技术分析

eBPF原理: eBPF是一种在Linux内核中运行的虚拟机,允许安全地注入代码以进行低级别的网络和系统监控。eHIDS巧妙地利用了这一技术,通过C语言编写的内核模式代码,经过LLVM编译成eBPF字节码,再由Go语言编写的用户模式程序加载到内核并挂载到钩子点上,实现事件读取和解码处理。

项目结构

  • 内核模式部分采用原生Linux类库编写的ebpf程序,使用clang(llvm)编译为eBPF字节码。
  • 用户模式是用Go语言写的cilium/ebpf库,负责将eBPF字节码加载到内核,挂载到hook点以及事件读取。

应用场景和技术价值

eHIDS适用于云原生环境下的安全监控与防护,可用于:

  1. 实时监控网络流量,捕捉异常行为。
  2. 追踪系统级事件,如进程创建、文件操作等。
  3. 提供Java应用的安全增强(RASP),检测潜在的恶意命令执行。
  4. 自定义事件处理,如日志上报至ES或Kafka等日志中心。

项目特点

  1. 简单集成:只需实现少量文件,即可完成大部分功能。
  2. 多类型事件支持:覆盖网络、进程等多种事件类型。
  3. 可扩展性:通过logger接口实现自定义数据处理和上报。
  4. 灵活性:利用eBPF的强大功能,灵活应对复杂的安全场景。

:尽管eHIDS是一个DEMO,作者建议用户考虑使用Tetragon/Tracee/Falco等更完善的解决方案。

深度学习与社区资源

作者还计划深度解析一系列云原生eBPF安全保护产品,并分享设计理念与功能。此外,项目中还提供了相关的环境安装步骤和编译运行指南。加入作者的微信交流群,可以获取更多实时更新和专家指导。

下一步规划

作者将继续深入研究eBPF相关技术,并计划实现更多功能,包括监控、报警、融合统计等。

加入我们

扫描图片中的二维码,加入微信群,与其他热爱eBPF和网络安全的开发者一起探讨交流。

eHIDS Wechat Group

总之,无论你是想探索eBPF前沿技术,还是寻找用于生产环境的主机入侵检测方案,eHIDS都是一个值得深入了解的项目。立即尝试,开启你的创新之旅吧!

邬筱杉Lewis
关注
  • 10
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
yulong-hids:一种由YSRC开源主机入侵检测系统
02-20
驭龙隐藏 由于此项目缺少维护,建议仅用于参考学习和二次开发 驭龙HIDS是一种由YSRC开源开源入侵检测系统,由Agent , Daemon , Server和Web四个部分组成的,集合异常检测,监控管理为一体,拥有异常行为发现,快速中断,高级分析等功能,可从多个维度行为信息中发现入侵行为。 代理为收集者角色,收集服务器信息,启动启动项,计划任务,监听端口,服务,登录日志,用户列表,实时监控文件操作行为,网络连接,执行命令,初步筛选整理后通过RPC协议传输到服务器官员。 Daemon为守护服务进程,为Agent提供进程守护,静默环境部署作用,其任务执行功能通过接收服务端的指令实现Agent热更新,切换功能和自定义命令执行等,任务传输过程使用RSA进行加密。 服务器为集成系统的大脑,支持横向扩展分布式部署,解析用户定义的规则(已内置部分基础规则)对从各个代理接收到的信息和行为进行分
eHIDS 一款基于eBPFHIDS开源工具
04-17 1194
一 前言IDS一般指入侵检测系统入侵检测系统(intrusion detection system,简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。HIDS全称是Host-based Intrusion Detection System,即基于主机入侵检测系统,部署在主机内的,主要是对主机的异常行为进行检测,比...
探索未来安全防护:EhIDS-Agent项目深度解析
最新发布
gitblog_00072的博客
04-27 266
探索未来安全防护:EhIDS-Agent项目深度解析 项目地址:https://gitcode.com/ehids/ehids-agent EhIDS-Agent是一个开源入侵检测系统(IDS)代理,源自GitCode,旨在提供高效、轻量级的安全监控解决方案。本文将深入探讨该项目的技术特性,应用场景及其优势,以期吸引更多的开发者和安全专业人员使用。 1. 项目简介 EhIDS-Agent的主要目...
最好用的五大开源入侵检测工具
2301_76161259的博客
04-12 1711
作为网络安全专业人士,我们一直在阻止攻击者访问我们的网络,但随着移动设备,分布式团队和物联网(IoT)的兴起,使得对网络的保护更加困难。网络安全工作者不得不引起重视的问题是,当攻击者成功攻陷你的网络时,你发现攻击的时间越长,数据泄露所造成的损失越大。通过采用强大的事件响应计划支持的可靠入侵检测系统(IDS),用户可以减少漏洞的潜在损害。IDS通常分为两组:基于特征码的IDS,它会通过扫描发现它们存在的已知的恶意流量并进行警报。此外还有基于异常的IDS,它会通过查看基线来暴露异常状况。
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动
墨痕诉清风的博客
03-10 1599
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
CaIS System:50-开源
07-18
M Technology developer 免费软件库 Linux/Windows 编程语言: - M(umps) - Gambas (Linux Gamed BASIC) - Delphi (Windows)
ANPR for National Borders:国家边界系统的ANPR-开源
04-28
这个想法是通过在穿越国家边界时整合自动车辆识别功能来增强和发展国家边界穿越过程。 我将使用自动车牌识别(ANPR):一种通过使用OCR(光学字符识别)技术和红外摄像头识别车牌号的系统。 这将通过从相机获取车牌...
LS-SVM.zip_LS-SVM c++_SVM入侵检测_ls-svm_入侵检测
09-22
LS-SVM(Least Squares Support Vector Machine,最小二乘支持向量机)是一种在机器学习领域广泛应用的分类和回归算法,尤其在入侵检测系统中表现出色。LS-SVM与传统的支持向量机(SVM)相比,其主要优势在于求解...
eye-OS 2.5 Open Source Version:eye-OS 2.5版本开源-开源
05-30
**eye-OS 2.5 开源版:一个创新的桌面模拟系统** eye-OS 2.5 是一个开源的、基于Web的桌面操作系统,它为用户提供了与传统桌面环境相似的体验,但通过浏览器即可访问。这个项目以其独特的设计理念和广泛的可定制性...
igabem:使用matlab进行等几何边界元分析-开源
07-02
此代码包含运行用于弹性静力学分析的 2D 等几何代码所需的所有 matlab 文件。 如需更多指导,最好查看代码存储库,此处也可能提供对代码的最新更新。 主要思想是,不是使用传统的拉格朗日多项式来离散未知场和几何...
5个流行的开源HIDS系统介绍
热门推荐
allway2的博客
06-29 1万+
威胁形势变得越来越多样化,用于攻击的系统比以往任何时候都更加复杂。毫无疑问,入侵检测系统对于确保现代组织资产和所有网络流量的安全至关重要。这些保护措施用于捍卫对组织网络的受限访问。当涉及入侵检测系统时,有两种不同的类型。基于主机的(HIDS)和基于网络的系统(NIDS)。基于网络的IDS分析网络流量中是否有入侵,并发出警报,而HIDS通过检查网络上的事件来跟踪主机的可疑活动。 本文将介绍五个基于主机开源入侵检测系统,以帮助您保护组织。 关于HIDS 在深入研究HIDS工具之前,让我们探讨什么是基于主
开源入侵检测系统-Snort
LISTONE的个人博客
06-03 1757
Snort Snort简介 Snort安装与配置 Snort总体结构分析 Snort的使用 Snort的规则 使用 Snort构建入侵检测系统实例 Snort简介 Snort是一个基于 Libpcap的轻量级网络入侵检测系统,它运行在一个“传感器(Sensor)”主机上,监听网络数据。 Snort能够把网络数据和规则集进行模式匹配,从而检测可能的入侵企图;或者使用 SPADE(Statistical Packet Anomaly Detection Engine)插件,使用统计学方法对网络数据进行异常检
Linux中基于eBPF的恶意利用与检测机制
美团技术团队
04-07 5620
总第499篇2022年 第016篇近几年云原生领域飞速发展,eBPF技术成为各厂商首选技术,在网络编排、行为观测等领域四处开花。然而收益与风险并存,不久前爆出的Bvp47后门正是利用BPF技术惊人地在世界各地潜伏了近二十年。今日BPF已演进为eBPF,黑客会如何利用,造成什么危害?我们又该如何防范?前言现状分析海外资料国内资料eBPF技术恶意利用的攻击原理Linux网络层...
基于eBPF开源项目
eBPF_Kindling的博客
04-29 909
引言 真正意义上的eBPF技术虽然诞生还不到十年时间(2014年首次提出eBPF概念),但已经发展成为当下炙手可热的技术。去年8月,由微软、谷歌、Facebook(已更名为meta) 等公司联合成立了eBPF基金会,大力发展eBPF技术。最近几年,eBPF技术在国内也得到了广泛应用,很多大厂也开始关注并采用eBPF技术。 eBPF简介 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的小伙伴对BPF应该比较了解,它通过特定的语法
界面字符配置类
08-08 5100
.h文件 #ifndef _INC_VWTP_RESDEF_H_ #define _INC_VWTP_RESDEF_H_ #define EHIDS_TXTDEF(EHIDSID) \ static const LPCTSTR EHIDSID = _T(#EHIDSID); #define EHIDD_RESDEF(IDDID) \ static const LPCTSTR I
13款入侵检测系统介绍(HIDS)
ss810540895的博客
09-27 8586
入侵检测系统(IDS)监视网络流量中是否存在异常或可疑活动,并将警报发送给管理员。主要功能是检测异常活动并将其报告给网络管理员。但是,某些IDS软件可以在检测到恶意活动(例如阻止某些传入流量)时根据规则采取措施。IDS是入侵检测系统,IPS是入侵防御系统。尽管IDS可以检测对网络和主机资源的未授权访问,但是IPS可以完成所有这些工作,并实施自动响应以将入侵者拒之门外,并保护系统免遭劫持或数据被盗。IPS是具有内置工作流程的IDS,该工作流程由检测到的入侵事件触发。
开源入侵检测工具
有理论,有实验,有结论,可为一篇文章
05-31 4882
[ 转载自:https://www.cnblogs.com/gaoyuechen/p/8594167.html ] 1、Snort   Snort是一个免费的开源网络入侵检测和预防工具。它是由Martin Roesch于1998年创建的。使用Snort的主要优点是能够在网络上执行实时流量分析和数据包记录。凭借协议分析,内容搜索和各种预处理器的功能,Snort被广泛接受为检测各种蠕虫,攻击,端口扫描...
深度学习物体检测方法探索:R-CNN到YOLO
"物体检测是计算机视觉领域的重要技术,它结合了物体识别和定位,旨在确定图像中的目标对象并给出其精确位置。本资源主要涵盖了物体检测的基本概念、方法和常用的技术,包括基于候选框的方法(如R-CNN系列)和基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

邬筱杉Lewis

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值