Identity Aware Threat Detection and Network Monitoring by using eBPF

## 使用 eBPF 进行身份感知威胁检测和网络监控总结 ### 引言 - **eBPF 的应用**：eBPF（扩展的 Berkeley 转发协议）具有多种用途，包括日志记录和性能优化。 - **当前重点**：目前聚焦于**网络监控和威胁检测**。 - **核心用例**： - 监控可疑的入站和出站连接。 - 检测工作负载与可疑 IP 的通信。 - 发现未经授权的互联网流量。 - 监控工作负载访问 Kubernetes API 服务器的行为。 ### 问题 - **传统工具的局限性**：传统网络工具依赖 IP 和端口，但在 Kubernetes 环境中，IP 地址动态变化，导致传统工具失效。 - **K8s 工作负载的挑战**：容器化工作负载的动态 IP 导致传统基于 IP 的监控方法不再适用。 ### 解决方案 - **eBPF + Cilium**： - **数据导出**：将网络流量数据导出到工具（如 Splunk）进行分析。 - **定义签名**：通过定义网络流量签名，实现更精准的威胁检测。 - **网络策略决策**：支持实时流量决策（如转发或丢弃）。 ### 案例分析 1. **外发流量监控**： - **场景**：检测被入侵的 pod（如门罗币矿工）的外发连接。 - **关键信息**： - **源信息**：包括命名空间、pod 和标签。 - **决策字段**：记录流量是被转发还是丢弃。 - **目标 DNS**：识别可疑目标域名。 2. **未经授权的互联网连接**： - **场景**：发现意外暴露的 Kubernetes 服务（如 Guestbook FE）。 - **关键信息**： - **目标信息**：包括 Kubernetes 标签。 - **决策字段**：记录流量处理结果（如转发或丢弃）。 3. **访问 Kubernetes API 服务器**： - **场景**：检测未经授权或恶意的 API 访问行为（如利用漏洞或 stolen token）。 - **关键信息**： - **源信息**：包括命名空间、pod 和标签。 - **决策字段**：记录流量处理结果（如转发或丢弃）。 ### 总结 - **eBPF 的优势**：通过与 Cilium 结合，eBPF 提供了实时、高效的网络监控能力，能够基于工作负载身份和网络行为进行精准的威胁检测。 - **核心价值**：解决了传统网络工具在动态 Kubernetes 环境中的不足，实现了基于身份的网络威胁检测和监控。