Sapo-boi : um sistema de detecção de instrusões por assinatura em espaços de kernel e usuário utilizando BPF e XDP

Abstract

Resumo: Sistemas de Detecção de Intrusão em redes por assinatura proporcionam uma maneira de realizar inspeção de tráfego em um segmento de rede, aumentando assim sua segurança, haja vista a possível detecção de padrões relacionados com atividade maliciosa (assinaturas de malware). Devido à execução de Deep Packet Inspection, o desempenho desse tipo de solução tende a ser menor à medida que as taxas de transmissão ou a quantidade de assinaturas presentes na base aumentam. Uma possível abordagem para o aumento de desempenho dessas soluções é a implementação em espaço de kernel, mais especificamente, em espaço de driver, antes que as estruturas que representam um pacote sejam alocadas pelo sistema operacional. Desta forma, é possível escrever um programa BPF (Berkeley Packet Filter), anexado à primeira camada da pilha de rede do kernel Linux, o XDP (eXpress Data Path), que tem por objetivo realizar a detecção de assinaturas de malware. Este trabalho propõe o Sapo-boi (Sistema de Avaliação e Processamento de tráfegO baseado em BPF/XDP para Observação de Intrusões), a fim de mostrar a viabilidade da implementação de um sistema de detecção de intrusões por assinatura em espaço de kernel/driver, bem como discutir as implicações e limitações de fazê-lo. A solução é dividida em dois módulos, o Módulo de Suspeição: um programa BPF/XDP usado para o casamento inicial de padrões maliciosos em espaço de kernel, que redireciona pacotes considerados suspeitos para o espaço de usuário através de sockets XDP; e o Módulo de Avaliação: processo de usuário, para onde os pacotes oriundos do Módulo de Suspeição são redirecionados para avaliação aprofundada e veredito final. Os experimentos foram executados de forma a comparar o Sapo-boi com outras três soluções: duas delas totalmente em espaço de usuário, e uma que, como o Sapo-boi, também é dividida entre espaços de kernel e usuário. Os resultados apontam uma queda significativa da taxa de pacotes não avaliados pela solução proposta quando comparada às soluções em espaço de usuário, bem como indicam que a maneira como o Sapo-boi realiza a passagem de pacotes para o espaço de usuário é mais robusta do que a maneira realizada pela outra solução em kernel. Mais especificamente, num cenário com alto número de assinaturas a serem avaliadas (16 mil) e 10Gbps, o Sapo-boi deixa de avaliar pouco mais de 2% dos pacotes, ao passo Suricata e Snort deixam de avaliar 9,61% e 91,7%, respectivamente. Com relação à outra solução em espaço de kernel, com as mesmas métricas citadas anteriormente, o Sapo-boi é capaz de redirecionar 99,99% dos pacotes ao espaço de usuário, ao passo que a solução mencionada redireciona pouco mais de 91%, o que pode acarretar na ausência de alertas, que representam a real detecção da atividade maliciosa.