Sapo-boi : um sistema de detecção de instrusões por assinatura em espaços de kernel e usuário utilizando BPF e XDP

Abstract

Resumo: Sistemas de Detecção de Intrusão em redes por assinatura proporcionam uma maneira de realizar inspeção de tráfego em um segmento de rede, aumentando assim sua segurança, haja vista a possível detecção de padrões relacionados com atividade maliciosa (assinaturas de malware). Devido à execução de Deep Packet Inspection, o desempenho desse tipo de solução tende a ser menor à medida que as taxas de transmissão ou a quantidade de assinaturas presentes na base aumentam. Uma possível abordagem para o aumento de desempenho dessas soluções é a implementação em espaço de kernel, mais especificamente, em espaço de driver, antes que as estruturas que representam um pacote sejam alocadas pelo sistema operacional. Desta forma, é possível escrever um programa BPF (Berkeley Packet Filter), anexado à primeira camada da pilha de rede do kernel Linux, o XDP (eXpress Data Path), que tem por objetivo realizar a detecção de assinaturas de malware. Este trabalho propõe o Sapo-boi (Sistema de Avaliação e Processamento de tráfegO baseado em BPF/XDP para Observação de Intrusões), a fim de mostrar a viabilidade da implementação de um sistema de detecção de intrusões por assinatura em espaço de kernel/driver, bem como discutir as implicações e limitações de fazê-lo. A solução é dividida em dois módulos, o Módulo de Suspeição: um programa BPF/XDP usado para o casamento inicial de padrões maliciosos em espaço de kernel, que redireciona pacotes considerados suspeitos para o espaço de usuário através de sockets XDP; e o Módulo de Avaliação: processo de usuário, para onde os pacotes oriundos do Módulo de Suspeição são redirecionados para avaliação aprofundada e veredito final. Os experimentos foram executados de forma a comparar o Sapo-boi com outras três soluções: duas delas totalmente em espaço de usuário, e uma que, como o Sapo-boi, também é dividida entre espaços de kernel e usuário. Os resultados apontam uma queda significativa da taxa de pacotes não avaliados pela solução proposta quando comparada às soluções em espaço de usuário, bem como indicam que a maneira como o Sapo-boi realiza a passagem de pacotes para o espaço de usuário é mais robusta do que a maneira realizada pela outra solução em kernel. Mais especificamente, num cenário com alto número de assinaturas a serem avaliadas (16 mil) e 10Gbps, o Sapo-boi deixa de avaliar pouco mais de 2% dos pacotes, ao passo Suricata e Snort deixam de avaliar 9,61% e 91,7%, respectivamente. Com relação à outra solução em espaço de kernel, com as mesmas métricas citadas anteriormente, o Sapo-boi é capaz de redirecionar 99,99% dos pacotes ao espaço de usuário, ao passo que a solução mencionada redireciona pouco mais de 91%, o que pode acarretar na ausência de alertas, que representam a real detecção da atividade maliciosa.

Abstract: Signature-based Network Intrusion Detection Systems provide a way to perform network traffic inspection, increasing its security, considering the possible detection of malicious activity or malware signature related patterns. Due to Deep Packet Inspection, the performance of this type of solution tends to be lower as the transmission rates or the number of loaded signatures increase. A possible solution to improve the performance is to implement these solutions in kernel space, more specifically, in driver space, before the structures that represent a packet are allocated by the operating system. With this approach, it is possible to write a BPF (Berkeley Packet Filter) program to perform malware signature detection, hooked to the first layer of the Linux kernel network stack, the XDP (eXpress Data Path). This work proposes Sapo-boi, aiming to demonstrate the viability of implementing a signature-based network intrusion detection system in kernel/driver space, as well as to discuss its implications and limitations. The solution is divided into two modules, the Suspicion Module: an XDP/BPF program used to initially match malicious patterns, redirecting suspected packets to user space using XDP sockets; and the Evaluation Module: a user process, to which the packet that came from the Suspicion Module is forwarded so it can be deeply evaluated, and the final verdict is given. Experiments were executed in order to compare Sapo-boi with three other solutions: two of them are entirely in user space, and one that, like Sapo-boi, is also divided into kernel and user spaces. The results show a significant drop in the non-evaluated packet rate when compared to the solutions entirely in user space. The results also show that the manner in which Sapo-boi redirects the packets from the kernel to the user space is more robust than the manner done by the other kernel solution. More specifically, in a scenario with a high number of signatures to be evaluated (16000) and 10Gbps, Sapo-boi fails to evaluate just over 2% of packets, while Suricata and Snort fail to evaluate 9.61% and 91.7%, respectively. Regarding the other kernel-space solution, with the same metrics mentioned above, Sapo-boi is able to redirect 99.99% of packets to user space, while the aforementioned solution redirects just over 91%, which may result in the absence of alerts, which represent the real detection of malicious activity