eBPF-IDS: Dynamic networking and security programming for IDS detection

Bibliographic Details
Main Author: Monteiro, João Lopes Teixeira
Publication Date: 2024
Format: Master thesis
Language: eng
Source: Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
Download full: https://hdl.handle.net/10316/116520
Summary: Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
id RCAP_8baf37e65982cef497396aecbf99e4a5
oai_identifier_str oai:estudogeral.uc.pt:10316/116520
network_acronym_str RCAP
network_name_str Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository_id_str https://opendoar.ac.uk/repository/7160
spelling eBPF-IDS: Dynamic networking and security programming for IDS detectioneBPF-IDS: Dynamic networking and security programming for IDS detectionextended Berkeley Packet FilterIntrusion Detection SystemMachine LearningPort ScanningeXpress Data PathFiltro de pacotes Berkeley estendidoSistema de Deteção de IntrusõesAprendizado de MáquinaVarredura de PortasRota de Dados ExpressaDissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e TecnologiaAn Intrusion detection system (IDS) is an essential component in information security. This tool allows for the monitoring of environments, enabling visibility over various scenarios and possession capabilities of alerting for possible breaches in security. These intrusions can harm confidentiality, integrity and availability properties. When it comes to the mechanism by which intrusions are detected, a new frontier, is by using Machine Learning (ML).extended Berkeley Packet Filter (eBPF) is a tool that allows the kernel to be modified dynamically. One of its properties is analysing traffic at a very early point in the kernel. The level at which eBPF is inserted and its performance make it a great solution to be combined with an IDS.This thesis will analyse the topics of eBPF and IDS with the final goal of intersecting both. To fulfil this objective, a literature review on the topics was conducted. This review initially focused on the research of eBPF-IDS solutions to assess the state of the art. It then progressed to the examination of ML methods of detecting port scans. Both domains were then compared to determine the best options to follow. From there, a proof of concept was developed. The implemented IDS used ML in combination with eBPF, functions in the hardware domain using XDP Offload, and is capable of detecting efficiently different types of port scans.From the evaluation of the final solution, it presented promising results. Given this assessment, it is possible to assume that real-world scenarios could apply this type of solution.Os Sistemas de Deteção de Intrusões (IDS) é um componente essencial na segurança da informação. Esta ferramenta permite monitorizar sistemas, proporcionando visibilidade sobre vários cenários com a capacidade de emitir alertas para possíveis intrusões. Essas intrusões podem causar danos à confidencialidade, integridade e disponibilidade dos dados. No que diz respeito ao mecanismo pelo qual intrusões são identificadas, uma nova fronteira é através do uso de Aprendizado de Máquina (ML).O Berkeley Packet Filter estendido (eBPF), é uma ferramenta que permite a modificação dinâmica do kernel. Uma de suas propriedades é a de analisar o tráfego no início do kernel. O nível em que o eBPF é inserido e seu desempenho tornam no uma ótima solução para ser combinada com um IDS. Esta tese irá analisar os tópicos de eBPF e IDS, com o objetivo final de os intersectar. Para alcançar este objetivo foi realizado uma análise da literatura. A análise focou-se primeiro em soluções eBPF-IDS para determinar o estado da arte. Depois, foram examinadas soluções que usassem ML para detetar varreduras de portas. Os dois domínios foram juntados para tentar determinar as melhores decisões a seguir. Em seguida, foi desenvolvida uma prova de conceito. O IDS implementado, usa ML junto com eBPF, e funciona na camada de hardware usando XDP Offload, sendo capaz de detetar de forma efetiva diferentes tipos de varreduras de portas. A avaliação da solução final, demonstrou resultados promissores. Através desta análise, é possível assumir que cenários reais podem aplicar este tipo de solução.FCT2024-07-16info:eu-repo/semantics/publishedVersioninfo:eu-repo/semantics/masterThesishttps://hdl.handle.net/10316/116520https://hdl.handle.net/10316/116520TID:203693639engMonteiro, João Lopes Teixeirainfo:eu-repo/semantics/openAccessreponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiainstacron:RCAAP2024-09-11T22:07:43Zoai:estudogeral.uc.pt:10316/116520Portal AgregadorONGhttps://www.rcaap.pt/oai/openaireinfo@rcaap.ptopendoar:https://opendoar.ac.uk/repository/71602025-05-29T06:10:14.508649Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologiafalse
dc.title.none.fl_str_mv eBPF-IDS: Dynamic networking and security programming for IDS detection
eBPF-IDS: Dynamic networking and security programming for IDS detection
title eBPF-IDS: Dynamic networking and security programming for IDS detection
spellingShingle eBPF-IDS: Dynamic networking and security programming for IDS detection
Monteiro, João Lopes Teixeira
extended Berkeley Packet Filter
Intrusion Detection System
Machine Learning
Port Scanning
eXpress Data Path
Filtro de pacotes Berkeley estendido
Sistema de Deteção de Intrusões
Aprendizado de Máquina
Varredura de Portas
Rota de Dados Expressa
title_short eBPF-IDS: Dynamic networking and security programming for IDS detection
title_full eBPF-IDS: Dynamic networking and security programming for IDS detection
title_fullStr eBPF-IDS: Dynamic networking and security programming for IDS detection
title_full_unstemmed eBPF-IDS: Dynamic networking and security programming for IDS detection
title_sort eBPF-IDS: Dynamic networking and security programming for IDS detection
author Monteiro, João Lopes Teixeira
author_facet Monteiro, João Lopes Teixeira
author_role author
dc.contributor.author.fl_str_mv Monteiro, João Lopes Teixeira
dc.subject.por.fl_str_mv extended Berkeley Packet Filter
Intrusion Detection System
Machine Learning
Port Scanning
eXpress Data Path
Filtro de pacotes Berkeley estendido
Sistema de Deteção de Intrusões
Aprendizado de Máquina
Varredura de Portas
Rota de Dados Expressa
topic extended Berkeley Packet Filter
Intrusion Detection System
Machine Learning
Port Scanning
eXpress Data Path
Filtro de pacotes Berkeley estendido
Sistema de Deteção de Intrusões
Aprendizado de Máquina
Varredura de Portas
Rota de Dados Expressa
description Dissertação de Mestrado em Segurança Informática apresentada à Faculdade de Ciências e Tecnologia
publishDate 2024
dc.date.none.fl_str_mv 2024-07-16
dc.type.status.fl_str_mv info:eu-repo/semantics/publishedVersion
dc.type.driver.fl_str_mv info:eu-repo/semantics/masterThesis
format masterThesis
status_str publishedVersion
dc.identifier.uri.fl_str_mv https://hdl.handle.net/10316/116520
https://hdl.handle.net/10316/116520
TID:203693639
url https://hdl.handle.net/10316/116520
identifier_str_mv TID:203693639
dc.language.iso.fl_str_mv eng
language eng
dc.rights.driver.fl_str_mv info:eu-repo/semantics/openAccess
eu_rights_str_mv openAccess
dc.source.none.fl_str_mv reponame:Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
instname:FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
instacron:RCAAP
instname_str FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
instacron_str RCAAP
institution RCAAP
reponame_str Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
collection Repositórios Científicos de Acesso Aberto de Portugal (RCAAP)
repository.name.fl_str_mv Repositórios Científicos de Acesso Aberto de Portugal (RCAAP) - FCCN, serviços digitais da FCT – Fundação para a Ciência e a Tecnologia
repository.mail.fl_str_mv info@rcaap.pt
_version_ 1833602599964639232

Similar Items