姓名 簡羅佑(Luo-You Jian)
畢業系所 資訊工程學系
論文名稱 基於eBPF 對容器逃逸攻擊的防禦機制研究
(A Study on Defense Mechanisms Against Container Escape Attacks Based on eBPF)
摘要(中) 隨著企業陸續將服務從本地端遷移至雲端,容器 (Container) 的使用數量也伴隨著雲原生 (Cloud native) 服務普及快速上升,容器不僅為開發環境與生產環境不一致的問題提供了解決方案,同時與虛擬機器 (Virtual Machine, VM) 相比具有快速啟動與輕量化等優勢。由於容器是使用作業系統所提供的功能建構隔離環境,因此容器之間共享作業系統核心 (Kernel) ,這也造成了容器逃逸攻擊 (Container escape attack) 利用核心漏洞瓦解容器的隔離性,使容器中運行的程式惡意存取主機(Host)環境內容甚至篡改。擴展柏克萊封包過濾器(extended Berkeley Packet Filter, eBPF) 是Linux作業系統核心中用於事件監控與追蹤的模組,並執行於Linux 核心中的Just In Time (JIT) 虛擬機,使過濾規則可以動態地注入內核並維持核心安全性。本論文將使用eBPF模組提出基於事件驅動的容器逃逸攻擊防禦系統ACES,從核心層級檢測並且即時封鎖容器逃脫攻擊,並提出階級化的容器逃逸事件以執性對應的防禦措施,實驗結果顯示ACES能夠對檔案系統與特權提升兩種容器逃逸攻擊有效防禦,並且攻擊的偵測與阻斷時間間隔最低為10 μs。ACES透過eBPF map記錄所偵測到的逃逸事件行程(Process),使同一行程在初次被偵測到容器逃逸事件後,其後續容器逃逸事件行為被偵測和阻斷的時間間隔最高降低了88.09%。
摘要(英) With enterprises gradually migrating their services from on-premises to the cloud, the usage of containers has surged alongside the growing popularity of cloud-native services. Containers not only provide solutions to the inconsistencies between development and production environments but also offer advantages such as rapid startup and lightweight nature compared to virtual machines (VMs). Since containers build isolated environments using the functionalities provided by the operating system, they share the operating system kernel among them. This shared kernel leads to container escape attacks exploiting kernel vulnerabilities to break the isolation of containers, allowing malicious programs running within a container to access or even tamper with the host environment. extended Berkeley Packet Filter (eBPF) is a module in the Linux operating system kernel used for event monitoring and tracing, executed in the Just In Time (JIT) virtual machine within the Linux kernel. It allows filtering rules to be dynamically injected into the kernel while maintaining kernel security. This paper proposes an event-driven container escape attack defense system, ACES, using the eBPF module to detect and block container escape attacks at the kernel level in real-time. It also presents hierarchical container escape events with corresponding defense mechanisms. Experimental results show that ACES can effectively defend against two types of container escape attacks—file system and privilege escalation. The detection and blocking time interval of the attacks is as low as 10 μs. ACES records the detected escape event processes through the eBPF map, allowing the time interval for subsequent detection and blocking of container escape events for the same process to be reduced by up to 88.09% after the initial detection.
關鍵字(中) ★ 容器安全
★ 容器逃逸攻擊
★ 事件驅動
論文目次 摘要 i
Abstract ii
誌謝 iii
目錄 iv
圖目錄 vii
表目錄 x
第一章 緒論 1
1.1. 概要 1
1.2. 研究動機 2
1.3. 研究目的 3
1.4. 章節架構 3
第二章 背景知識與相關研究 5
2.1. 容器 Container 5
2.2. 容器逃逸攻擊 Container Escape Attack 6
2.3. 擴展柏克萊封包過濾器 eBPF 7
2.4. 相關研究 12
第三章 提出的ACES系統 15
3.1. 系統架構與設計 15
3.2. 系統運作流程與實作 17
3.2.1. 容器逃逸事件定義 18
3.2.2. 容器事件的捕獲 19
3.2.3. 事件驅動的防禦流程 20
3.2.4. Warning event的偵測與阻斷 21
3.2.5. Critical event的偵測與阻斷 25
3.2.6. Threat event的偵測與阻斷 28
3.2.7 事件追蹤 32
3.3. 系統環境與假設 35
第四章 實驗與討論 36
4.1. 情境一:ACES 功能性驗證 36
4.1.1. 實驗一:使用Docker CVE漏洞對容器攻擊 36
4.1.2. 實驗二:使用Kubernetes CVE漏洞對容器攻擊 40
4.1.3. 實驗三:在不安全的容器配置下對容器攻擊 44
4.2. 情境二:ACES 的穩健性驗證 47
4.2.1. 實驗四:使用eBPF漏洞提升權限 47
4.2.1. 實驗五:使用特權容器讀取eBPF map 50
4.3. 情境三:ACES 的效能檢驗 52
4.3.1. 實驗六:ACES偵測容器逃逸事件的記憶體使用率 52
4.3.2. 實驗七:ACES偵測容器逃逸事件的CPU使用率 53
4.3.1. 實驗八:perf event取樣頻率對容器運作的影響 55
第五章 結論與未來研究方向 58
5.1. 結論 58
5.2. 研究限制 59
5.3. 未來研究 59
參考文獻 61
指導教授 周立德 審核日期 2024-8-14
