eBPF 기반 도커 컨테이너 이상행위 탐지 도구 구현에 관한 연구

A Study on the Implementation of an eBPF-based Anomaly Detection Tool for Docker Containers

컨테이너에서 프로세스의 동작 모니터링과 네트워크를 통하여 들어오는 패킷을 분석하기 위하여 다양한 연구가 수행되고 있다. Agent 설치 방식, 별도의 instance 생성을 통한 분석 방식 등의 연구가 진행되었으나, 처리 속도가 지연된다는 점에서 단점이 있었다. 또한, 기존 논문들에서는 직접 구현한 system call 모니터링 도구를 이용하기 때문에 효율성이 떨어져 활용이 어려운 점이 있었다. 본 논문에서는 이를 극복하고자 eBPF를 통하여 처리 속도에 영향을 최소화하면서 프로세스의 동작 및 다양한 패킷을 모니터링하는 기법을 제안하였다. eBPF는 host 커널에 설치되어 처리하기 때문에 기존 방식보다 처리 속도 측면에서 우수하다. eBPF 사용을 위하여 Bcc 툴에서 제공되는 기존의 코드를 변경하여 TCP 패킷 전부를 추적하여, 패킷 분석을 수행할 수 있도록 하였다. 또한, eBPF 도구에서 제공되는 execsnoop 툴을 이용하여 컨테이너 system call 추적 도구를 구현하였다. 이를 활용하여, 새롭게 생성되는 프로세스에 대하여 PPID 기반 system call tracing을 수행하고, 새롭게 생성되어 동작하는 프로세스의 명령을 tracing하여 이상 동작을 수행하는 경우, 탐지하는 시스템을 구현하였다.

To monitor process behavior within containers and analyze incoming network packets, various studies have been conducted. Research has explored methods such as agent-based installations and analysis through separate instances. However, these approaches have been limited by delays in processing speed. Furthermore, existing papers often rely on custom-implemented system call monitoring tools, which are inefficient and difficult to utilize. This paper proposes a method using eBPF to overcome these limitations, minimizing the impact on processing speed while monitoring both process behavior and diverse network packets. Because eBPF is installed and processed within the host kernel, it offers superior processing speed compared to conventional methods. To leverage eBPF, we modified existing code from the Bcc tool to trace all TCP packets for comprehensive packet analysis. We also developed a container system call tracing tool using the execsnoop tool provided by eBPF. This tool performs PPID-based system call tracing for newly created processes and monitors their commands. By doing so, we have implemented a system that can detect processes exhibiting anomalous behavior.