XiaoMi-AI文件搜索系统
World File Search SystemeBPF
EBPF安全威胁模型
检查时间(TOCTOU)问题可能会在安全工具中出现。目标是分析系统将准确执行的操作。但是,如果安全工具从用户空间内存中读取值,然后在内核作用之前更改了这些值,则内核“使用”的内容可能与您在用户空间中“检查”的内容有所不同。可以通过确保安全工具将值转移到内核内存后观察值来预防竞赛。这样做的两种主要方法是LSM(Linux Security Module)EBPF程序,并直接通过Kprobe/kretprobe/fentry/fentry/ferxit
Electrode:使用 eBPF 加速分布式协议
摘要 在标准 Linux 内核网络堆栈下实现分布式协议具有负载感知 CPU 扩展、高兼容性以及强大的安全性和隔离性等优势。然而,由于过多的用户-内核交叉和内核网络堆栈遍历,它的性能较低。我们为 Electrode 提供了一组专为分布式协议设计的基于 eBPF 的性能优化。这些优化在网络堆栈之前的内核中执行,但实现的功能与在用户空间中实现的类似(例如,消息广播、收集确认的法定人数),从而避免了用户-内核交叉和内核网络堆栈遍历产生的开销。我们表明,当应用于经典的 Multi-Paxos 状态机复制协议时,Electrode 将其吞吐量提高了 128.4%,延迟提高了 41.7%。
端点保护平台的魔术象限
CrowdStrike是这个魔术象限的领导者。CrowdStrike Falcon是旗舰EPP产品,作为云原始端点安全平台的一部分,以及具有附加模块的统一安全代理,例如文件完整性监视,云安全性,身份保护等。在2023年,CrowdStrike将其产品策略集中在进一步推进其Falcon Insight XDR产品上,该产品整合了CrowdStrike的投资组合中的事件和检测逻辑,并通过CrowdXDR Alliance通过CrowdStrike的投资组合进行了不断扩展的第三方集成列表。最近的合作伙伴关系包括与Google合作,作为CrowdStrike XDR解决方案的一部分,提供Chromeos的可见性和威胁检测。供应商现在提供了基于EBPF架构的Linux代理,
Tigger:一种利用用户绕过进行反弹的数据库代理
开发人员经常部署特定于数据库的网络代理,这样应用程序就可以透明地连接到代理,而不是直接连接到数据库管理系统 (DBMS)。这种间接连接通过连接池、负载平衡和其他特定于 DBMS 的优化提高了系统性能。这些代理不是简单地转发数据包,而是实现 DBMS 协议逻辑(即在应用程序层)来实现此行为。因此,现有的代理是用户空间应用程序,它们在请求到达网络套接字时处理请求并将其转发到适当的目的地。这种方法会导致效率低下,因为内核会在用户空间和内核空间之间反复复制缓冲区,并且相关的系统调用会增加 CPU 开销。本文介绍了用户旁路,这是一种通过利用支持自定义代码执行的现代操作系统功能来消除这些开销的技术。用户旁路通过 Linux 的 eBPF 基础设施将应用程序逻辑推送到内核空间。为了展示其优势,我们实现了 Tigger,这是一个与 PostgreSQL 兼容的 DBMS 代理,它使用用户旁路来消除传统代理设计的开销。我们将 Tigger 的性能与实际部署中广泛使用的其他最先进的代理进行了比较。我们的实验表明,Tigger 优于其他代理 — 在一种情况下,它实现了最低的事务延迟(最多减少 29%)和最低的 CPU 利用率(最多减少 42%)。结果表明,像 Tigger 这样的用户旁路实现非常适合 DBMS 代理的独特要求。
P4Control:线路率交叉主机攻击预防...-人
摘要 - 现代的目标攻击,例如高级持久威胁,将多个主机用作踩踏的石头,并横向移动它们,以更深入地访问网络。但是,现有的防御能力缺乏跨主机的端到端信息流的可见性,并且无法实时阻止交叉主机攻击流量。在本文中,我们提出了P4C ONTROL,这是一种网络防御系统,该系统精确地限制了网络中的端到端信息流,并以线速率防止交叉主机攻击。p4c ontrol引入了一种新型的网络内分散的信息流控制(DIFC)机制,并且是第一项以网络线路速率在网络级别上执行DIFC的工作。这是通过:(1)基于可编程开关的网络内原始性,用于跟踪宿主间信息流和执行线路率difc策略; (2)部署在主机上的基于EBPF的轻质原始原始性,用于跟踪主托内信息流。p4c ontrol还提供了一种表达性的政策框架,用于针对不同的攻击方案指定DIFC策略。我们进行了广泛的评估,以表明P4C ONTROL可以有效防止实时跨主机攻击,同时保持线路率网络性能并在网络和主机机器上施加最小的开销。也值得注意的是,P4C ONTROL可以通过其精细的最小私人网络访问控制来促进零信任体系结构的实现。