访问官网
Github
文档
Hades - 基于eBPF的主机入侵检测系统
英文 | 中文
Hades是一个基于eBPF和netlink(cn_proc)的主机入侵检测系统。目前仍在开发中。欢迎提交PR和问题!
声明:本项目基于Tracee和Elkeid。感谢这些优秀的开源项目。
概述
目前这是一个演示后端,仍在开发中
架构
代理部分主要基于Elkeid 1.7版本。
代理部分
数据分析
插件
功能
EDriver
这里有21个基于
tracepoints/kprobes/uprobes的钩子。字段扩展方式与Elkeid基本相同。
有关这些钩子的详细信息。
eBPF驱动钩子详情
| 钩子 | 状态和描述 | ID |
|---|---|---|
| tracepoint/syscalls/sys_enter_execve | 开启 | 700 |
| tracepoint/syscalls/sys_enter_execveat | 开启 | 698 |
| tracepoint/syscalls/sys_enter_memfd_create | 开启 | 614 |
| tracepoint/syscalls/sys_enter_prctl | 开启(PR_SET_NAME & PR_SET_MM) | 1020 |
| tracepoint/syscalls/sys_enter_ptrace | 开启(PTRACE_PEEKTEXT & PTRACE_POKEDATA) | 1021 |
| kprobe/security_socket_connect | 开启 | 1022 |
| kprobe/security_socket_bind | 开启 | 1024 |
| kprobe/commit_creds | 开启 | 1011 |
| k(ret)probe/udp_recvmsg | 开启(53/5353用于DNS数据) | 1025 |
| kprobe/do_init_module | 开启 | 1026 |
| kprobe/security_kernel_read_file | 开启 | 1027 |
| kprobe/security_inode_create | 开启 | 1028 |
| kprobe/security_sb_mount | 开启 | 1029 |
| kprobe/call_usermodehelper | 开启 | 1030 |
| kprobe/security_inode_rename | 开启 | 1031 |
| kprobe/security_inode_link | 开启 | 1032 |
| uprobe/trigger_sct_scan | 开启 | 1200 |
| uprobe/trigger_idt_scan | 开启 | 1201 |
| kprobe/security_file_permission | 开启 | 1202 |
| uprobe/trigger_module_scan | 开启 | 1203 |
| kprobe/security_bpf | 开启 | 1204 |
Collector
S代表同步(实时),P代表周期性,C代表基于配置
收集器事件详情
| 事件 | 类型 | ID |
|---|---|---|
| 进程 | P | 1001 |
| 定时 | P | 2001 |
| sshd配置 | P | 3002 |
| ssh登录 | S | 3003 |
| 用户 | P | 3004 |
| ssh配置 | P | 3005 |
| yum | P | 3006 |
| 主机检测 | C | 3007 |
| 应用 | P | 3008 |
| 内核模块 | P | 3009 |
| 磁盘 | P | 3010 |
| systemd | P | 3011 |
| 网卡 | P | 3012 |
| iptable | P | 3013 |
| bpf程序 | P | 3014 |
| jar | P | 3015 |
| dpkg | P | 3016 |
| rpm | P | 3017 |
| 容器 | P | 3018 |
| 套接字 | P | 5001 |
NCP
Netlink CN_PROC
联系方式
输入 Hades 获取二维码
404Starlink
Hades已加入404Starlink
