Konferenz: Workshop on eBPF and Kernel Extensions@SIGCOMM
Autoren: Lars Wüstrich; Markus Schacherbauer; Markus Budeus, Dominik Freiherr von Künßberg; Sebastian Gallenmüller; Marc-Oliver Pahl; Georg Carle;
Abläufe in industriellen Umgebungen haben häufig einem zuvor festgelegten Ablauf. Durch die alleinige Überwachung von Netzwerkverkehr ist es jedoch nicht möglich festzustellen, welcher Prozess auf einem End-Host für einen Netzwerkfluss verantwortlich ist. Dies ist jedoch nötig, um festzustellen, ob sich ein Prozess wie vorgegeben verhält. In dieser Veröffentlichung wird ein neuer Ansatz vorgestellt, in dem mithilfe von eBPF Netzwerk-Pakete zuverlässig und effizient einem Prozess auf einem End-Host zugeordnet werden können. Diese neue Art der Datenerhebung ermöglicht das Profilieren einzelner Prozesse auf Netzwerkebene. Diese Profile charakterisieren typisches Prozess-Verhalten. Dadurch ergeben sich neue Möglichkeiten, korrektes Verhalten von Prozessen zu validieren und unbeabsichtigtes Verhalten zu erkennen.
Der Artikel ist abrufbar auf https://doi.org/10.1145/3609021.3609294