| Русский Русский | English English |
   
Главная Текущий номер
19 | 05 | 2026
Главное меню
Сетевое приложение
10.14489/vkit.2026.05.pp.044-051

DOI: 10.14489/vkit.2026.05.pp.044-051

Поляков К. А., Сабиров Д. С.
РАЗРАБОТКА СИСТЕМЫ МОНИТОРИНГА СИСТЕМНЫХ ВЫЗОВОВ НА ОСНОВЕ ТЕХНОЛОГИИ РАСШИРЕННЫХ ФИЛЬТРОВ ПАКЕТОВ БЕРКЛИ
(с. 44-51)

Аннотация. Посвящена созданию легковесной системы мониторинга системных вызовов для отслеживания событий безопасности в среде Linux с использованием технологии расширенных фильтров пакетов Беркли (Extended Berkeley Packet Filter, eBPF). Проанализированы недостатки традиционной подсистемы Linux Audit Framework (auditd), связанные с архитектурными ограничениями механизма передачи данных. В качестве альтернативы рассмотрена технология eBPF, позволяющая перенести логику фильтрации в пространство ядра. Выявлена проблема отсутствия специализированных инструментов eBPF-мониторинга в отечественных операционных системах на базе ядра Linux. В связи с этим описана реализация программного модуля для отечественной операционной системы ALT Linux, интегрированного в центр управления системой, Alterator. В рамках тестирования разработанного модуля смоделирован процесс, в котором создавалось определенное недопустимое системное событие, например доступ непривилегированного пользователя к определенным файлам. Разработанный модуль по удобству способен заменить распространенный auditd, приведены несколько сценариев его использования для конечного пользователя.

Ключевые слова:  eBPF; информационная безопасность; мониторинг системных вызовов; ALT Linux; Alterator; SIEM; Wazuh; auditd; Linux.


Polyakov K. A., Sabirov D. S.
DEVELOPMENT OF A SYSTEM CALL MONITORING SYSTEM BASED ON EXTENDED BERKELEY PACKET FILTER TECHNOLOGY
(pp. 44-51)

Abstract. This article focuses on the creation of a lightweight system call monitoring system for tracking security events in a Linux environment using eBPF (Extended Berkeley Packet Filter) technology. The paper analyzes the shortcomings of the traditional Linux Audit Framework (auditd), specifically those related to the architectural limitations of its data transfer mechanism. As an alternative, eBPF technology is examined, which allows filtering logic to be offloaded to kernel space. The study identifies a lack of specialized eBPF monitoring tools within domestic Linux-based operating systems. To address this issue, the implementation of a software module for the domestic operating system ALT Linux. During the testing of the developed module, a process was simulated where a specific inadmissible system event was created (e.g., an unprivileged user accessing certain files). It was demonstrated that the module can provide information in two ways: 1) In the standalone version (without SIEM support), the module in the SCC provides a graphical interface displaying basic information about the events, including: time of the event, severity level (low, medium, high, critical), event type, user, the process itself, and detailed information; 2) When working with a SIEM, the developed module can provide information about ongoing processes in three log formats, which increases the degree of integration with various systems, including corporate ones. In conclusion, the conducted research presents a developed module that, in terms of convenience, is capable of replacing the widely used auditd. Several use cases for the end-user are provided.

Keywords: eBPF; Information security; System call monitoring; ALT Linux; Alterator; SIEM; Wazuh, Auditd; Linux.

+ - Информация об авторах (About the Authors) Click to collapse

Рус

К. А. Поляков, Д. С. Сабиров (Российский государственный университет нефти и газа (национальный исследовательский университет) имени И. М. Губкина, Москва, Россия) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  

Eng

K. A. Polyakov, D. S. Sabirov (Gubkin Russian State University of Oil and Gas (National Research University), Moscow, Russia) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  

+ - Библиографический список (References) Click to collapse

Рус

1. The eBPF Runtime in the Linux Kernel [Электронный ресурс] / B. Gbadamosi, L. Leonardi, T. Pulls et al. // arXiv preprint arXiv:2410.00026. 2024. URL: https://arxiv.org/pdf/2410.00026 (дата обращения: 12.12.2025).
2. Kernel-Supported Cost-Effective Audit Logging for Causality Tracking / S. Ma, J. Zhai, Y. Kwon et al. // 2018 USENIX Annual Technical Conference (USENIX ATC 18), Boston, MA, USA, 11–13 July 2018. Boston: USENIX Association, 2018. P. 241–254. URL: https://www.usenix.org/sites/default/files/atc18-full-proceedings.pdf (дата обращения: 12.12.2025).
3. Rice L. Learning eBPF: Programming the Linux Kernel for Enhanced Observability, Networking, and Security. Sebastopol: O'Reilly Media, 2023. 234 p.
4. Gregg B. BPF Performance Tools: Linux System and Application Observability. 1st Edition. Boston: Addison-Wesley Professional, 2019. 880 p.
5. Calavera D., Fontana L. Linux Observability with BPF. Sebastopol: O'Reilly Media, 2019. 194 p.
6. Red Hat Enterprise Linux. System Auditing. Chapter 7. Tuning the Audit System // Red Hat Customer Portal. 2025. URL: https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing (дата обращения: 12.12.2025).
7. Starovoitov A. Extended BPF // Linux Kernel Mailing List. 2013. URL: https://lkml.org/lkml/2013/9/30/627 (дата обращения: 12.12.2025).
8. Fleming M. BPF: A New Type of Software for the Linux Kernel // ACM Queue. 2017. V. 15, No. 6. P. 30–43.
9. Schulist J., Borkmann D., Starovoitov A. The Linux Kernel documentation. Linux Socket Filtering aka Berkeley Packet Filter (BPF) // The Linux Kernel Archives. 2021. URL: https://www.kernel.org/doc/html/
10. Nakryiko A. BPF ring buffer // LWN.net. 2020. URL: https://lwn.net/Articles/820559/ (дата обращения: 12.12.2025).
11. Corbet J. BPF: the universal in-kernel virtual machine // LWN.net. 2014. URL: https://lwn.net/Articles/599755/ (дата обращения: 12.12.2025).
12. Rice L. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. Sebastopol: O'Reilly Media, 2020. 200 p.
13. Wazuh Documentation. Custom rules // Wazuh. 2025. URL: https://documentation.wazuh.com/current/user-manual/ruleset/rules/custom.html (дата обращения: 12.12.2025).

Eng

1. Gbadamosi, B., Leonardi, L., Pulls, T., et al. (2024). The eBPF runtime in the Linux kernel. arXiv preprint. https://arxiv.org/abs/2410.00026
2. Ma, S., Zhai, J., Kwon, Y., et al. (2018). Kernel–supported cost–effective audit logging for causality tracking. In 2018 USENIX Annual Technical Conference (USENIX ATC 18) (pp. 241–254). USENIX Association. Retrieved December 12, 2025, from https://www.usenix.org/sites/default/files/atc18-full-proceedings.pdf
3. Rice, L. (2023). Learning eBPF: Programming the Linux kernel for enhanced observability, networking, and security. O’Reilly Media.
4. Gregg, B. (2019). BPF performance tools: Linux system and application observability (1st ed.). Addison–Wesley Professional.
5. Calavera, D., & Fontana, L. (2019). Linux observability with BPF. O’Reilly Media.
6. Red Hat Enterprise Linux. (2025). System auditing. Chapter 7. Tuning the audit system. Red Hat Customer Portal. Retrieved December 12, 2025, from https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/security_guide/chap-system_auditing
7. Starovoitov, A. (2013). Extended BPF. Linux Kernel Mailing List. Retrieved December 12, 2025, from https://lkml.org/lkml/2013/9/30/627
8. Fleming, M. (2017). BPF: A new type of software for the Linux kernel. ACM Queue, 15(6), 30–43.
9. Schulist, J., Borkmann, D., & Starovoitov, A. (2021). The Linux kernel documentation: Linux socket filtering aka Berkeley Packet Filter (BPF). The Linux Kernel Archives. Retrieved December 12, 2025, from https://www.kernel.org/doc/html/latest/networking/filter.html
10. Nakryiko, A. (2020). BPF ring buffer. LWN.net. Retrieved December 12, 2025, from https://lwn.net/Articles/820559/
11. Corbet, J. (2014). BPF: The universal in–kernel virtual machine. LWN.net. Retrieved December 12, 2025, from https://lwn.net/Articles/599755/
12. Rice, L. (2020). Container security: Fundamental technology concepts that protect containerized applications. O’Reilly Media.
13. Wazuh Documentation. (2025). Custom rules. Wazuh. Retrieved December 12, 2025, from https://documentation.wazuh.com/current/user-manual/ruleset/rules/custom.html

+ - Заказать электронную версию статьи (Purchase digital version of a single article) Click to collapse

Рус

Статью можно приобрести в электронном виде (PDF формат).

Стоимость статьи 700 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.

После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.

Для заказа скопируйте doi статьи:

10.14489/vkit.2026.05.pp.044-051

и заполните  форму 

Отправляя форму вы даете согласие на обработку персональных данных.

.

 

Eng

This article  is available in electronic format (PDF).

The cost of a single article is 700 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.

After depositing your payment on our bank account we send you file of the article by e-mail.

To order articles please copy the article doi:

10.14489/vkit.2026.05.pp.044-051

and fill out the  form  

 

.

Назад

 

 
 
Поиск

Баннер
© ООО "Издательский дом "СПЕКТР"

Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»
Rambler's Top100 Яндекс цитирования