Детальная информация

Целью работы является обнаружение вредоносной активности в конвейерах CI/CD на основе данных, получаемых с помощью технологии eBPF. Предметом исследования являются современные подходы к выявлению атак и аномалий, происходящих во время выполнения конвейера CI/CD. Задачи, решаемые в ходе исследования: 1. Определить возможности нарушителя и актуальные угрозы безопасности для конвейеров CI/CD. 2. Выявить ограничения средств защиты конвейеров CI/CD и перспективные подходы к обнаружению вредоносной активности. 3. Предложить способ обнаружения вредоносной активности в конвейерах CI/CD с использованием технологии eBPF и поведенческого анализа. 4. Реализовать программный прототип и провести экспериментальную проверку предложенного способа. В ходе работы была исследована системы сборки конвейеров CI/CD, показана взаимозаменяемость систем. Предложены типы нарушителя безопасности в конвейере CI/CD, составлен список актуальных угроз. Определены ограничения средств защиты конвейеров. Реализованы атаки на конвейер, собран набор данных для тестирования. В результате работы предложен комбинированный способ обнаружения потенциально вредоносной активности в конвейерах. Экспериментально продемонстрирована точность и работоспособность способа. Полученные результаты могут быть использованы для внедрения в средства защиты сборщиков и исследований в области безопасности конвейеров.

The purpose of the study is to detect malicious activity in CI/CD pipelines using data collected through eBPF. The subject of the work is modern approaches to detecting attacks and anomalies that occur during the execution of a CI/CD pipeline. The research sets the following goals: 1. Identify the intruders capabilities and current security threats for CI/CD pipelines. 2. Identify limitations of CI/CD pipeline protection tools and explore approaches to detecting malicious activity. 3. Development of a way to detect malicious activity in CI/CD pipelines using eBPF technology and behavioral analysis. 4. Implement a software prototype and conduct experimental testing of the proposed method. During the work CI/CD systems were investigated and the interchangeability of these systems was demonstrated. Types of security threats in the CI/CD pipeline were proposed, and a list of current threats was compiled. The limitations of existing protection tools were identified. Attacks on the pipeline were simulated, and a set of data was collected for testing purposes kernel network stack implementation and architecture were studied. The work resulted in the development of combined way for detecting potentially malicious activity in pipelines was proposed. The accuracy and operability of the way have been experimentally demonstrated. These results can be used to implement protection tools for CI systems and contribute to research in CI/CD pipelines security.