字节跳动信息安全系统排查细节

1. HIDS（主机入侵检测系统）的排查细节

字节跳动开源的HIDS，名为AgentSmith，是一种基于内核的入侵检测系统。它通过监控内核函数的调用、事件和消息来进行入侵检测，可以检测各种rootkit/bootkit。以下是其部分排查细节：

- Rootkit检测：由于AgentSmith是基于内核，只对2.6.32+内核支持，并且rootkit的检测必须要在3.10.0+内核才支持。

- syscall监控：AgentSmith使用kprobe的方式hook内核内部的一些函数，而这些内部函数是某些系统调用的关键点调用。

- 特定syscall的检测：例如，对mprotect系统调用挂钩，记录任何把进程内存段改为执行权限的操作；还有对nanosleep系统调用的检测，用于避免恶意软件通过延迟执行来逃避HIDS软件的检测。

2. 网络安全防御体系的排查细节

字节跳动在网络安全领域有着丰富的沉淀，包括云原生环境下的镜像容器全生命周期的安全防护体系、软件供应链安全的探索与实践、防御术：软件供应链恶意攻击的检测方案探讨等。以下是部分排查细节：

- 镜像容器全生命周期防护：火山引擎容器安全防护深入分析了云原生场景下镜像漏洞以及容器入侵攻击的核心场景，形成了云原生环境下的镜像容器全生命周期的安全防护体系。

- 软件供应链安全：字节跳动在软件供应链信息的采集、存储、分析和安全应用方面的探索实践，以检测软件供应链异常和恶意行为。

- 恶意攻击的检测：分享了如何快速检出NPM/PyPI源中含有供应链投毒或钓鱼攻击软件包的检测方案。

3. 应用运行时如何防护的排查细节

火山引擎Elkeid解决方案包含端上统一的Agent以及各个能力插件，为客户提供内核信息与事件采集、用户态查杀与基线、容器与集群审计、RASP防御等安全能力，帮助客户应对在应用层不同作用域、不同来源、不同方式的威胁。以下是部分排查细节：

- RASP防御：火山引擎ElkeidRASP是火山引擎云安全团队自研的一种应用安全防御技术，通过对应用运行时植入探针来采集运行时的关键信息，并分析运行时行为产生及时告警。

- 数据采集：RASP的数据采集会覆盖目标应用的进程、网络与文件，并基于最小Hook原则，实现最小的资源占用。

- 告警推送：RASP探针原始上报的数据将会持续经过HUB的计算，生成的告警可以直接推送到安全工程师的通讯工具或是CWPP工作台中。

以上就是字节跳动信息安全系统排查的一些细节。