eBPF-based Cryptojacking Container Detection Framework in Kubernetes

Abstract

As the use of containers has become mainstream in the cloud environment, various security threats targeting containers have also been increasing. Among them, a notable malicious activity is a cryptojacking attack that steals resources without the consent of an instance owner to mine cryptocurrency. However, detecting such anomalies in a containerized environment is more complex because containers share the host kernel, making it challenging to pinpoint resource usage and anomalies at the container granularity without introducing significant overhead. To this end, this study proposes a new framework for real-time detection of malicious mining behavior in the cloud-native environment. By utilizing Tetragon, an eBPF-based runtime security tool, we capture system call sequences in real-time and convert them into n-gram feature sets, which were used to train machine learning models. As a result of the experiment, our framework delivers up to 99.75% classification accuracy with low runtime monitoring overhead. Based on the findings of this study, the proposed framework is expected to serve as an effective end-to-end security solution that is well-suited for Kubernetes environments by capturing system calls from containers at runtime and detecting malicious mining behavior.|클라우드 환경에서 컨테이너의 사용이 주류로 자리 잡으면서 이를 표적으로 삼는 다양한 보안 위협도 증가하고 있다. 특히 인스턴스 소유자의 동의 없이 리소스를 무단으로 사용하여 암호화폐를 채굴하는 크립토재킹(Cryptojacking)공격이 주목할만한 위협으로 대두되고 있다. 하지만 컨테이너화된 환경에서는 컨테이너가 호스트 커널을 공유하기 때문에 리소스 사용 및 이상 징후를 세밀하게 탐지하는 과정에서 상당한 오버헤드가 발생하며 이로 인해 탐지 과정이 더욱 복잡해진다. 이를 해결하기 위해 본 연구에서는 클라우드 네이티브 환경에서 악성 채굴 활동을 실시간으로 탐지하기 위한 새로운 프레임워크를 제안한다. eBPF 기반 런타임 보안 도구인 Tetragon을 활용하여 시스템 콜 시퀀스를 실시간으로 추적하고, 이를 n-gram 피처 세트로 변환하여 머신러닝 모델 학습에 사용하였다. 실험 결과, 제안된 프레임워크는 최소한의 런타임 모니터링 오버헤드로 최대 99.75%의 정확도를 달성하였다. 연구 결과를 바탕으로 제안된 프레임워크는 런타임에 컨테이너의 시스템 콜을 모니터링하여 악성 채굴동작을 효과적으로 감지하며, Kubernetes 환경에 적합한 end-to-end 보안 솔루션으로 활용될 수 있을 것으로 기대된다