Volver al directorio

Aegis-BPF

Prototipo para aplicar políticas de seguridad con eBPF (Extended Berkeley Packet Filter) y soporte CO-RE (Compile Once - Run Everywhere).

C++CeBPFSecurityLinux Kernel

Arquitectura del sistema

Aegis-BPF architecture diagram

Repository Evidence

Measured from GitHub public repository data on May 31, 2026.

GitHub
Primary language
C++
Last public update
2026-05-24
Tracked issues
11
Repository size
5.4 MB
Language mix
C++ShellCGoPython

Caso de estudio

Problema

Host security policies are difficult to enforce consistently when user-space agents can miss kernel-level behavior.

Arquitectura

A user-space policy controller feeds pinned BPF maps and ring buffers while eBPF LSM hooks enforce or audit file, process, and socket activity.

Enfoque de seguridad

CO-RE portability, kernel verifier checks, policy signing, and audit-first rollout reduce the risk of unsafe kernel instrumentation.

Resultado

The prototype shows a path to low-overhead kernel-level policy enforcement with observable audit output.

Evidencia

eBPF LSM hooksPinned BPF mapsAudit and deny modes

Aprendizajes

  • Kernel controls should start in audit mode before enforcement.
  • CO-RE support is essential for deployable eBPF security tooling.

Resumen técnico

Desarrollado con C++ y tecnología eBPF. Utiliza CO-RE para mantener portabilidad entre distintas versiones del kernel Linux sin recompilar, ofreciendo aplicación de políticas de seguridad a nivel de kernel con bajo overhead.

Propuesta de valor

Seguridad empresarial en el nivel del kernel. Aegis ofrece visibilidad profunda y control sobre el comportamiento del sistema con una carga mínima. Protege la infraestructura frente a amenazas persistentes avanzadas con tecnología eBPF moderna.