LemonScripter/tetragon-causal-bridge

GitHub: LemonScripter/tetragon-causal-bridge

为 Cilium Tetragon 提供 eBPF/LSM 级别的因果验证模块，将内核进程事件与硬件验证意图关联以实现因果执行与阻断。

Stars: 0 | Forks: 0

# 用于 Cilium Tetragon 的 DCC 因果桥接 [![已验证](https://img.shields.io/badge/Verified-Tokyo--Node-green)](VERIFICATION.md) [![状态](https://img.shields.io/badge/Status-Hardened--Prototype-blue)](ROADMAP.md) [![项目](https://img.shields.io/badge/BioOS-Causal--Security-green)](https://metaspace.bio) [![DOI](https://img.shields.io/badge/DOI-10.5281%2Fzenodo.20384700-purple)](https://doi.org/10.5281/zenodo.20384700) ## 强化架构：锚定于内核的可观测性 **DCC 因果桥接**将 Tetragon 从反应式观察者转变为**因果执行引擎**。它通过确保每个 Tetragon 事件在因果上与经过硬件验证的意图相关联，从而消除了语义鸿沟。 ### 生产级实现 - **直接 eBPF Map 交互：** 桥接利用 `ebpf.LoadPinnedMap` 直接从 BPF 文件系统（`/sys/fs/bpf/tetragon/`）查询 `global_dcc_map`。 - **Fail-Closed 逻辑：** 如果因果映射不可用，或者 PID 没有关联的 token，桥接将触发 `DCC 违规`警报，从而促进立即阻断。 - **锚定硬件的真实性：** 因果 token 通过由物理 IRQ 事件触发的内核 LSM 钩子（`dcc_bridge.bpf.c`）进行填充。 ### 安全保障 1. **时间完整性：** 强制执行亚秒级因果窗口（默认 500ms）。 2. **原子消耗：** 通过内核空间的原子标志防止 token 重用。 3. **意图固定：** 验证特定 syscall（例如 `connect`）是否与授权的意图 ID 匹配。 ### 科学与技术基础此实现基于以下正式规范和研究： - **研究论文：** [因果操作系统：自主系统的数字因果闭包](https://doi.org/10.5281/zenodo.20384700) (DOI: 10.5281/zenodo.20384700) - **正式规范：** [BioOS 因果宪章 (PDF)](https://bioos.metaspace.bio/bioos_causal_constitution_en.pdf) *MetaSpace.Bio 逻辑项目 | [metaspace.bio](https://metaspace.bio) | [admin@metaspace.bio](mailto:admin@metaspace.bio)*

标签：Cilium, Docker镜像, EVTX分析, NPM, 内核态, 子域名枚举, 日志审计, 系统安全