CN116055163A

CN116055163A - 一种基于eBPF XDP的登录信息获取及阻断方法

Info

Publication number: CN116055163A
Application number: CN202310031430.9A
Authority: CN
Inventors: 孙明远; 余登峰; 张江伟
Original assignee: CLP Cloud Digital Intelligence Technology Co Ltd
Current assignee: CLP Cloud Digital Intelligence Technology Co Ltd
Priority date: 2023-01-10
Filing date: 2023-01-10
Publication date: 2023-05-02

Abstract

本发明涉及登录信息获取及阻断技术领域，提供一种基于eBPF XDP的登录信息获取及阻断方法，包括：在服务器上解析从访问者到达服务器的流量，获得流量的网络五元组；根据网络五元组和流量处理策略筛选流量；在服务器上将通过筛选的流量和服务器的登录日志进行关联，获取所述流量登录服务器产生的进程信息；将获取的登录进程信息与进程引擎告警对接，通过自学习策略将达到阻断阈值的流量的来源IP添加至IP黑名单。根据本发明示例性实施例的基于eBPF XDP的登录信息获取及阻断方法，可以减少内核网络协议栈的消耗，减少内核空间和用户空间切换的消耗，对系统侵入性低，资源占用少，部署支持热插拔，对应用无感知。

Description

一种基于eBPF XDP的登录信息获取及阻断方法

技术领域

本发明涉及登录信息获取及阻断技术领域，尤其涉及一种基于eBPF XDP的登录信息获取及阻断方法。

背景技术

随着互联网应用和技术发展，主机安全愈发重要。在主机安全中，异常登陆是入侵主机攻击较高频的手段之一，通过登录到主机可以执行各种攻击，包括持久化后门、反弹shell、木马病毒等恶意攻击行为。因此，获取登录日志以及阻断登录是一个重要的主机安全防护手段。

传统的登录日志获取方式，例如读取Linux系统日志/var/log/secure，依赖日志管理组件rsyslog和sshd服务的正常运行以及一些配置文件例如sshd_config的正确配置。但随着Linux操作系统多样化，部分Linux发行版本缺少rsyslog，无法通过读取Linux系统日志例如/var/log/secure日志获取登录日志。再例如使用journalctl来查询systemd-journald服务收集到的日志，实时性差，无法及时获取登录日志，同时也会占用部分资源，影响正常业务使用。

另一方面，传统的访问数据包过滤防火墙使用netfilter/iptables，netfilter程序在内核可以注册钩子函数。当数据包通过堆栈时，它们将触发已向这些挂钩注册的内核模块。iptables由于采用规则链逐条匹配，最大的缺点就是影响性能。

因此，如何在DDoS防御、防火墙场景中进行高效的数据包监控，并将非法数据包丢弃，成为亟需解决的难题。

发明内容

有鉴于此，为了克服现有技术的不足，本发明旨在提供一种基于eBPF XDP的登录信息获取及阻断方法。

本发明提供的基于eBPF XDP的登录信息获取及阻断方法，包括：

步骤S1：在服务器上解析从访问者到达服务器的流量，获得流量的网络五元组；

步骤S2：根据网络五元组和流量处理策略筛选流量；

步骤S3：在服务器上将通过筛选的流量和服务器的登录日志进行关联，获取所述流量登录服务器产生的进程信息；

步骤S4：将获取的登录进程信息与进程引擎告警对接，通过自学习策略将达到阻断阈值的流量的来源IP添加至IP黑名单。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S1中流量的网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S2包括：

配置IP黑白名单，根据配置的IP黑白名单生成IP黑名单列表和IP白名单列表，存储在eBPF map中；

配置敏感端口，根据配置的敏感端口生成敏感端口列表，存储在eBPF map中；

当流量的网络五元组中的来源IP在IP白名单列表内，将流量放行至目标应用程序；

当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口不在敏感端口列表中，将流量放行至目标应用程序；

当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口在敏感端口列表中，将流量放行至目标应用程序并且在服务器上记录该网络五元组；

当流量的网络五元组中的来源IP在IP黑名单列表内，丢弃流量并且在服务器上记录该网络五元组，生成告警信息。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S2还包括：采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S2中采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选，包括：为Geoip数据库中的信息进行LPM映射配置，将国家/地区代码转换为位图ID，根据流量的IP所属地从包含IP地址前缀和来源国ID的LPM映射中获取对应的位图ID，对获取的位图ID逐位检查进行匹配和筛选。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S3包括：

步骤S31：将服务器记录的网络五元组以map数据结构进行缓存，所述map数据结构的键为来源IP、值为对应的网络五元组及记录时间戳；

步骤S32：实时监控和解析登录日志，获取登录进程对应的来源IP和来源端口；

步骤S33：遍历步骤S31中的的map数据结构，将登录进程对应的来源IP和来源端口与步骤S31中map数据结构中的来源IP和来源端口进行匹配；

步骤S34：将通过匹配的登录进程信息以map数据结构保存，所述map数据结构的键为进程ID，值为网络五元组、登录时间戳以及登录状态。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S4包括：

配置自学习策略，所述自学习策略包括合法登录时间、合法登录IP所属地、合法登录IP、合法登录账号、暴力破解规则以及处理指令，所述暴力破解规则包括登录失败次数阈值和登录失败数量阈值；

根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，包括：

当流量对应的登录进程信息中的登录状态为登录失败，验证所述登录进程是否具有合法登录时间、合法登录IP所属地、合法登录IP以及合法登录账号；

检查通过验证的登录进程的登录次数是否达到暴力规则中的登录失败次数阈值，当所述登录进程登录次数达到暴力规则中的登录失败次数阈值，产生告警并将所述登录进程登录失败的事件上报，读取自学习策略中的处理指令，当对应的处理指令是阻断时，将登录失败事件对应的流量的来源IP添加到IP黑名单列表内，存储在eBPF map中；

检查通过验证的登录进程的登录账号数量是否达到暴力规则中的登录失败数量阈值，当所述登录进程登录次数达到暴力规则中的登录失败次数阈值，产生告警并将所述登录进程登录失败的事件上报，读取自学习策略中的处理指令，当对应的处理指令是阻断时，将登录失败事件对应的流量的来源IP添加到IP黑名单列表内，存储在eBPF map中。

进一步地，本发明基于eBPF XDP的登录信息获取及阻断方法，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，还包括：

当流量对应的登录进程信息中的登录状态为登录成功，检查所述登录进程是否在服务器上执行了异常命令，当所述登录进程在服务器上执行了异常命令，聚合所有异常命令的威胁总分值，当聚合所得的威胁总分值达到预设阈值，读取自学习策略中的处理指令，当对应的处理指令是阻断时，将登录失败事件对应的流量的来源IP添加到IP黑名单列表内，存储在eBPF map中。

最后，本发明还提供一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现上述基于eBPFXDP的登录信息获取及阻断方法的步骤。

本发明基于eBPF XDP的登录信息获取及阻断方法，具有以下有益效果：

1.本发明能够在网络数据包到达网卡驱动层时对其进行处理，实时解析登录数据包，无需依赖用户态的rsyslog、sshd等服务，可以减少内核网络协议栈的消耗，减少内核空间和用户空间切换的消耗。

2.无需使用netfilter/iptables，在网络数据包到达内核网络协议栈之前就能丢弃，对系统侵入性低，资源占用少，部署支持热插拔，对应用无感知。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明方法的技术原理示意图。

图2为本发明示例性第一实施例基于eBPF XDP的登录信息获取及阻断方法的流程图。

图3为本发明示例性第四实施例基于eBPF XDP的登录信息获取及阻断方法的流程图。

具体实施方式

下面结合附图对本发明实施例进行详细描述。

需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合；并且，基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见，本文中所描述的方面可体现于广泛多种形式中，且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开，所属领域的技术人员应了解，本文中所描述的一个方面可与任何其它方面独立地实施，且可以各种方式组合这些方面中的两者或两者以上。举例来说，可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外，可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。

本发明的技术原理如下：

如图1所示，本发明基于eBPF XDP的登录信息获取及阻断方法依赖的架构包括流量探针、控制层、展示层以及存储层。

流量探针：也称为Agent，包括内核态Agent和用户态Agent，内核态Agent使用eBPFXDP技术实现，其形态为eBPF字节码文件，由用户态Agent加载并附加到指定的服务器网卡上，可以在流量数据包到达服务器网卡后以及被Linux内核接收之前，在网卡驱动层对流量数据包进行如下处理：提取网络五元组{src_ip:来源IP、src_port:来源端口、protocol:协议、dst_ip:目标IP、dst_port目标端口}、识别登录协议类型(ssh/vsftp等)、根据阻断策略(IP黑白名单、阻断时长)对相应的登录信息进行阻断，并将获取到的网络五元组以及登录协议数据、阻断结果写入eBPF map发送给用户态Agent。用户态Agent用于控制内核态Agent，其形态为二进制程序，用户态Agent和内核态Agent通过eBPF map进行数据交互，用户态Agent用于：指定网卡加载、卸载内核态Agent；通过eBPF接收内核态Agent发送的登录信息(网络五元组、登录协议数据)，联动sshd/vsftpd等应用程序对登录日志进行数据解析，补全登录日志信息，包括登录用户、来源IP、来源端口、登录进程PID、登录状态(成功/失败)等；将控制层下发的阻断策略通过eBPF map发送给内核态Agent；将登录日志匹配接收到的自学习策略，对于符合自学习策略的登录日志发送给展示层；将自身Agent运行状况(运行时长、CPU、内存等资源占用情况等)、内核态Agent对流量的处理信息、阻断策略发送给给监控层。

控制层用于控制用户态Agent加载、卸载内核态Agent，接收展示层配置的阻断策略、自学习策略，将接收的阻断策略自学习策略下发给指定用户态Agent；

展示层用于收集、展示Agent的服务状态以及Agent自学习情况，用于用户配置、展示阻断策略和自学习策略。其中，收集、展示Agent的服务状态包括：展示Agent运行状态、通过或阻断流量的详细信息；用户配置、展示阻断策略和自学习策略包括配置和展示阻断策略(IP黑白名单，阻断时长等)，配置和展示自学习策略(合法登录时间、合法登录IP所属地、合法登录账号、合法登录IP、暴力破解规则(s秒内相同IP下同一用户名登录N次失败、s秒内相同IP下N个不存在的用户名登录等)；聚合展示每个Agent自学习情况，用户可以根据学习情况配置阻断策略。

存储层用于不同服务之间的数据传输、存储，包括sqlite、kafka、mysql数据库以及eBPF map。具体的，Agent使用sqlite存储控制层下发的数据、内核态Agent通过eBPF map发送的数据，Agent所在的服务器信息，自学习策略等；控制层使用kafka接收监控层下发用户配置的策略，并发送给用户态Agent；mysql用于存储持久化数据，比如Agent的信息，用户配置等；eBPF map用于流量探针用户态Agent和内核态Agent的数据交互。

本发明通过使用Linux eBPF XDP技术，能够在网络数据包到达网卡驱动层时对其进行处理，可以实时解析登录数据包，无需依赖用户态的rsyslog、sshd等服务；无需使用netfilter/iptables，在网络数据包到达内核网络协议栈之前就能丢弃。而且对系统侵入性低，资源占用少，部署支持热插拔，对应用无感知。

以下各实施例涉及的名词解释如下：

eBPF：全称是extended Berkeley Packet Filter，是Linux内核中一个非常灵活与高效的类虚拟机(virtual machine-like)组件，用于在许多内核hook点安全地执行字节码。

XDP：全程是eXpress Data Path，是Linux网络路径上内核集成的网络数据包处理器，为Linux内核提供了高性能、可编程的网络数据路径。由于网络数据包在还未进入网络协议栈之前就处理，它给Linux网络带来了巨大的性能提升。

eBPF XDP:结合eBPF和XDP技术的特点，可以在XDP执行eBPF程序，可以在网络数据包还未进入网络协议栈之前就进行转发、丢弃、放行处理，可以显著提升Linux网络的性能。

图2为根据本发明示例性第一实施例的一种基于eBPF XDP的登录信息获取及阻断方法的流程图，如图2所示，本实施例方法包括：

步骤S2：根据网络五元组和流量处理策略筛选流量；

本实施例方法步骤S1中流量的网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成。

本发明示例性第二实施例提供一种基于eBPF XDP的登录信息获取及阻断方法，本实施例是图2所示方法的优选实施例，本实施例方法的步骤S2包括：

本发明示例性第三实施例提供一种基于eBPF XDP的登录信息获取及阻断方法，本实施例是图2所示方法的优选实施例，本实施例方法的步骤S2包括：采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选。具体的，采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选，按以下方式实施：

为Geoip数据库中的信息进行LPM映射配置，将国家/地区代码转换为位图ID，根据流量的IP所属地从包含IP地址前缀和来源国ID的LPM映射中获取对应的位图ID，对获取的位图ID逐位检查进行匹配和筛选。

图3为根据本发明示例性第四实施例的一种基于eBPF XDP的登录信息获取及阻断方法的流程图，本实施例是图2所示方法的优选实施例，本实施例方法的步骤S3包括：

本发明示例性第五实施例提供一种基于eBPF XDP的登录信息获取及阻断方法，本发明是图2所示方法的优选实施例，本实施例方法的步骤S4包括：

具体的，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，按以下方式实施：

最后，本发明提供一种计算机设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明基于eBPFXDP的登录信息获取及阻断方法的步骤。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种基于eBPF XDP的登录信息获取及阻断方法，其特征在于，所述方法包括：

步骤S2：根据网络五元组和流量处理策略筛选流量；

2.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S1中流量的网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成。

3.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2包括：

4.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2还包括：采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选。

5.根据权利要求4所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2中采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选，包括：为Geoip数据库中的信息进行LPM映射配置，将国家/地区代码转换为位图ID，根据流量的IP所属地从包含IP地址前缀和来源国ID的LPM映射中获取对应的位图ID，对获取的位图ID逐位检查进行匹配和筛选。

6.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S3包括：

7.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S4包括：

8.根据权利要求7所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，包括：

9.根据权利要求7所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，还包括：

10.一种计算机设备，其特征在于，所述计算机设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现权利要求1-9中任一项所述方法的步骤。