PacketScope：端侧协议栈防御的“智能铠甲”

PacketScope是一种基于eBPF的端侧协议栈通用防御框架。通过在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹，绘制协议交互全景图，再辅助以大模型分析，PacketScope实现了协议栈内核级别的分组可视化、安全性分析与零延迟防御。

项目地址https://github.com/Internet-Architecture-and-Security/PacketScope

图1 互联网基础设施与TCP/IP分层协议栈

01

端侧协议栈防御面临的挑战

在现代互联网架构中，TCP/IP协议栈是数据高效传输和可靠通信的核心载体。然而，随着网络规模的不断扩大、网络应用生态的不断演化，协议栈安全面临着前所未有的挑战。

(1) 攻击路径不可见：攻击行为往往藏匿于合法连接中，难以定位实际攻击源或者恶意socket连接

(2)协议交互复杂：TCP、UDP、ICMPv4/ICMPv6、Wi-Fi、5G等协议层之间交叉影响，漏洞利用往往由多个协议组合触发

(3) 传统工具盲区明显：大多数监控工具只能在用户态或网络边缘层面进行采样，难以深入协议栈内部获取协议交互的细粒度精确信息，无法辅助后续的安全决策

(4) 调试诊断困难：一旦出现安全问题或网络异常，排查和复现成本极高，缺乏系统化工具支持

图2 协议攻击频发且隐蔽难发现

02

技术创新PacketScope：一种基于eBPF的协议栈通用防御框架

为应对上述挑战，清华大学徐恪教授团队基于近十年协议栈安全研究积累，研发了PacketScope_v1.0项目。项目提出了一种创新性解决方案：通过eBPF技术，在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹，绘制协议交互全景图，再辅助以大模型分析，实现协议栈内核级别的分组可视化、安全性分析与零延迟防御。

PacketScope通过实时观测追踪网络分组穿越协议栈交互信息、构建细粒度协议交互图，查找定位交互风险点及性能处理瓶颈点。此外通过统计分析协议分组处理延迟、跨协议交互频率，对关键路径动态插桩，捕获 socket连接状态。通过调用团队研发的TrafficLLM流量大模型、以及DeepSeeK、ChatGPT等通用大模型，PacketScope实现了对攻击流量实时分析、规则生成、及拦截阻断。通过eBPF XDP等方式导入分组流量到大模型。大模型依据交互式网络攻击特征提示，对流量进行深入分析，判别socket连接行为，识别恶意攻击威胁，并生成eBPF安全过滤规则，支持内核级协议栈防御。

PacketScope为用户带来了三大核心特性：

（1）协议栈交互行为的可视化与追踪审计。PacketScope打破了协议栈“黑盒”限制，实现从网络入口到内核处理再到应用交付的全过程分组追踪。通过构建协议交互全景图，用户可精准识别协议交叉干扰、路径异常和异常连接行为，为调试诊断、系统优化和安全审计提供坚实基础。

图3 函数级网络协议交互图

（2）大模型驱动的实时攻击识别与防御。利用大模型智能分析与eBPF内核拦截机制，PacketScope可对复杂、混合、跨协议攻击进行实时识别、快速响应、动态阻断。该能力显著优于传统规则匹配类工具，尤其适用于检测隐藏在合法连接中的高隐蔽性威胁。

图4 大模型驱动的分组数据流安全性分析

（3）低成本部署与便捷使用体验。PacketScope采用eBPF轻量级部署架构，运行成本低、兼容性强，可直接应用于线上生产环境。配套的图形化Web界面与API接口，使得普通用户也能高效配置与使用。

图5 PacketScope用户使用接口

03

实践效果：面向真实服务器的安全与运维

PacketScope_v1.0已在Linux 6.8等多个服务器环境中进行部署测试，能够对服务器协议栈交互行为进行细粒度分析，识别和阻断交互式复杂网络攻击，显著降低安全事件的响应成本。

tutorial演示视频

04

展望：协议栈“黑盒”将被逐步打开

PacketScope项目的研发，是对协议栈可观测性及交互式隐蔽网络攻击有效防御的一次关键探索和推进。在AI赋能网络空间安全转型的大趋势下，我们通过PacketScope项目将逐渐打开端侧协议栈复杂交互的“黑盒”，推动终端安全从外部防御向内部认知演进，从事后响应向实时防护迈进。

未来，我们计划在下一个版本中将继续拓展：

(1) 大模型赋能的协议交互全景图瓶颈/风险点的检测分析、到定位确认、再到优化修复的一体化能力

(2) 多协议追踪能力，实现应用级协议HTTP、QUIC、SCTP等的细粒度分析

(3) 跨主机协同分析能力，实现管理域内多主机内核协议栈的高效管理与防御

如需进一步了解 PacketScope，欢迎访问我们的项目主页：https://github.com/Internet-Architecture-and-Security/PacketScope

我们期待与安全社区、互联网研究者、系统工程师携手，共同打造面向未来的协议栈安全基石。

后续我们将陆续推送PacketScope_v1.0版本的详细安装及使用教程，敬请期待！

声明：本文来自赛博新经济，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。