一种基于eBPFXDP的登录信息获取及阻断方法技术

本发明专利技术涉及登录信息获取及阻断技术领域，提供一种基于eBPF XDP的登录信息获取及阻断方法，包括：在服务器上解析从访问者到达服务器的流量，获得流量的网络五元组；根据网络五元组和流量处理策略筛选流量；在服务器上将通过筛选的流量和服务器的登录日志进行关联，获取所述流量登录服务器产生的进程信息；将获取的登录进程信息与进程引擎告警对接，通过自学习策略将达到阻断阈值的流量的来源IP添加至IP黑名单。根据本发明专利技术示例性实施例的基于eBPF XDP的登录信息获取及阻断方法，可以减少内核网络协议栈的消耗，减少内核空间和用户空间切换的消耗，对系统侵入性低，资源占用少，部署支持热插拔，对应用无感知。对应用无感知。对应用无感知。

【技术实现步骤摘要】
一种基于eBPF XDP的登录信息获取及阻断方法


[0001]本专利技术涉及登录信息获取及阻断
，尤其涉及一种基于eBPF XDP的登录信息获取及阻断方法。

技术介绍

[0002]随着互联网应用和技术发展，主机安全愈发重要。在主机安全中，异常登陆是入侵主机攻击较高频的手段之一，通过登录到主机可以执行各种攻击，包括持久化后门、反弹shell、木马病毒等恶意攻击行为。因此，获取登录日志以及阻断登录是一个重要的主机安全防护手段。
[0003]传统的登录日志获取方式，例如读取Linux系统日志/var/log/secure，依赖日志管理组件rsyslog和sshd服务的正常运行以及一些配置文件例如sshd_config的正确配置。但随着Linux操作系统多样化，部分Linux发行版本缺少rsyslog，无法通过读取Linux系统日志例如/var/log/secure日志获取登录日志。再例如使用journalctl来查询systemd
‑
journald服务收集到的日志，实时性差，无法及时获取登录日志，同时也会占用部分资源，影响正常业务使用。
[0004]另一方面，传统的访问数据包过滤防火墙使用netfilter/iptables，netfilter程序在内核可以注册钩子函数。当数据包通过堆栈时，它们将触发已向这些挂钩注册的内核模块。iptables由于采用规则链逐条匹配，最大的缺点就是影响性能。
[0005]因此，如何在DDoS防御、防火墙场景中进行高效的数据包监控，并将非法数据包丢弃，成为亟需解决的难题。

技术实现思路

[0006]有鉴于此，为了克服现有技术的不足，本专利技术旨在提供一种基于eBPF XDP的登录信息获取及阻断方法。
[0007]本专利技术提供的基于eBPF XDP的登录信息获取及阻断方法，包括：
[0008]步骤S1：在服务器上解析从访问者到达服务器的流量，获得流量的网络五元组；
[0009]步骤S2：根据网络五元组和流量处理策略筛选流量；
[0010]步骤S3：在服务器上将通过筛选的流量和服务器的登录日志进行关联，获取所述流量登录服务器产生的进程信息；
[0011]步骤S4：将获取的登录进程信息与进程引擎告警对接，通过自学习策略将达到阻断阈值的流量的来源IP添加至IP黑名单。
[0012]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S1中流量的网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成。
[0013]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S2包括：
[0014]配置IP黑白名单，根据配置的IP黑白名单生成IP黑名单列表和IP白名单列表，存储在eBPF map中；
[0015]配置敏感端口，根据配置的敏感端口生成敏感端口列表，存储在eBPF map中；
[0016]当流量的网络五元组中的来源IP在IP白名单列表内，将流量放行至目标应用程序；
[0017]当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口不在敏感端口列表中，将流量放行至目标应用程序；
[0018]当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口在敏感端口列表中，将流量放行至目标应用程序并且在服务器上记录该网络五元组；
[0019]当流量的网络五元组中的来源IP在IP黑名单列表内，丢弃流量并且在服务器上记录该网络五元组，生成告警信息。
[0020]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S2还包括：采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选。
[0021]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S2中采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选，包括：为Geoip数据库中的信息进行LPM映射配置，将国家/地区代码转换为位图ID，根据流量的IP所属地从包含IP地址前缀和来源国ID的LPM映射中获取对应的位图ID，对获取的位图ID逐位检查进行匹配和筛选。
[0022]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S3包括：
[0023]步骤S31：将服务器记录的网络五元组以map数据结构进行缓存，所述map数据结构的键为来源IP、值为对应的网络五元组及记录时间戳；
[0024]步骤S32：实时监控和解析登录日志，获取登录进程对应的来源IP和来源端口；
[0025]步骤S33：遍历步骤S31中的的map数据结构，将登录进程对应的来源IP和来源端口与步骤S31中map数据结构中的来源IP和来源端口进行匹配；
[0026]步骤S34：将通过匹配的登录进程信息以map数据结构保存，所述map数据结构的键为进程ID，值为网络五元组、登录时间戳以及登录状态。
[0027]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S4包括：
[0028]配置自学习策略，所述自学习策略包括合法登录时间、合法登录IP所属地、合法登录IP、合法登录账号、暴力破解规则以及处理指令，所述暴力破解规则包括登录失败次数阈值和登录失败数量阈值；
[0029]根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内。
[0030]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所述流量进行阻断验证，将符合阻断验证的流量的来源IP添加到IP黑名单列表内，包括：
[0031]当流量对应的登录进程信息中的登录状态为登录失败，验证所述登录进程是否具有合法登录时间、合法登录IP所属地、合法登录IP以及合法登录账号；
[0032]检查通过验证的登录进程的登录次数是否达到暴力规则中的登录失败次数阈值，当所述登录进程登录次数达到暴力规则中的登录失败次数阈值，产生告警并将所述登录进程登录失败的事件上报，读取自学习策略中的处理指令，当对应的处理指令是阻断时，将登
录失败事件对应的流量的来源IP添加到IP黑名单列表内，存储在eBPF map中；
[0033]检查通过验证的登录进程的登录账号数量是否达到暴力规则中的登录失败数量阈值，当所述登录进程登录次数达到暴力规则中的登录失败次数阈值，产生告警并将所述登录进程登录失败的事件上报，读取自学习策略中的处理指令，当对应的处理指令是阻断时，将登录失败事件对应的流量的来源IP添加到IP黑名单列表内，存储在eBPF map中。
[0034]进一步地，本专利技术基于eBPF XDP的登录信息获取及阻断方法，步骤S4中，根据流量对应的登录进程信息中的登录状态，对所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于eBPF XDP的登录信息获取及阻断方法，其特征在于，所述方法包括：步骤S1：在服务器上解析从访问者到达服务器的流量，获得流量的网络五元组；步骤S2：根据网络五元组和流量处理策略筛选流量；步骤S3：在服务器上将通过筛选的流量和服务器的登录日志进行关联，获取所述流量登录服务器产生的进程信息；步骤S4：将获取的登录进程信息与进程引擎告警对接，通过自学习策略将达到阻断阈值的流量的来源IP添加至IP黑名单。2.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S1中流量的网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成。3.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2包括：配置IP黑白名单，根据配置的IP黑白名单生成IP黑名单列表和IP白名单列表，存储在eBPF map中；配置敏感端口，根据配置的敏感端口生成敏感端口列表，存储在eBPF map中；当流量的网络五元组中的来源IP在IP白名单列表内，将流量放行至目标应用程序；当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口不在敏感端口列表中，将流量放行至目标应用程序；当流量的网络五元组中的来源IP不在IP白名单列表内，也不在IP黑名单列表内，且流量的网络五元组中的目标端口在敏感端口列表中，将流量放行至目标应用程序并且在服务器上记录该网络五元组；当流量的网络五元组中的来源IP在IP黑名单列表内，丢弃流量并且在服务器上记录该网络五元组，生成告警信息。4.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2还包括：采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选。5.根据权利要求4所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S2中采用Geoip数据库对流量的IP所属地进行解析，根据流量的IP所属地对流量进行筛选，包括：为Geoip数据库中的信息进行LPM映射配置，将国家/地区代码转换为位图ID，根据流量的IP所属地从包含IP地址前缀和来源国ID的LPM映射中获取对应的位图ID，对获取的位图ID逐位检查进行匹配和筛选。6.根据权利要求1所述的基于eBPF XDP的登录信息获取及阻断方法，其特征在于，步骤S3包括：步骤S31：将服务器记录的网络五元组以map数据结构进行缓存，所述map数据结构的键为来源IP、值为对应的网络五元组及记录时间戳；步骤S32：实时监控和解析登录日志，获取登录进程对应的来源IP和来源端口；步骤S33：遍历步骤S31中的的map数据结构，将登录进程对应的来源IP和来源端口与步骤S31中map数据结...

【专利技术属性】
技术研发人员：孙明远，余登峰，张江伟，
申请(专利权)人：中电云数智科技有限公司，
类型：发明
国别省市：