文章总结: PacketScopeisaneBPF-basedTCP/IPprotocolstackdefenseframeworkthatintegratesLLMsforintelligentanalysis.ItconsistsofAnalyzer,Tracer,andGuardermodulestovisualizepackettrajectoriesanddetectanomalies.ThearticleintroducesaJSONexportfeatureforprotocolinteractiongraphs,enablinguserstoleverageLLMslikeDeepSeekforperformancebottleneckidentificationandsecurityauditing.FutureplansincludenativeMCPprotocolsupporttostreamlineautomateddefense.Thistoolenhancesendpointsecuritybytransformingkernel-levelprotocolinteractionsintoobservable,analyzable,anddefensibledatastreams. 综合评分: 88 文章分类: 安全工具,AI安全,产品介绍,网络安全,终端安全
PacketScope:LLM赋能的协议栈交互行为智能分析
原创
赛博新经济 赛博新经济
赛博新经济
2026年1月17日 16:49 日本
PacketScope是一种基于eBPF的TCP/IP协议栈通用防御框架。通过在协议栈处理路径上动态观测、实时感知每一个分组单元在系统内的处理轨迹,绘制协议交互全景图,再辅助以大模型分析,PacketScope实现了协议栈内核级别的分组可视化、安全性分析与零延迟防御。
项目介绍:🔗
https://internet-architecture-and-security.github.io/packetScope-website/
项目地址:🔗
https://github.com/Internet-Architecture-and-Security/PacketScope
大家好啊!前期几篇推送,我们介绍了PacketScope开源项目。我们简要回顾一下,PacketScope由Analyzer、Tracer、Guarder三个模块构成,三者协同工作,共同构成了从观测、分析到实时防御的端到端协议栈安全防御体系。其中,Analyzer模块通过eBPF技术实时捕获协议栈中分组的处理路径,构建细粒度的协议交互全景图,实现协议栈行为的可视化与深度分析;Tracer模块对分组在互联网上的逐跳路径进行探测与标注,结合AS、地理位置及威胁情报数据,实现路由路径的可视化与风险分析;Guarder模块则借助大语言模型对实时流量进行长上下文语义推理,识别恶意行为并自动生成eBPF规则,通过XDP在协议栈内核层面实现零延迟的攻击拦截与动态防御。
图1 PacketScope总体结构图
今天我们为大家介绍一下PacketScope项目的协议交互智能分析功能,即利用大模型对PacketScope构建的协议交互全景图进行智能分析与调试,从而自动识别协议栈的性能瓶颈与潜在攻击,为网络性能优化和入侵检测等提供支持依据。
01
协议交互全景图的语义扩展与下载
当前,互联网上每天吞吐的数据量已超108TB,这些数据的传输依赖于底层网络协议的交互。协议交互如同网络空间中纵横交错的“高速公路网”(如图1所示),为海量数据的流动提供路径与通道。你是否也曾好奇:我们能否直观感知这张协议交互的“高速公路网”究竟是何模样?其中是否存在堵塞或低效的路径?又有哪些路段可以被优化与修整?PacketScope的协议交互全景图分析功能,正是为解决这一问题而生。
在前面的推送中我们介绍过,协议交互全景图是PacketScope的Analyzer功能基于eBPF技术实现的可视化轨迹图,它通过对网络协议栈中的活跃套接字与数据包进行实时监控,完整捕获数据包在内核协议栈中的处理路径,记录其每一步的处理动作、状态变更及上下文依赖关系,从而清晰、细粒度地呈现底层协议栈中每一次分组流动、每一个协议调用以及每一条跨层依赖关系,最终构建出协议栈底层处理的完整轨迹图,为网络性能分析与调优、攻击检测等提供支撑依赖(详见推送“PacketScope之协议交互‘透视镜’”)。
图2 网络空间中的复杂协议交互(注:该图由AI生成)
近期,我们对PacketScope的协议交互分析功能进行了扩展和改进,新增了协议交互图JSON格式数据下载功能,用于将内核/应用函数调用关系结构化输出,进而可以支持大模型开展性能分析与安全分析。
图3 协议交互图的下载
进入PacketScope的【函数调用链监控器】,如图2所示在函数调用链拓扑图页面中可以看到【下载拓扑数据】按钮。用户点击后即可下载当前页面对应的函数调用链拓扑图数据。下载的JSON数据经过专门的结构化与语义化处理,能够更好地被大模型理解和解析。
- JSON 数据结构说明
导出的JSON主要包含以下两部分:
▶ graphNodes:函数节点信息,描述每个函数的基本属性及性能指标,包括:
- 函数唯一标识(id)
- 函数名(name)
- 所属阶段/类别(category,如接收、处理、发送)
- 调用地址(addr)
- 调用次数(callCount)
- 总耗时、平均耗时、最小/最大耗时
- 采样耗时列表
面向大模型的自然语言描述(description)
▶ graphLinks:描述函数之间的调用链路,包括:
- 调用源与目标函数
- 调用方向
- 调用次数及权重
- 归一化权重
- 面向大模型理解的调用关系描述
示例结构如下:
02
协议交互全景图的大模型分析
用户点击下载某个网络流的协议交互全景图到本地后,可以将该JSON格式的交互图上传到大模型LLM,辅助以提示词,利用大模型的长上下文推理能力来分析该协议交互全景图,例如包括:
- 请对该协议交互图进行整体评估分析;
- 该协议交互图中是否存在瓶颈路径,可修复优化网络传输性能;
- 交互图中是否存在异常,甚至网络攻击引起的恶意交互行为等。
图4 DeepSeek分析协议交互图结果
如图3所示,DeepSeek等大模型对交互图分析完毕后,会给出直观的结论报告,可以作为管理员、协议栈开发者、安全人员决策的关键依据。
03
未来展望
PacketScope项目逐步揭开了端侧协议栈复杂交互的“黑盒”,推动终端安全从隔离检测向内部认知与智能化防御演进。
在后续版本中,我们将扩展PacketScope,原生支持MCP(Model Context Protocol)协议,使得PacketScope可直接通过MCP与大模型客户端对接,从而支持PacketScope三个功能模块的MCP Server大模型调用,成为终端的智能网络操作手。例如,可以直接实现协议交互图数据到大模型的回传,在线分析推理终端的协议交互行为,无需再手动下载JSON文件上传到大模型;分析完毕后,远程下载eBPF规则到终端执行,阻断攻击等。从而实现真正的从感知、到决策、再到阻断的一体化智能防御体系;
此外,PacketScope项目将进行轻量化改造升级,开放更为灵活的编程接口便于专业人员自定义函数观测点及监控调参,扩展支持更广泛的生态版本等,敬请关注!
我们期待与安全社区和互联网研究者一起携手交流,共同打造面向未来的协议栈安全基石。
P.S.大家在安装或使用的过程中有任何问题,欢迎在Issues里面提问留言。
项目介绍网站:https://internet-architecture-and-security.github.io/packetScope-website/
项目Github开源地址:https://github.com/Internet-Architecture-and-Security/PacketScope
作者们将在第一时间回复解答。欢迎关注我们的PacketScope技术交流群(由于群已满200人,二维码失效,欢迎群内的小伙伴邀请好友入群)!
下面是利用NotebookLM为PacketScope生成的介绍视频:
已关注
关注
重播 分享 赞
关闭
观看更多
更多
退出全屏
切换到竖屏全屏退出全屏
赛博新经济已关注
分享视频
,时长08:11
0/0
00:00/08:11
切换到横屏模式
继续播放
[ ]
进度条,百分之0
播放
00:00
/
08:11
08:11
倍速
全屏
倍速播放中
0.5倍 0.75倍 1.0倍 1.5倍 2.0倍
超清 流畅
继续观看
PacketScope:LLM赋能的协议栈交互行为智能分析
观看更多
原创
,
PacketScope:LLM赋能的协议栈交互行为智能分析
赛博新经济已关注
分享点赞在看
已同步到看一看写下你的评论
视频详情
往期推荐:
PacketScope:端侧协议栈防御的“智能铠甲”
PacketScope之协议交互“透视镜”
张力拉满、丝滑对接:大模型LLM赋能eBPF重塑网络攻击防御新范式
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:赛博新经济 赛博新经济 赛博新经济《PacketScope:LLM赋能的协议栈交互行为智能分析》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论