一种基于eBPFXDP从内网引流到蜜罐的方法和系统技术方案

本发明专利技术涉及网络安全技术领域，提供一种基于eBPF XDP从内网引流到蜜罐的方法和系统，本发明专利技术的方法包括：解析从内网到达内网服务器的流量，获得流量的网络五元组；根据网络五元组和流量处理策略筛选获得符合蜜罐引流条件的流量；将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内网服务器；在内网服务器上对接收的流量进行筛选和修改，将修改后的流量发送至攻击者。根据本发明专利技术示例性实施例的基于eBPF XDP从内网引流到蜜罐的系统，可以提高引流的通用性和安全性，降低资源占用，利于部署轻量化以及降低引流成本。利于部署轻量化以及降低引流成本。利于部署轻量化以及降低引流成本。

【技术实现步骤摘要】
一种基于eBPF XDP从内网引流到蜜罐的方法和系统


[0001]本专利技术涉及网络安全
，尤其涉及一种基于eBPF XDP从内网引流到蜜罐的方法和系统。

技术介绍

[0002]随着互联网技术的不断发展，各种各样的网络技术出现，同时也导致了越来越多的网络安全事件发生，给网络安全带来了挑战。为了更好的实现网络安全的防护，越来越多的安全产品出现，比如WAF、蜜罐等。
[0003]蜜罐技术将被动防御变为了主动出击，在网络安全领域具有重要作用，其中内网蜜罐部署在局域网内部，通过模拟内网中其它业务资源或某个具体服务，开放对应端口等级攻击者进入，可以有效降低内网中其它业务被攻击的风险，同时及时发现威胁、发出告警。
[0004]目前蜜罐多部署在真实的Web系统同一环境下，需要在Web系统所在主机上开启端口作为蜜饵，将攻击流量引入到蜜罐中，这种引流方式需要在每个Web系统所在主机部署一个蜜罐，并且占用系统的端口资源，改变Web系统的网络拓扑，给实际应用带来不便，造成了资源浪费，增加了部署的复杂度。
[0005]因此，如何提供一种通用性好、高效、安全和低成本的将流量从内网引流至内网蜜罐的方法，成为亟待解决的技术问题。

技术实现思路

[0006]有鉴于此，为了克服现有技术的不足，本专利技术提供一种基于eBPF XDP从内网引流至蜜罐的方法和系统。
[0007]一方面，本专利技术提供一种基于eBPF XDP从内网引流至蜜罐的方法，包括：步骤S1：解析从内网到达内网服务器的流量，获得流量的网络五元组；步骤S2：根据网络五元组和流量处理策略筛选获得符合蜜罐引流条件的流量；步骤S3：将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内网服务器；步骤S4：在内网服务器上对接收的流量进行筛选和修改，将修改后的流量发送至攻击者。
[0008]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法的步骤S2，包括：采集内网服务器上已经被监听的端口，生成监听端口列表；配置敏感端口，根据配置的敏感端口，生成敏感端口列表；当流量的网络五元组中的目标端口不在监听端口列表中，且流量处理策略是阻断，丢弃流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP在IP白名单内，将流量放行至目标应用程序；
当流量的网络五元组中的目标端口在监听列表中不在敏感端口列表中，将流量放行至目标应用程序；当流量的网络五元组中的目标端口不在监听端口列表中，且流量处理策略是转发，判定所述流量为符合蜜罐引流条件的流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP不在IP白名单内，且流量处理策略是阻断，丢弃流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP不在IP白名单内，且流量处理策略是转发，判定所述流量为符合蜜罐引流条件的流量。
[0009]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法的步骤S3，包括：步骤S31：将符合蜜罐引流条件的流量的网络五元组中来源IP修改为当前网卡IP地址，将目标IP修改为蜜罐系统IP地址，其它保持不变，生成修改后的流量数据包；步骤S32：记录修改前网络五元组和修改后网络五元组的对应关系，根据修改前网络五元组生成唯一key，将生成的唯一key附加到修改后的流量数据包中；步骤S33：将唯一key和五元组对应关系存储在 eBPF map中，通过网卡将修改后的流量数据包发送至蜜罐；步骤S34：采用蜜罐接收修改后的流量数据包后对流量添加诱捕配置，向内网服务器发送返回流量数据包。
[0010]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法的步骤S4，包括：步骤S41：在内网服务器检测到网卡接收到返回流量数据包后，通过筛选获得符合修改条件的返回流量数据包；步骤S42：修改步骤S41中筛选得到的返回流量数据包，将修改后的返回流量数据包发送至攻击者。
[0011]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法的步骤S41中，通过筛选得到符合修改条件的返回流量数据包，包括：筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包，根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系，当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时，判定所述返回流量数据包符合修改条件。
[0012]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法的步骤S42中，修改步骤S41中筛选得到的返回流量数据包，包括：将筛选得到的返回数据包的网络五元组中的来源IP修改为当前网卡IP，将目标IP修改为攻击者IP。
[0013]进一步地，本专利技术基于eBPF XDP从内网引流至蜜罐的方法，还包括：在处理完流量后，将阻断、转发的流量次数以及流量的网络五元组信息存储至eBPF map。
[0014]另一方面，本专利技术还提供一种基于eBPF XDP从内网引流至蜜罐的系统，包括：引流层，包括用户态Agent、内核态Agent、内网服务器和蜜罐，其中用户态Agent用于通过内核态Agent管理模块将内核态Agent加载至内网服务器指定网卡或从指定网卡上卸载，开启或关闭引流，将监听端口列表、敏感端口列表、IP白名单、蜜罐信息、引流策略通过eBPF map 发送至内核态Agent；内核态Agent用于通过eBPF map 读取引流策略并根据引流策略对到达内网服务器网卡但未到达Linux内核网络协议栈的流量进行丢弃、阻断或引
流至蜜罐，通过eBPF map 读取蜜罐信息；内网服务器用于部署用户态Agent和内核态Agent；蜜罐用于对接收到的流量添加诱捕配置并将配置后的流量发送至内网服务器；控制层，包括Agent管理模块、监听端口采集模块、蜜罐信息配置模块以及引流策略配置模块，其中，Agent管理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指定网卡上卸载，开启或关闭引流，将蜜罐信息、引流策略写入本地sqlite数据库以及eBPF map；监听端口采集模块用于采集内网服务器上已监听端口，通过用户态Agent写入本地sqlite数据库以及eBPF map；蜜罐信息配置模块，用于配置蜜罐信息，包括蜜罐的IP和端口，将蜜罐信息发送给用户态Agent；引流策略配置模块，用于配置敏感端口列表、IP白名单以及配置流量丢弃、流量阻断和流量转发处理策略，并将上述信息发送至用户态Agent；监控层，由监控采集模块和展示模块组成，用于监控采集和展示用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息；存储层，包括eBPF map，mysql 数据库以及sqlite数据库，其中，eBPF map 用于存储用户态Agent和内核态Agent的交互数据；mysql数据库用于存储监控层采集的用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，所述方法，包括：步骤S1：解析从内网到达内网服务器的流量，获得流量的网络五元组；步骤S2：根据网络五元组和流量处理策略筛选获得符合蜜罐引流条件的流量；步骤S3：将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内网服务器；步骤S4：在内网服务器上对接收的流量进行筛选和修改，将修改后的流量发送至攻击者。2.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，步骤S2，包括：采集内网服务器上已经被监听的端口，生成监听端口列表；配置敏感端口，根据配置的敏感端口，生成敏感端口列表；当流量的网络五元组中的目标端口不在监听端口列表中，且流量处理策略是阻断，丢弃流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP在IP白名单内，将流量放行至目标应用程序；当流量的网络五元组中的目标端口在监听列表中不在敏感端口列表中，将流量放行至目标应用程序；当流量的网络五元组中的目标端口不在监听端口列表中，且流量处理策略是转发，判定所述流量为符合蜜罐引流条件的流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP不在IP白名单内，且流量处理策略是阻断，丢弃流量；当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中，来源IP不在IP白名单内，且流量处理策略是转发，判定所述流量为符合蜜罐引流条件的流量。3.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，步骤S3，包括：步骤S31：将符合蜜罐引流条件的流量的网络五元组中来源IP修改为当前网卡IP地址，将目标IP修改为蜜罐系统IP地址，其它保持不变，生成修改后的流量数据包；步骤S32：记录修改前网络五元组和修改后网络五元组的对应关系，根据修改前网络五元组生成唯一key，将生成的唯一key附加到修改后的流量数据包中；步骤S33：将唯一key和五元组对应关系存储在 eBPF map中，通过网卡将修改后的流量数据包发送至蜜罐；步骤S34：采用蜜罐接收修改后的流量数据包后对流量添加诱捕配置，向内网服务器发送返回流量数据包。4.根据权利要求1所述的基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，步骤S4，包括：步骤S41：在内网服务器检测到网卡接收到返回流量数据包后，通过筛选获得符合修改条件的返回流量数据包；步骤S42：修改步骤S41中筛选得到的返回流量数据包，将修改后的返回流量数据包发送至攻击者。
5.根据权利要求4所述的基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，步骤S41中，通过筛选得到符合修改条件的返回流量数据包，包括：筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包，根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系，当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时，判定所述返回流量数据包符合修改条件。6.根据权利要求4所述的基于eBPF XDP从内网引流至蜜罐的方法，其特征在于，步骤S42中，修改步骤S41中筛选得到的返回流量数据包，包括：将筛选得到的返...

【专利技术属性】
技术研发人员：余登峰，张江伟，孙明远，
申请(专利权)人：中国电子系统技术有限公司，
类型：发明
国别省市：