(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211238499.0 (22)申请日 2022.10.11 (71)申请人 中电云数智科技有限公司 地址 430058 湖北省武汉市蔡甸区经济技 术开发区人工智能科技园N栋研发楼3 层N3013号 申请人 中国电子系统技 术有限公司 (72)发明人 余登峰　张江伟　孙明远　 (74)专利代理 机构 北京尚钺知识产权代理事务 所(普通合伙) 11723 专利代理师 王海荣 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于eBPF XDP从内网引流到蜜罐的方 法和系统 (57)摘要 本发明涉及网络安全技术领域， 提供一种基 于eBPF XDP从内网引流到蜜罐的方法和系统， 本 发明的方法包括： 解析从内网到达内网服务器的 流量， 获得流量的网络五元组； 根据网络五元组 和流量处理策略筛选获得符合蜜罐引流条件的 流量； 将筛选获得的流量引流至内网蜜罐添加诱 捕配置并将配置后的流量发送至内网服务器； 在 内网服务器上对接收的流量进行筛选和修改， 将 修改后的流量发送至攻击者。 根据本发明示例性 实施例的基于eBPF  XDP从内网引流到蜜罐的系 统， 可以提高引流的通用性和安全性， 降低资源 占用， 利于 部署轻量 化以及降低引流成本 。 权利要求书3页 说明书7页 附图3页 CN 115499241 A 2022.12.20 CN 115499241 A 1.一种基于eBPF  XDP从内网引流至蜜罐的方法， 其特 征在于， 所述方法， 包括： 步骤S1： 解析从内网到 达内网服 务器的流 量， 获得流 量的网络五元组； 步骤S2： 根据网络五元组和流 量处理策略筛 选获得符合蜜罐引流条件的流 量； 步骤S3： 将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内 网服务器； 步骤S4： 在内网服务器上对接收的流量进行筛选和修改， 将修改后的流量发送至攻击 者。 2.根据权利要求1所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 步骤 S2， 包括： 采集内网服 务器上已经被监听的端口， 生成监听端口列表； 配置敏感端口， 根据配置的敏感端口， 生成敏感端口列表； 当流量的网络五元组中的目标端口不在监听端口列表中， 且流量处理策略是阻断， 丢 弃流量； 当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中， 来源IP在IP 白名单内， 将流 量放行至目标应用程序； 当流量的网络五元组中的目标端口在监 听列表中不在敏感端口列表中， 将流量放行至 目标应用程序； 当流量的网络五元组中的目标端口不在监听端口列表中， 且流量处理策略是转发， 判 定所述流量为符合蜜罐引流条件的流 量； 当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中， 来源IP不在 IP白名单内， 且流 量处理策略是阻断， 丢弃流 量； 当流量的网络五元组中的目标端口在监听端口列表中和敏感端口列表中， 来源IP不在 IP白名单内， 且流 量处理策略是转发， 判定所述 流量为符合蜜罐引流条件的流 量。 3.根据权利要求1所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 步骤 S3， 包括： 步骤S31： 将符合蜜罐引流条件的流量的网络五元组中来源IP修改为当前网卡IP地址， 将目标IP修改为蜜罐系统IP地址， 其它保持不变， 生成修改后的流 量数据包； 步骤S32： 记录修改前网络五元组和修改后网络五元组的对应关系， 根据修改前网络五 元组生成唯一 key， 将生成的唯一 key附加到修改后的流 量数据包中； 步骤S33： 将唯一key和五元组对应关系存储在  eBPF map中， 通过网卡将修改后的流量 数据包发送至蜜罐； 步骤S34： 采用蜜罐接收修改后的流量数据包后对流量添加诱捕配置， 向内网服务器发 送返回流 量数据包。 4.根据权利要求1所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 步骤 S4， 包括： 步骤S41： 在内网服务器检测到网卡接收到返回流量数据包后， 通过筛选获得符合修改 条件的返回流 量数据包； 步骤S42： 修改步骤S41中筛选得到的返回流量数据包， 将修改后的返回流量数据包发 送至攻击者。权　利　要　求　书 1/3 页 2 CN 115499241 A 25.根据权利要求4所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 步骤 S41中， 通过筛选得到符合修改条件的返回流量数据包， 包括： 筛选网络五元组中的来源IP 是内网蜜罐的IP的返回流量数据包， 根据筛选后 返回流量数据包中附加的唯一key在eBPF   map中查找与所述唯一key相关联的修改前网络五元 组和修改后网络五元 组的对应 关系， 当 查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时， 判定 所述返回流 量数据包符合 修改条件。 6.根据权利要求4所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 步骤 S42中， 修改步骤S4 1中筛选得到的返回流量数据包， 包括： 将 筛选得到的返回数据包的网络 五元组中的来源IP修改为当前网卡 IP， 将目标IP修改为 攻击者IP。 7.根据权利 要求1所述的基于eBPF  XDP从内网引流至蜜罐的方法， 其特征在于， 所述方 法， 还包括： 在处理完流量后， 将阻断、 转发的流量次数以及流量的网络五元组信息存储至 eBPF map。 8.一种基于eBPF  XDP从内网引流至蜜罐的系统， 其特 征在于， 所述系统， 包括： 引流层， 包括用户态Agent、 内核态Agent、 内网服务器和蜜罐， 其中用户态Agent用于通 过内核态Agent管 理模块将内核态Agent加载至内网服务器指定网卡 或从指定网卡上卸载， 开启或关闭引流， 将监听端口列表、 敏感端口列表、 IP白名单、 蜜 罐信息、 引流策略通过eBPF   map 发送至内核态Agent； 内核态Agent用于通过eBPF  map 读取引流策略并根据引流策略 对到达内网服务器网卡但未到达Linux内核网络协议栈的流量进行丢弃、 阻断或引流至蜜 罐， 通过eBPF  map 读取蜜罐信息； 内网服务器用于部署用户态Agent和内核态Agent； 蜜罐 用于对接收到的流 量添加诱捕配置并将配置后的流 量发送至内网服 务器； 控制层， 包括Agent管理模块、 监听端 口采集模块、 蜜罐信息配置模块以及引流策略配 置模块， 其中， Agent管 理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指 定网卡上卸载， 开启或关闭引 流， 将蜜罐信息、 引 流策略写入本地sqlite数据库以及eBPF   map； 监听端口采集模块用于采集内网服务器上已经被监听的端口， 通过用户态A gent写入 本地sqlite数据库以及eBPF  map； 蜜罐信息配置模块， 用于配置蜜罐信息， 包括蜜罐的IP和 端口， 将蜜罐信息发送给用户态Agent； 引流策略配置模块， 用于配置敏感端口列表、 IP白名 单以及配置流 量丢弃、 流 量阻断和流 量转发处理策略， 并将上述信息发送至用户态 Agent； 监控层， 由监控采集模块和展示模块组成， 用于监控采集和展示用户态Agent  运行状 态、 内核态 Agent运行状态以及被丢弃、 阻断、 引流的流 量信息； 存储层， 包括eBP F map， mysql  数据库以及sqlite数据库， 其中， eBPF  map 用于存储用 户态Agent和内核态Agent的交互数据； mysql数据库用于存储监控层采集的用户态Agent   运行状态、 内核态Agent运行状态以及被丢弃、 阻断、 引流的流量信息， 存储控制层配置的引 流策略、 内网蜜罐信息， 供控制层读取后下发至用户态Agent， 存储控制层监听端口采集模 块采集的内网服务器上 的监听端口列表， 用于控制层查询内网服务器上 的监听端口列表； Sqlite数据库用于存储控制层下发的引流策 略、 内网蜜罐信息， 存储控制层监听端口采集 模块采集的监听端口列表以及用户态 Agent所在的内网服 务器信息 。 9.根据权利 要求8所述的基于eBPF  XDP从外网引流到内网蜜罐的系统， 其特征在于， 引 流策略包括： 监听端口列表、 敏感端口列表、 IP白名单以及流量丢弃、 流量阻断和流量转发 处理策略。权　利　要　求　书 2/3 页 3 CN 115499241 A 3