(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211238571.X (22)申请日 2022.10.11 (71)申请人 中电云数智科技有限公司 地址 430058 湖北省武汉市蔡甸区经济技 术开发区人工智能科技园N栋研发楼3 层N3013号 申请人 中国电子系统技 术有限公司 (72)发明人 余登峰　张江伟　孙明远　 (74)专利代理 机构 北京尚钺知识产权代理事务 所(普通合伙) 11723 专利代理师 王海荣 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种基于eBPF XDP从外网引流到内网蜜罐 的方法和系统 (57)摘要 本发明涉及网络安全技术领域， 提供一种基 于eBPF XDP从外网引流到内网蜜罐的方法和系 统， 本发明的方法包括： 解析从外网到达内外网 交界服务器的流量， 获得流量的网络五元组， 所 述网络五元组由来源IP、 来源端口、 协议、 目标IP 和目标端口组成； 筛选获得符合蜜罐引流条件的 流量， 将筛选获得的流量引流至内网蜜罐添加诱 捕配置并将配置后的流量发送至内外网交界服 务器； 在内外网交界服务器上对接收的流量进行 筛选和修改， 将修改后的流量发送至攻击者。 根 据本发明示例性实施例的基于eBPF  XDP从外网 引流到内网蜜罐的系统， 可以提高引流的通用性 和安全性， 降低资源占用， 利于部署轻量化以及 降低引流成本 。 权利要求书2页 说明书7页 附图4页 CN 115499242 A 2022.12.20 CN 115499242 A 1.一种基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特 征在于， 所述方法， 包括： 步骤S1： 解析从外网到达内外网交界服务器的流量， 获得流量的网络五元组， 所述网络 五元组由来源IP、 来源端口、 协议、 目标IP和目标端口组成； 步骤S2： 筛选获得符合蜜罐引流条件的流量， 将筛选获得的流量引流至内网蜜罐添加 诱捕配置并将配置后的流 量发送至内外网交界服 务器； 步骤S3： 在内外网交界服务器上对接收的流量进行筛选和修改， 将修改后的流量发送 至攻击者。 2.根据权利 要求1所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 步 骤S2， 包括： 步骤S21： 筛选获得网络五元组中的协议是tcp/udp/icmp  中任意一种， 来源IP在IP黑 名单中以及流 量处理策略是转发到内网蜜罐的流 量； 步骤S22： 将步骤2 1筛选获得的流量的网络五元组中来源IP修改为当前网卡IP地址， 将 目标IP修改为内网蜜罐IP地址， 其它保持不变， 生成修改后的流 量数据包； 步骤S23： 记录修改前网络五元组和修改后网络五元组的对应关系， 根据修改前网络五 元组生成唯一 key， 将生成的唯一 key附加到修改后的流 量数据包中； 步骤S24： 将唯一key和五元组对应关系存储在  eBPF map中， 通过网卡将修改后的流量 数据包发送至内网蜜罐； 步骤S25： 采用内网蜜罐接收修改后的流量数据包后对流量添加诱捕配置， 向内外网交 界服务器发送返回流 量数据包。 3.根据权利 要求2所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 步 骤S2， 还包括： 当流量的网络五元组中的协议 不是 tcp/udp/icmp  中任意一种， 丢弃流 量； 当流量的网络五元组中的协议是  tcp/udp/icmp  中任意一种， 来源IP不在IP黑名单 中， 将流量经过Linux内核放行至目标应用程序； 当流量的网络五元组中的协议是  tcp/udp/icmp  中任意一种， 来源IP在IP黑名单中， 且流量处理策略是阻断， 丢弃流 量。 4.根据权利 要求1所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 步 骤S3， 包括： 步骤S31： 在内外网交界服务器检测到网卡接收到返回流量数据包后， 通过筛选获得符 合修改条件的返回流 量数据包； 步骤S32： 修改步骤S31中筛选得到的返回流量数据包， 将修改后的返回流量数据包发 送至攻击者。 5.根据权利 要求4所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 步 骤S31中， 通过筛选得到符合修改条件的返回流量数据包， 包括： 筛选网络五元组中的来源 IP是内网蜜罐的IP的返回流量数据包， 根据筛选后返回流量数据包中附加的唯一key在 eBPF map中查找与所述唯一key相关联的修改前网络五元 组和修改后网络五元组的对应关 系， 当查到与所述唯一key相关联的修改前网络五元 组和修改后网络五元组的对应关系时， 判定所述返回流 量数据包符合 修改条件。 6.根据权利 要求4所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 步权　利　要　求　书 1/2 页 2 CN 115499242 A 2骤S32中， 修改步骤S 31中筛选得到的返回流量数据包， 包括： 将 筛选得到的返回数据包的网 络五元组中的来源IP修改为当前网卡 IP， 将目标IP修改为 攻击者IP。 7.根据权利 要求1所述的基于eBPF  XDP从外网引流到内网蜜罐的方法， 其特征在于， 所 述方法， 还包括： 在处理完流量后， 将阻断、 转发的流量次数以及流量的网络五元组信息存 储至eBPF map。 8.一种基于eBPF  XDP从外网引流到内网蜜罐的系统， 其特 征在于， 所述系统， 包括： 引流层， 包括用户态Agent、 内核态Agent、 内外网交界服务器、 WAF和内网蜜罐， 其中， 用 户态Agent用于通过内核态Agent管理模块将内核态Agent加载至指定网卡或从指 定网卡上 卸载， 开启或关闭引流， 将内网蜜罐信息、 引流策略通过eBPF  map发送至内核态Agent； 内核 态Agent用于通过  eBPF map 读取引流策略并根据引流策略对到达内外网交界服务器网卡 但未到达Linux  内核网络协议栈的流量进行丢弃、 阻断或引流至内网蜜罐， 通过  eBPF map  读取内网蜜罐信息； 内外网交接服务器用于部署用户态Agent和内核态Agent； WAF用于对流 量进行判断并根据判断结果动态更新IP黑名单， 将更新的IP黑名单存储到  kafka中； 内网 蜜罐用于对接收的流 量添加诱捕配置并将配置后的流 量发送至内外网交界服 务器； 控制层， 包括Agent管理模块、 内网蜜罐信息配置模块以及引流策略配置模块， 其中， Agent管理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指定网卡上卸 载， 开启或关闭引流， 将内网蜜罐信息、 引流策略写入本地sqlite数据库以及eBPF  map； 内 网蜜罐信息配置模块， 用于配置内网蜜 罐信息， 包括内网蜜 罐的IP和端口， 将内网蜜 罐信息 送给用户态A gent； 引流策略配置模块， 用于配置IP黑名单以及配置流量丢弃、 流量阻断和 流量转发处理策略， 用于将kafka 中由WAF更新的IP黑名单发送至用户态 Agent； 监控层， 由监控采集模块和展示模块组成， 用于监控采集和展示用户态Agent  运行状 态、 内核态 Agent运行状态以及被丢弃、 阻断、 引流的流 量信息； 存储层， 包括eBPF  map、 kafka  、 mysql 数据库以及sqlite数据库， 其中， eBPF  map 用 于存储用户态Agent和内核态Agent的交互数据； Kafka， 用于接收  WAF 根据流量的判断结 果更新的IP黑名单； mysql数据库用于存储监控层采集的用户态Agent  运行状态、 内核态 Agent运行状态以及被丢弃、 阻断、 引流的流量信息， 存储控制层配置的引流策略、 内网蜜 罐 信息， 供控制层读取后下发至用户态Agent； Sqlite数据库用于存储控制层下发的引 流策 略、 内网蜜罐信息和用户态 Agent所在的内外网交界服 务器信息 。 9.根据权利要求8所述的基于eBPF  XDP从外网引流到内网蜜罐的系统， 其特征在于， WAF用于将判定为 攻击流量的流量的来源IP加入到IP黑名单列表。 10.根据权利要求8所述的基于eBPF  XDP从外网引流到内网蜜罐的系 统， 其特征在于， 引流策略包括： 网络五元组中的协 议、 IP黑名单以及流量丢弃、 流量阻断和流量转 发处理策 略。权　利　要　求　书 2/2 页 3 CN 115499242 A 3