CN115499242A - 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 - Google Patents
一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 Download PDFInfo
- Publication number
- CN115499242A CN115499242A CN202211238571.XA CN202211238571A CN115499242A CN 115499242 A CN115499242 A CN 115499242A CN 202211238571 A CN202211238571 A CN 202211238571A CN 115499242 A CN115499242 A CN 115499242A
- Authority
- CN
- China
- Prior art keywords
- internal
- network
- flow
- honeypot
- ebpf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 44
- 238000012216 screening Methods 0.000 claims abstract description 25
- 235000012907 honey Nutrition 0.000 claims description 36
- 230000004048 modification Effects 0.000 claims description 30
- 238000012986 modification Methods 0.000 claims description 30
- 230000000903 blocking effect Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 239000012530 fluid Substances 0.000 claims description 5
- 238000005111 flow chemistry technique Methods 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims 1
- 239000003795 chemical substances by application Substances 0.000 description 52
- 238000005516 engineering process Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 230000007547 defect Effects 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 239000012466 permeate Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,提供一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统,本发明的方法包括:解析从外网到达内外网交界服务器的流量,获得流量的网络五元组,所述网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成;筛选获得符合蜜罐引流条件的流量,将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内外网交界服务器;在内外网交界服务器上对接收的流量进行筛选和修改,将修改后的流量发送至攻击者。根据本发明示例性实施例的基于eBPF XDP从外网引流到内网蜜罐的系统,可以提高引流的通用性和安全性,降低资源占用,利于部署轻量化以及降低引流成本。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统。
背景技术
随着互联网技术的不断发展,各种各样的网络技术出现,同时也导致了越来越多的网络安全事件发生,给网络安全带来了挑战。为了更好的实现网络安全的防护,越来越多的安全产品出现,比如WAF、蜜罐等。蜜罐技术将被动防御变为了主动出击,在网络安全领域具有重要作用,其中内网蜜罐部署在局域网内部,通过模拟内网中其它业务资源或某个具体服务,开放对应端口等级攻击者进入,可以有效降低内网中其它业务被攻击的风险,同时及时发现威胁、发出告警。但是内网蜜罐,需要攻击者突破内网后才有可能被扫描发现,这种方式比较被动,因为内网相对安全,渗透内网是一个比较困难的过程,因此流量进入内网蜜罐的可能性比较小。为了解决这个问题,需要对内网蜜罐主动引流,让流量可以从外网到达内网蜜罐,让外网流量可以在内网渗透、蜜罐被发现之前进入蜜罐。目前,内网蜜罐引流主要采用 tcpcopy引流技术。在实际应用中,现有的内网蜜罐引流技术存在以下不足:1.只支持TCP协议流量的引流,不支持UDP协议和ICMP协议流量的引流;2.其作用机制是在应用层对流量进行复制,系统资源消耗高;3.无法阻断流量,对于大量威胁流量也会被一同引入蜜罐,增加了蜜罐处理的负担,造成资源浪费;4.部署繁琐,需要部署nginx等代理工具,增加了安全风险和成本。
因此,如何提供一种通用性好、高效、安全和低成本的将流量从外网引流至内网蜜罐的方法,成为亟待解决的技术问题。
发明内容
有鉴于此,为了克服现有技术的不足,本发明提供一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统。
一方面,本发明提供一种基于eBPF XDP从外网引流到内网蜜罐的方法,包括:
步骤S1:解析从外网到达内外网交界服务器的流量,获得流量的网络五元组,所述网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成;
步骤S2:筛选获得符合蜜罐引流条件的流量,将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内外网交界服务器;
步骤S3:在内外网交界服务器上对接收的流量进行筛选和修改,将修改后的流量发送至攻击者。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法的步骤S2,包括:
步骤S21:筛选获得网络五元组中的协议是tcp/udp/icmp 中任意一种,来源IP在IP黑名单中以及流量处理策略是转发到内网蜜罐的流量;
步骤S22:将步骤21筛选获得的流量的网络五元组中来源IP修改为当前网卡IP地址,将目标IP修改为内网蜜罐IP地址,其它保持不变,生成修改后的流量数据包;
步骤S23:记录修改前网络五元组和修改后网络五元组的对应关系,根据修改前网络五元组生成唯一key,将生成的唯一key附加到修改后的流量数据包中;
步骤S24:将唯一key和五元组对应关系存储在 eBPF map中,通过网卡将修改后的流量数据包发送至内网蜜罐;
步骤S25:采用内网蜜罐接收修改后的流量数据包后对流量添加诱捕配置,向内外网交界服务器发送返回流量数据包。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法的步骤S2,还包括:
当流量的网络五元组中的协议不是 tcp/udp/icmp 中任意一种,丢弃流量;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP不在IP黑名单中,将流量经过Linux内核放行至目标应用程序;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP在IP黑名单中,且流量处理策略是阻断,丢弃流量。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法的步骤S3,包括:
步骤S31:在内外网交界服务器检测到网卡接收到返回流量数据包后,通过筛选获得符合修改条件的返回流量数据包;
步骤S32:修改步骤S31中筛选得到的返回流量数据包,将修改后的返回流量数据包发送至攻击者。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法的步骤S31中,通过筛选得到符合修改条件的返回流量数据包,包括:筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包,根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系,当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时,判定所述返回流量数据包符合修改条件。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法的步骤S32中,修改步骤S31中筛选得到的返回流量数据包,包括:将筛选得到的返回数据包的网络五元组中的来源IP修改为当前网卡IP,将目标IP修改为攻击者IP。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的方法,还包括:在处理完流量后,将阻断、转发的流量次数以及流量的网络五元组信息存储至eBPF map。
另一方面,本发明还提供一种基于eBPF XDP从外网引流到内网蜜罐的系统,包括:
引流层,包括用户态Agent、内核态Agent、内外网交界服务器、WAF和内网蜜罐,其中,用户态Agent用于通过内核态Agent管理模块将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略通过eBPF map发送至内核态Agent;内核态Agent用于通过 eBPF map 读取引流策略并根据引流策略对到达内外网交界服务器网卡但未到达Linux 内核网络协议栈的流量进行丢弃、阻断或引流至内网蜜罐,通过 eBPF map 读取内网蜜罐信息;内外网交接服务器用于部署用户态Agent和内核态Agent;WAF用于对流量进行判断并根据判断结果动态更新IP黑名单,将更新的IP黑名单存储到 kafka中;内网蜜罐用于对接收的流量添加诱捕配置并将配置后的流量发送至内外网交界服务器;
控制层,包括Agent管理模块、内网蜜罐信息配置模块以及引流策略配置模块,其中,Agent管理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略写入本地sqlite数据库以及eBPF map;内网蜜罐信息配置模块,用于配置内网蜜罐信息,包括内网蜜罐的IP和端口,将内网蜜罐信息送给用户态Agent;引流策略配置模块,用于配置IP黑名单以及配置流量丢弃、流量阻断和流量转发处理策略,用于将kafka中由WAF更新的IP黑名单发送至用户态Agent;
监控层,由监控采集模块和展示模块组成,用于监控采集和展示用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息;
存储层,包括eBPF map、kafka 、mysql 数据库以及sqlite数据库,其中,eBPF map用于存储用户态Agent和内核态Agent的交互数据;Kafka,用于接收 WAF 根据流量的判断结果更新的IP黑名单;mysql数据库用于存储监控层采集的用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息,存储控制层配置的引流策略、内网蜜罐信息,供控制层读取后下发至用户态Agent;Sqlite数据库用于存储控制层下发的引流策略、内网蜜罐信息和用户态Agent所在的内外网交界服务器信息。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的系统中, WAF用于将判定为攻击流量的流量的来源IP加入到IP黑名单列表。
进一步地,本发明基于eBPF XDP从外网引流到内网蜜罐的系统中,引流策略包括:网络五元组中的协议、IP黑名单以及流量丢弃、流量阻断和流量转发处理策略。
本发明基于eBPF XDP从外网引流到内网蜜罐的方法和系统,具有以下有益效果:
1.提高通用性,支持更多网络协议的引流,支持TCP/UDP/ICMP协议的流量引流;
2.降低资源占用,在服务器网卡上对流量进行丢弃、放行或转发操作,大幅度减少系统资源的消耗;
3.提高引流安全性,可以阻断流量,保护应用不受例如 DDOS等持续攻击;
4.利于部署轻量化以及降低引流成本,只需要在内外网交界服务器上部署轻量级Agent,可以实现热插拔,动态配置实时生效,对系统、网络规划影响小。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明示例性第一实施例基于eBPF XDP从外网引流到内网蜜罐的方法的流程图。
图2为本发明示例性第二实施例基于eBPF XDP从外网引流到内网蜜罐的方法的流程图。
图3为本发明示例性第三实施例基于eBPF XDP从外网引流到内网蜜罐的方法的流程图。
图4为本发明示例性第四实施例基于eBPF XDP从外网引流到内网蜜罐的系统的框架图。
图5为本发明示例性第四实施例基于eBPF XDP从外网引流到内网蜜罐的系统的应用原理图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合;并且,基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
需要说明的是,下文描述在所附权利要求书的范围内的实施例的各种方面。应显而易见,本文中所描述的方面可体现于广泛多种形式中,且本文中所描述的任何特定结构及/或功能仅为说明性的。基于本公开,所属领域的技术人员应了解,本文中所描述的一个方面可与任何其它方面独立地实施,且可以各种方式组合这些方面中的两者或两者以上。举例来说,可使用本文中所阐述的任何数目个方面来实施设备及/或实践方法。另外,可使用除了本文中所阐述的方面中的一或多者之外的其它结构及/或功能性实施此设备及/或实践此方法。
以下各实施例中涉及的名词解释如下:
eBPF:全称是 extended Berkeley Packet Filter,是Linux 内核中一个非常灵活与高效的类虚拟机(virtual machine-like)组件,用于在许多内核 hook 点安全地执行字节码。
XDP:全程是eXpress Data Path,是Linux 网络路径上内核集成的网络数据包处理器,为Linux内核提供了高性能、可编程的网络数据路径。由于网络数据包在还未进入网络协议栈之前就处理,它给Linux网络带来了巨大的性能提升。
eBPF XDP: 结合eBPF 和 XDP 技术的特点,可以在XDP执行eBPF 程序,可以在网络数据包还未进入网络协议栈之前就进行转发、丢弃、放行处理,可以显著提升Linux网络的性能。
蜜罐:本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
WAF:Web应用防护墙(Web Application Firewall,简称WAF),是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,主要用于防御针对网络应用层的攻击,像SQL注入、跨站脚本攻击、参数篡改、应用平台漏洞攻击、拒绝服务攻击等。
图1为根据本发明示例性第一实施例的一种基于eBPF XDP从外网引流到内网蜜罐的方法的流程图,如图1所示,本实施例的方法,包括:
步骤S1:解析从外网到达内外网交界服务器的流量,获得流量的网络五元组,所述网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成;
步骤S2:筛选获得符合蜜罐引流条件的流量,将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内外网交界服务器;
步骤S3:在内外网交界服务器上对接收的流量进行筛选和修改,将修改后的流量发送至攻击者。
本实施例中,解析从外网到达内外网交界服务器的流量的网络五元组为{src_ip:来源IP、src_port:来源端口、protocol:协议(tcp/udp/icmp)、dst_ip:目标IP、dst_port目标端口}。
图2为根据本发明示例性第二实施例的一种基于eBPF XDP从外网引流到内网蜜罐的方法的流程图,本实施例是图1所示方法的优选实施例,如图2所示,本实施例方法的步骤S2,包括:
步骤S21:筛选获得网络五元组中的协议是tcp/udp/icmp 中任意一种,来源IP在IP黑名单中以及流量处理策略是转发到内网蜜罐的流量;
步骤S22:将步骤21筛选获得的流量的网络五元组中来源IP修改为当前网卡IP地址,将目标IP修改为内网蜜罐IP地址,其它保持不变,生成修改后的流量数据包;
步骤S23:记录修改前网络五元组和修改后网络五元组的对应关系,根据修改前网络五元组生成唯一key,将生成的唯一key附加到修改后的流量数据包中;
步骤S24:将唯一key和五元组对应关系存储在 eBPF map中,通过网卡将修改后的流量数据包发送至内网蜜罐;
步骤S25:采用内网蜜罐接收修改后的流量数据包后对流量添加诱捕配置,向内外网交界服务器发送返回流量数据包。
本实施例方法的步骤S22中,将步骤21筛选获得的流量的网络五元组中来源IP修改为当前网卡IP地址,将目标IP修改为内网蜜罐IP地址,其它保持不变,即将{src_ip:攻击者ip、src_port:攻击者来源端口、protocal:协议(tcp/udp/icmp)、dst_ip:应用ip、dst_port:目标端口} 修改为{src_ip:当前网卡IP地址、src_port:攻击者来源端口、protocal:协议(tcp/udp/icmp)、dst_ip:蜜罐系统IP地址、dst_port:目标端口}。
在实际应用中,本实施例方法的步骤S2,还包括:
当流量的网络五元组中的协议不是 tcp/udp/icmp 中任意一种,丢弃流量;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP不在IP黑名单中,将流量经过Linux内核放行至目标应用程序;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP在IP黑名单中,且流量处理策略是阻断,丢弃流量。
本实施例方法还包括:在处理完流量后,将阻断、转发的流量次数以及流量的网络五元组信息存储至eBPF map。
图3为根据本发明示例性第三实施例的一种基于eBPF XDP从外网引流到内网蜜罐的方法的流程图,本实施例是图1所示方法的优选实施例,如图3所示,本实施例方法的步骤S3,包括:
步骤S31:在内外网交界服务器检测到网卡接收到返回流量数据包后,通过筛选获得符合修改条件的返回流量数据包;
步骤S32:修改步骤S31中筛选得到的返回流量数据包,将修改后的返回流量数据包发送至攻击者。
本实施例方法的步骤S31中,通过筛选得到符合修改条件的返回流量数据包,包括:筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包,根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系,当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时,判定所述返回流量数据包符合修改条件。
本实施例方法的步骤S32中,修改步骤S31中筛选得到的返回流量数据包,包括:将筛选得到的返回数据包的网络五元组中的来源IP修改为当前网卡IP,将目标IP修改为攻击者IP。在实际应用中,即将{src_ip:蜜罐系统IP、src_port:目标端口、protocal:协议(tcp/udp/icmp)、dst_ip:服务器A网卡IP,dst_port:攻击者端口} 修改为 {src_ip:当前网卡IP、src_port:目标端口、protocal:协议(tcp/udp/icmp)、dst_ip:攻击者IP,dst_port:攻击者端口}。
图4为根据本发明示例性第四实施例的一种基于eBPF XDP从外网引流到内网蜜罐的系统的框架图,如图4所示,本实施例的系统,包括:
引流层,包括用户态Agent、内核态Agent、内外网交界服务器、WAF和内网蜜罐;
控制层,包括Agent管理模块、内网蜜罐信息配置模块以及引流策略配置模块;
监控层,由监控采集模块和展示模块组成,用于监控采集和展示用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息;
存储层,包括eBPF map、kafka 、mysql 数据库以及sqlite数据库。
本实施例系统中,引流策略包括:网络五元组中的协议、IP黑名单以及流量丢弃、流量阻断和流量转发处理策略。
图5为本实施例系统的运行原理示意图,如图5所示,在实际应用中,本实施例系统按以下方式应用:
用户态Agent用于通过内核态Agent管理模块将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略通过eBPF map发送至内核态Agent;内核态Agent用于通过 eBPF map 读取引流策略并根据引流策略对到达内外网交界服务器网卡但未到达Linux 内核网络协议栈的流量进行丢弃、阻断或引流至内网蜜罐,通过 eBPF map 读取内网蜜罐信息;内外网交接服务器用于部署用户态Agent和内核态Agent;WAF用于对流量进行判断并根据判断结果动态更新IP黑名单,将更新的IP黑名单存储到 kafka中,具体的,WAF用于将判定为攻击流量的流量的来源IP加入到IP黑名单列表;内网蜜罐用于对接收的流量添加诱捕配置并将配置后的流量发送至内外网交界服务器;
Agent管理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略写入本地sqlite数据库以及eBPFmap;内网蜜罐信息配置模块,用于配置内网蜜罐信息,包括内网蜜罐的IP和端口,将内网蜜罐信息送给用户态Agent;引流策略配置模块,用于配置IP黑名单以及配置流量丢弃、流量阻断和流量转发处理策略,用于将kafka中由WAF更新的IP黑名单发送至用户态Agent;
eBPF map 用于存储用户态Agent和内核态Agent的交互数据;Kafka,用于接收WAF 根据流量的判断结果更新的IP黑名单;mysql数据库用于存储监控层采集的用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息,存储控制层配置的引流策略、内网蜜罐信息,供控制层读取后下发至用户态Agent;Sqlite数据库用于存储控制层下发的引流策略、内网蜜罐信息和用户态Agent所在的内外网交界服务器信息。
本实施例系统中,用户态Agent 运行状态包括用户态Agent的运行时长以及CPU和内存资源占用率,内核态Agent运行状态包括内核态Agent的加载、卸载状态。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,所述方法,包括:
步骤S1:解析从外网到达内外网交界服务器的流量,获得流量的网络五元组,所述网络五元组由来源IP、来源端口、协议、目标IP和目标端口组成;
步骤S2:筛选获得符合蜜罐引流条件的流量,将筛选获得的流量引流至内网蜜罐添加诱捕配置并将配置后的流量发送至内外网交界服务器;
步骤S3:在内外网交界服务器上对接收的流量进行筛选和修改,将修改后的流量发送至攻击者。
2.根据权利要求1所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,步骤S2,包括:
步骤S21:筛选获得网络五元组中的协议是tcp/udp/icmp 中任意一种,来源IP在IP黑名单中以及流量处理策略是转发到内网蜜罐的流量;
步骤S22:将步骤21筛选获得的流量的网络五元组中来源IP修改为当前网卡IP地址,将目标IP修改为内网蜜罐IP地址,其它保持不变,生成修改后的流量数据包;
步骤S23:记录修改前网络五元组和修改后网络五元组的对应关系,根据修改前网络五元组生成唯一key,将生成的唯一key附加到修改后的流量数据包中;
步骤S24:将唯一key和五元组对应关系存储在 eBPF map中,通过网卡将修改后的流量数据包发送至内网蜜罐;
步骤S25:采用内网蜜罐接收修改后的流量数据包后对流量添加诱捕配置,向内外网交界服务器发送返回流量数据包。
3.根据权利要求2所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,步骤S2,还包括:
当流量的网络五元组中的协议不是 tcp/udp/icmp 中任意一种,丢弃流量;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP不在IP黑名单中,将流量经过Linux内核放行至目标应用程序;
当流量的网络五元组中的协议是 tcp/udp/icmp 中任意一种,来源IP在IP黑名单中,且流量处理策略是阻断,丢弃流量。
4.根据权利要求1所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,步骤S3,包括:
步骤S31:在内外网交界服务器检测到网卡接收到返回流量数据包后,通过筛选获得符合修改条件的返回流量数据包;
步骤S32:修改步骤S31中筛选得到的返回流量数据包,将修改后的返回流量数据包发送至攻击者。
5.根据权利要求4所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,步骤S31中,通过筛选得到符合修改条件的返回流量数据包,包括:筛选网络五元组中的来源IP是内网蜜罐的IP的返回流量数据包,根据筛选后返回流量数据包中附加的唯一key在eBPF map中查找与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系,当查到与所述唯一key相关联的修改前网络五元组和修改后网络五元组的对应关系时,判定所述返回流量数据包符合修改条件。
6.根据权利要求4所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,步骤S32中,修改步骤S31中筛选得到的返回流量数据包,包括:将筛选得到的返回数据包的网络五元组中的来源IP修改为当前网卡IP,将目标IP修改为攻击者IP。
7.根据权利要求1所述的基于eBPF XDP从外网引流到内网蜜罐的方法,其特征在于,所述方法,还包括:在处理完流量后,将阻断、转发的流量次数以及流量的网络五元组信息存储至eBPF map。
8.一种基于eBPF XDP从外网引流到内网蜜罐的系统,其特征在于,所述系统,包括:
引流层,包括用户态Agent、内核态Agent、内外网交界服务器、WAF和内网蜜罐,其中,用户态Agent用于通过内核态Agent管理模块将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略通过eBPF map发送至内核态Agent;内核态Agent用于通过 eBPF map 读取引流策略并根据引流策略对到达内外网交界服务器网卡但未到达Linux 内核网络协议栈的流量进行丢弃、阻断或引流至内网蜜罐,通过 eBPF map读取内网蜜罐信息;内外网交接服务器用于部署用户态Agent和内核态Agent;WAF用于对流量进行判断并根据判断结果动态更新IP黑名单,将更新的IP黑名单存储到 kafka中;内网蜜罐用于对接收的流量添加诱捕配置并将配置后的流量发送至内外网交界服务器;
控制层,包括Agent管理模块、内网蜜罐信息配置模块以及引流策略配置模块,其中,Agent管理模块用于控制用户态Agent将内核态Agent加载至指定网卡或从指定网卡上卸载,开启或关闭引流,将内网蜜罐信息、引流策略写入本地sqlite数据库以及eBPF map;内网蜜罐信息配置模块,用于配置内网蜜罐信息,包括内网蜜罐的IP和端口,将内网蜜罐信息送给用户态Agent;引流策略配置模块,用于配置IP黑名单以及配置流量丢弃、流量阻断和流量转发处理策略,用于将kafka中由WAF更新的IP黑名单发送至用户态Agent;
监控层,由监控采集模块和展示模块组成,用于监控采集和展示用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息;
存储层,包括eBPF map、kafka 、mysql 数据库以及sqlite数据库,其中,eBPF map 用于存储用户态Agent和内核态Agent的交互数据;Kafka,用于接收 WAF 根据流量的判断结果更新的IP黑名单;mysql数据库用于存储监控层采集的用户态Agent 运行状态、内核态Agent运行状态以及被丢弃、阻断、引流的流量信息,存储控制层配置的引流策略、内网蜜罐信息,供控制层读取后下发至用户态Agent;Sqlite数据库用于存储控制层下发的引流策略、内网蜜罐信息和用户态Agent所在的内外网交界服务器信息。
9.根据权利要求8所述的基于eBPF XDP从外网引流到内网蜜罐的系统,其特征在于,WAF用于将判定为攻击流量的流量的来源IP加入到IP黑名单列表。
10.根据权利要求8所述的基于eBPF XDP从外网引流到内网蜜罐的系统,其特征在于,引流策略包括:网络五元组中的协议、IP黑名单以及流量丢弃、流量阻断和流量转发处理策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211238571.XA CN115499242B (zh) | 2022-10-11 | 2022-10-11 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211238571.XA CN115499242B (zh) | 2022-10-11 | 2022-10-11 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115499242A true CN115499242A (zh) | 2022-12-20 |
| CN115499242B CN115499242B (zh) | 2023-12-26 |
Family
ID=84473429
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211238571.XA Active CN115499242B (zh) | 2022-10-11 | 2022-10-11 | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115499242B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008306610A (ja) * | 2007-06-11 | 2008-12-18 | Hitachi Ltd | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 |
| EP3041190A1 (en) * | 2014-12-30 | 2016-07-06 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN110753014A (zh) * | 2018-07-23 | 2020-02-04 | 哈尔滨安天科技集团股份有限公司 | 基于流量转发的威胁感知方法、设备、装置及存储介质 |
| CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
| CN111030976A (zh) * | 2019-04-26 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于密钥的分布式访问控制方法、装置及存储设备 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111800401A (zh) * | 2020-06-28 | 2020-10-20 | 腾讯科技(深圳)有限公司 | 业务报文的防护方法、装置、系统和计算机设备 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
| US20210099468A1 (en) * | 2019-09-28 | 2021-04-01 | Fortinet, Inc. | Inception of suspicious network traffic for enhanced network security |
| US20210120022A1 (en) * | 2019-10-21 | 2021-04-22 | AVAST Software s.r.o. | Network security blacklist derived from honeypot statistics |
| CN112968955A (zh) * | 2021-02-18 | 2021-06-15 | 北京网聚云联科技有限公司 | 一种基于eBPF技术的CDN边缘节点跨机调度方法及其系统 |
| CN113973015A (zh) * | 2021-10-26 | 2022-01-25 | 上海观安信息技术股份有限公司 | 一种蜜罐隔离装置、系统及方法 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
| CN115150124A (zh) * | 2022-05-18 | 2022-10-04 | 国核自仪系统工程有限公司 | 欺骗防御系统 |
-
2022
- 2022-10-11 CN CN202211238571.XA patent/CN115499242B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008306610A (ja) * | 2007-06-11 | 2008-12-18 | Hitachi Ltd | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 |
| EP3041190A1 (en) * | 2014-12-30 | 2016-07-06 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN110753014A (zh) * | 2018-07-23 | 2020-02-04 | 哈尔滨安天科技集团股份有限公司 | 基于流量转发的威胁感知方法、设备、装置及存储介质 |
| CN111030976A (zh) * | 2019-04-26 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种基于密钥的分布式访问控制方法、装置及存储设备 |
| US20210099468A1 (en) * | 2019-09-28 | 2021-04-01 | Fortinet, Inc. | Inception of suspicious network traffic for enhanced network security |
| US20210120022A1 (en) * | 2019-10-21 | 2021-04-22 | AVAST Software s.r.o. | Network security blacklist derived from honeypot statistics |
| CN110798482A (zh) * | 2019-11-11 | 2020-02-14 | 杭州安恒信息技术股份有限公司 | 基于linux网络过滤器的系统级蜜罐网络隔离系统 |
| CN111314281A (zh) * | 2019-12-04 | 2020-06-19 | 江苏天网计算机技术有限公司 | 一种攻击流量转发至蜜罐的方法 |
| CN111800401A (zh) * | 2020-06-28 | 2020-10-20 | 腾讯科技(深圳)有限公司 | 业务报文的防护方法、装置、系统和计算机设备 |
| CN111885067A (zh) * | 2020-07-28 | 2020-11-03 | 福建奇点时空数字科技有限公司 | 一种面向流量的集成式蜜罐威胁数据捕获方法 |
| CN112398844A (zh) * | 2020-11-10 | 2021-02-23 | 国网浙江省电力有限公司双创中心 | 基于内外网实时引流数据的流量分析实现方法 |
| CN112565197A (zh) * | 2020-11-10 | 2021-03-26 | 国网浙江省电力有限公司双创中心 | 基于内外网引流异常第三方交互式蜜罐实现方法 |
| CN112968955A (zh) * | 2021-02-18 | 2021-06-15 | 北京网聚云联科技有限公司 | 一种基于eBPF技术的CDN边缘节点跨机调度方法及其系统 |
| CN113973015A (zh) * | 2021-10-26 | 2022-01-25 | 上海观安信息技术股份有限公司 | 一种蜜罐隔离装置、系统及方法 |
| CN114338203A (zh) * | 2021-12-31 | 2022-04-12 | 河南信大网御科技有限公司 | 一种基于拟态蜜罐的内网检测系统及方法 |
| CN114598510A (zh) * | 2022-02-23 | 2022-06-07 | 奇安信科技集团股份有限公司 | 蜜场网络流量重定向系统、方法、电子设备、介质及产品 |
| CN114726608A (zh) * | 2022-03-31 | 2022-07-08 | 杭州安恒信息技术股份有限公司 | 一种蜜罐引流方法、装置及其介质 |
| CN115150124A (zh) * | 2022-05-18 | 2022-10-04 | 国核自仪系统工程有限公司 | 欺骗防御系统 |
Non-Patent Citations (3)
| Title |
|---|
| ZHI-HONG TIAN: "An architecture for intrusion detection using honey pot", 《PROCEEDINGS OF THE 2003 INTERNATIONAL CONFERENCE ON MACHINE LEARNING AND CYBERNETICS (IEEE CAT. NO.03EX693)》 * |
| 王贺: "基于SDN的混合蜜网系统设计与实现", 《中国优秀硕士论文全文数据库》 * |
| 韩雅鸣;马帅;: "基于网络空间安全态势感知关键技术研究", 智库时代, no. 34 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115499242B (zh) | 2023-12-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111294365B (zh) | 攻击流量防护系统、方法、装置、电子设备和存储介质 | |
| US11552970B2 (en) | Efficient threat context-aware packet filtering for network protection | |
| US11570212B2 (en) | Method and apparatus for defending against network attack | |
| CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
| EP3821580B1 (en) | Methods and systems for efficient network protection | |
| CN115499241B (zh) | 一种基于eBPF XDP从内网引流到蜜罐的方法和系统 | |
| CN101447996B (zh) | 分布式拒绝服务攻击防护方法、系统及设备 | |
| CN110798482B (zh) | 基于linux网络过滤器的系统级蜜罐网络隔离系统 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| Trabelsi et al. | Improved session table architecture for denial of stateful firewall attacks | |
| CN116055163A (zh) | 一种基于eBPF XDP的登录信息获取及阻断方法 | |
| KR100614775B1 (ko) | 네트워크 보호 장치 및 방법 | |
| Claudel et al. | Self-protection for distributed component-based applications | |
| Liljenstam et al. | Comparing passive and active worm defenses | |
| CN115499242B (zh) | 一种基于eBPF XDP从外网引流到内网蜜罐的方法和系统 | |
| Xia et al. | Effective worm detection for various scan techniques | |
| Teo et al. | Defeating internet attacks using risk awareness and active honeypots | |
| EP3595257B1 (en) | Detecting suspicious sources, e.g. for configuring a distributed denial of service mitigation device | |
| EP4080822B1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Rajbhar | Intrusion Detection & Prevention Using Honeypot | |
| Sobh | Separating Monitoring from Control in SDN to Mitigate DDoS Attacks in Hybrid Clouds | |
| Pelc et al. | Adaptation architecture for self-healing computer systems | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| Alshamrani | Cyber Attacks Detection and Mitigation in SDN Environments | |
| Nyamugudza et al. | Network traffic intelligence using a low interaction honeypot |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 430058 No. n3013, 3rd floor, R & D building, building n, Artificial Intelligence Science Park, economic and Technological Development Zone, Caidian District, Wuhan City, Hubei Province Applicant after: Zhongdian Cloud Computing Technology Co.,Ltd. Applicant after: CHINA ELECTRONIC SYSTEM TECHNOLOGY Co.,Ltd. Address before: 430058 No. n3013, 3rd floor, R & D building, building n, Artificial Intelligence Science Park, economic and Technological Development Zone, Caidian District, Wuhan City, Hubei Province Applicant before: CLP cloud Digital Intelligence Technology Co.,Ltd. Applicant before: CHINA ELECTRONIC SYSTEM TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |