买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：宁波如磐科技有限公司

摘要：本发明公开了一种基于xdp技术的单主机虚拟多个蜜罐节点的方法及装置，包含：S1.配置实体蜜罐信息表；利用linux容器技术在当前物理机上创建多个具有交互功能的实体蜜罐；S2.配置蜜罐节点信息表；将蜜罐节点的信息记录在蜜罐节点信息表中，借助蜜罐节点信息表完成单物理主机创建多蜜罐节点；S3.配置服务关联策略表；通过请求服务关联策略表记录蜜罐服务到实体服务的映射关系，实现多蜜罐服务复用实体服务；S4.策略关联及转发；将xdp程序以offload模式运行，此时xdp程序会拦截物理网卡上的数据包，并根据服务关联中的关联策略，将满足策略的攻击流量转发到实体服务上，同时动态创建一条反向映射，用于将实体服务的响应数据转发到攻击者。

主权项：1.一种基于xdp技术的单主机虚拟多个蜜罐节点的方法，其特征在于，所述方法包含以下步骤：S1.配置实体蜜罐信息表；利用linux容器技术在当前物理机上创建多个具有交互功能的实体蜜罐；S2.配置蜜罐节点信息表；将蜜罐节点的信息记录在蜜罐节点信息表中，借助蜜罐节点信息表完成单物理主机创建多蜜罐节点；S3.配置服务关联策略表；通过请求服务关联策略表记录蜜罐服务到实体服务的映射关系，实现多蜜罐服务复用实体服务；S4.策略关联及转发；将xdp程序以offload模式运行，此时xdp程序会拦截物理网卡上的数据包，并根据服务关联中的关联策略，将满足策略的攻击流量转发到实体服务上，同时动态创建一条反向映射，用于将实体服务的响应数据转发到攻击者；步骤S1的实现过程如下：S101：为了实现具有独立IP和MAC地址的蜜罐，使用容器网络技术和MACVLAN技术，使得每个实体蜜罐都具有独立的IP地址和MAC地址；S102：在每个容器中安装需要的服务和应用程序，当攻击者的请求流量被转发到实体蜜罐对应的服务时，这些服务会响应并记录攻击者的行为；S103：在xdp程序启动过程中创建的实体蜜罐信息表中包含实体蜜罐IP地址、MAC地址、网关和网段的hashmap，其中实体蜜罐的IP地址作为key，MAC地址、网关和网段作为value；S104：通过bpftool工具将实体蜜罐信息填入实体蜜罐信息表中；在之后的服务关联过程中，xdp程序调用bpf_map_lookup_elem函数并使用ip地址作为key查询实体蜜罐信息表从而获得实体蜜罐的信息；步骤S2的实现过程如下：S201：在xdp程序启动的过程中创建一张BPF_MAP_TYPE_HASH类型的hashmap作为蜜罐节点信息表，用于存储蜜罐节点信息，蜜罐节点信息表包含蜜罐节点的IP地址、MAC地址、网关和网段；S202：利用bpftool工具将蜜罐节点的IP地址作为hashmap的key，MAC地址、网关和网段作为hashmap的value存入蜜罐节点信息表中，在之后的服务关联过程中，xdp程序调用bpf_map_lookup_elem函数并使用ip地址作为key查询蜜罐节点信息表，从而获得蜜罐节点的信息；步骤S3的实现过程如下：S301：xdp程序启动过程创建一张BPF_MAP_TYPE_HASH类型的hashmap作为服务关联策略表，用于存储关联策略，关联策略包含协议类型、蜜罐节点IP、蜜罐服务端口、实体蜜罐IP和实体服务端口；其中协议类型、蜜罐节点IP和蜜罐服务端口作为key，实体蜜罐IP和实体服务端口作为value；S302：通过bpftool工具将关联策略存入服务关联策略表中；xdp程序通过调用bpf_map_lookup_elem函数并以协议类型、蜜罐节点IP和蜜罐服务端口作为key，在请求关联表中查询value；步骤S4的实现过程如下：S401：xdp程序启动过程中创建BPF_MAP_TYPE_LRU_HASH类型的响应关联表用于存储反向关联策略；S402：当请求流量到达xdp程序时，xdp程序阻断其进入内核避免占用CPU资源而直接在网卡层面处理流量；S403：当非ARP请求流量到达xdp程序时，从中提取协议类型、目的IP、目的端口作为key，然后调用bpf_map_lookup_elem函数在请求关联表中查询value，并利用查询到的value替换修改请求流量中的目的IP和目的端口；S404：创建反向关联策略；将步骤S403中修改前的请求流量中的协议类型、源IP，源端口作为key，目的IP、目的端口作为value并调用bpf_map_update_elem函数在响应关联表中创建反向关联策略；S405：将步骤S403查询到的实体蜜罐IP作为key在实体蜜罐信息表中查询，如果命中则转发到对应的实体蜜罐，否则直接丢弃；S406：实体蜜罐中对应的实体服务会创建响应包并发送给xdp程序，xdp程序从响应流量中提取协议类型、目的ip地址、目的端口作为value在响应关联表中查询，并用查询到ip地址、端口修改响应流量的源IP地址和源端口，然后从物理网卡转发给攻击者。

全文数据：

权利要求：

百度查询： 宁波如磐科技有限公司 基于xdp技术的单主机虚拟多个蜜罐节点的方法及装置