The invention discloses an implementation method and system of honeypot based on Nginx, which belongs to the field of computer network security technology. The method includes: configuring at least one honeypot service path in Nginx server by configuration module; generating blacklist by blacklist service system and storing it for periodically loading LUA script module embedded in Nginx server into the memory of Nginx server; The LUA script module communicates with the blacklist service system through communication protocol; the LUA script module obtains the current access record of at least one honeypot service path, and determines whether the IP address of the current client included in the current access record is included in the latest blacklist in the memory of the Nginx server; if it is determined that it is, it provides the honeypot service for the current client, or not. Limit the provision of honeypot services for current clients. The embodiment of the invention can realize the specified client to access the honeypot service, and can realize the unified, flexible and safe honeypot deployment.
【技术实现步骤摘要】
一种基于Nginx的蜜罐的实现方法及系统
本专利技术涉及计算机网络安全
,特别涉及一种基于Nginx的蜜罐的实现方法及系统。
技术介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而对攻击行为进行捕获和分析,因此蜜罐是一个有针对性的服务,只需要把攻击者引导进蜜罐,而普通用户无需去访问。同时蜜罐越接近于业务其真实性和曝光率就越高,对攻击者的吸引率越大。蜜罐主要分为低交互式、高交互式和粘性蜜罐(Tarpits)。传统蜜罐部署在目标站点的二级域名下或者目标服务器IP地址的C段地址上,还有一部分部署在独立的IP上。如果WEB蜜罐部署在二级域名下,攻击者在进入蜜罐后并控制蜜罐的WEB服务,有可能会造成同源策略导致的Cookies被盗取的次生攻击,这样蜜罐十分的不可控。由于很多服务器基于云上VPS主机提供业务,相同企业的IP地址段并不统一,不一定都在同一个C段,所以基于C段IP地址和独立IP地址部署的蜜罐,没有针对性,很难吸引到真正的定向攻击者;而且,常规情况下蜜罐部署复杂,灵活性低,部署完后很难进行二次改造调整,部署成本高,很难进行大规模蜜罐部署。
技术实现思路
有鉴于此,本专利技术实施例提供了一种基于Nginx的蜜罐的实现方法及系统,以实现指定客户端才能访问到蜜罐服务,确保其不影响正常用户和正常业务,同时,能够实现统一、灵活并且安全地进行蜜罐部署。本专利技术实施例提供的具体技术方案如下:第一方面,提供了一种基于Nginx的蜜罐的实现方法,包括:由配置模块在Nginx服务器中配置至少一个蜜罐 ...
【技术保护点】
1.一种基于Nginx的蜜罐的实现方法,其特征在于,包括:由配置模块在Nginx服务器中配置至少一个蜜罐服务路径;由黑名单服务系统生成黑名单并存储,以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信;由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内;若判定为是,则为所述当前客户端提供蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。
【技术特征摘要】
1.一种基于Nginx的蜜罐的实现方法,其特征在于,包括:由配置模块在Nginx服务器中配置至少一个蜜罐服务路径;由黑名单服务系统生成黑名单并存储,以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信;由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内;若判定为是,则为所述当前客户端提供蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。2.根据权利要求1所述的方法,其特征在于,所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。3.根据权利要求1所述的方法,其特征在于,所述由黑名单服务系统生成黑名单并存储包括:所述黑名单服务系统从其他的安全系统获取存在攻击风险的IP地址列表;根据所述存在攻击风险的IP地址列表生成所述黑名单。4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:若判定所述当前客户端的IP地址未包含在所述黑名单内时,通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务系统;所述黑名单服务系统接收所述当前访问记录,并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中。5.根据权利要求4所述的方法,其特征在于,所述对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中包括:根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录,确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数;根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重,计算所述当前客户端的攻击风险分值;若所述当前客户端的攻击风险分值超过分值...
【专利技术属性】
技术研发人员:杨威,王明博,
申请(专利权)人:众安信息技术服务有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。