一种基于Nginx的蜜罐的实现方法及系统技术方案

本发明专利技术公开了一种基于Nginx的蜜罐的实现方法及系统，属于计算机网络安全技术领域，方法包括：由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；由黑名单服务系统生成黑名单并存储，以供嵌入到Nginx服务器内的LUA脚本模块定时加载至Nginx服务器的内存中，其中，LUA脚本模块通过通信协议与黑名单服务系统进行通信；由LUA脚本模块获取至少一个蜜罐服务路径的当前访问记录，并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内；若判定为是，则为当前客户端提供蜜罐服务，否则，限制为当前客户端提供蜜罐服务。本发明专利技术实施例能够实现指定客户端才能访问到蜜罐服务；同时能够实现统一、灵活并且安全地进行蜜罐部署。

A realization method and system of honeypot based on Nginx

The invention discloses an implementation method and system of honeypot based on Nginx, which belongs to the field of computer network security technology. The method includes: configuring at least one honeypot service path in Nginx server by configuration module; generating blacklist by blacklist service system and storing it for periodically loading LUA script module embedded in Nginx server into the memory of Nginx server; The LUA script module communicates with the blacklist service system through communication protocol; the LUA script module obtains the current access record of at least one honeypot service path, and determines whether the IP address of the current client included in the current access record is included in the latest blacklist in the memory of the Nginx server; if it is determined that it is, it provides the honeypot service for the current client, or not. Limit the provision of honeypot services for current clients. The embodiment of the invention can realize the specified client to access the honeypot service, and can realize the unified, flexible and safe honeypot deployment.

【技术实现步骤摘要】
一种基于Nginx的蜜罐的实现方法及系统
本专利技术涉及计算机网络安全
，特别涉及一种基于Nginx的蜜罐的实现方法及系统。
技术介绍
蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析，因此蜜罐是一个有针对性的服务，只需要把攻击者引导进蜜罐，而普通用户无需去访问。同时蜜罐越接近于业务其真实性和曝光率就越高，对攻击者的吸引率越大。蜜罐主要分为低交互式、高交互式和粘性蜜罐(Tarpits)。传统蜜罐部署在目标站点的二级域名下或者目标服务器IP地址的C段地址上，还有一部分部署在独立的IP上。如果WEB蜜罐部署在二级域名下，攻击者在进入蜜罐后并控制蜜罐的WEB服务，有可能会造成同源策略导致的Cookies被盗取的次生攻击，这样蜜罐十分的不可控。由于很多服务器基于云上VPS主机提供业务，相同企业的IP地址段并不统一，不一定都在同一个C段，所以基于C段IP地址和独立IP地址部署的蜜罐，没有针对性，很难吸引到真正的定向攻击者；而且，常规情况下蜜罐部署复杂，灵活性低，部署完后很难进行二次改造调整，部署成本高，很难进行大规模蜜罐部署。
技术实现思路
有鉴于此，本专利技术实施例提供了一种基于Nginx的蜜罐的实现方法及系统，以实现指定客户端才能访问到蜜罐服务，确保其不影响正常用户和正常业务，同时，能够实现统一、灵活并且安全地进行蜜罐部署。本专利技术实施例提供的具体技术方案如下：第一方面，提供了一种基于Nginx的蜜罐的实现方法，包括：由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；由黑名单服务系统生成黑名单并存储，以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内；若判定为是，则为所述当前客户端提供蜜罐服务，否则，限制为所述当前客户端提供所述蜜罐服务。在一些实施方式中，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。在一些实施方式中，所述方法还包括：通过所述黑名单服务系统与其他的安全系统进行联动，以根据所述其他的安全系统获取的存在攻击风险的IP地址列表，更新所述黑名单。在一些实施方式中，所述方法还包括：若判定所述当前客户端的IP地址未包含在所述黑名单内时，通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务系统；所述黑名单服务系统接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中。在一些实施方式中，所述对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中包括：根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录，确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数；根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重，计算所述当前客户端的攻击风险分值；若所述当前客户端的攻击风险分值超过分值阈值，则将所述当前客户端的IP地址加入所述黑名单中。第二方面，本专利技术实施例提供了一种基于Nginx的蜜罐的实现系统，包括配置模块、LUA脚本模块和黑名单服务系统；所述配置模块，用于在Nginx服务器中配置至少一个蜜罐服务路径；所述黑名单服务系统，用于生成黑名单并存储，以供所述LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；所述LUA脚本模块，嵌入到所述Nginx服务器内，用于获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内，若判定为是，则为所述当前客户端提供所述蜜罐服务，否则，限制为所述当前客户端提供所述蜜罐服务。在一些实施方式中，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。在一些实施方式中，所述方法还包括：所述黑名单服务系统，还用于与其他的安全系统进行联动，以根据所述其他的安全系统获取的存在攻击风险的IP地址列表，更新所述黑名单。在一些实施方式中，所述LUA脚本模块，还用于若判定所述当前客户端的IP地址未包含在所述黑名单内时，发送所述当前访问记录至所述黑名单服务系统；所述黑名单服务系统，还用于接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中。在一些实施方式中，所述黑名单服务系统具体用于：根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录，确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数；根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重，计算所述当前客户端的攻击风险分值；若所述当前客户端的攻击风险分值超过分值阈值，则将所述当前客户端的IP地址加入所述黑名单中。本专利技术实施例提供了一种基于Nginx的蜜罐的实现方法及系统，通过配置模块在Nginx服务器中配置至少一个蜜罐服务路径，并根据黑名单服务系统生成黑名单并存储，以及通过内嵌到Nginx服务器上的LUA脚本模块定时加载黑名单服务系统存储的黑名单至Nginx服务器的内存中，并获取至少一个蜜罐服务路径的当前访问记录，以及判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内，并在判定为是，为当前客户端提供蜜罐服务，由此巧妙地利用了Nginx能够支持诸多模块扩展的优势，可以藉由ngx_lua_module模块将LUA脚本模块内嵌到Nginx服务器上，以用来解析并执行LUA脚本语言，对Nginx中的数据进行实时处理，从而可以实现指定客户端才能访问到蜜罐服务，进而确保其不影响正常用户和正常业务，同时也可以实现统一、灵活并且安全地进行蜜罐部署。附图说明为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1示出了本专利技术一实施例的基于Nginx的蜜罐的实现方法的流程图；图2示出了本专利技术另一实施例的基于Nginx的蜜罐的实现方法的流程图；图3示出了本专利技术另一实施例的基于Nginx的蜜罐的实现系统的框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述本文档来自技高网...

【技术保护点】
1.一种基于Nginx的蜜罐的实现方法，其特征在于，包括：由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；由黑名单服务系统生成黑名单并存储，以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内；若判定为是，则为所述当前客户端提供蜜罐服务，否则，限制为所述当前客户端提供所述蜜罐服务。

【技术特征摘要】
1.一种基于Nginx的蜜罐的实现方法，其特征在于，包括：由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；由黑名单服务系统生成黑名单并存储，以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内；若判定为是，则为所述当前客户端提供蜜罐服务，否则，限制为所述当前客户端提供所述蜜罐服务。2.根据权利要求1所述的方法，其特征在于，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。3.根据权利要求1所述的方法，其特征在于，所述由黑名单服务系统生成黑名单并存储包括：所述黑名单服务系统从其他的安全系统获取存在攻击风险的IP地址列表；根据所述存在攻击风险的IP地址列表生成所述黑名单。4.根据权利要求1至3任意一项所述的方法，其特征在于，所述方法还包括：若判定所述当前客户端的IP地址未包含在所述黑名单内时，通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务系统；所述黑名单服务系统接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中。5.根据权利要求4所述的方法，其特征在于，所述对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中包括：根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录，确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数；根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重，计算所述当前客户端的攻击风险分值；若所述当前客户端的攻击风险分值超过分值...

【专利技术属性】
技术研发人员：杨威，王明博，
申请(专利权)人：众安信息技术服务有限公司，
类型：发明
国别省市：广东,44