CN109150848A - 一种基于Nginx的蜜罐的实现方法及*** - Google Patents
一种基于Nginx的蜜罐的实现方法及*** Download PDFInfo
- Publication number
- CN109150848A CN109150848A CN201810841150.3A CN201810841150A CN109150848A CN 109150848 A CN109150848 A CN 109150848A CN 201810841150 A CN201810841150 A CN 201810841150A CN 109150848 A CN109150848 A CN 109150848A
- Authority
- CN
- China
- Prior art keywords
- honey jar
- active client
- service
- blacklist
- record
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 235000012907 honey Nutrition 0.000 title claims abstract description 157
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004891 communication Methods 0.000 claims abstract description 7
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000002441 reversible effect Effects 0.000 description 5
- 238000004088 simulation Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 230000036541 health Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于Nginx的蜜罐的实现方法及***,属于计算机网络安全技术领域,方法包括:由配置模块在Nginx服务器中配置至少一个蜜罐服务路径;由黑名单服务***生成黑名单并存储,以供嵌入到Nginx服务器内的LUA脚本模块定时加载至Nginx服务器的内存中,其中,LUA脚本模块通过通信协议与黑名单服务***进行通信;由LUA脚本模块获取至少一个蜜罐服务路径的当前访问记录,并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内;若判定为是,则为当前客户端提供蜜罐服务,否则,限制为当前客户端提供蜜罐服务。本发明实施例能够实现指定客户端才能访问到蜜罐服务;同时能够实现统一、灵活并且安全地进行蜜罐部署。
Description
技术领域
本发明涉及计算机网络安全技术领域,特别涉及一种基于Nginx的蜜罐的实现方法及***。
背景技术
蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而对攻击行为进行捕获和分析,因此蜜罐是一个有针对性的服务,只需要把攻击者引导进蜜罐,而普通用户无需去访问。同时蜜罐越接近于业务其真实性和曝光率就越高,对攻击者的吸引率越大。蜜罐主要分为低交互式、高交互式和粘性蜜罐(Tarpits)。
传统蜜罐部署在目标站点的二级域名下或者目标服务器IP地址的C段地址上,还有一部分部署在独立的IP上。如果WEB蜜罐部署在二级域名下,攻击者在进入蜜罐后并控制蜜罐的WEB服务,有可能会造成同源策略导致的Cookies被盗取的次生攻击,这样蜜罐十分的不可控。由于很多服务器基于云上VPS主机提供业务,相同企业的IP地址段并不统一,不一定都在同一个C段,所以基于C段IP地址和独立IP地址部署的蜜罐,没有针对性,很难吸引到真正的定向攻击者;而且,常规情况下蜜罐部署复杂,灵活性低,部署完后很难进行二次改造调整,部署成本高,很难进行大规模蜜罐部署。
发明内容
有鉴于此,本发明实施例提供了一种基于Nginx的蜜罐的实现方法及***,以实现指定客户端才能访问到蜜罐服务,确保其不影响正常用户和正常业务,同时,能够实现统一、灵活并且安全地进行蜜罐部署。
本发明实施例提供的具体技术方案如下:
第一方面,提供了一种基于Nginx的蜜罐的实现方法,包括:
由配置模块在Nginx服务器中配置至少一个蜜罐服务路径;
由黑名单服务***生成黑名单并存储,以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务***进行通信;
由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内;
若判定为是,则为所述当前客户端提供蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。
在一些实施方式中,所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。
在一些实施方式中,所述方法还包括:
通过所述黑名单服务***与其他的安全***进行联动,以根据所述其他的安全***获取的存在攻击风险的IP地址列表,更新所述黑名单。
在一些实施方式中,所述方法还包括:
若判定所述当前客户端的IP地址未包含在所述黑名单内时,通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务***;
所述黑名单服务***接收所述当前访问记录,并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中。
在一些实施方式中,所述对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中包括:
根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录,确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数;
根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重,计算所述当前客户端的攻击风险分值;
若所述当前客户端的攻击风险分值超过分值阈值,则将所述当前客户端的IP地址加入所述黑名单中。
第二方面,本发明实施例提供了一种基于Nginx的蜜罐的实现***,包括配置模块、LUA脚本模块和黑名单服务***;
所述配置模块,用于在Nginx服务器中配置至少一个蜜罐服务路径;
所述黑名单服务***,用于生成黑名单并存储,以供所述LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务***进行通信;
所述LUA脚本模块,嵌入到所述Nginx服务器内,用于获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内,若判定为是,则为所述当前客户端提供所述蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。
在一些实施方式中,所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。
在一些实施方式中,所述方法还包括:
所述黑名单服务***,还用于与其他的安全***进行联动,以根据所述其他的安全***获取的存在攻击风险的IP地址列表,更新所述黑名单。
在一些实施方式中,所述LUA脚本模块,还用于若判定所述当前客户端的IP地址未包含在所述黑名单内时,发送所述当前访问记录至所述黑名单服务***;
所述黑名单服务***,还用于接收所述当前访问记录,并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中。
在一些实施方式中,所述黑名单服务***具体用于:
根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录,确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数;
根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重,计算所述当前客户端的攻击风险分值;
若所述当前客户端的攻击风险分值超过分值阈值,则将所述当前客户端的IP地址加入所述黑名单中。
本发明实施例提供了一种基于Nginx的蜜罐的实现方法及***,通过配置模块在Nginx服务器中配置至少一个蜜罐服务路径,并根据黑名单服务***生成黑名单并存储,以及通过内嵌到Nginx服务器上的LUA脚本模块定时加载黑名单服务***存储的黑名单至Nginx服务器的内存中,并获取至少一个蜜罐服务路径的当前访问记录,以及判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,并在判定为是,为当前客户端提供蜜罐服务,由此巧妙地利用了Nginx能够支持诸多模块扩展的优势,可以藉由ngx_lua_module模块将LUA脚本模块内嵌到Nginx服务器上,以用来解析并执行LUA脚本语言,对Nginx中的数据进行实时处理,从而可以实现指定客户端才能访问到蜜罐服务,进而确保其不影响正常用户和正常业务,同时也可以实现统一、灵活并且安全地进行蜜罐部署。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一实施例的基于Nginx的蜜罐的实现方法的流程图;
图2示出了本发明另一实施例的基于Nginx的蜜罐的实现方法的流程图;
图3示出了本发明另一实施例的基于Nginx的蜜罐的实现***的框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本申请的描述中,需要理解的是,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在对本发明提供的基于Nginx的蜜罐的实现方法进行说明之前,先对本发明各个实施例所涉及的术语进行介绍。
Nginx服务器:Nginx服务器是一个高性能的HTTP和反向代理服务器,工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名、目录结构,它的正则规则十分强大和灵活。Nginx作为一个反向代理服务器可以按照调度规则实现动态、静态页面的分离,可以按照轮询、IP hash、权重等多种方式对后端服务器做负载均衡,同时还支持后端服务器的健康检查。很多企业运用其反向代理和负载均衡功能作为一个WEB业务入口。Nginx服务器的配置语法十分灵活丰富,同时支持诸多模块扩展,可以通过ngx_lua_module模块把LUA脚本模块内嵌到Nginx服务器中,用来解析并执行LUA脚本语言,通过执行LUA脚本可以对Nginx中的数据进行实时处理,扩展了Nginx功能。
以下将结合附图对本发明实施例做详细说明。
图1示出了本发明一实施例的基于Nginx的蜜罐的实现方法的流程图,参照图1所示,该方法包括如下步骤:
S1、由配置模块在Nginx服务器中配置至少一个蜜罐服务路径。
本实施例中,由配置模块在Nginx服务器中将至少一个蜜罐服务路径加入到location中,通过反向代理的方式到蜜罐服务。
由于Nginx服务器内可以配置大量的业务站点,并根据server和location以反向代理的方式将请求均衡到对应的后端服务,因此可以同时收集攻击者扫描器常扫描的目录,例如/admin、/manage、/admin123等,并将这些目录加入到location中,通过反向代理的方式到蜜罐服务。
其中,可以由配置模块在Nginx服务器中配置一个或多个蜜罐服务路径,一个或多个蜜罐服务路径可以被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。比如,将一个模拟正常服务的站点域名配置为蜜罐服务路径,或者,将一个正常服务的站点域名下的指定目录配置为蜜罐服务路径,或者,将多个模拟正常服务的站点域名和多个正常服务的站点域名下的指定目录都配置为蜜罐服务路径。
示例性地,可以在Nginx服务器中配置一个模拟正常服务的站点,比如:a.test.com站点,将整个二级域名站点作为蜜罐服务路径;或者,将在正常服务的站点域名b.test.com下的/admin配置成蜜罐服务路径,并将访问admin目录的流量转发到一个新的服务上,如果b.test.com下正常业务原本就有/admin目录的也不影响,通过蜜罐的访问控制规则,使得蜜罐只对黑名单中的用户开启,不在黑名单中的正常用户,无法访问到蜜罐,即可正常访问admin下面的正常业务。
本实施例中,通过将一个或多个蜜罐服务路径配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录,因此可以实现蜜罐的高仿真度,从而可以容易吸引到真正的攻击者,且可以实现灵活地对蜜罐进行部署,且便于更改蜜罐部署。
S2、由黑名单服务***生成黑名单并存储,以供嵌入到Nginx服务器内的LUA脚本模块定时加载至Nginx服务器的内存中。
本实施例中,黑名单服务***是一个独立运行的WEB应用程序,提供应用编程接口,嵌入到Nginx服务器内的LUA脚本模块可以运行LUA脚本,通过HTTP协议与黑名单服务***进行通信,通过标准应用编程接口API请求,LUA脚本模块可以从黑名单服务系定时调用黑名单;此外,通过标准应用编程接口API请求,LUA脚本模块还可以向黑名单服务***写入至少一个蜜罐服务路径的访问记录。
在具体实施过程中,黑名单服务***可以从其他的安全***(比如web应用防护墙、主机入侵检测***或各种威胁情报检测***)获取存在攻击风险的客户端IP地址列表,并根据存在攻击风险的客户端IP地址列表生成黑名单并存储。其中,黑名单中包括恶意IP地址和/或疑似恶意IP地址。
值得注意的是,由于其他的安全***内收集有存在攻击风险的客户端IP地址列表,因此还可以将指定的安全***直接作为黑名单服务***。比如,直接将web应用防护墙指定为黑名单服务***。
此外,在步骤S2之后,本发明实施例提供的方法还可以包括:
黑名单服务***对存储的黑名单进行更新。
在具体实施过程中,黑名单服务***可以与其他的安全***进行联动,通过从其他的安全***中获取到的新增的存在攻击风险的IP地址,对存储的黑名单进行更新。
本实施例中,通过黑名单服务***对存储的黑名单进行更新,便于有效地对攻击者的自动和及时的识别。
S3、由LUA脚本模块获取至少一个蜜罐服务路径的当前访问记录,并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,若判定为是,则执行步骤S4,否则,执行步骤S5。
其中,当前访问记录包括访问至少一个蜜罐服务路径的当前客户端的IP地址、访问时间信息和user_agent信息。User-Agent:简称UA,是一个特殊的字符串头,通过User-Agent可以识别客户端使用的操作***及版本、浏览器及版本等信息。
在具体实施过程中,该过程可以包括:
a、LUA脚本模块运行LUA脚本,定时将黑名单服务***存储的黑名单加载至Nginx服务器的内存中,其中,可以设置每隔一定时间(如1s)加载黑名单至Nginx服务器的内存,以确保加载至Nginx服务器的内存中的黑名单的准确性。
b、LUA脚本模块运行LUA脚本,获取至少一个蜜罐服务路径的当前访问记录并从其中获取当前客户端的IP地址,并根据Nginx配置文件中的if条件语句判断isBlacklist变量的值,确定当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内。
其中,若isBlacklist变量的值为Ture,则确定当前客户端的IP地址包含在Blacklist中,当前客户端可以访问蜜罐;若isBlacklist变量的值为False,则确定当前客户端的IP地址未包含在Blacklist中,那么将限制当前客户端访问蜜罐。
S4、为当前客户端提供蜜罐服务。
S5、限制为当前客户端提供蜜罐服务。
其中,当限制为当前客户端提供蜜罐服务时,向当前客户端返回404错误页面。
本实施例中,通过判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,并可以根据判断结果,确定是否向当前客户端提供蜜罐服务,从而可以实现只有在黑名单的客户端才能访问到蜜罐服务的目的,使得蜜罐更有针对性,由此可以吸引到真正的定向攻击者。
本发明实施例提供了一种基于Nginx的蜜罐的实现方法,通过配置模块在Nginx服务器中配置至少一个蜜罐服务路径,并根据黑名单服务***生成黑名单并存储,以及通过内嵌到Nginx服务器上的LUA脚本模块定时加载黑名单服务***存储的黑名单至Nginx服务器的内存中,并获取至少一个蜜罐服务路径的当前访问记录,以及判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,并在判定为是,为当前客户端提供蜜罐服务,由此巧妙地利用了Nginx能够支持诸多模块扩展的优势,可以藉由ngx_lua_module模块将LUA脚本模块内嵌到Nginx服务器上,以用来解析并执行LUA脚本语言,对Nginx中的数据进行实时处理,从而可以实现指定客户端才能访问到蜜罐服务,进而确保其不影响正常用户和正常业务,同时也可以实现统一、灵活并且安全地进行蜜罐部署。
图2示出了本发明另一实施例的基于Nginx的蜜罐的实现方法的流程图。在该实施例中,该基于Nginx的蜜罐的实现方法除了包括图1中描述的步骤之外,还包括步骤S6~S7,如图2所示,该基于Nginx的蜜罐的实现方法具体可以包括如下步骤:
S1、由配置模块在Nginx服务器中配置至少一个蜜罐服务路径。
S2、由黑名单服务***生成黑名单并存储,以供嵌入到Nginx服务器内的LUA脚本模块定时加载至Nginx服务器的内存中。
S3、由LUA脚本模块获取至少一个蜜罐服务路径的当前访问记录,并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,若判定为是,则执行步骤S4,否则,执行步骤S5。
S4、为当前客户端提供蜜罐服务。
S5、限制为当前客户端提供蜜罐服务,在步骤S5之后,执行步骤S6。
S6、通过LUA脚本模块发送当前访问记录至黑名单服务***,在步骤S6之后,执行步骤S7。
S7、黑名单服务***接收当前访问记录,并对当前访问记录和LUA脚本模块先前发送的至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将当前客户端的IP地址加入到黑名单中。
具体的,该过程可以包括:
a、根据当前访问记录和至少一个蜜罐服务路径的历史访问记录,确定当前客户端分别访问至少一个蜜罐服务路径的访问次数。
b、根据当前客户端分别访问至少一个蜜罐服务路径的访问次数和预先分别为至少一个蜜罐服务路径设置的访问权重,计算当前客户端的攻击风险分值。
c、若当前客户端的攻击风险分值超过分值阈值,则将当前客户端的IP地址加入黑名单中。
其中,分值阈值可以根据需要进行设定,比如,将分值阈值设定为3分,即当前客户端的攻击风险分值超过3分时,则将当前客户端的IP地址加入黑名单中。
其中,至少一个蜜罐服务路径的访问权重可以根据需要进行设置,在具体应用中,可以根据蜜罐服务路径受攻击者攻击的容易程度,设置蜜罐服务路径的访问权重,蜜罐服务路径越容易受攻击者攻击,其访问权重越大。
示例性的,蜜罐服务路径的访问权重设置如下表所示:
| 蜜罐服务路径 | 访问权重 |
| /admin | 1 |
| /upload.php | 1 |
| /backup.zip | 0.7 |
| /index.php?m=admin | 0.5 |
| /manage | 0.8 |
| /admin123 | 0.4 |
对当前客户端标记为User1,若User1先后访问蜜罐服务路径/admin、/manage、/upload.php、/admin123各一次,可以计算User1的攻击风险分值Sn=1*1+1*0.8*+1*1+1*0.4=3.2,那么会将User1的IP地址加入黑名单中,当User1再次访问上述蜜罐服务路径中的任一个时,则会为User1提供蜜罐服务。
本实施例中,通过黑名单服务***对至少一个蜜罐服务路径的当前访问记录和历史访问记录进行分析,并根据分析结果,对黑名单进行更新,从而可以实现有效地对攻击者的自动和及时的识别。
图3示出了本发明一实施例的基于Nginx的蜜罐的实现***的框图,参照图3所示,该***包括配置模块31、LUA脚本模块32和黑名单服务***33,其中:
配置模块31,用于在Nginx服务器中配置至少一个蜜罐服务路径;
黑名单服务***33,用于生成黑名单并存储,以供LUA脚本模块定时加载至Nginx服务器的内存中,其中,LUA脚本模块通过通信协议与黑名单服务***进行通信;
LUA脚本模块32,嵌入到Nginx服务器内,用于获取至少一个蜜罐服务路径的当前访问记录,并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内,若判定为是,则为当前客户端提供蜜罐服务,否则,限制为当前客户端提供蜜罐服务。
在本发明的一些实施例中,至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。
在本发明的一些实施例中,黑名单服务***33,还用于与其他的安全***进行联动,以根据其他的安全***获取的存在攻击风险的IP地址列表,更新黑名单。
在本发明的一些实施例中,LUA脚本模块32,还用于若判定当前客户端的IP地址未包含在黑名单内时,发送当前访问记录至黑名单服务***;
黑名单服务***33,还用于接收当前访问记录,并对当前访问记录和LUA脚本模块先前发送的至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将当前客户端的IP地址加入到黑名单中。
在本发明的一些实施例中,黑名单服务***33具体用于:
根据当前访问记录和至少一个蜜罐服务路径的历史访问记录,确定当前客户端分别访问至少一个蜜罐服务路径的访问次数;
根据当前客户端分别访问至少一个蜜罐服务路径的访问次数和预先分别为至少一个蜜罐服务路径设置的访问权重,计算当前客户端的攻击风险分值;
若当前客户端的攻击风险分值超过分值阈值,则将当前客户端的IP地址加入黑名单中。
本实施例提供的基于Nginx的蜜罐的实现***,与本发明实施例所提供的基于Nginx的蜜罐的实现方法属于同一发明构思,可执行本发明任意实施例所提供的基于Nginx的蜜罐的实现方法,具备执行基于Nginx的蜜罐的实现方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明实施例提供的基于Nginx的蜜罐的实现方法,此处不再加以赘述。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
本领域内的技术人员应明白,本发明实施例中的实施例可提供为方法、***、或计算机程序产品。因此,本发明实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例中是参照根据本发明实施例中实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种基于Nginx的蜜罐的实现方法,其特征在于,包括:
由配置模块在Nginx服务器中配置至少一个蜜罐服务路径;
由黑名单服务***生成黑名单并存储,以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务***进行通信;
由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内;
若判定为是,则为所述当前客户端提供蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。
2.根据权利要求1所述的方法,其特征在于,所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。
3.根据权利要求1所述的方法,其特征在于,所述由黑名单服务***生成黑名单并存储包括:
所述黑名单服务***从其他的安全***获取存在攻击风险的IP地址列表;
根据所述存在攻击风险的IP地址列表生成所述黑名单。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:
若判定所述当前客户端的IP地址未包含在所述黑名单内时,通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务***;
所述黑名单服务***接收所述当前访问记录,并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中。
5.根据权利要求4所述的方法,其特征在于,所述对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中包括:
根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录,确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数;
根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重,计算所述当前客户端的攻击风险分值;
若所述当前客户端的攻击风险分值超过分值阈值,则将所述当前客户端的IP地址加入所述黑名单中。
6.一种基于Nginx的蜜罐的实现***,其特征在于,包括配置模块、LUA脚本模块和黑名单服务***;
所述配置模块,用于在Nginx服务器中配置至少一个蜜罐服务路径;
所述黑名单服务***,用于生成黑名单并存储,以供所述LUA脚本模块定时加载至所述Nginx服务器的内存中,其中,所述LUA脚本模块通过通信协议与所述黑名单服务***进行通信;
所述LUA脚本模块,嵌入到所述Nginx服务器内,用于获取所述至少一个蜜罐服务路径的当前访问记录,并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内,若判定为是,则为所述当前客户端提供蜜罐服务,否则,限制为所述当前客户端提供所述蜜罐服务。
7.根据权利要求6所述的***,其特征在于,所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。
8.根据权利要求6所述的***,其特征在于,
所述黑名单服务***,还用于与其他的安全***进行联动,以根据所述其他的安全***获取的存在攻击风险的IP地址列表,更新所述黑名单。
9.根据权利要求6至8任意一项所述的***,其特征在于,
所述LUA脚本模块,还用于若判定所述当前客户端的IP地址未包含在所述黑名单内时,发送所述当前访问记录至所述黑名单服务***;
所述黑名单服务***,还用于接收所述当前访问记录,并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析,以确定是否将所述当前客户端的IP地址加入到所述黑名单中。
10.根据权利要求9所述的***,其特征在于,所述黑名单服务***具体用于:
根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录,确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数;
根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重,计算所述当前客户端的攻击风险分值;
若所述当前客户端的攻击风险分值超过分值阈值,则将所述当前客户端的IP地址加入所述黑名单中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810841150.3A CN109150848B (zh) | 2018-07-27 | 2018-07-27 | 一种基于Nginx的蜜罐的实现方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810841150.3A CN109150848B (zh) | 2018-07-27 | 2018-07-27 | 一种基于Nginx的蜜罐的实现方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109150848A true CN109150848A (zh) | 2019-01-04 |
| CN109150848B CN109150848B (zh) | 2021-11-23 |
Family
ID=64799021
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810841150.3A Active CN109150848B (zh) | 2018-07-27 | 2018-07-27 | 一种基于Nginx的蜜罐的实现方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109150848B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784471A (zh) * | 2019-10-30 | 2020-02-11 | 深圳前海环融联易信息科技服务有限公司 | 黑名单采集管理方法、装置、计算机设备及存储介质 |
| CN111600953A (zh) * | 2020-05-18 | 2020-08-28 | 广州锦行网络科技有限公司 | 基于蜜罐***实现分布式部署的方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及*** |
| CN112600837A (zh) * | 2020-12-11 | 2021-04-02 | 四川长虹电器股份有限公司 | 一种基于nginx的内网蜜罐引流方法 |
| CN113132293A (zh) * | 2019-12-30 | 2021-07-16 | ***通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐*** |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN115118518A (zh) * | 2022-07-21 | 2022-09-27 | 深圳安天网络安全技术有限公司 | 一种反探测方法及装置 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120150965A1 (en) * | 2010-12-08 | 2012-06-14 | Stephen Wood | Mitigating Email SPAM Attacks |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| CN105227571A (zh) * | 2015-10-20 | 2016-01-06 | 福建六壬网安股份有限公司 | 基于nginx+lua的web应用防火墙***及其实现方法 |
| US20170048274A1 (en) * | 2012-09-28 | 2017-02-16 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN106657258A (zh) * | 2016-11-04 | 2017-05-10 | 成都视达科信息技术有限公司 | 一种基于nginx+lua的安全加速中间件实现方法及装置 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御*** |
-
2018
- 2018-07-27 CN CN201810841150.3A patent/CN109150848B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120150965A1 (en) * | 2010-12-08 | 2012-06-14 | Stephen Wood | Mitigating Email SPAM Attacks |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全***及实现方法 |
| US20170048274A1 (en) * | 2012-09-28 | 2017-02-16 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
| CN105227571A (zh) * | 2015-10-20 | 2016-01-06 | 福建六壬网安股份有限公司 | 基于nginx+lua的web应用防火墙***及其实现方法 |
| CN106657258A (zh) * | 2016-11-04 | 2017-05-10 | 成都视达科信息技术有限公司 | 一种基于nginx+lua的安全加速中间件实现方法及装置 |
| CN107872467A (zh) * | 2017-12-26 | 2018-04-03 | 中国联合网络通信集团有限公司 | 基于Serverless架构的蜜罐主动防御方法和蜜罐主动防御*** |
Non-Patent Citations (1)
| Title |
|---|
| FAISAL MEMON: ""How to use Project Honeypot with NGINX and ModSecurity 3.0"", 《HTTPS://WWW.NGINX.COM/BLOG/MODSECURITY-AND-PROJECT-HONEYPOT/》 * |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110784471A (zh) * | 2019-10-30 | 2020-02-11 | 深圳前海环融联易信息科技服务有限公司 | 黑名单采集管理方法、装置、计算机设备及存储介质 |
| CN113132293A (zh) * | 2019-12-30 | 2021-07-16 | ***通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐*** |
| CN113132293B (zh) * | 2019-12-30 | 2022-10-04 | ***通信集团湖南有限公司 | 攻击检测方法、设备及公共蜜罐*** |
| CN111600953A (zh) * | 2020-05-18 | 2020-08-28 | 广州锦行网络科技有限公司 | 基于蜜罐***实现分布式部署的方法 |
| CN111600953B (zh) * | 2020-05-18 | 2021-01-08 | 广州锦行网络科技有限公司 | 基于蜜罐***实现分布式部署的方法 |
| CN112383511A (zh) * | 2020-10-27 | 2021-02-19 | 广州锦行网络科技有限公司 | 一种流量转发方法及*** |
| CN112600837A (zh) * | 2020-12-11 | 2021-04-02 | 四川长虹电器股份有限公司 | 一种基于nginx的内网蜜罐引流方法 |
| CN115134098A (zh) * | 2021-03-12 | 2022-09-30 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN115134098B (zh) * | 2021-03-12 | 2024-03-01 | 北京沃东天骏信息技术有限公司 | 一种黑客信息获取方法、装置、电子设备及存储介质 |
| CN114491533A (zh) * | 2022-01-24 | 2022-05-13 | 烽台科技(北京)有限公司 | 数据处理方法、装置、服务器及存储介质 |
| CN115118518A (zh) * | 2022-07-21 | 2022-09-27 | 深圳安天网络安全技术有限公司 | 一种反探测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109150848B (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150848A (zh) | 一种基于Nginx的蜜罐的实现方法及*** | |
| EP3479281B1 (en) | Method and computer system for determining a threat score | |
| CN107465651B (zh) | 网络攻击检测方法及装置 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10282542B2 (en) | Information processing apparatus, information processing method, and computer readable medium | |
| EP3786827A1 (en) | Cyber attack adversary simulator | |
| JP6408395B2 (ja) | ブラックリストの管理方法 | |
| CN109818937A (zh) | 针对安卓权限的控制方法、装置、及存储介质、电子装置 | |
| CN103701793B (zh) | 服务器肉鸡的识别方法和装置 | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测*** | |
| CN103384888A (zh) | 用于恶意软件的检测和扫描的***和方法 | |
| US20200366650A1 (en) | Method and system for creating a secure public cloud-based cyber range | |
| RU2697950C2 (ru) | Система и способ выявления скрытого поведения расширения браузера | |
| CN106341386B (zh) | 针对基于云的多层安全架构的威胁评估级确定及补救 | |
| CN110197075A (zh) | 资源访问方法、装置、计算设备以及存储介质 | |
| CN113452780B (zh) | 针对客户端的访问请求处理方法、装置、设备及介质 | |
| CN108876081A (zh) | 虚拟房间分配方法、装置、存储介质及处理器 | |
| CN108600270A (zh) | 一种基于网络日志的异常用户检测方法及*** | |
| CN110365712A (zh) | 一种分布式拒绝服务攻击的防御方法及*** | |
| CN109951579A (zh) | 域名处理方法、装置、计算机可读存储介质和计算机设备 | |
| Alavizadeh et al. | An automated security analysis framework and implementation for MTD techniques on cloud | |
| KR102314557B1 (ko) | 보안 통제 관리 시스템 및 그 방법 | |
| CN105933398A (zh) | 内容分发网络中的访问请求转发方法和*** | |
| JP6707952B2 (ja) | 制御装置、制御方法及びプログラム | |
| CN103853580A (zh) | 用于有条件地刷新工作区用户界面的方法与*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240306 Address after: Room 1179, W Zone, 11th Floor, Building 1, No. 158 Shuanglian Road, Qingpu District, Shanghai, 201702 Patentee after: Shanghai Zhongan Information Technology Service Co.,Ltd. Country or region after: China Address before: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee before: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240415 Address after: Room 1179, W Zone, 11th Floor, Building 1, No. 158 Shuanglian Road, Qingpu District, Shanghai, 201702 Patentee after: Shanghai Zhongan Information Technology Service Co.,Ltd. Country or region after: China Address before: 518000 Room 201, building A, No. 1, Qian Wan Road, Qianhai Shenzhen Hong Kong cooperation zone, Shenzhen, Guangdong (Shenzhen Qianhai business secretary Co., Ltd.) Patentee before: ZHONGAN INFORMATION TECHNOLOGY SERVICE Co.,Ltd. Country or region before: China |
|
| TR01 | Transfer of patent right |