[发明专利]一种基于Nginx的蜜罐的实现方法及系统

权利要求书

1.一种基于Nginx的蜜罐的实现方法，其特征在于，包括：

由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；

由黑名单服务系统生成黑名单并存储，以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；

由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内；

若判定为是，则为所述当前客户端提供蜜罐服务；

若判定所述当前客户端的IP地址未包含在所述黑名单内时，限制为所述当前客户端提供所述蜜罐服务，通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务系统；

所述黑名单服务系统接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中，具体包括：

根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录，确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数；

根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重，计算所述当前客户端的攻击风险分值；

若所述当前客户端的攻击风险分值超过分值阈值，则将所述当前客户端的IP地址加入所述黑名单中。

2.根据权利要求1所述的方法，其特征在于，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。

3.根据权利要求1所述的方法，其特征在于，所述由黑名单服务系统生成黑名单并存储包括：

所述黑名单服务系统从其他的安全系统获取存在攻击风险的IP地址列表；

根据所述存在攻击风险的IP地址列表生成所述黑名单。

4.一种基于Nginx的蜜罐的实现系统，其特征在于，包括配置模块、LUA脚本模块和黑名单服务系统；

所述配置模块，用于在Nginx服务器中配置至少一个蜜罐服务路径；

所述黑名单服务系统，用于生成黑名单并存储，以供所述LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；

所述LUA脚本模块，嵌入到所述Nginx服务器内，用于获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内，若判定为是，则为所述当前客户端提供蜜罐服务；

所述LUA脚本模块，还用于若判定所述当前客户端的IP地址未包含在所述黑名单内时，限制为所述当前客户端提供所述蜜罐服务，发送所述当前访问记录至所述黑名单服务系统；

所述黑名单服务系统，还用于接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中，具体包括：

根据所述当前访问记录和所述至少一个蜜罐服务路径的历史访问记录，确定所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数；

根据所述当前客户端分别访问所述至少一个蜜罐服务路径的访问次数和预先分别为所述至少一个蜜罐服务路径设置的访问权重，计算所述当前客户端的攻击风险分值；

若所述当前客户端的攻击风险分值超过分值阈值，则将所述当前客户端的IP地址加入所述黑名单中。

5.根据权利要求4所述的系统，其特征在于，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。

6.根据权利要求4所述的系统，其特征在于，

所述黑名单服务系统，还用于与其他的安全系统进行联动，以根据所述其他的安全系统获取的存在攻击风险的IP地址列表，更新所述黑名单。