[发明专利]一种基于Nginx的蜜罐的实现方法及系统

说明书

本发明公开了一种基于Nginx的蜜罐的实现方法及系统，属于计算机网络安全技术领域，方法包括：由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；由黑名单服务系统生成黑名单并存储，以供嵌入到Nginx服务器内的LUA脚本模块定时加载至Nginx服务器的内存中，其中，LUA脚本模块通过通信协议与黑名单服务系统进行通信；由LUA脚本模块获取至少一个蜜罐服务路径的当前访问记录，并判断当前访问记录包括的当前客户端的IP地址是否包含在Nginx服务器的内存中最新的黑名单内；若判定为是，则为当前客户端提供蜜罐服务，否则，限制为当前客户端提供蜜罐服务。本发明实施例能够实现指定客户端才能访问到蜜罐服务；同时能够实现统一、灵活并且安全地进行蜜罐部署。

技术领域

本发明涉及计算机网络安全技术领域，特别涉及一种基于Nginx的蜜罐的实现方法及系统。

背景技术

蜜罐技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而对攻击行为进行捕获和分析，因此蜜罐是一个有针对性的服务，只需要把攻击者引导进蜜罐，而普通用户无需去访问。同时蜜罐越接近于业务其真实性和曝光率就越高，对攻击者的吸引率越大。蜜罐主要分为低交互式、高交互式和粘性蜜罐(Tarpits)。

传统蜜罐部署在目标站点的二级域名下或者目标服务器IP地址的C段地址上，还有一部分部署在独立的IP上。如果WEB蜜罐部署在二级域名下，攻击者在进入蜜罐后并控制蜜罐的WEB服务，有可能会造成同源策略导致的Cookies被盗取的次生攻击，这样蜜罐十分的不可控。由于很多服务器基于云上VPS主机提供业务，相同企业的IP地址段并不统一，不一定都在同一个C段，所以基于C段IP地址和独立IP地址部署的蜜罐，没有针对性，很难吸引到真正的定向攻击者；而且，常规情况下蜜罐部署复杂，灵活性低，部署完后很难进行二次改造调整，部署成本高，很难进行大规模蜜罐部署。

发明内容

有鉴于此，本发明实施例提供了一种基于Nginx的蜜罐的实现方法及系统，以实现指定客户端才能访问到蜜罐服务，确保其不影响正常用户和正常业务，同时，能够实现统一、灵活并且安全地进行蜜罐部署。

本发明实施例提供的具体技术方案如下：

第一方面，提供了一种基于Nginx的蜜罐的实现方法，包括：

由配置模块在Nginx服务器中配置至少一个蜜罐服务路径；

由黑名单服务系统生成黑名单并存储，以供嵌入到所述Nginx服务器内的LUA脚本模块定时加载至所述Nginx服务器的内存中，其中，所述LUA脚本模块通过通信协议与所述黑名单服务系统进行通信；

由所述LUA脚本模块获取所述至少一个蜜罐服务路径的当前访问记录，并判断所述当前访问记录包括的当前客户端的IP地址是否包含在所述Nginx服务器的内存中最新的所述黑名单内；

若判定为是，则为所述当前客户端提供蜜罐服务，否则，限制为所述当前客户端提供所述蜜罐服务。

在一些实施方式中，所述至少一个蜜罐服务路径被配置为包括模拟正常服务的站点域名和/或正常服务的站点域名下的指定目录。

在一些实施方式中，所述方法还包括：

通过所述黑名单服务系统与其他的安全系统进行联动，以根据所述其他的安全系统获取的存在攻击风险的IP地址列表，更新所述黑名单。

在一些实施方式中，所述方法还包括：

若判定所述当前客户端的IP地址未包含在所述黑名单内时，通过所述LUA脚本模块发送所述当前访问记录至所述黑名单服务系统；

所述黑名单服务系统接收所述当前访问记录，并对所述当前访问记录和所述LUA脚本模块先前发送的所述至少一个蜜罐服务路径的历史访问记录进行分析，以确定是否将所述当前客户端的IP地址加入到所述黑名单中。