基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及應(yīng)用預(yù)警系統(tǒng)及方法,具體涉及基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)及方法���,主要應(yīng)用于網(wǎng)絡(luò)安全入侵檢測(cè)���,屬于無(wú)線通信網(wǎng)絡(luò)領(lǐng)域。
【背景技術(shù)】
[0002]WEB應(yīng)用預(yù)警系統(tǒng)是WEB應(yīng)用防護(hù)系統(tǒng)的旁路模式�,其二者主體功能相同,只是使用場(chǎng)景有區(qū)別����,兩者各有利弊��。WEB應(yīng)用防護(hù)系統(tǒng)一般串聯(lián)在客戶端與服務(wù)器之間���,難以保證100 %不影響生產(chǎn)系統(tǒng)業(yè)務(wù),而旁路預(yù)警系統(tǒng)則以旁路模式部署�,連接交換機(jī)鏡像口,讀取鏡像數(shù)據(jù)�,可以保證不影響生產(chǎn)業(yè)務(wù)。相應(yīng)的�����,旁路模式只有預(yù)警功能沒(méi)有阻斷入侵的功會(huì)泛��。
[0003]目前應(yīng)用預(yù)警系統(tǒng)通用的實(shí)現(xiàn)方式一般是�����,抓取鏡像數(shù)據(jù)進(jìn)行分片重組�����,協(xié)議分析���,提取變量��,并加入modsecurity規(guī)則檢測(cè)���。
[0004]該模式使用自己分析協(xié)議�,重組數(shù)據(jù)報(bào)文的方式�����,存在以下幾個(gè)問(wèn)題:
[0005]1���、性能不高��。
[0006]2��、穩(wěn)定性不強(qiáng)�����。
[0007]3、擴(kuò)展性不夠�。
【發(fā)明內(nèi)容】
[0008]為了解決上述技術(shù)問(wèn)題,針對(duì)現(xiàn)有產(chǎn)品的不足����,提供基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)�,該系統(tǒng)可以高效并且靈活的探測(cè)web應(yīng)用攻擊��,以滿足不同用戶的不同安全需求���,使保護(hù)策略更加有效����。
[0009]本發(fā)明的另一個(gè)發(fā)明目的在于提供基于nginx的旁路WEB應(yīng)用預(yù)警方法�����。
[0010]本發(fā)明的技術(shù)方案如下:
[0011]方案一
[0012]—種基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)���,包括驅(qū)動(dòng)層和應(yīng)用層��,驅(qū)動(dòng)層負(fù)責(zé)底層數(shù)據(jù)包的抓取�,每次有數(shù)據(jù)包的時(shí)候���,回調(diào)應(yīng)用層接口 ���;應(yīng)用層實(shí)現(xiàn)WEB應(yīng)用預(yù)警��;所述應(yīng)用層包括模擬模塊和nginx服務(wù)模塊����;所述模擬模塊包括服務(wù)端和客戶端��,所述服務(wù)端和客戶端分別與nginx服務(wù)模塊建立數(shù)據(jù)連接�。
[0013]其中,所述nginx服務(wù)模塊包括用于直接支持https應(yīng)用的ssl子模塊�����。
[0014]方案二
[0015]—種基于nginx的旁路WEB應(yīng)用預(yù)警方法��,包括方案一所述的系統(tǒng)���,其包括以下依次進(jìn)行的步驟:
[0016]步驟S1:所述驅(qū)動(dòng)層抓取數(shù)據(jù)請(qǐng)求報(bào)文��;
[0017]步驟S2:所述驅(qū)動(dòng)層回調(diào)客戶端的應(yīng)用接口�����,由客戶端根據(jù)報(bào)文的源IP和目的IP,與nginx服務(wù)模塊建立連接��,同時(shí)nginx服務(wù)模塊作為代理服務(wù)器根據(jù)目的IP端口,與服務(wù)端建立連接�����;
[0018]步驟S3:驅(qū)動(dòng)層抓取到數(shù)據(jù)響應(yīng)報(bào)文以后����,也回調(diào)客戶端的應(yīng)用接口,服務(wù)端對(duì)nginx服務(wù)模塊發(fā)送響應(yīng)�����。
[0019]方案三
[0020]一種基于nginx的旁路WEB應(yīng)用預(yù)警方法����,包括方案一所述的系統(tǒng),其包括以下依次進(jìn)行的步驟:
[0021]步驟S1:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以旁路模式部署�,與交換機(jī)的鏡像口連接;
[0022]步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收交換機(jī)上的所有鏡像流量���,包括所有連接該交換機(jī)的所有請(qǐng)求跟響應(yīng)���;
[0023]步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述交換機(jī)的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè);
[0024]步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示��。
[0025]方案四
[0026]—種基于nginx的旁路WEB應(yīng)用預(yù)警方法,包括方案一所述的系統(tǒng)�����,其包括以下依次進(jìn)行的步驟:
[0027]步驟S1:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以邏輯旁路模式部署��,串聯(lián)在設(shè)備跟交換機(jī)之間�����;采用設(shè)備進(jìn)出口網(wǎng)橋直通�,所述驅(qū)動(dòng)層抓取網(wǎng)橋數(shù)據(jù)包;
[0028]步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收網(wǎng)橋上的所有鏡像流量��,包括所有連接該網(wǎng)橋的所有請(qǐng)求跟響應(yīng)��;
[0029]步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述網(wǎng)橋的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè)�;
[0030]步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示。
[0031]本發(fā)明具有如下有益效果:
[0032](1)本發(fā)明采用的Nginx服務(wù)模塊可以在性能上做到極致�,可以很好的對(duì)防護(hù)規(guī)則進(jìn)行擴(kuò)展,并具有非常高的性能�,它使用基于事件驅(qū)動(dòng)的架構(gòu)能夠處理百萬(wàn)級(jí)別的tcp連接。
[0033](2)本發(fā)明優(yōu)秀的設(shè)計(jì)帶來(lái)了極佳的穩(wěn)定性�,因此其作為web服務(wù)器被廣泛應(yīng)用到大流量網(wǎng)站上,包括騰訊�����,新浪����,網(wǎng)易淘寶等訪問(wèn)量巨大的網(wǎng)站。
[0034](3)本發(fā)明高度模塊化的設(shè)計(jì)和自由的許可證使得模塊的開發(fā)非常方便����,因此擴(kuò)展nginx服務(wù)模塊的第三方模塊層出不窮,同時(shí)nginx服務(wù)模塊還是一個(gè)跨平臺(tái)的web服務(wù)器���,可以運(yùn)行在linux�,freebsd, solaris, aix, mac os, windows等操作系統(tǒng)上���,并且他還可以使用當(dāng)前操作系統(tǒng)特有的一些高效api來(lái)提高自己的性能���。例如對(duì)于處理高效處理大規(guī)模并發(fā)連接,它支持linux上的epoll, solaris上的event ports和freebsd上的kqueue等���。
【附圖說(shuō)明】
[0035]圖1為本發(fā)明的實(shí)施例1的整體結(jié)構(gòu)示意圖����;
[0036]圖2為本發(fā)明的實(shí)施例3的數(shù)據(jù)連接示意圖;
[0037]圖3為本發(fā)明的實(shí)施例4的數(shù)據(jù)連接示意圖��;
[0038]圖中附圖標(biāo)記表示為:
[0039]1-驅(qū)動(dòng)層����、2-應(yīng)用層、3-模擬模塊�、4-nginx服務(wù)模塊、5-服務(wù)端���、6-客戶端�����。
【具體實(shí)施方式】
[0040]下面結(jié)合附圖和具體實(shí)施例來(lái)對(duì)本發(fā)明進(jìn)行詳細(xì)的說(shuō)明���。
[0041]實(shí)施例1
[0042]參見圖1,一種基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)��,包括驅(qū)動(dòng)層1和應(yīng)用層2�,驅(qū)動(dòng)層1負(fù)責(zé)底層數(shù)據(jù)包的抓取,每次有數(shù)據(jù)包的時(shí)候�,回調(diào)應(yīng)用層2接口。應(yīng)用層2實(shí)現(xiàn)WEB應(yīng)用預(yù)警。
[0043]所述應(yīng)用層2包括模擬模塊3和nginx服務(wù)模塊4�。
[0044]所述模擬模塊3包括服務(wù)端5和客戶端6,所述服務(wù)端5和客戶端6分別與nginx服務(wù)模塊4建立數(shù)據(jù)連接�����。
[0045]其中���,所述nginx服務(wù)模塊4包括用于直接支持https應(yīng)用的ssl子模塊。
[0046]實(shí)施例2
[0047]—種基于nginx的旁路WEB應(yīng)用預(yù)警方法�����,包括實(shí)施例1所述的系統(tǒng)��,其包括以下依次進(jìn)行的步驟:
[0048]步驟S1:所述驅(qū)動(dòng)層1抓取數(shù)據(jù)請(qǐng)求報(bào)文���;
[0049]步驟S2:所述驅(qū)動(dòng)層1回調(diào)客戶端6的應(yīng)用接口���,由客戶端6根據(jù)報(bào)文的源IP和目的IP,與nginx服務(wù)模塊建立連接4�,同時(shí)nginx服務(wù)模塊4作為代理服務(wù)器根據(jù)目的IP端口,與服務(wù)端5建立連接����;
[0050]步驟S3:驅(qū)動(dòng)層1抓取到數(shù)據(jù)響應(yīng)報(bào)文以后��,也回調(diào)客戶端6的應(yīng)用接口���,服務(wù)端5對(duì)nginx服務(wù)模塊4發(fā)送響應(yīng)。
[0051]實(shí)施例3
[0052]—種基于nginx的旁路WEB應(yīng)用預(yù)警方法��,包括實(shí)施例1所述的系統(tǒng)�����,其包括以下依次進(jìn)行的步驟:
[0053]步驟S1:如圖2所示:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以旁路模式部署�,與交換機(jī)的鏡像口連接;
[0054]步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收交換機(jī)上的所有鏡像流量���,包括所有連接該交換機(jī)的所有請(qǐng)求跟響應(yīng)��;
[0055]步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述交換機(jī)的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè)�;
[0056]步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示���。
[0057]該種部署方式可以同時(shí)保護(hù)多臺(tái)主機(jī)�����,但需要交換機(jī)鏡像口支持����。
[0058]實(shí)施例4
[0059]—種基于nginx的旁路WEB應(yīng)用預(yù)警方法,包括實(shí)施例1所述的系統(tǒng)�,其包括以下依次進(jìn)行的步驟:
[0060]步驟S1:如圖3所示:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以邏輯旁路模式部署,串聯(lián)在設(shè)備跟交換機(jī)之間�;采用設(shè)備進(jìn)出口網(wǎng)橋直通,所述驅(qū)動(dòng)層1抓取網(wǎng)橋數(shù)據(jù)包����;
[0061]步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收網(wǎng)橋上的所有鏡像流量�,包括所有連接該網(wǎng)橋的所有請(qǐng)求跟響應(yīng);
[0062]步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述網(wǎng)橋的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè)�;
[0063]步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示。
[0064]采用該種方式部署時(shí)不需要交換機(jī)支持鏡像口�����。
[0065]以上所述僅為本發(fā)明的實(shí)施例�,并非因此限制本發(fā)明的專利范圍,凡是利用本發(fā)明說(shuō)明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或等效流程變換�,或直接或間接運(yùn)用在其他相關(guān)的技術(shù)領(lǐng)域,均同理包括在本發(fā)明的專利保護(hù)范圍內(nèi)���。
【主權(quán)項(xiàng)】
1.一種基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)�,其特征在于:包括驅(qū)動(dòng)層(1)和應(yīng)用層(2),驅(qū)動(dòng)層(1)負(fù)責(zé)底層數(shù)據(jù)包的抓取�����,每次有數(shù)據(jù)包的時(shí)候����,回調(diào)應(yīng)用層(2)接口 ;應(yīng)用層(2)實(shí)現(xiàn)WEB應(yīng)用預(yù)警���;所述應(yīng)用層(2)包括模擬模塊和nginx服務(wù)模塊(4);所述模擬模塊(3 )包括服務(wù)端(5 )和客戶端(6 )�,所述服務(wù)端(5 )和客戶端(6 )分別與nginx服務(wù)模塊(4)建立數(shù)據(jù)連接��。2.根據(jù)權(quán)利要求1所述的基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)���,其特征在于:所述nginx服務(wù)模塊(4)包括用于直接支持https應(yīng)用的ssl子模塊���。3.一種基于nginx的旁路WEB應(yīng)用預(yù)警方法,包括權(quán)利要求1或2所述的系統(tǒng)�����,其包括以下依次進(jìn)行的步驟: 步驟S1:所述驅(qū)動(dòng)層(1)抓取數(shù)據(jù)請(qǐng)求報(bào)文; 步驟S2:所述驅(qū)動(dòng)層(1)回調(diào)客戶端(6)的應(yīng)用接口��,由客戶端(6)根據(jù)報(bào)文的源IP和目的IP����,與nginx服務(wù)模塊建立連接(4),同時(shí)nginx服務(wù)模塊(4)作為代理服務(wù)器根據(jù)目的IP端口�����,與服務(wù)端(5 )建立連接�����; 步驟S3:驅(qū)動(dòng)層(1)抓取到數(shù)據(jù)響應(yīng)報(bào)文以后����,也回調(diào)客戶端(6)的應(yīng)用接口���,服務(wù)端(5)對(duì)nginx服務(wù)模塊(4)發(fā)送響應(yīng)�。4.一種根據(jù)權(quán)利要求1或2所述的基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)的用法���,包括以下依次進(jìn)行的步驟: 步驟S1:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以旁路模式部署���,與交換機(jī)的鏡像口連接���; 步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收交換機(jī)上的所有鏡像流量,包括所有連接該交換機(jī)的所有請(qǐng)求跟響應(yīng)�; 步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述交換機(jī)的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè); 步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示���。5.一種根據(jù)權(quán)利要求1或2所述的基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)的用法��,包括以下依次進(jìn)行的步驟: 步驟S1:將所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)以邏輯旁路模式部署��,串聯(lián)在設(shè)備跟交換機(jī)之間���;采用設(shè)備進(jìn)出口網(wǎng)橋直通,所述驅(qū)動(dòng)層(1)抓取網(wǎng)橋數(shù)據(jù)包����; 步驟S2:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)接收網(wǎng)橋上的所有鏡像流量,包括所有連接該網(wǎng)橋的所有請(qǐng)求跟響應(yīng)�; 步驟S3:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)對(duì)所有連接所述網(wǎng)橋的所有請(qǐng)求跟響應(yīng)進(jìn)行合法性檢測(cè); 步驟S4:所述基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)作出相應(yīng)告警提示����。
【專利摘要】本發(fā)明涉及一種基于nginx的旁路WEB應(yīng)用預(yù)警系統(tǒng)����,包括驅(qū)動(dòng)層和應(yīng)用層��,驅(qū)動(dòng)層負(fù)責(zé)底層數(shù)據(jù)包的抓取�����,每次有數(shù)據(jù)包的時(shí)候���,回調(diào)應(yīng)用層接口��;應(yīng)用層實(shí)現(xiàn)WEB應(yīng)用預(yù)警����;所述應(yīng)用層包括模擬模塊和nginx服務(wù)模塊�;所述模擬模塊包括服務(wù)端和客戶端����,所述服務(wù)端和客戶端分別與nginx服務(wù)模塊建立數(shù)據(jù)連接。該系統(tǒng)可以高效并且靈活的探測(cè)web應(yīng)用攻擊��,以滿足不同用戶的不同安全需求����,使保護(hù)策略更加有效����。本發(fā)明的另一個(gè)發(fā)明目的在于提供基于nginx的旁路WEB應(yīng)用預(yù)警方法����。
【IPC分類】H04L29/08, H04L12/24, H04L29/06
【公開號(hào)】CN105429804
【申請(qǐng)?zhí)枴緾N201510957372
【發(fā)明人】王 琦, 鄭杭, 吳健剛
【申請(qǐng)人】福建六壬網(wǎng)安股份有限公司
【公開日】2016年3月23日
【申請(qǐng)日】2015年12月17日