基于nginx的旁路WEB应用预警系统及方法技术方案

本发明专利技术涉及一种基于nginx的旁路WEB应用预警系统，包括驱动层和应用层，驱动层负责底层数据包的抓取，每次有数据包的时候，回调应用层接口；应用层实现WEB应用预警；所述应用层包括模拟模块和nginx服务模块；所述模拟模块包括服务端和客户端，所述服务端和客户端分别与nginx服务模块建立数据连接。该系统可以高效并且灵活的探测web应用攻击，以满足不同用户的不同安全需求，使保护策略更加有效。本发明专利技术的另一个发明专利技术目的在于提供基于nginx的旁路WEB应用预警方法。

【技术实现步骤摘要】
基于nginx的旁路WEB应用预警方法
本专利技术涉及应用预警系统及方法，具体涉及基于nginx的旁路WEB应用预警系统及方法，主要应用于网络安全入侵检测，属于无线通信网络领域。
技术介绍
WEB应用预警系统是WEB应用防护系统的旁路模式，其二者主体功能相同，只是使用场景有区别，两者各有利弊。WEB应用防护系统一般串联在客户端与服务器之间，难以保证100％不影响生产系统业务，而旁路预警系统则以旁路模式部署，连接交换机镜像口，读取镜像数据，可以保证不影响生产业务。相应的，旁路模式只有预警功能没有阻断入侵的功能。目前应用预警系统通用的实现方式一般是，抓取镜像数据进行分片重组，协议分析，提取变量，并加入modsecurity规则检测。该模式使用自己分析协议，重组数据报文的方式，存在以下几个问题：1、性能不高。2、稳定性不强。3、扩展性不够。
技术实现思路
为了解决上述技术问题，针对现有产品的不足，提供基于nginx的旁路WEB应用预警系统，该系统可以高效并且灵活的探测web应用攻击，以满足不同用户的不同安全需求，使保护策略更加有效。本专利技术的另一个专利技术目的在于提供基于nginx的旁路WEB应用预警方法。本专利技术的技术方案如下：方案一一种基于nginx的旁路WEB应用预警方法，应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层和应用层，驱动层负责底层数据包的抓取，每次有数据包的时候，回调应用层接口；应用层实现WEB应用预警；应用层包括模拟模块和nginx服务模块；所述模拟模块包括服务端和客户端，所述服务端和客户端分别与nginx服务模块建立数据连接；所述nginx服务模块包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：所述驱动层抓取数据请求报文；步骤S2：所述驱动层回调客户端的应用接口，由客户端根据报文的源IP和目的IP，与nginx服务模块建立连接，同时nginx服务模块作为代理服务器根据目的IP端口，与服务端建立连接；步骤S3：服务端对nginx服务模块发送响应。方案二一种基于nginx的旁路WEB应用预警方法，应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层和应用层，驱动层负责底层数据包的抓取，每次有数据包的时候，回调应用层接口；应用层实现WEB应用预警；应用层包括模拟模块和nginx服务模块；所述模拟模块包括服务端和客户端，所述服务端和客户端分别与nginx服务模块建立数据连接；所述nginx服务模块包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：将所述基于nginx的旁路WEB应用预警系统以旁路模式部署，与交换机的镜像口连接；步骤S2：所述基于nginx的旁路WEB应用预警系统接收交换机上的所有镜像流量，包括所有连接该交换机的所有请求跟响应；步骤S3：所述基于nginx的旁路WEB应用预警系统对所有连接所述交换机的所有请求跟响应进行合法性检测；步骤S4：所述基于nginx的旁路WEB应用预警系统作出相应告警提示。方案三一种基于nginx的旁路WEB应用预警方法，其特征在于：应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层和应用层，驱动层负责底层数据包的抓取，每次有数据包的时候，回调应用层接口；应用层实现WEB应用预警；应用层包括模拟模块和nginx服务模块；所述模拟模块包括服务端和客户端，所述服务端和客户端分别与nginx服务模块建立数据连接；所述nginx服务模块包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：将所述基于nginx的旁路WEB应用预警系统以逻辑旁路模式部署，串联在设备跟交换机之间；采用设备进出口网桥直通，所述驱动层抓取网桥数据包；步骤S2：所述基于nginx的旁路WEB应用预警系统接收网桥上的所有镜像流量，包括所有连接该网桥的所有请求跟响应；步骤S3：所述基于nginx的旁路WEB应用预警系统对所有连接所述网桥的所有请求跟响应进行合法性检测；步骤S4：所述基于nginx的旁路WEB应用预警系统作出相应告警提示。本专利技术具有如下有益效果：(1)本专利技术采用的Nginx服务模块可以在性能上做到极致，可以很好的对防护规则进行扩展，并具有非常高的性能，它使用基于事件驱动的架构能够处理百万级别的tcp连接。(2)本专利技术优秀的设计带来了极佳的稳定性，因此其作为web服务器被广泛应用到大流量网站上，包括腾讯，新浪，网易淘宝等访问量巨大的网站。(3)本专利技术高度模块化的设计和自由的许可证使得模块的开发非常方便，因此扩展nginx服务模块的第三方模块层出不穷，同时nginx服务模块还是一个跨平台的web服务器，可以运行在linux，freebsd,solaris,aix,macos,windows等操作系统上，并且他还可以使用当前操作系统特有的一些高效api来提高自己的性能。例如对于处理高效处理大规模并发连接，它支持linux上的epoll,solaris上的eventports和freebsd上的kqueue等。附图说明图1为本专利技术的实施例1的一种基于nginx的旁路WEB应用预警系统的整体结构示意图；图2为本专利技术的实施例2的数据连接示意图；图3为本专利技术的实施例3的数据连接示意图；图中附图标记表示为：1-驱动层、2-应用层、3-模拟模块、4-nginx服务模块、5-服务端、6-客户端。具体实施方式下面结合附图和具体实施例来对本专利技术进行详细的说明。实施例1一种基于nginx的旁路WEB应用预警方法，应用一种基于nginx的旁路WEB应用预警系统，参见图1，该系统包括驱动层1和应用层2，驱动层1负责底层数据包的抓取，每次有数据包的时候，回调应用层2接口；应用层2实现WEB应用预警；应用层2包括模拟模块和nginx服务模块4；所述模拟模块3包括服务端5和客户端6，所述服务端5和客户端6分别与nginx服务模块4建立数据连接；所述nginx服务模块4包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：所述驱动层1抓取数据请求报文；步骤S2：所述驱动层1回调客户端6的应用接口，由客户端6根据报文的源IP和目的IP，与nginx服务模块4建立连接，同时nginx服务模块4作为代理服务器根据目的IP端口，与服务端5建立连接；步骤S3：服务端5对nginx服务模块4发送响应。实施例2一种基于nginx的旁路WEB应用预警方法，应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层1和应用层2，驱动层1负责底层数据包的抓取，每次有数据包的时候，回调应用层2接口；应用层2实现WEB应用预警；应用层2包括模拟模块和nginx服务模块4；所述模拟模块3包括服务端5和客户端6，所述服务端5和客户端6分别与nginx服务模块4建立数据连接；所述nginx服务模块4包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：将所述基于nginx的旁路WEB应用预警系统以旁路模式部署，与交换机的镜像口连接；步骤S2：所述基于nginx的旁路WEB应用预警系统接收交换机上的所有镜本文档来自技高网...

【技术保护点】
一种基于nginx的旁路WEB应用预警系统，其特征在于：包括驱动层（1）和应用层（2），驱动层（1）负责底层数据包的抓取，每次有数据包的时候，回调应用层（2）接口；应用层（2）实现WEB应用预警；所述应用层（2）包括模拟模块和nginx服务模块（4）；所述模拟模块（3）包括服务端（5）和客户端（6），所述服务端（5）和客户端（6）分别与nginx服务模块（4）建立数据连接。

【技术特征摘要】
1.一种基于nginx的旁路WEB应用预警方法，其特征在于：应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层(1)和应用层(2)，驱动层(1)负责底层数据包的抓取，每次有数据包的时候，回调应用层(2)接口；应用层(2)实现WEB应用预警；应用层(2)包括模拟模块和nginx服务模块(4)；所述模拟模块(3)包括服务端(5)和客户端(6)，所述服务端(5)和客户端(6)分别与nginx服务模块(4)建立数据连接；所述nginx服务模块(4)包括用于直接支持https应用的ssl子模块；所述预警方法包括以下依次进行的步骤：步骤S1：所述驱动层(1)抓取数据请求报文；步骤S2：所述驱动层(1)回调客户端(6)的应用接口，由客户端(6)根据报文的源IP和目的IP，与nginx服务模块(4)建立连接，同时nginx服务模块(4)作为代理服务器根据目的IP端口，与服务端(5)建立连接；步骤S3：服务端(5)对nginx服务模块(4)发送响应。2.一种基于nginx的旁路WEB应用预警方法，其特征在于：应用一种基于nginx的旁路WEB应用预警系统，该系统包括驱动层(1)和应用层(2)，驱动层(1)负责底层数据包的抓取，每次有数据包的时候，回调应用层(2)接口；应用层(2)实现WEB应用预警；应用层(2)包括模拟模块和nginx服务模块(4)；所述模拟模块(3)包括服务端(5)和客户端(6)，所述服务端(5)和客户端(6)分别与nginx服务模块(4)建立数据连接；所述nginx服务模块(4)包括用于直接支持https应用的ssl子模块；所述预警方法包括以...

【专利技术属性】
技术研发人员：王琦，郑杭，吴健刚，
申请(专利权)人：福建六壬网安股份有限公司，
类型：发明
国别省市：福建;35