一种蜜庭防御方法、系统、装置及存储介质

本发明涉及网络安全，尤其涉及一种蜜庭防御方法、系统、装置及存储介质。

背景技术：

1、随着互联网的迅速发展，网络安全威胁日益增加。攻击者可以利用漏洞、恶意代码和各种攻击手段对后端服务器和网络应用程序进行攻击。为了解决这些安全威胁，反向代理技术应运而生。反向代理技术在网络安全防护中发挥着重要的作用，它是一种网络服务，充当服务器和客户端之间的中间人，可以隐藏真实服务器的信息。

2、传统的基于反向代理的网络安全防护方法通常会使用ip黑名单来限制访问和阻断恶意流量。然而，仅依靠ip黑名单存在一定的局限性。首先，黑名单可能无法及时更新，无法实时应对新的攻击源和恶意ip地址，攻击者可以轻易更改其来源ip地址或使用代理服务器隐藏真实ip，从而绕过基于ip黑名单的防护。其次，使用ip黑名单的手段拦截或封杀ip地址，无法对访问者进行准确分析，造成拦截或封堵结果不准确，缺乏对ip恶意程度的判断，再者，传统反向代理技术主要关注流量的分发和转发，将流量转发到后端服务器，缺乏对恶意流量的引导和处理能力。

技术实现思路

1、有鉴于此，本发明实施例的目的是提供一种蜜庭防御方法、系统、装置及存储介质，能够更加准确的对访问者进行分析和拦截，并对恶意流量进行引导和处理。

2、第一方面，本发明实施例提供了一种蜜庭防御方法。该方法应用于反向代理转发模块端，所述反向代理转发模块连接有安全模块、第三方信誉模块和蜜罐系统，所述方法包括：

3、所述反向代理转发模块实时获取访问蜜庭的流量，根据所述流量获取所述流量中的源ip信息；

4、以使所述安全模块根据所述源ip信息、所述流量和生成规则生成蜜庭安全日志数据，其中，所述生成规则表征通过所述源ip信息和所述流量生成所述蜜庭安全日志数据的规则；

5、以使所述第三方信誉模块根据所述源ip信息和所述蜜庭安全日志数据确定所述流量的行为和意图；

6、以使所述第三方信誉模块根据所述流量的所述源ip信息、所述行为和所述意图确定所述流量的ip信誉值；

7、所述反向代理转发模块根据所述ip信誉值和预设的分数阈值确定所述流量的转发路径，其中，所述转发路径包括真实业务转发路径和蜜罐转发路径，所述蜜罐转发路径连接所述蜜罐系统。

8、可选地，反向代理转发模块包括nginx反向代理服务器，所述实时获取访问蜜庭的流量，根据所述流量获取所述流量中的源ip信息，具体包括：

9、所述nginx反向代理服务器实时接收网卡中的流量；

10、所述nginx反向代理服务器解析所述流量中的源ip信息。

11、可选地，所述安全模块根据所述源ip信息、所述流量和生成规则生成蜜庭安全日志数据，具体包括：

12、所述安全模块实时接收所述流量和所述源ip信息；

13、所述安全模块对所述流量进行实时检测并记录所述流量的安全事件；

14、所述安全模块根据预设的日志生成规则、所述安全事件和所述源ip信息生成蜜庭安全日志数据。

15、可选地，所述第三方信誉模块根据所述源ip信息和所述蜜庭安全日志数据确定所述流量的行为和意图，具体包括：

16、所述第三方信誉模块根据所述源ip信息确定ip地址；

17、所述第三方信誉模块根据蜜庭安全日志数据记录的触发信息和所述ip地址对所述流量的行为进行检测；

18、所述第三方信誉模块根据蜜庭安全日志数据的历史数据信息和当前数据信息分析所述流量的意图。

19、可选地，所述第三方信誉模块根据所述流量的所述源ip信息、所述行为和所述意图确定所述流量的ip信誉值，具体包括：

20、所述第三方信誉模块将所述流量的所述源ip信息、所述行为和所述意图发送至公开信誉库；

21、所述公开信誉库根据所述源ip信息的信誉分数、所述行为和所述意图确定所述流量的ip信誉值。

22、可选地，所述公开信誉库根据所述源ip信息的信誉分数、所述行为和所述意图确定所述流量的ip信誉值之后，具体包括：

23、所述安全模块根据接收到的所述ip信誉值确定信誉查询是否成功；

24、若所述ip信誉值不在预设分数范围内，则继续将所述源ip信息和所述蜜庭安全日志数据发送至所述第三方信誉模块；

25、若所述ip信誉值在预设分数范围内，则将所述ip信誉值发送至所述反向代理转发模块。

26、可选地，所述反向代理转发模块根据所述ip信誉值和预设的分数阈值确定所述流量的转发路径，具体包括：

27、所述反向代理转发模块接收所述第三方信誉模块返回的所述ip信誉值；

28、将所述ip信誉值与所述分数阈值进行比对；

29、将所述ip信誉值大于或等于所述分数阈值的所述流量转发至所述真实业务转发路径；

30、将所述ip信誉值小于所述分数阈值的所述流量通过所述蜜罐转发路径转发至所述蜜罐系统。。

31、第二方面，本发明实施例提供了一种蜜庭防御系统，包括：

32、反向代理转发模块、安全模块、第三方信誉模块和蜜罐系统，所述蜜罐系统与正常业务并联部署，将恶意流量引导至蜜罐系统，将正常流量引导至正常业务；

33、所述反向代理转发模块，用于实时获取访问蜜庭的流量，根据所述流量获取所述流量中的源ip信息；

34、所述安全模块，用于根据所述源ip信息、所述流量和生成规则生成蜜庭安全日志数据，其中，所述生成规则表征通过所述源ip信息和所述流量生成所述蜜庭安全日志数据的规则；

35、所述第三方信誉模块，用于根据所述源ip信息和所述蜜庭安全日志数据确定所述流量的行为和意图；

36、所述第三方信誉模块，用于根据所述流量的所述源ip信息、所述行为和所述意图确定所述流量的ip信誉值；

37、反向代理转发模块，用于根据所述ip信誉值和预设的分数阈值确定所述流量的转发路径，其中，所述转发路径包括真实业务转发路径和蜜罐转发路径，所述蜜罐转发路径连接所述蜜罐系统。

38、第三方面，本发明实施例提供了一种蜜庭防御装置，包括：

39、至少一个处理器；

40、至少一个存储器，用于存储至少一个程序；

41、当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现如上所述的方法。

42、第四方面，本发明实施例提供了一种计算机可读存储介质，其中存储有处理器可执行的程序，所述处理器可执行的程序在由处理器执行时用于执行如上所述的方法。

43、实施本发明实施例包括以下有益效果：本发明实施例提供一种蜜庭防御方法，包括：所述反向代理转发模块实时获取访问蜜庭的流量，根据所述流量获取所述流量中的源ip信息；以使所述安全模块根据所述源ip信息、所述流量和生成规则生成蜜庭安全日志数据，其中，所述生成规则表征通过所述源ip信息和所述流量生成所述蜜庭安全日志数据的规则；以使所述第三方信誉模块根据所述源ip信息和所述蜜庭安全日志数据确定所述流量的行为和意图；以使所述第三方信誉模块根据所述流量的所述源ip信息、所述行为和所述意图确定所述流量的ip信誉值；所述反向代理转发模块根据所述ip信誉值和预设的分数阈值确定所述流量的转发路径，其中，所述转发路径包括真实业务转发路径和蜜罐转发路径，所述蜜罐转发路径连接所述蜜罐系统。通过增加安全模块来防止安全入侵，第三方信誉模块通过源ip信息和安全日志数据实现对ip意图的判断和行为分析，然后返回ip信誉值给反向代理转发模块，反向代理转发模块将信誉值低的恶意流量转发至蜜罐系统，从而提高网络安全性。