[发明专利]基于nginx的旁路WEB应用预警系统及方法

说明书

技术领域

本发明涉及应用预警系统及方法，具体涉及基于nginx的旁路WEB应用预警系统及方法，主要应用于网络安全入侵检测，属于无线通信网络领域。

背景技术

WEB应用预警系统是WEB应用防护系统的旁路模式，其二者主体功能相同，只是使用场景有区别，两者各有利弊。WEB应用防护系统一般串联在客户端与服务器之间，难以保证100％不影响生产系统业务，而旁路预警系统则以旁路模式部署，连接交换机镜像口，读取镜像数据，可以保证不影响生产业务。相应的，旁路模式只有预警功能没有阻断入侵的功能。

目前应用预警系统通用的实现方式一般是，抓取镜像数据进行分片重组，协议分析，提取变量，并加入modsecurity规则检测。

该模式使用自己分析协议，重组数据报文的方式，存在以下几个问题：

1、性能不高。

2、稳定性不强。

3、扩展性不够。

发明内容

为了解决上述技术问题，针对现有产品的不足，提供基于nginx的旁路WEB应用预警系统，该系统可以高效并且灵活的探测web应用攻击，以满足不同用户的不同安全需求，使保护策略更加有效。

本发明的另一个发明目的在于提供基于nginx的旁路WEB应用预警方法。

本发明的技术方案如下：

方案一

一种基于nginx的旁路WEB应用预警系统，包括驱动层和应用层，驱动层负责底层数据包的抓取，每次有数据包的时候，回调应用层接口；应用层实现WEB应用预警；所述应用层包括模拟模块和nginx服务模块；所述模拟模块包括服务端和客户端，所述服务端和客户端分别与nginx服务模块建立数据连接。

其中，所述nginx服务模块包括用于直接支持https应用的ssl子模块。

方案二

一种基于nginx的旁路WEB应用预警方法，包括方案一所述的系统，其包括以下依次进行的步骤：

步骤S1：所述驱动层抓取数据请求报文；

步骤S2：所述驱动层回调客户端的应用接口，由客户端根据报文的源IP和目的IP，与nginx服务模块建立连接，同时nginx服务模块作为代理服务器根据目的IP端口，与服务端建立连接；

步骤S3：驱动层抓取到数据响应报文以后，也回调客户端的应用接口，服务端对nginx服务模块发送响应。

方案三

一种基于nginx的旁路WEB应用预警方法，包括方案一所述的系统，其包括以下依次进行的步骤：

步骤S1：将所述基于nginx的旁路WEB应用预警系统以旁路模式部署，与交换机的镜像口连接；

步骤S2：所述基于nginx的旁路WEB应用预警系统接收交换机上的所有镜像流量，包括所有连接该交换机的所有请求跟响应；

步骤S3：所述基于nginx的旁路WEB应用预警系统对所有连接所述交换机的所有请求跟响应进行合法性检测；

步骤S4：所述基于nginx的旁路WEB应用预警系统作出相应告警提示。

方案四

一种基于nginx的旁路WEB应用预警方法，包括方案一所述的系统，其包括以下依次进行的步骤：

步骤S1：将所述基于nginx的旁路WEB应用预警系统以逻辑旁路模式部署，串联在设备跟交换机之间；采用设备进出口网桥直通，所述驱动层抓取网桥数据包；

步骤S2：所述基于nginx的旁路WEB应用预警系统接收网桥上的所有镜像流量，包括所有连接该网桥的所有请求跟响应；

步骤S3：所述基于nginx的旁路WEB应用预警系统对所有连接所述网桥的所有请求跟响应进行合法性检测；

步骤S4：所述基于nginx的旁路WEB应用预警系统作出相应告警提示。

本发明具有如下有益效果：

(1)本发明采用的Nginx服务模块可以在性能上做到极致，可以很好的对防护规则进行扩展，并具有非常高的性能，它使用基于事件驱动的架构能够处理百万级别的tcp连接。

(2)本发明优秀的设计带来了极佳的稳定性，因此其作为web服务器被广泛应用到大流量网站上，包括腾讯，新浪，网易淘宝等访问量巨大的网站。