[发明专利]http隧道主动检测方法、终端设备及存储介质

说明书

技术领域

本发明涉及计算机网络技术领域，具体是一种http隧道主动检测方法、终端设备及存储介质。

背景技术

随着防火墙技术的发展，很多传统的反弹型木马程序在严密的防火墙规则下无法正常回联，目前主流的木马穿透防火墙的技术主要为两种：端口复用和http隧道，其中http隧道的方式在常见APT攻击中占绝大多数，这是因为即使防范严密的内网大都会留有http或https上网通道。这个上网通道也被利用来成为很多木马程序进行回连的通道，木马程序会将其使用的通信协议封装在http隧道里进行传输。对于该类木马普通的防火墙已束手无策，本文描述了一种新型的检测技术，该检测技术可以有效的对这类恶意网络行为进行检测。

普通的防火墙一般采用被动式的检测，就是通过对已建立连接数据包进行分析，通过http协议的特征进行判断，例如通过检测http请求的user-agent字段，是否常见的浏览器类型，检测是否常见的GET、POST、HEAD、CONNECT请求，检测从服务器返回的错误码是否常见的404，200，302，利用协议标准来判断是否恶意的http隧道数据包。例如申请号为201310248911.1的中国发明专利描述的就是这类方法。该方法对于一些古老的木马程序还是有效果的，但是对于一些经过精心设计开发的APT攻击程序来说就无能为力了，因为木马程序可以完全的模拟http协议，精心的构造出类似正常网页浏览的数据包。

发明内容

为了解决上述问题，本发明提供一种http隧道主动检测方法、终端设备及存储介质，通过对目标服务器进行主动式探测，对疑似木马服务器IP和端口发送构造好的数据包，结合目标服务器指纹特征识别技术，从而更准确判断是否恶意的http隧道连接，甚至可以识别对内网进行的未知APT攻击。

本发明一种http隧道主动检测方法，包括如下步骤：

S1：监听数据包：持续监听通过端口连接网络的http数据包，直到有监听到http数据包，则进入S2步骤；

S2：检测数据包：对监听到的http数据包进行静态检测，判断是否符合http协议标准，若是，则进入S3步骤；若否，则进入S6步骤；

S3：本次连接的流量比较：对本次连接的上行http流量和下行http流量进行比较，判断流量的差值是否超出阈值，若是，则进入S4步骤；若否，则进入S5步骤；

S4：服务器探测：主动发起对本次连接的数据包的目标服务器的探测，判断目标服务器是否匹配http服务器的指纹特征，若是，则进入S5步骤；若否，则进入S6步骤；

S5：放行数据包：对本次连接的数据包进行放行，并返回S1步骤；

S6：拦截数据包：对本次连接的数据包进行拦截，同时预警并进行相应的日志记录，并返回S1步骤。

进一步的，S2中，判断是否符合http协议标准，具体为：检查客户端发给服务端的请求命令是否符合http协议标准，检查服务端发给客户端的响应信息是否符合http协议标准。

进一步的，S3中，判断流量的差值是否超出阈值，具体为：若上行http流量超出下行http流量，且差值大于或等于阈值，则判定为流量的差值超出阈值，若上行http流量超出下行http流量，且差值小于阈值，或上行http流量未超出下行http流量，则判定为流量的差值未超出阈值。

进一步的，S4中，主动发起对本次连接的数据包的目标服务器的探测，判断目标服务器是否匹配http服务器的指纹特征，具体为：主动发起对本次连接的数据包的目标服务器的探测，通过对目标服务器发送HEAD请求数据包，将返回的数据包和http服务器的特征模板进行匹配，若匹配成功则目标服务器匹配http服务器的指纹特征，若匹配不成功则目标服务器不匹配http服务器的指纹特征。

更进一步的，S4中，http服务器的指纹特征包括：各类http服务程序的标识和http服务器对畸形HTTP头的处理。

本发明一种http隧道主动检测终端设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现http隧道主动检测方法的步骤。

本发明一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现http隧道主动检测方法的步骤。

本发明的有益效果：