[发明专利]一种确定终端是否存在长链路连接的方法及服务器

说明书

本发明实施例提供一种确定终端是否存在长链路连接的方法及服务器，所述方法包括：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。所述服务器执行上述方法。本发明实施例提供的确定终端是否存在长链路连接中的方法及服务器，无需跳板主机的访问权限，还能够准确确定目标终端是否存在长链路连接，从而判断出服务器是否成为黑客的入侵目标。

技术领域

本发明实施例涉及入侵检测技术领域，具体涉及一种确定终端是否存在长链路连接的方法及服务器。

背景技术

黑客为了隐藏身份，常常使用其它终端向要入侵的服务器转发远程连接请求，这些终端可以作为黑客临时利用的跳板主机，使得跟踪黑客的IP地址变得十分困难，因为这些跳板主机可能位于不同的国家。黑客可能会登录跳板主机，并从一台跳板主机跳到另一台跳板主机，并转发远程连接请求。这些作为跳板的主机之间构成了一条链路。当该链路中的中间跳板主机数量较多时，这样的链路称为“长链路”。

通过检测链路是否为长链路，可以作为服务器是否被黑客入侵的依据，现有检测链路是否为长链路的方法是：通过获取中间跳板主机出入口流量，进而匹配出攻击者的穿越流量，黑客发起的连接请求和服务器的应答形成了会话闭环，通过记录远程连接请求和应答之间的时间差来推测形成的链路是否为长链路。但是，现有技术需要通过中间跳板主机的权限，才可以获取出入口流量，这在现实环境中十分困难，而且黑客每次并不一定都用同样中间跳板主机所形成的链路发起入侵攻击，极大地限制了上述方法在现实中的应用。

因此，如何无需通过跳板主机的访问权限，还能够准确确定终端是否存在长链路连接，从而判断出服务器是否成为黑客的入侵目标，成为亟须解决的问题。

发明内容

针对现有技术存在的问题，本发明实施例提供一种确定终端是否存在长链路连接的方法及服务器。

第一方面，本发明实施例提供一种确定终端是否存在长链路连接的方法，所述方法包括：

获取预先存储的目标终端发送的远程连接请求及对应的响应报文；

根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；

根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。

第二方面，本发明实施例提供一种确定长链路中跳板主机的服务器，所述服务器包括：

第一获取模块，用于获取预先存储的目标终端发送的远程连接请求及对应的响应报文；

第二获取模块，用于根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；

确定模块，用于根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。

第三方面，本发明实施例提供一种电子设备，包括：处理器、存储器和总线，其中，

所述处理器和所述存储器通过所述总线完成相互间的通信；

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：

获取预先存储的目标终端发送的远程连接请求及对应的响应报文；

根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；

根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。

第四方面，本发明实施例提供一种非暂态计算机可读存储介质，包括：