[发明专利]一种基于HTTP协议的隐蔽隧道及其检测方法在审
| 申请号: | 202010911739.3 | 申请日: | 2020-09-02 |
| 公开(公告)号: | CN112653659A | 公开(公告)日: | 2021-04-13 |
| 发明(设计)人: | 曹明选;叶德望;郑周行 | 申请(专利权)人: | 浙江德迅网络安全技术有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L29/08;G06K9/62 |
| 代理公司: | 深圳至诚化育知识产权代理事务所(普通合伙) 44728 | 代理人: | 刘英 |
| 地址: | 311200 浙江省温*** | 国省代码: | 浙江;33 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 http 协议 隐蔽 隧道 及其 检测 方法 | ||
1.一种基于HTTP协议的隐蔽隧道,包括攻击机(1),其特征在于:所述攻击机(1)的右侧双向连接有肉机(2),所述肉机(2)的右侧双向连接有互联网(3),所述互联网(3)的右侧双向连接有防火墙(4),所述防火墙(4)的右侧双向连接有目标主机(5)。
2.根据权利要求1所述的一种基于HTTP协议的隐蔽隧道,其特征在于:所述肉机(2)的内部部署有后门程序attack_AES.Php。
3.根据权利要求1所述的一种基于HTTP协议的隐蔽隧道,其特征在于:所述目标主机(5)的内部署有Web应用DeDeCMS,所述目标主机(5)的内部嵌入有object_AES.php后门程序。
4.根据权利要求1-3任一项所述的一种基于HTTP协议的隐蔽隧道的检测方法,其特征在于,包括以下步骤:
S1:获取IP数据;
S2:获取TCP数据流,继而得到HTTP数据;
S3:从HTTP数据中提取四个特征;
S4:将四个特征放入SVM分类器中进行检测,检测结果为正常流量,检测结束,检测结果为异常流量,进行告警,并将异常流量数据以及告警记录导入信息存储;
S5:再次检测时重复步骤S1-S3,将四个特征先放入信息分析中,信息分析提取信息存储内的存储内容进行对比,若信息分析从信息存储中对比出相同的异常流量,进行告警,若信息分析从信息存储中没有对比出相同的异常流量,将四个特征放入SVM分类器中进行检测,检测结果为正常流量,检测结束,检测结果为异常流量,进行告警,并将异常流量数据以及告警记录导入信息存储。
5.根据权利要求4所述的一种基于HTTP协议的隐蔽隧道的检测方法,其特征在于:所述步骤S3中,四个特征分别为:判断referer字段是否加密、HTTP请求头中合法字段个数、相同源、目的地址访问某页面时referer字段的相似度和一次HTTP请求响应中上传载荷与下载载荷的比值。
6.根据权利要求5所述的一种基于HTTP协议的隐蔽隧道的检测方法,其特征在于:所述判断referer字段是否加密是通过2次求信息熵的方法来判断的。
7.根据权利要求5所述的一种基于HTTP协议的隐蔽隧道的检测方法,其特征在于:所述计算相同源、目的地址访问某页面时referer字段的相似度是通过referer字段的相似度计算来生成高区分度的特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于浙江德迅网络安全技术有限公司,未经浙江德迅网络安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010911739.3/1.html,转载请声明来源钻瓜专利网。
