CN103685298A - 一种基于深度包检测的ssl中间人攻击发现方法 - Google Patents
一种基于深度包检测的ssl中间人攻击发现方法 Download PDFInfo
- Publication number
- CN103685298A CN103685298A CN201310717796.8A CN201310717796A CN103685298A CN 103685298 A CN103685298 A CN 103685298A CN 201310717796 A CN201310717796 A CN 201310717796A CN 103685298 A CN103685298 A CN 103685298A
- Authority
- CN
- China
- Prior art keywords
- attack
- territory
- message
- man
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本发明公开了一种基于深度包检测的SSL中间人攻击发现方法,对用户和服务器接收的http报文头部进行特征检测,包括下述步骤:(1)对http报文进行分析,并设定评分标准;(2)在正常情况和被攻击情况下分别进行多次测试,进行计分,获得平均计分值;(3)针对两种平均计分值进行平均作为判断攻击的标准;(4)根据步骤(3)的判断标准进行攻击检测即对http报文进行评分,计分值超过标准阈值就发出攻击报警。本发明方法能够在用户遭受到SSLStrip中间人攻击时,能够在第一时间内向用户发出告警,防止用户受到进一步的损失。
Description
技术领域
本发明涉及网络安全协议领域,具体而言是一种基于深度包检测技术,在主机中发现特定SSL中间人攻击的方法。
背景技术
SSL协议是互联网上最为常用的安全协议之一,它能够利用证书验证服务器的身份,并且对交互信息进行加密,防止被攻击者窃听。SSL最初由Netscape公司在1995年发布,IETF(Internet Engineering Task Force)在1999年将其标准化,即TLS(Transport Layer Security)。经过多次修改,现在的TLS 1.3版本于2008年提出,这个版本的标准已经能够防止很多对于协议的攻击,比如CBC(Cipher block chaining)等,同时协议使用的加密算法和密钥都越来越安全。和其他安全协议相比,SSL的部署和使用都相对简单,对网络的负担也较小,很适合在电子商务和电子邮箱网站中使用。
然而即使如此,SSL协议也只能够实现相对的安全,从它诞生的第一天起,对于SSL的攻击就层出不穷。其中,针对协议漏洞进行的中间人攻击是最为常见、也是危害性最大的一种。中间人攻击,又称第三人攻击,它是一种“间接”的入侵攻击,它包括两个步骤,攻击者首先通过会话劫持的手段,使自己处于用户和服务器的中间人位置,以便获取用户和服务器之间的交互报文。随后,攻击者对用户的请求进行代理,从而获取用户的个人信息。比如,2002年提出的SSL Sniff攻击,就是利用了各主流浏览器在检查证书时的一个漏洞,利用这个漏洞,可以让浏览器信任攻击者自己签发的证书,从而做到欺骗用户,进行钓鱼等攻击。
而在各种中间人攻击中,SSL Strip是安全研究员Moxie Marlinspike在2009年2月BlackHat安全会议上提出的一种较为新颖的攻击方式。这种攻击方式的特点在于,攻击者可以在劫持会话后,不需要像别的中间人攻击那样伪造证书、和用户建立另外一个SSL连接,而是可以通过欺骗用户,使其和攻击者建立一个不安全的http连接,由攻击者代理和服务器建立https连接。这样一来,攻击者就可以直接获得用户发送的明文信息。
发明内容
本发明目的在于能够提供一种高效、准确的在主机中发现可能存在的SSL Strip中间人攻击的方法。以便在本机遭受到SSL Strip中间人攻击时,能够在第一时间内向用户发出告警,防止用户受到进一步的损失。
本发明为实现上述目的,采用如下技术方案:
一种基于深度包检测的SSL中间人攻击发现方法,对用户和服务器接收的http报文头部进行特征检测,包括下述步骤:
(1) 对http报文进行分析,并设定评分标准;具体步骤如下:
1.1 用户选择网络设备;
1.2 截取http报文;
1.3 判断该报文是否为本设备的http报文,是转向步骤1.4;否转向步骤1.2;
1.4 判断该报文是否包含被Strip去除的字段,是则计分值-100,并转向步骤1.5;否则直接转向步骤1.5;
上述被strip去除的字段,包括以下报文域:
connection域,strip会把原先报文的这个域去除,然后添加“connection:close\r\n”到http报头的尾部。因为中间人在用户和服务器之间做了代理,所以必须强制服务器在传送页面后立即关闭连接。Strip攻击者同样会对用户发给服务器的http报文的头部里的connection域进行修改,修改方式同样是去除原有的域内容,改为close,以便不允许服务器保持连接。
keep-alive域: strip会去除它发现的这个域的内容,这样做的理由和修改connection域一样,不允许服务器保持现在的连接。
content-length域:因为报文被修改,所以保留这个域会引起故障,strip也将其删除。
accept-encoding域:这个域被去除,防止可能出现的编码问题。
if-modified-since域:这个域也被去除,防止被发现错误的修改时间。
1.5 判断该报文是否包含“connection:close\r\n”,是则计分值+20,并转向步骤1.6;否则直接转向步骤1.6;
1.6 计数值+1,转向步骤1.2;
(2) 在正常情况和被攻击情况下分别进行多次测试,进行计分,获得平均计分值;
(3) 针对两种平均计分值进行平均作为判断攻击的标准;
(4) 根据步骤(3)的判断标准进行攻击检测即对http报文进行评分,计分值超过标准阈值就发出攻击报警。
优选的:所述步骤(4)中对http报文评分的对象为最近的几个http报文。
本发明方法能够在用户遭受到SSL Strip中间人攻击时,能够在第一时间内向用户发出告警,防止用户受到进一步的损失。
附图说明
图1为本发明方法流程图。
图2为检测程序评分流程图。
具体实施方式
本发明基于攻击者对于报文进行的修改。攻击者需要代理用户和服务器的连接,为此,修改了服务器发给用户的http报文和用户发给服务器的http报文。对于这些报文的某些特定头部域,攻击者进行了相应的修改,以达到自己的攻击目的。
攻击者需要修改头部域的目的是使得用户和服务器之间无法保持连接,比如,攻击者修改connection域的内容为close\r\n,这样就使得报文传输完成之后,连接就会自动终止。
因为攻击者对报文头部进行了上述的修改,我们可以对于特定类型的http报文进行头部特征检测。在受到Strip攻击时,有些域的内容不会出现,而有些域的内容又是固定的。因此,我们如果能够对足够量的报文进行统计,就可以发现可能存在的攻击。但是因为需要减少虚警,我们一定要通过实验,得到一个可以明确区分是否遭到攻击的标准。
如图1所示检测告警功能的流程如下:
(1) 对http报文进行分析,并设定评分标准;
(2) 在正常情况和被攻击情况下分别进行多次测试,进行计分,获得平均计分值;
(3) 针对两种平均计分值进行平均作为判断攻击的标准;
(4) 根据步骤(3)的判断标准进行攻击检测即对http报文进行评分,计分值超过标准阈值就发出攻击报警。
如图2所示步骤(1)中的评定标准流程如下:
1.1 用户选择网络设备;
1.2 截取http报文;
1.3 判断该报文是否为本设备的http报文,是转向步骤1.4;否转向步骤1.2;
1.4 判断该报文是否包含被Strip去除的字段,是则计分值-100,并转向步骤1.5;否则直接转向步骤1.5;
1.5 判断该报文是否包含“connection:close\r\n”,是则计分值+20,并转向步骤1.6;否则直接转向步骤1.6;
1.6 计数值+1,转向步骤1.2。
上述被strip去除的字段,包括以下报文域:
connection域,strip会把原先报文的这个域去除,然后添加“connection:close\r\n”到http报头的尾部。因为中间人在用户和服务器之间做了代理,所以必须强制服务器在传送页面后立即关闭连接。Strip攻击者同样会对用户发给服务器的http报文的头部里的connection域进行修改,修改方式同样是去除原有的域内容,改为close,以便不允许服务器保持连接。
keep-alive域: strip会去除它发现的这个域的内容,这样做的理由和修改connection域一样,不允许服务器保持现在的连接。
content-length域:因为报文被修改,所以保留这个域会引起故障,strip也将其删除。
accept-encoding域:这个域被去除,防止可能出现的编码问题。
if-modified-since域:这个域也被去除,防止被发现错误的修改时间。
因为受到Strip攻击时,很难在特定报文里出现被攻击者去除的字段,而在正常报文中,依然有一定概率出现connection:close\r\n。因此前一种情况下计分值的变化量大于后一种情况。
在正常情况和受到攻击的情况下分别进行多次测试,获得平均得分值。在正常状态下和被攻击状态下分别进行了9次测试,分别访问了一些固定的网站,比如百度、谷歌和人人网等,同时也随机访问了一些其它的网站,包括使用https的一些站点。
经过实验,得到正常情况下和受到攻击情况下的“计分值/计数值”的平均值。
1) 针对平均得分进行分析,确定判断攻击的标准。首先对上一步实验中的两个平均值进行平均数的计算,得到一个分界线。
然后根据实际情况,提出了几条评判的标准:
a) 检验之前,需要检测到一定数量的符合要求的报文,即发往特定网络地址的http报文,且包含http头部。在流程中,设定必须出现20个以上的这类报文。
b) 对截包到现在的所有报文进行“计数值/计分值”的计算,一旦发现这个数值超过一个阈值,就发出警告信息。在流程中,参考了前面得到的实验数据,并且综合考虑了可能出现的虚警和漏警的情况,设定了这个计数值阈值。
c) 当该方法运行了一段时间后突然发生了Strip攻击时,可能通过长时间的统计值也无法很好的反应当前被攻击的情况,因此,需要增加一个对于当前若干个报文的统计情况的分析,以便发现刚刚出现的Strip攻击。设置一个数组,能够存储最近的几个报文的头部情况,在进行检测时,同样需要将这些信息考虑进去。
2)使用新标准在实际情况下进行检验。按照上述流程进行测试,在没有攻击的情况下测试了12个小时,并没有出现虚警的情况。然后,进行了strip攻击,然后在用户机上进行正常的网页浏览,该方法在此后2分钟内发现了攻击。
Claims (2)
1.一种基于深度包检测的SSL中间人攻击发现方法,对用户和服务器接收的http报文头部进行特征检测,包括下述步骤:
(1)对http报文进行分析,并设定评分标准;具体步骤如下:
1.1 用户选择网络设备;
1.2 截取http报文;
1.3 判断该报文是否为本设备的http报文,是转向步骤1.4;否转向步骤1.2;
1.4 判断该报文是否包含被Strip去除的字段,是则计分值-100,并转向步骤1.5;否则直接转向步骤1.5;
所述去除的字段包括connection域、keep-alive域、content-length域、accept-encoding域或if-modified-since域;
1.5 判断该报文是否包含“connection:close\r\n”,是则计分值+20,并转向步骤1.6;否则直接转向步骤1.6;
1.6 计数值+1,转向步骤1.2;
(2)在正常情况和被攻击情况下分别进行多次测试,进行计分,获得平均计分值;
(3)针对两种平均计分值进行平均作为判断攻击的标准;
(4)根据步骤(3)的判断标准进行攻击检测即对http报文进行评分,计分值超过标准阈值就发出攻击报警。
2.根据权利要求1所述的基于深度包检测的SSL中间人攻击发现方法,其特征在于:所述步骤(4)中对http报文评分的对象为最近的几个http报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310717796.8A CN103685298A (zh) | 2013-12-23 | 2013-12-23 | 一种基于深度包检测的ssl中间人攻击发现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310717796.8A CN103685298A (zh) | 2013-12-23 | 2013-12-23 | 一种基于深度包检测的ssl中间人攻击发现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103685298A true CN103685298A (zh) | 2014-03-26 |
Family
ID=50321612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310717796.8A Pending CN103685298A (zh) | 2013-12-23 | 2013-12-23 | 一种基于深度包检测的ssl中间人攻击发现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103685298A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187406A (zh) * | 2015-08-14 | 2015-12-23 | 安徽新华博信息技术股份有限公司 | 可配置方式的https的中间人监听系统 |
| CN106453610A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市任子行科技开发有限公司 | 面向运营商骨干网的https数据流审计方法和系统 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN108683656A (zh) * | 2018-05-10 | 2018-10-19 | 中国铁路总公司 | 检测城市轨道交通列车控制系统中中间人攻击的方法 |
| CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090028135A1 (en) * | 2007-07-27 | 2009-01-29 | Redshift Internetworking, Inc. | System and method for unified communications threat management (uctm) for converged voice, video and multi-media over ip flows |
| US7634811B1 (en) * | 2005-05-20 | 2009-12-15 | Symantec Corporation | Validation of secure sockets layer communications |
| CN101997915A (zh) * | 2010-10-29 | 2011-03-30 | 中国电信股份有限公司 | 深度包检测装置、网页数据处理方法、采集方法及系统 |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
-
2013
- 2013-12-23 CN CN201310717796.8A patent/CN103685298A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7634811B1 (en) * | 2005-05-20 | 2009-12-15 | Symantec Corporation | Validation of secure sockets layer communications |
| US20090028135A1 (en) * | 2007-07-27 | 2009-01-29 | Redshift Internetworking, Inc. | System and method for unified communications threat management (uctm) for converged voice, video and multi-media over ip flows |
| CN102347870A (zh) * | 2010-07-29 | 2012-02-08 | 中国电信股份有限公司 | 一种流量安全检测方法、设备和系统 |
| CN101997915A (zh) * | 2010-10-29 | 2011-03-30 | 中国电信股份有限公司 | 深度包检测装置、网页数据处理方法、采集方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张恒伽 等: "基于SSLStrip的HTTPS会话劫持", 《信息安全与同学保密》 * |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105187406A (zh) * | 2015-08-14 | 2015-12-23 | 安徽新华博信息技术股份有限公司 | 可配置方式的https的中间人监听系统 |
| CN106534068A (zh) * | 2016-09-29 | 2017-03-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106534068B (zh) * | 2016-09-29 | 2023-12-22 | 广州华多网络科技有限公司 | 一种ddos防御系统中清洗伪造源ip的方法和装置 |
| CN106453610A (zh) * | 2016-11-09 | 2017-02-22 | 深圳市任子行科技开发有限公司 | 面向运营商骨干网的https数据流审计方法和系统 |
| CN106453610B (zh) * | 2016-11-09 | 2019-08-09 | 深圳市任子行科技开发有限公司 | 面向运营商骨干网的https数据流审计方法和系统 |
| CN108683656A (zh) * | 2018-05-10 | 2018-10-19 | 中国铁路总公司 | 检测城市轨道交通列车控制系统中中间人攻击的方法 |
| CN108683656B (zh) * | 2018-05-10 | 2021-01-19 | 中国铁路总公司 | 检测城市轨道交通列车控制系统中中间人攻击的方法 |
| CN108810014A (zh) * | 2018-06-29 | 2018-11-13 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
| CN108810014B (zh) * | 2018-06-29 | 2021-06-04 | 北京奇虎科技有限公司 | 攻击事件告警方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| US11316878B2 (en) | System and method for malware detection | |
| CN106909847B (zh) | 一种恶意代码检测的方法、装置及系统 | |
| US10708302B2 (en) | Systems and methods for identifying phishing web sites | |
| US9185093B2 (en) | System and method for correlating network information with subscriber information in a mobile network environment | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN109039987A (zh) | 一种用户账户登录方法、装置、电子设备和存储介质 | |
| US20180027416A1 (en) | Providing security through characterizing mobile traffic by domain names | |
| CN109495423A (zh) | 一种防止网络攻击的方法及系统 | |
| CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
| CN103685298A (zh) | 一种基于深度包检测的ssl中间人攻击发现方法 | |
| CN112887274B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN112769833B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| JP6084278B1 (ja) | 情報処理装置、方法およびプログラム | |
| Osanaiye et al. | Change-point cloud DDoS detection using packet inter-arrival time | |
| KR101250899B1 (ko) | 응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 | |
| CN111079138A (zh) | 异常访问检测方法、装置、电子设备及可读存储介质 | |
| CN110636076B (zh) | 一种主机攻击检测方法及系统 | |
| CN107707549B (zh) | 一种自动提取应用特征的装置及方法 | |
| CN105991509A (zh) | 会话处理方法及装置 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN107547502B (zh) | 信息监听系统、方法、装置、电子设备及存储介质 | |
| US11611556B2 (en) | Network connection request method and apparatus | |
| CN114422200A (zh) | 一种域名拦截方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| AD01 | Patent right deemed abandoned |
Effective date of abandoning: 20170419 |