CN111327596A - 超文本传输协议隧道检测方法、装置及可读存储介质 - Google Patents
超文本传输协议隧道检测方法、装置及可读存储介质 Download PDFInfo
- Publication number
- CN111327596A CN111327596A CN202010068442.5A CN202010068442A CN111327596A CN 111327596 A CN111327596 A CN 111327596A CN 202010068442 A CN202010068442 A CN 202010068442A CN 111327596 A CN111327596 A CN 111327596A
- Authority
- CN
- China
- Prior art keywords
- transfer protocol
- hypertext transfer
- response data
- tunnel
- target response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种超文本传输协议隧道检测方法,包括以下步骤:获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;判断所述目标响应数据是否通过超文本传输协议隧道传输;若是,确定隧道传输的所述目标响应数据的连续性特征以及流量频率;在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。本发明还公开了一种超文本传输协议隧道检测装置及计算机可读存储介质,达成了提高内网数据的安全性的效果。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及超文本传输协议隧道检测方法、超文本传输协议隧道检测装置及计算机可读存储介质。
背景技术
HTTP(超文本传输协议)协议是应用层协议,规定了客户端与服务器端传送数据的格式,在基于HTTP协议进行数据传输时,一般使用80端口传输数据。在私有网络中,通常会在网络出口处部署防火墙设备,对80端口以外的其它端口通信行为进行拦截,起到保护内网安全的作用。而HTTP隧道的出现解决了不能使用其它端口进行通信的弊端,同时也为黑客留下来一扇与内网主机进行隐蔽通信的大门。由于现有的监测方法无法识别HTTP隧道进行非法数据传输,这样导致内网数据安全性较低。
发明内容
本发明的主要目的在于提供一种超文本传输协议隧道检测方法、超文本传输协议隧道检测装置及计算机可读存储介质,旨在达成提高内网数据的安全性的效果。
为实现上述目的,本发明提供一种超文本传输协议隧道检测方法,所述超文本传输协议隧道检测方法包括以下步骤:
获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;
判断所述目标响应数据是否通过超文本传输协议隧道传输;
若是,确定隧道传输的所述目标响应数据的连续性特征以及流量频率;
在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
可选地,所述预设异常条件包括所述超文本传输协议隧道的连续性特征为具备连续性,且所述流量频率大于预设阈值。
可选地,所述根据所述目标响应数据确定超文本传输协议隧道的流量的连续性特征以及流量频率的步骤包括:
获取预设时段内各个所述目标响应数据的时间戳;
获取各个所述时间戳之间的间隔时长,并根据所述间隔时长确定所述连续性特征;以及
根据所述目标响应数据的时间戳确定每一时间点对应的请求次数,并根据所述请求次数确定所述流量频率。
可选地,所述获取各个所述时间戳之间的间隔时长,并根据所述间隔时长确定所述连续性特征的步骤包括:
获取各个所述时间戳之间的所述间隔时长;
在所述间隔时长均小于预设时长时,所述连续性特征为具备连续性;
在有所述间隔时长大于或等于预设时长时,所述连续性特征为不具备连续性。
可选地,确定超文本确定传输协议隧道异常的步骤之后,还包括:
在确定超文本确定传输协议隧道异常后,执行预设动作,所述预设动作包括以下至少一个:
输出风险提示信息;
截止所述超文本传输协议隧道的数据传输动作;
将所述检测结果添加至日志文件。
可选地,所述获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据的步骤之前,还包括:
抓取基于超文本传输协议的响应数据;
获取所述响应数据的流量特征,并根据所述流量特征选定所述超文本传输协议工具对应的响应数据,以供超文本传输协议隧道检测装置获取所述目标响应数据。
可选地,所述判断所述目标响应数据是否通过超文本传输协议隧道传输包括:
根据所述超文本传输协议隧道工具的标识信息对所述目标响应数据进行标记,以根据所述标记区分不同超文本传输协议隧道工具对应的所述目标响应数据;
所述根据所述目标响应数据确定超文本传输协议隧道的流量的连续性特征以及流量频率的步骤包括:
根据目标标记对应的所述目标响应数据确定目标超文本传输协议隧道的流量的连续性特征以及流量频率。
此外,为实现上述目的,本发明还提供一种超文本传输协议隧道检测装置,所述超文本传输协议隧道检测装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隧道检测程序,所述隧道检测程序被所述处理器执行时实现如上所述的超文本传输协议隧道检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有隧道检测程序,所述隧道检测程序被处理器执行时实现如上所述的超文本传输协议隧道检测方法的步骤。
本发明实施例提出的一种超文本传输协议隧道检测方法、超文本传输协议隧道检测装置及计算机可读存储介质,先获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据,然后判断所述目标响应数据是否通过超文本传输协议隧道传输,若是,则确定隧道传输的所述目标响应数据的连续性特征以及流量频率,并在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。由于可以根据HTTP隧道的流量的连续性特征和流量频率确定当前HTTP隧道的数据传输动作是否正常,从而可以识别高伪装度的数据传输,这样达成了提高内网数据的安全性的效果。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图;
图2为本发明超文本传输协议隧道检测方法一实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
HTTP(超文本传输协议)协议是应用层协议,规定了客户端与服务器端传送数据的格式,在基于HTTP协议进行数据传输时,一般使用80端口传输数据。在私有网络中,通常会在网络出口处部署防火墙设备,对80端口以外的其它端口通信行为进行拦截,起到保护内网安全的作用。而HTTP隧道的出现解决了不能使用其它端口进行通信的弊端,同时也为黑客留下来一扇与内网主机进行隐蔽通信的大门。由于现有的监测方法无法识别HTTP隧道进行非法数据传输,这样导致内网数据安全性较低。
为解决上述缺陷,本发明实施例提出一种超文本传输协议隧道检测方法、超文本传输协议隧道检测装置及计算机可读存储介质,其中,在本发明超文本传输协议隧道检测方法的实时例中,主要解决方案是:
获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;
判断所述目标响应数据是否通过超文本传输协议隧道传输;
若是,确定隧道传输的所述目标响应数据的连续性特征以及流量频率;
在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
由于可以根据HTTP隧道的流量的连续性特征和流量频率确定当前HTTP隧道的数据传输动作是否正常,从而可以识别高伪装度的数据传输,这样达成了提高内网数据的安全性的效果。
如图1所示,图1是本发明实施例方案涉及的硬件运行环境的终端结构示意图。
本发明实施例终端可以是PC机或者服务器等终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1003,存储器1004,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。网络接口1003可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1004可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1004可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1004中可以包括操作系统、网络通信模块以及隧道检测程序。
在图1所示的终端中,网络接口1003主要用于连接后台服务器,与后台服务器进行数据通信;处理器1001可以用于调用存储器1004中存储的隧道检测程序,并执行以下操作:
获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;
判断所述目标响应数据是否通过超文本传输协议隧道传输;
若是,确定隧道传输的所述目标响应数据的连续性特征以及流量频率;
在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
进一步地,处理器1001可以调用存储器1004中存储的隧道检测程序,还执行以下操作:
获取预设时段内各个所述目标响应数据的时间戳;
获取各个所述时间戳之间的间隔时长,并根据所述间隔时长确定所述连续性特征;以及
根据所述目标响应数据的时间戳确定每一时间点对应的请求次数,并根据所述请求次数确定所述流量频率。
进一步地,处理器1001可以调用存储器1004中存储的隧道检测程序,还执行以下操作:
获取各个所述时间戳之间的所述间隔时长;
在所述间隔时长均小于预设时长时,所述连续性特征为具备连续性;
在有所述间隔时长大于或等于预设时长时,所述连续性特征为不具备连续性。
进一步地,处理器1001可以调用存储器1004中存储的隧道检测程序,还执行以下操作:
在确定超文本确定传输协议隧道异常后,执行预设动作,所述预设动作包括以下至少一个:
输出风险提示信息;
截止所述超文本传输协议隧道的数据传输动作;
将所述检测结果添加至日志文件。
进一步地,处理器1001可以调用存储器1004中存储的隧道检测程序,还执行以下操作:
抓取基于超文本传输协议的响应数据;
获取所述响应数据的流量特征,并根据所述流量特征选定所述超文本传输协议工具对应的响应数据,以供超文本传输协议隧道检测装置获取所述目标响应数据。
进一步地,处理器1001可以调用存储器1004中存储的隧道检测程序,还执行以下操作:
根据所述超文本传输协议隧道工具的标识信息对所述目标响应数据进行标记,以根据所述标记区分不同超文本传输协议隧道工具对应的所述目标响应数据。
参照图2,在本发明超文本传输协议隧道检测方法的一实施例中,所述超文本传输协议隧道检测方法包括以下步骤:
步骤S10、获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;
步骤S20、判断所述目标响应数据是否通过超文本传输协议隧道传输;
步骤S30、确定隧道传输的所述目标响应数据的连续性特征以及流量频率;
步骤S40、在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
在本实施例中,HTTP(超文本传输协议)隧道检测装置可以抓取HTTP响应数据包,从而获取服务器基于HTTP协议进行传输的响应数据包。然后获取所述响应数据包的传输参数作为响应数据的流量特征。然后根据所述流量特征选定所述超文本传输协议工具对应的响应数据,作为目标响应数据。
具体地,当需要通过HTTP隧道工具从内网服务器器上获取数据时,一般需要先向服务器上传HTTP隧道工具对应的脚本文件,然后通过用户端的浏览器访问所述脚本文件,以查看脚本文件是否上传成功,然后通过所述HTTP隧道工具对应的客户端工具和内网主机进行通信,以从内网主机上下载文件或者窃取数据。因此,当HTTP隧道检测装置抓取到所述响应数据后,可以根据所述响应数据的传输参数判断所述响应数据的传输流程是否满足HTTP隧道工具对应的数据传输流程。当所述响应数据满足HTTP隧道工具对应的传输流程时,将所述响应数据作为所述目标响应数据。否则将所述响应数据作为普通HTTP响应数据。
可以理解的是,基于HTTP隧道的交互性以及程序性可知,HTTP隧道请求包具备连续性。一个正常的HTTP请求,(例如,打开一个网页,由于加载网页可能会加载很多其他静态资源,因此在同一个时间会有大量HTTP请求)一般不具备连续性。但是在一HTTP隧道行为中,由于HTTP隧道工具的客户端主机需要不断确定内网主机在可控通信的范围内,因此需要持续发出请求,以确定内网主机是否存活。因此其对应的HTTP隧道的流路对应的请求的连续性特征一般为具备连续性。另外,在非法用户进行隧道通信的大部分时间内,数据传输量都是比较平稳的。因为大多数时间都是在进行命令传输。但是,当非法用户需要进行数据量比较大的传输时会突发大流量,因此在HTTP流量上会出现突发的高频特征。
进一步地,当确定所述目标响应数据后,判断所述目标响应数据是否通过超文本传输协议隧道传输。当所述目标响应数据是通过超文本传输协议隧道传输,则根据所述目标响应数据确定超文本传输协议隧道的流量的连续性特征以及流量频率,进而在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
具体地,当确定目标响应数据后,根据响应数据的报头可以确定所述响应数据时否为通过超文本传输协议隧道传输的数据。当所述响应数据为不是通过超文本传输协议隧道传输的数据时,之间忽略所述响应数据。当所述响应数据是通过超文本传输协议隧道传输的响应数据时,可以获取预设时段内的各个响应数据对应的时间戳,然后将所述各个响应数据对应的时间戳根据时间先后依次排序。其中,响应数据包括请求数据和所述请求数据对应的反馈数据。所述时间戳可以是每一响应数据对应的请求数据的时间戳。
在将所述时间戳进行排序后,获取每一时间戳之间的间隔时长,然后饭后基于所述间隔时长确定所述超文本传输协议隧道的流量的连续性特征。其中,在根据所述间隔时长确定所述连续性特征时,可以通过判断各个所述间隔时长中,是否存在大于预设时长的间隔,若所述间隔时长均小于预设时长时,则判定所述超文本传输协议隧道的流量对应的所述连续性特征为具备连续性。否则,判定所述超文本传输协议隧道的流量的所述连续性特征为不具备连续性。
可以理解的是,在另一实施方式中,也可以在确定所述各个间隔时长后,计算所述各个间隔时长之间的极差、平均差和/或标准差等数据。然后根据所述极差、平均差和/或标准差等数据确定所述各个间隔时长之间的离散程度。当所述各个间隔时长之间的离散程度小于预设离散程度时,判定所述超文本传输协议隧道的流量的所述连续性特征为具备连续性。否则,判定所述超文本传输协议隧道的流量的所述连续性特征为不具备连续性。
需要说明的是,上述预设时长,预设时段以及预设离散程度为可以通过开发人员自定义设定的数值。例如,所述预设时段可以设置为第一个请求数据的时间戳对应的时间点到当前时间点这一时段。
在确定所述超文本传输协议隧道的流量的连续性特征后,可以进一步地根据所述时间戳确定每一时间点对应的请求次数,并将所述请求次数作为所述超文本传输协议隧道的流量的流量频率。
具体地,在获取到每一响应数据对应的请求数据的时间戳后,基于所述时间戳,根据时间先后顺序对所述请求数据进行排序。并获取每一时间点对应的请求次数作为所述流量频率。其中,非法用户通过HTTP隧道窃取数据时,可以在同一时间点发起多个数据获取请求,以同时下载多个数据。
可选地,在另一实施方式中,用于非法用户可能在一较短时段内发起多次数据请求,因此,可以设置多个连续时间段,并将一每一时间段内对应的请求次数作为所述流量频率。
进一步地,当确定所述超文本传输协议隧道的流量的连续性特征以及流量频率后,在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常,其中,所述预设异常条件包括所述超文本传输协议隧道的连续性特征为具备连续性,且所述流量频率大于预设阈值。
具体地,所述连续性特征包括具备连续性和不具备连续性,当一HTTP隧道的流量具备连续性时,判断其流量频率峰值是否大于预设阈值。若其流量频率峰值大于预设阈值,则判定当前HTTP隧道出现安全隐患,及出现数据传输异常现象。否则判定所述HTTP隧道数据传输正常。
可选地,在所述HTTP隧道数据传输异常时,HTTP隧道检测装置可以执行预设动作。其中,所述预设动作可以包括输出风险提示信息,截止所述超文本传输协议隧道的数据传输动作,和/或将所述检测结果添加至日志文件。
具体地,当所述HTTP隧道检测装置判定当前HTTP隧道数据传输异常时,可以向预设终端发送提示信息,以提示用户当前存在内网数据泄密风险。或者也可以通过预设方式直接输出所述风险提示信息。例如,控制播音装置发出预设风险提示音,和/或通过预设的显示装置输出所述风险提示信息。
在截止所述超文本传输隧道的数据传输动作时,可以控制内网路由器、交换机和/或网关等设备停止转发所述目标响应数据对应的目标IP的相关数据包。或者直接截止当前系统中,所有HTTP数据包的转发。
在本实施例公开的技术方案中,先获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据,然后判断所述目标响应数据是否通过超文本传输协议隧道传输,若是,则确定隧道传输的所述目标响应数据的连续性特征以及流量频率,并在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。由于可以根据HTTP隧道的流量的连续性特征和流量频率确定当前HTTP隧道的数据传输动作是否正常,从而可以识别高伪装度的数据传输,这样达成了提高内网数据的安全性的效果。
可选地,在基于上述实施例,在另一实施例中,所述步骤S20还包括根据所述超文本传输协议隧道工具的标识信息对所述目标响应数据进行标记,以根据所述标记区分不同超文本传输协议隧道工具对应的所述目标响应数据。
在本实施例中,当确定一响应数据为目标响应数据后,可以根据所述目标响应数据的响应体及响应头进行内容识别,以确定所述目标响应数据对应的HTTP隧道工具。并根据所述HTTP隧道工具的标识信息对所述目标响应数据进行标记,以使HTTP隧道检测装置可以区分不同HTTP隧道工具对应的目标响应数据。使得可以根据标记确定所述响应数据是否为通过特定的超文本传输协议隧道进行传输的数据。
进而根据不同HTTP隧道工具对应的目标响应数据确定每一不同HTTP隧道工具对应HTTP隧道的数据传输动作是否异常。例如,可以根据目标标记对应的所述目标响应数据确定目标超文本传输协议隧道的流量的连续性特征以及流量频率,并在所述连续性特征及所述流量频率满足预设异常条件时,判定所述目标超文本传输协议隧道数据传输异常。
示例性地,以reGeorg(内网渗透-代理)工具为例。reGeorg工具产生的流量与正常流量在HTTP响应体上有很明显的区分度,将响应内容与隧道工具特有的返回内容进行匹配,即可识别特定的隧道工具。当识别出响应数据对应的特定隧道工具后,可以根据所述隧道工具的标识信息对所述目标响应数据进行标记。使得可以根据标记确定所述响应数据是否为通过特定的超文本传输协议隧道进行传输的数据。
在本实施例公开的技术方案中,由于可以根据所述超文本传输协议隧道工具的标识信息对所述目标响应数据进行标记,以根据所述标记区分不同超文本传输协议隧道工具对应的所述目标响应数据,从而可以同时监测多个个HTTP隧道到的数据传输动作,这样提高了超文本传输协议隧道检测装置的检测效率。
此外,本发明实施例还提出一种超文本传输协议隧道检测装置,所述超文本传输协议隧道检测装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隧道检测程序,所述隧道检测程序被所述处理器执行时实现如上各个实施例所述的超文本传输协议隧道检测方法的步骤。
此外,本发明实施例还提出一种计算机可读存储介质,所述计算机可读存储介质上存储有隧道检测程序,所述隧道检测程序被处理器执行时实现如上各个实施例所述的超文本传输协议隧道检测方法的步骤。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是PC机或者服务器等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (9)
1.一种超文本传输协议隧道检测方法,其特征在于,所述超文本传输协议隧道检测方法包括以下步骤:
获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据;
判断所述目标响应数据是否通过超文本传输协议隧道传输;
若是,确定隧道传输的所述目标响应数据的连续性特征以及流量频率;
在所述连续性特征及所述流量频率满足预设异常条件时,判定所述超文本传输协议隧道数据传输异常。
2.如权利要求1所述的超文本传输协议隧道检测方法,其特征在于,所述预设异常条件包括所述超文本传输协议隧道的连续性特征为具备连续性,且所述流量频率大于预设阈值。
3.如权利要求1所述的超文本传输协议隧道检测方法,其特征在于,所述确定隧道传输的所述目标响应数据的连续性特征以及流量频率的步骤包括:
获取预设时段内各个所述目标响应数据的时间戳;
获取各个所述时间戳之间的间隔时长,并根据所述间隔时长确定所述连续性特征;以及
根据所述目标响应数据的时间戳确定每一时间点对应的请求次数,并根据所述请求次数确定所述流量频率。
4.如权利要求3所述的超文本传输协议隧道检测方法,其特征在于,所述获取各个所述时间戳之间的间隔时长,并根据所述间隔时长确定所述连续性特征的步骤包括:
获取各个所述时间戳之间的所述间隔时长;
在所述间隔时长均小于预设时长时,所述连续性特征为具备连续性;
在有所述间隔时长大于或等于预设时长时,所述连续性特征为不具备连续性。
5.如权利要求1所述的超文本传输协议隧道检测方法,其特征在于,确定超文本确定传输协议隧道异常的步骤之后,还包括:
在确定超文本确定传输协议隧道异常后,执行预设动作,所述预设动作包括以下至少一个:
输出风险提示信息;
截止所述超文本传输协议隧道的数据传输动作;
将所述检测结果添加至日志文件。
6.如权利要求1所述的超文本传输协议隧道检测方法,其特征在于,所述获取目标响应数据,其中,所述目标响应数据为超文本传输协议工具对应的响应数据的步骤之前,还包括:
抓取基于超文本传输协议的响应数据;
获取所述响应数据的流量特征,并根据所述流量特征选定所述超文本传输协议工具对应的响应数据,以供超文本传输协议隧道检测装置获取所述目标响应数据。
7.如权利要求1所述的超文本传输协议隧道检测方法,其特征在于,所述判断所述目标响应数据是否通过超文本传输协议隧道传输包括:
根据所述超文本传输协议隧道工具的标识信息对所述目标响应数据进行标记,以根据所述标记区分不同超文本传输协议隧道工具对应的所述目标响应数据。
8.一种超文本传输协议隧道检测装置,其特征在于,所述超文本传输协议隧道检测装置包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的隧道检测程序,所述隧道检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的超文本传输协议隧道检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有隧道检测程序,所述隧道检测程序被处理器执行时实现如权利要求1至7中任一项所述的超文本传输协议隧道检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010068442.5A CN111327596B (zh) | 2020-01-19 | 2020-01-19 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010068442.5A CN111327596B (zh) | 2020-01-19 | 2020-01-19 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111327596A true CN111327596A (zh) | 2020-06-23 |
CN111327596B CN111327596B (zh) | 2022-08-05 |
Family
ID=71171258
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010068442.5A Active CN111327596B (zh) | 2020-01-19 | 2020-01-19 | 超文本传输协议隧道检测方法、装置及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111327596B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110258703A1 (en) * | 2010-04-16 | 2011-10-20 | Bank Of America Corporation | Detecting Secure or Encrypted Tunneling in a Computer Network |
CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
CN104243228A (zh) * | 2013-06-07 | 2014-12-24 | 金琥 | 基于会话及http协议标准检测http隧道数据的方法 |
CN107395637A (zh) * | 2017-08-29 | 2017-11-24 | 厦门安胜网络科技有限公司 | http隧道主动检测方法、终端设备及存储介质 |
CN109218124A (zh) * | 2017-07-06 | 2019-01-15 | 杨连群 | Dns隧道传输检测方法和装置 |
-
2020
- 2020-01-19 CN CN202010068442.5A patent/CN111327596B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110258703A1 (en) * | 2010-04-16 | 2011-10-20 | Bank Of America Corporation | Detecting Secure or Encrypted Tunneling in a Computer Network |
CN104243228A (zh) * | 2013-06-07 | 2014-12-24 | 金琥 | 基于会话及http协议标准检测http隧道数据的方法 |
CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
CN109218124A (zh) * | 2017-07-06 | 2019-01-15 | 杨连群 | Dns隧道传输检测方法和装置 |
CN107395637A (zh) * | 2017-08-29 | 2017-11-24 | 厦门安胜网络科技有限公司 | http隧道主动检测方法、终端设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111327596B (zh) | 2022-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11089057B1 (en) | System, apparatus and method for automatically verifying exploits within suspect objects and highlighting the display information associated with the verified exploits | |
US9438623B1 (en) | Computer exploit detection using heap spray pattern matching | |
US20220239687A1 (en) | Security Vulnerability Defense Method and Device | |
CN108521408B (zh) | 抵抗网络攻击方法、装置、计算机设备及存储介质 | |
CN111800412A (zh) | 高级可持续威胁溯源方法、系统、计算机设备及存储介质 | |
CN110881043B (zh) | 一种web服务器漏洞的检测方法及装置 | |
EP3590061B1 (en) | Managing data encrypting application | |
CN112887274A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
CN110798427A (zh) | 一种网络安全防御中的异常检测方法、装置及设备 | |
CN114257413A (zh) | 基于应用容器引擎的反制阻断方法、装置和计算机设备 | |
CN107864110B (zh) | 僵尸网络主控端检测方法和装置 | |
CN114244570A (zh) | 终端非法外联监测方法、装置、计算机设备和存储介质 | |
CN113810427B (zh) | 一种渗透测试方法、终端设备及存储介质 | |
KR101487476B1 (ko) | 악성도메인을 검출하기 위한 방법 및 장치 | |
CN111327596B (zh) | 超文本传输协议隧道检测方法、装置及可读存储介质 | |
CN117040931B (zh) | 低误报率的网络攻击检测方法、系统及相关设备 | |
CN107623916B (zh) | 一种进行WiFi网络安全监控的方法与设备 | |
CN112615867B (zh) | 数据包检测方法和装置 | |
CN111082996A (zh) | 一种带内监控软件的自动配置方法、装置和介质 | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
CN115242494A (zh) | 一种控制设备接入的方法、系统、装置及介质 | |
KR101606088B1 (ko) | 악성 코드 탐지 방법 및 장치 | |
CN109474572B (zh) | 基于集群僵尸网络监控捕获放马站点的方法及系统 | |
CN107547502A (zh) | 一种信息监听系统、方法及装置 | |
CN114050917A (zh) | 音频数据的处理方法、装置、终端、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |