通用性HTTP隧道檢測技術(shù)研究.pdf

1、HTTP隧道是一頗具安全威脅的數(shù)據(jù)傳輸手段。它能以木馬，病毒等的身份存在于宿主機(jī)上，通過HTTP協(xié)議與遠(yuǎn)程主機(jī)進(jìn)行數(shù)據(jù)交互，以此竊取敏感數(shù)據(jù)或破壞宿主機(jī)文件等。因此，必須研究一套能夠檢測出HTTP隧道的方法，掃除這個(gè)安全隱患。這個(gè)檢測方法要能夠適用于檢測所有未知的HTTP隧道，即這個(gè)方法應(yīng)具有通用性，因?yàn)橹挥羞@樣，才有更高的應(yīng)用價(jià)值。本文正是以HTTP隧道檢測技術(shù)為研究重點(diǎn)，從數(shù)據(jù)包特征，協(xié)議頭部和數(shù)據(jù)收發(fā)行為三個(gè)大的方面，提出了一套具

2、有通用性的HTTP隧道檢測方法。
　　本文討論的方法的通用性是借助于瀏覽器這把“尺子”得以實(shí)現(xiàn)的。其基本思想就是“以不變應(yīng)萬變”，以各種HTTP隧道的共性以及它們與瀏覽器在使用HTTP協(xié)議上的固有差異為依據(jù)來實(shí)現(xiàn)檢測。不同方面的檢測針對的就是不同方面的共性和差異：
　　確定檢測對象：這是整個(gè)檢測過程的初始化，目的是確定哪些進(jìn)程將成為后繼的檢測對象。這些檢測對象都是具有HTTP隧道連接特征的進(jìn)程。其特征表現(xiàn)在該進(jìn)程至少存在到本

3、地和到遠(yuǎn)程的兩條連接。
　　集中－離散分析：這部分是把一些數(shù)據(jù)包集合作為一個(gè)整體，從宏觀上去把握瀏覽器和被檢測進(jìn)程的數(shù)據(jù)包集合所體現(xiàn)出的差異。瀏覽器的數(shù)據(jù)包集合總體上體現(xiàn)了高集中性，而HTTP隧道卻不能體現(xiàn)這個(gè)特征。
　　數(shù)據(jù)包集參差度分析：從數(shù)據(jù)包集合的另一個(gè)屬性――數(shù)據(jù)包集參差度，來分析瀏覽器和被測對象的差異。瀏覽器的數(shù)據(jù)包集參差度對其總尺寸的分布體現(xiàn)出分段性和有界性，而HTTP隧道卻跟其差異很大。
　　協(xié)議頭部分

4、析：由于許多 HTTP隧道的協(xié)議首部在未刻意模仿瀏覽器的情況下會(huì)出現(xiàn)許多搭配或付值方面的異常，所以這部分針對這些異常提出了幾個(gè)檢測手段。
　　數(shù)據(jù)收發(fā)行為檢測：未經(jīng)反探測改良的HTTP隧道在數(shù)據(jù)收發(fā)行為上會(huì)沿襲“即來即發(fā)”的模式，而瀏覽器卻不會(huì)被這種模式所約束。這部分的檢測就是利用這個(gè)差異。
　　上述各方面共性和差異的檢測都會(huì)得到一個(gè)可疑度，最后我們以這些可疑度為依據(jù)，來評測被檢測對象暗含HTTP隧道的警告等級。實(shí)驗(yàn)表明，集