通用性HTTP隧道檢測技術研究.pdf

1、HTTP隧道是一頗具安全威脅的數(shù)據(jù)傳輸手段。它能以木馬，病毒等的身份存在于宿主機上，通過HTTP協(xié)議與遠程主機進行數(shù)據(jù)交互，以此竊取敏感數(shù)據(jù)或破壞宿主機文件等。因此，必須研究一套能夠檢測出HTTP隧道的方法，掃除這個安全隱患。這個檢測方法要能夠適用于檢測所有未知的HTTP隧道，即這個方法應具有通用性，因為只有這樣，才有更高的應用價值。本文正是以HTTP隧道檢測技術為研究重點，從數(shù)據(jù)包特征，協(xié)議頭部和數(shù)據(jù)收發(fā)行為三個大的方面，提出了一套具

2、有通用性的HTTP隧道檢測方法。
　　本文討論的方法的通用性是借助于瀏覽器這把“尺子”得以實現(xiàn)的。其基本思想就是“以不變應萬變”，以各種HTTP隧道的共性以及它們與瀏覽器在使用HTTP協(xié)議上的固有差異為依據(jù)來實現(xiàn)檢測。不同方面的檢測針對的就是不同方面的共性和差異：
　　確定檢測對象：這是整個檢測過程的初始化，目的是確定哪些進程將成為后繼的檢測對象。這些檢測對象都是具有HTTP隧道連接特征的進程。其特征表現(xiàn)在該進程至少存在到本

3、地和到遠程的兩條連接。
　　集中－離散分析：這部分是把一些數(shù)據(jù)包集合作為一個整體，從宏觀上去把握瀏覽器和被檢測進程的數(shù)據(jù)包集合所體現(xiàn)出的差異。瀏覽器的數(shù)據(jù)包集合總體上體現(xiàn)了高集中性，而HTTP隧道卻不能體現(xiàn)這個特征。
　　數(shù)據(jù)包集參差度分析：從數(shù)據(jù)包集合的另一個屬性――數(shù)據(jù)包集參差度，來分析瀏覽器和被測對象的差異。瀏覽器的數(shù)據(jù)包集參差度對其總尺寸的分布體現(xiàn)出分段性和有界性，而HTTP隧道卻跟其差異很大。
　　協(xié)議頭部分

4、析：由于許多 HTTP隧道的協(xié)議首部在未刻意模仿瀏覽器的情況下會出現(xiàn)許多搭配或付值方面的異常，所以這部分針對這些異常提出了幾個檢測手段。
　　數(shù)據(jù)收發(fā)行為檢測：未經(jīng)反探測改良的HTTP隧道在數(shù)據(jù)收發(fā)行為上會沿襲“即來即發(fā)”的模式，而瀏覽器卻不會被這種模式所約束。這部分的檢測就是利用這個差異。
　　上述各方面共性和差異的檢測都會得到一個可疑度，最后我們以這些可疑度為依據(jù)，來評測被檢測對象暗含HTTP隧道的警告等級。實驗表明，集