通用性HTTP隧道檢測技術研究.pdf

1、HTTP隧道是一頗具安全威脅的數據傳輸手段。它能以木馬，病毒等的身份存在于宿主機上，通過HTTP協(xié)議與遠程主機進行數據交互，以此竊取敏感數據或破壞宿主機文件等。因此，必須研究一套能夠檢測出HTTP隧道的方法，掃除這個安全隱患。這個檢測方法要能夠適用于檢測所有未知的HTTP隧道，即這個方法應具有通用性，因為只有這樣，才有更高的應用價值。本文正是以HTTP隧道檢測技術為研究重點，從數據包特征，協(xié)議頭部和數據收發(fā)行為三個大的方面，提出了一套具

2、有通用性的HTTP隧道檢測方法。
　　本文討論的方法的通用性是借助于瀏覽器這把“尺子”得以實現的。其基本思想就是“以不變應萬變”，以各種HTTP隧道的共性以及它們與瀏覽器在使用HTTP協(xié)議上的固有差異為依據來實現檢測。不同方面的檢測針對的就是不同方面的共性和差異：
　　確定檢測對象：這是整個檢測過程的初始化，目的是確定哪些進程將成為后繼的檢測對象。這些檢測對象都是具有HTTP隧道連接特征的進程。其特征表現在該進程至少存在到本

3、地和到遠程的兩條連接。
　　集中－離散分析：這部分是把一些數據包集合作為一個整體，從宏觀上去把握瀏覽器和被檢測進程的數據包集合所體現出的差異。瀏覽器的數據包集合總體上體現了高集中性，而HTTP隧道卻不能體現這個特征。
　　數據包集參差度分析：從數據包集合的另一個屬性――數據包集參差度，來分析瀏覽器和被測對象的差異。瀏覽器的數據包集參差度對其總尺寸的分布體現出分段性和有界性，而HTTP隧道卻跟其差異很大。
　　協(xié)議頭部分

4、析：由于許多 HTTP隧道的協(xié)議首部在未刻意模仿瀏覽器的情況下會出現許多搭配或付值方面的異常，所以這部分針對這些異常提出了幾個檢測手段。
　　數據收發(fā)行為檢測：未經反探測改良的HTTP隧道在數據收發(fā)行為上會沿襲“即來即發(fā)”的模式，而瀏覽器卻不會被這種模式所約束。這部分的檢測就是利用這個差異。
　　上述各方面共性和差異的檢測都會得到一個可疑度，最后我們以這些可疑度為依據，來評測被檢測對象暗含HTTP隧道的警告等級。實驗表明，集