用于对传送HTTP业务的TCP连接进行分类的方法和装置制造方法及图纸

为了将传送HTTP业务的TCP连接分类为可信的或不可信的，分析器装置执行：检测由TCP连接传送的HTTP会话的HTTP请求消息；从检测到的HTTP请求消息的报头获得信息以建立HTTP会话的签名；将建立的签名与预先存储在签名数据库中的签名进行比较；当建立的签名匹配预先存储在签名数据库中并且表示可信的HTTP客户端应用的签名时，将TCP连接分类为可信的；当建立的签名不匹配预先存储在签名数据库中的任何签名时，执行认证程序，认证程序请求用户提供认证数据；当用户提供有效的认证数据时，在签名数据库中添加所建立的签名，HTTP会话的签名在签名数据库中表示可信的HTTP客户端应用，并且将TCP连接分类为可信的；以及否则，将TCP连接分类为不可信的。

【技术实现步骤摘要】
【国外来华专利技术】本专利技术总体上涉及将传送HTTP业务的TCP连接分类为可信TCP连接或不可信TCP连接。HTTP(由IETF(“因特网工程任务组”)公布的标准文件RFC 2616定义为“超文本传送协议”)协议通过TCP(由标准文件RFC 793定义为“传输控制协议”)段传输。HTTP协议可以被认为是会话级的一部分。目前，HTTP协议不仅在数量方面而且在依赖于HTTP协议的多种服务方面成为了常用最多的会话协议。的确，越来越多的应用在网页浏览器环境中运行或实现网页浏览器功能，并且它们的通信基于HTTP协议。HTTP协议的一个优势是简单，因为HTTP协议支持少量的请求方法，并且基本上应用主要使用其中的两至三种请求方法(例如，GET请求和POST请求)。许多应用使用HTTP协议作为会话协议。HTTP协议不仅被网页浏览器使用，而且HTTP协议还被许多软件应用程序使用为下载文件的优选方式。因此，许多软件更新程序依赖于HTTP协议。即时通讯(instant messaging)或云服务还可以使用HTTP协议作为会话层。实现HTTP协议非常灵活并且可以支持一些较大的语义和语法变型。的确，HTTP协议是基于文本的协议而不区分大小写。标准文件RFC 2616用预定义值定义一些标准化HTTP报头，但是它们中极少的报头在由HTTP客户端应用和HTTP服务器应用使用的HTTP消息中是强制性的。其它标准文件针对一些特定的功能(诸如代理、文件交换等)定义了一些附加报头。此外，一些专有的HTTP报头还可以由任何应用程序定义，并且它们的用途不受限制。一些标准化HTTP报头字段的值可以取决于生成对应的HTTP消息的应用，或取决于用于运行该应用的终端的区域性设置。根据一个示例，HTTP协议定义了旨在标识生成HTTP消息的应用的“用户-代理”报头。用户-代理报头通常含有关于HTTP客户端应用和关于运行HTTP客户端应用的操作系统的软件版本信息。根据另一示例，HTTP协议定义了旨在定义自然语言的集合的“接受-语言”报头，这些自然语言被优选形成对包括这样的“接受-语言”报头的请求的响应。因此，即使HTTP协议的实现依赖于同一HTTP API(“应用编程接口”)，看起来不同的HTTP报头可以按照不同的顺序存在并且具有用于编码报头值的不同的语法。诸如恶意软件、木马或远程管理工具(RAT)的恶意应用还经常在传播恶意应用的某个人的控制下使用HTTP协议作为用于在运行恶意应用的装置(被称为受感染装置)与服务器(被称为命令和控制(C&C)服务器)之间建立通信的承载协议。已经提出了用于检测和分类恶意HTTP数据流的方法。然而，这些方法通常依赖于URL(“统一资源定位符”)和IP(由RFC 791定义的“互联网协议”)目的地地址分析以检测潜在威胁和泄露。一些URL黑名单通常用于隔离可疑通信，并且一些URL白名单通常用于认证可信的通信。使用了具有IP地址黑名单和白名单的相似方法。前述方法的主要问题是依赖于IP地址和URL可能是不可靠的。的确，可能出现短期内未反应在白名单和黑名单中的不可信机器或URL。白名单和黑名单的管理通常依赖于中央方法，其中，在恶意软件管理中，一经发现用作服务器的新机器或由新URL指出的服务，由人类管理员更新白名单和黑名单。使用前述方法的另一主要问题是它们依赖于通常以中心的方式离线填充的数据库。这意味着一旦运营商发现了将被列入白名单或黑名单的新IP地址或新URL，则更新数据库。因此，这可能不适于用户的环境。因此，期望提供一种允许以更简单和更有效率的方式填充这样的数据库的解决方案。期望克服现有技术的前述的缺陷。具体地，期望提供一种基于比IP地址和URL更可靠的信息来允许将传送HTTP业务的TCP连接分类为可信TCP连接或不可信TCP连接的解决方案。因此，期望提供一种与现有技术的解决方案相比带来改善的分类性能的解决方案。具体地，期望提供一种对新的恶意软件的传播做出反应的解决方案。此外，期望提供一种容易实现并且成本效益好的解决方案。为此，本专利技术涉及一种用于将传送HTTP业务的TCP连接分类为可信TCP连接或不可信TCP连接的方法，该方法由分析器装置执行。该方法包括：检测由TCP连接传送的HTTP业务中的HTTP会话的HTTP请求消息；从检测到的HTTP请求消息的报头获得信息以建立所述HTTP会话的签名；将所述HTTP会话的签名与由所述分析器装置预先存储在签名数据库中的签名进行比较；当所述HTTP会话的签名与由所述分析器装置预先存储在所述签名数据库中并且表示可信的HTTP客户端应用的签名匹配时，将所述TCP连接分类为可信连接；当所述HTTP会话的签名由所述分析器装置预先存储在所述签名数据库中的任何签名不匹配时，执行认证程序，所述认证程序请求用户提供认证数据；当所述用户提供了有效的认证数据时，在所述签名数据库中添加所述HTTP会话的签名，所述HTTP会话的签名在所述签名数据库中代表可信的HTTP客户端应用，并且将所述TCP连接分类为可信连接；以及当所述用户未提供有效的认证数据时，将所述TCP连接分类为不可信连接。因此，可以以简单和有效的方式填充签名数据库，使得签名数据库的内容适于用户的环境。根据特定的实施方式，该方法还包括：当根据所述认证程序将所述TCP连接分类为不可信连接时，在所述签名数据库中添加所述HTTP会话的签名，所述HTTP会话的签名在所述签名数据库中代表不可信的HTTP客户端应用。因此，所述签名数据库包括与可信的HTTP客户端应用和不可信的HTTP客户端应用二者相关的信息。根据特定的实施方式，存储在所述签名数据库中的各个签名都与表示该签名对应于可信的TCP连接还是不可信的TCP连接的第一安全指示符相关联。因此，确定存储的签名是否对应于TCP连接或不可信TCP连接。根据特定实施方式，所述HTTP会话的签名包括表示在检测到的HTTP请求消息中存在HTTP强制性报头的信息、表示在检测到的HTTP请求消息中存在HTTP可选报头的信息、表示所述HTTP强制性报头在检测到的HTTP请求消息中出现的顺序的信息；以及表示在检测到的HTTP请求消息中存在的所述HTTP强制性报头的预定字段中包含的值的信息。因此，通过依赖于HTTP报头的存在、依赖于HTTP报头顺序、依赖于HTTP强制性报头的预定义字段中包含的值，对TCP连接进行分类更加可靠。根据具体实施方式，存储在所述签名数据库中的签名与至少一个IP地址的集合相关联，所述方法包括：当在所述签名数据库中添加所述HTTP会话的签名时，将所述HTTP会话的签名与发出所述HTTP请求消息的IP源地址相关联；当将所述HTTP会话的签名与预先存储在所述签名数据库中的签名相比较时，检查所述IP源地址是否与预先存储在所述签名数据库中的任何签名相关联；以及当所述签名数据库中没有与所述IP源地址相关联的签名时，将所述HTTP会话的签名视为不匹配所述签名数据库中的任何签名。因此，通过使HTTP会话的签名与IP源地址相关联，对TCP连接的分类更加精确并且动态地适于用户的环境。这进一步允许具有关于什么HTTP客户应用在什么装置上运行的更细致的概览并且限制被恶意HTTP客户应用欺骗的风险。根据特定的实施方式，所述认证程序包括：向发本文档来自技高网...

【技术保护点】
一种将传送HTTP业务的TCP连接分类为可信的TCP连接或不可信的TCP连接的方法，该方法由分析器装置执行，该方法包括：‑检测由所述TCP连接传送的所述HTTP业务中的HTTP会话的HTTP请求消息；‑从检测到的HTTP请求消息的报头获得信息以建立所述HTTP会话的签名；‑将所述HTTP会话的签名与所述分析器装置预先存储在签名数据库中的签名进行比较；‑当所述HTTP会话的签名与所述分析器装置预先存储在所述签名数据库中并且表示可信的HTTP客户端应用的签名匹配时，将所述TCP连接分类为可信连接；‑当所述HTTP会话的签名与所述分析器装置预先存储在所述签名数据库中的任何签名都不匹配时，执行认证程序，所述认证程序请求用户提供认证数据；‑当所述用户提供了有效的认证数据时，在所述签名数据库中添加所述HTTP会话的签名，所述HTTP会话的签名在所述签名数据库中代表可信的HTTP客户端应用，并且将所述TCP连接分类为可信连接；以及否则，将所述TCP连接分类为不可信连接。

【技术特征摘要】
【国外来华专利技术】2014.03.07 EP 14158365.81.一种将传送HTTP业务的TCP连接分类为可信的TCP连接或不可信的TCP连接的方法，该方法由分析器装置执行，该方法包括：-检测由所述TCP连接传送的所述HTTP业务中的HTTP会话的HTTP请求消息；-从检测到的HTTP请求消息的报头获得信息以建立所述HTTP会话的签名；-将所述HTTP会话的签名与所述分析器装置预先存储在签名数据库中的签名进行比较；-当所述HTTP会话的签名与所述分析器装置预先存储在所述签名数据库中并且表示可信的HTTP客户端应用的签名匹配时，将所述TCP连接分类为可信连接；-当所述HTTP会话的签名与所述分析器装置预先存储在所述签名数据库中的任何签名都不匹配时，执行认证程序，所述认证程序请求用户提供认证数据；-当所述用户提供了有效的认证数据时，在所述签名数据库中添加所述HTTP会话的签名，所述HTTP会话的签名在所述签名数据库中代表可信的HTTP客户端应用，并且将所述TCP连接分类为可信连接；以及否则，将所述TCP连接分类为不可信连接。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述认证程序之后，当所述TCP连接被分类为不可信连接时，-在所述签名数据库中添加所述HTTP会话的签名，所述HTTP的签名在所述签名数据库中代表不可信的HTTP客户端应用。3.根据权利要求2所述的方法，其特征在于，所述签名数据库中存储的各个签名都与表示所述签名对应于可信的TCP连接还是不可信的TCP连接的第一安全指示符相关联。4.根据权利要求1至3中任一项所述的方法，其特征在于，所述HTTP会话的签名包括表示检测到的HTTP请求消息中存在的HTTP强制性报头的信息、表示检测到的HTTP请求消息中存在的HTTP可选报头的信息、表示所述HTTP强制性报头在检测到的HTTP请求消息中出现的顺序的信息、以及表示检测到的HTTP请求消息中存在的所述HTTP强制性报头的预定字段中包含的值的信息。5.根据权利要求1至4中任一项所述的方法，其特征在于，所述签名数据库中存储的签名与至少一个IP地址的集合相关联，所述方法包括：-当在所述签名数据库中添加所述HTTP会话的签名时，使所述HTTP会话的签名与发出检测到的HTTP请求消息的IP源地址相关联；-当将所述HTTP会话的签名与预先存储在所述签名数据库中的签名进行比较时，检查所述IP源地址是否与预先存储在所述签名数据库中的任何签名相关联；以及-当所述签名数据库中没有签名与所述IP源地址相关联时，认为所述HTTP会话的签名不匹配所述签名数据库中的任何签名。6.根据权利要求1至5中任一项所述的方法，其特征在于，所述认证程序包括：-向发出检测到的HTTP请求消息的装置发送响应，所述响应将发出检测到的HTTP请求消息的装置重新定向到另一URL；-从发出检测到的HTTP请求消息的装置接收涉及所述另一URL的另一HTTP请求消息；-响应于所述另一HTTP请求消息而发送网页，所述用户能够经由所述网页输入认证信息；以及-当接收到有效的认证信息时，认为所述TCP连接是可信的，否则认为所述TCP连接是不可信的。7.根据权利要求6所述的方法，其特征在于，所述网页使所述用户能够输入登录名和密码作为认证信息，并且，所述分析器装置将输入的登录名和密码与预先存储的登录名和密码进行比较，或者，所述网页显示CAPTCHA图像并且使所述用户能够输入字符串，并且，所述分析器装置将输入的字符串与对应于所显示的CAPTCHA图像的预定字符串进行比较。8.根据权利要求7所述的方法，其特征在于，所述网页还使所述用户能够从被所述分析器装置确定为与检测到的HTTP请求消息兼容的简档的集合中选择简档...

【专利技术属性】
技术研发人员：R·罗莱，
申请(专利权)人：三菱电机株式会社，
类型：发明
国别省市：日本;JP