一种确定终端是否存在长链路连接的方法及服务器技术

本发明专利技术实施例提供一种确定终端是否存在长链路连接的方法及服务器，所述方法包括：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。所述服务器执行上述方法。本发明专利技术实施例提供的确定终端是否存在长链路连接中的方法及服务器，无需跳板主机的访问权限，还能够准确确定目标终端是否存在长链路连接，从而判断出服务器是否成为黑客的入侵目标。

A method and server to determine whether a terminal has a long link connection

The embodiment of the invention provides a method for determining the terminal whether there is long link and server, the method includes: obtaining remote response message transmission target terminal pre stored connection request and the corresponding; the connection request, the response message and the first predetermined rules according to the distance, get the target uRTT according to the clearance; the target of uRTT clearance and second preset rules, to determine whether the target terminal has long link. The server executes the above method. To determine the embodiment of the invention provides a method of connecting link terminal whether there is long and the server, without access to the host board, but also can accurately determine the target terminal whether there is long link, in order to determine whether the server become hackers target.

【技术实现步骤摘要】
一种确定终端是否存在长链路连接的方法及服务器
本专利技术实施例涉及入侵检测
，具体涉及一种确定终端是否存在长链路连接的方法及服务器。
技术介绍
黑客为了隐藏身份，常常使用其它终端向要入侵的服务器转发远程连接请求，这些终端可以作为黑客临时利用的跳板主机，使得跟踪黑客的IP地址变得十分困难，因为这些跳板主机可能位于不同的国家。黑客可能会登录跳板主机，并从一台跳板主机跳到另一台跳板主机，并转发远程连接请求。这些作为跳板的主机之间构成了一条链路。当该链路中的中间跳板主机数量较多时，这样的链路称为“长链路”。通过检测链路是否为长链路，可以作为服务器是否被黑客入侵的依据，现有检测链路是否为长链路的方法是：通过获取中间跳板主机出入口流量，进而匹配出攻击者的穿越流量，黑客发起的连接请求和服务器的应答形成了会话闭环，通过记录远程连接请求和应答之间的时间差来推测形成的链路是否为长链路。但是，现有技术需要通过中间跳板主机的权限，才可以获取出入口流量，这在现实环境中十分困难，而且黑客每次并不一定都用同样中间跳板主机所形成的链路发起入侵攻击，极大地限制了上述方法在现实中的应用。因此，如何无需通过跳板主机的访问权限，还能够准确确定终端是否存在长链路连接，从而判断出服务器是否成为黑客的入侵目标，成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种确定终端是否存在长链路连接的方法及服务器。第一方面，本专利技术实施例提供一种确定终端是否存在长链路连接的方法，所述方法包括：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。第二方面，本专利技术实施例提供一种确定长链路中跳板主机的服务器，所述服务器包括：第一获取模块，用于获取预先存储的目标终端发送的远程连接请求及对应的响应报文；第二获取模块，用于根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；确定模块，用于根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。第三方面，本专利技术实施例提供一种电子设备，包括：处理器、存储器和总线，其中，所述处理器和所述存储器通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，包括：所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。本专利技术实施例提供的确定终端是否存在长链路连接的方法及服务器，无需通过跳板主机的访问权限，还能够准确确定目标终端是否存在长链路连接，从而判断出服务器是否成为黑客的入侵目标。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例uRTT间隙产生的原理图；图2为本专利技术实施例uRTT数值由小到大排序后的链路uRTT数量变化与uRTT间隙之间的对应关系图；图3为本专利技术实施例确定终端是否存在长链路连接的方法流程示意图；图4为本专利技术实施例确定终端是否存在长链路连接的服务器结构示意图；图5为本专利技术实施例提供的电子设备实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。为了更加清楚地说明本专利技术实施例，对相关的内容做简要说明：图1为本专利技术实施例uRTT间隙产生的原理图；如图1所示：Host1可以理解为作为黑客发送远程连接请求(Send1…Send4)的起始主机，黑客可以在该Host1进行打字等的操作，黑客每触发一次操作(可以是敲打出一个字符)发出一个远程连接请求(以Send1为例)，远程连接请求Send1可以依次跳到Host2、和Host3最后由Host3发送至Host4(Host4对应于本专利技术实施例的服务器)，服务器即时发送针对每一个远程连接请求的响应报文(Echo1…Echo4)，当中间经由的跳板主机数量较多时(即为长链路)，当前远程连接请求会与上一次远程连接请求的响应报文相遇，以形成“Crossover”(即图1中的圆圈标记)。经过大量的实验验证，我们发现Crossover的数量与链路长度呈现正相关关系。利用这个结论，通过对Crossover的数量进行检测，我们就能够检测长链路的存在，进而发现隐藏的入侵者。但是由于我们无法获取到整个链路上的数据包，使得直接通过对Crossover进行计数来确定当前链路是否为长链路无法实现，一种合理估计链路长度的方法是通过往返时延(Round-TripTime，以下简称“RTT”)计算出Host1发送远程连接请求的时间与接收远程连接请求的响应报文的时间之间的间隔(RTT)。然而，通过在Host4无法计算出RTT。因此，我们定义上游RTT(upRound-TripTime，以下简称“uRTT”)来确定链路长度，即uRTT间隙是当前远程连接请求的接收时间与上一次远程连接请求返回的响应报文的发送时间之间的时间间隔，参照图1中的uRTT1是Send2的接收时间与Echo1的发送时间之间的时间间隔；uRTT2是Send3的接收时间与Echo2的发送时间之间的时间间隔；以此类推，不再赘述。当我们使用这个定义来计算uRTT时，我们对uRTT的某些值感到惊讶，其中一些比真正的RTT要小得多。事实证明，问题是由于Crossover引起的(特别是在长链路中)。例如，如果我们在Host4计算第二个uRTT2，则uRTT2远小于图1中的RTT或第一个uRTT1。原因正是由于响应报文Echo2和远程连接请求报文Send3所产生的Crossover。图2为本专利技术实施例uRTT数值由小到大排序后的链路uRTT数量变化与uRTT间隙之间的对应关系图，如图2所示，可以看到：长链路有一些uRTT间隙值非常小，而短链路的uRTT间隙值是循序渐进式增长的，即：长链路的曲线在最初部分的陡峭程度高于短链路的曲线。因此，本专利技术实施例通过识别链路的陡峭程度来确定链路是否为长链路。进一步地，在所有的uRTT间隙中，我们可以将它们分为两种类型：“命令间间隙”和“命令内部间隙”。在使用本文档来自技高网...

【技术保护点】
一种确定终端是否存在长链路连接的方法，其特征在于，包括：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。

【技术特征摘要】
1.一种确定终端是否存在长链路连接的方法，其特征在于，包括：获取预先存储的目标终端发送的远程连接请求及对应的响应报文；根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙；根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接。2.根据权利要求1所述的方法，其特征在于，所述根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙，包括：获取所述响应报文的数据包；获取大于预设数据量的数据包对应的目标响应报文的目标发送时间，若大于预设数据量的数据包对应的目标响应报文为多个，则所述目标发送时间为最后一个目标响应报文的发送时间；将获取所述目标响应报文后的下一次获取到的目标远程连接请求对应的接收时间作为目标接收时间；将所述目标接收时间与所述目标发送时间之间的时间间隔作为所述目标uRTT间隙。3.根据权利要求1所述的方法，其特征在于，所述根据所述远程连接请求、所述响应报文和第一预设规则，获取目标uRTT间隙，包括：根据所述远程连接请求和所述响应报文，获取uRTT间隙，所述uRTT间隙是当前远程连接请求的接收时间与上一次远程连接请求返回的响应报文的发送时间之间的时间间隔；获取所述响应报文的数据包；获取小于等于预设数据量的数据包对应的待剔除响应报文；将上一次远程连接请求返回的响应报文为待剔除响应报文所对应的uRTT间隙作为待剔除uRTT间隙；从所述uRTT间隙中剔除所述待剔除uRTT间隙，并将剩余的uRTT间隙作为所述目标uRTT间隙。4.根据权利要求1至3任一所述的方法，其特征在于，所述根据所述目标uRTT间隙和第二预设规则，确定所述目标终端是否存在长链路连接，包括：对所述目标uRTT间隙按照数值进行升序排列；两两依次计算...

【专利技术属性】
技术研发人员：张洪洋，
申请(专利权)人：链家网北京科技有限公司，
类型：发明
国别省市：北京,11