The embodiment of the invention provides a method for determining the terminal whether there is long link and server, the method includes: obtaining remote response message transmission target terminal pre stored connection request and the corresponding; the connection request, the response message and the first predetermined rules according to the distance, get the target uRTT according to the clearance; the target of uRTT clearance and second preset rules, to determine whether the target terminal has long link. The server executes the above method. To determine the embodiment of the invention provides a method of connecting link terminal whether there is long and the server, without access to the host board, but also can accurately determine the target terminal whether there is long link, in order to determine whether the server become hackers target.
【技术实现步骤摘要】
一种确定终端是否存在长链路连接的方法及服务器
本专利技术实施例涉及入侵检测
,具体涉及一种确定终端是否存在长链路连接的方法及服务器。
技术介绍
黑客为了隐藏身份,常常使用其它终端向要入侵的服务器转发远程连接请求,这些终端可以作为黑客临时利用的跳板主机,使得跟踪黑客的IP地址变得十分困难,因为这些跳板主机可能位于不同的国家。黑客可能会登录跳板主机,并从一台跳板主机跳到另一台跳板主机,并转发远程连接请求。这些作为跳板的主机之间构成了一条链路。当该链路中的中间跳板主机数量较多时,这样的链路称为“长链路”。通过检测链路是否为长链路,可以作为服务器是否被黑客入侵的依据,现有检测链路是否为长链路的方法是:通过获取中间跳板主机出入口流量,进而匹配出攻击者的穿越流量,黑客发起的连接请求和服务器的应答形成了会话闭环,通过记录远程连接请求和应答之间的时间差来推测形成的链路是否为长链路。但是,现有技术需要通过中间跳板主机的权限,才可以获取出入口流量,这在现实环境中十分困难,而且黑客每次并不一定都用同样中间跳板主机所形成的链路发起入侵攻击,极大地限制了上述方法在现实中的应用。因此,如何无需通过跳板主机的访问权限,还能够准确确定终端是否存在长链路连接,从而判断出服务器是否成为黑客的入侵目标,成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种确定终端是否存在长链路连接的方法及服务器。第一方面,本专利技术实施例提供一种确定终端是否存在长链路连接的方法,所述方法包括:获取预先存储的目标终端发送的远程连接请求及对应的响应报文;根据所述远程连接请求、所述响 ...
【技术保护点】
一种确定终端是否存在长链路连接的方法,其特征在于,包括:获取预先存储的目标终端发送的远程连接请求及对应的响应报文;根据所述远程连接请求、所述响应报文和第一预设规则,获取目标uRTT间隙;根据所述目标uRTT间隙和第二预设规则,确定所述目标终端是否存在长链路连接。
【技术特征摘要】
1.一种确定终端是否存在长链路连接的方法,其特征在于,包括:获取预先存储的目标终端发送的远程连接请求及对应的响应报文;根据所述远程连接请求、所述响应报文和第一预设规则,获取目标uRTT间隙;根据所述目标uRTT间隙和第二预设规则,确定所述目标终端是否存在长链路连接。2.根据权利要求1所述的方法,其特征在于,所述根据所述远程连接请求、所述响应报文和第一预设规则,获取目标uRTT间隙,包括:获取所述响应报文的数据包;获取大于预设数据量的数据包对应的目标响应报文的目标发送时间,若大于预设数据量的数据包对应的目标响应报文为多个,则所述目标发送时间为最后一个目标响应报文的发送时间;将获取所述目标响应报文后的下一次获取到的目标远程连接请求对应的接收时间作为目标接收时间;将所述目标接收时间与所述目标发送时间之间的时间间隔作为所述目标uRTT间隙。3.根据权利要求1所述的方法,其特征在于,所述根据所述远程连接请求、所述响应报文和第一预设规则,获取目标uRTT间隙,包括:根据所述远程连接请求和所述响应报文,获取uRTT间隙,所述uRTT间隙是当前远程连接请求的接收时间与上一次远程连接请求返回的响应报文的发送时间之间的时间间隔;获取所述响应报文的数据包;获取小于等于预设数据量的数据包对应的待剔除响应报文;将上一次远程连接请求返回的响应报文为待剔除响应报文所对应的uRTT间隙作为待剔除uRTT间隙;从所述uRTT间隙中剔除所述待剔除uRTT间隙,并将剩余的uRTT间隙作为所述目标uRTT间隙。4.根据权利要求1至3任一所述的方法,其特征在于,所述根据所述目标uRTT间隙和第二预设规则,确定所述目标终端是否存在长链路连接,包括:对所述目标uRTT间隙按照数值进行升序排列;两两依次计算...
【专利技术属性】
技术研发人员:张洪洋,
申请(专利权)人:链家网北京科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。