【技术实现步骤摘要】
一种端口转发检测方法、装置、设备及可读存储介质
[0001]本申请涉及网络安全
,特别是涉及一种端口转发检测方法、装置、设备及可读存储介质。
技术介绍
[0002]端口转发(Port forwarding),别名隧道。端口转发是转发一个网络端口从一个网络节点到另一个网络节点的行为,其使一个外部用户从外部经过一个被激活的NAT路由器到达一个在私有内部IP地址(局域网内部)上的一个端口。
[0003]在内网渗透中,为了进一步深入内网或者绕过防火墙,达到盗取数据等非法目的,黑客会利用端口转发进行绕过,致使防火墙失效。有时甚至利用加密端口转发等技术将恶意流量隐藏在正常流量中,使一些容易被检测引擎检出的恶意流量(例如C&C通信流量),被包裹在加密应用层协议(例如SSH,TLS)中,从而绕过检测。当然,最常见的应用还是将边界机器充当跳板,在其上搭建端口转发环境,深入内网。
[0004]由于用于搭建隐秘隧道的工具大部分为开源工具,基于对每一款搭建隐秘隧道的工具的复现、流量抓取、源码及流量分析、强特征提...
【技术保护点】
【技术特征摘要】
1.一种端口转发检测方法,其特征在于,包括:获取目标内网中边界主机的实时流量;提取所述实时流量中至少一个流量包的包特征;按照流量方向对各个所述包特征进行归类划分,得到输入流量特征和输出流量特征;计算所述输入流量特征与所述输出流量特征之间的相似度;若所述相似度大于阈值,则确定所述边界主机存在端口转发。2.根据权利要求1所述的端口转发检测方法,其特征在于,还包括:模拟生成隧道流量;提取所述隧道流量中至少一个流量包的目标包特征;按照流量方向对各个所述目标包特征进行归类划分,得到输入隧道流量特征和输出隧道流量特征;计算所述输入隧道流量特征与所述输出隧道流量特征的隧道相似度;将所述隧道相似度确定为所述阈值。3.根据权利要求1所述的端口转发检测方法,其特征在于,所述获取目标内网中边界主机的实时流量,包括:利用所述目标内网中的交换机,获取所述目标内网所有的实时底层流量;提取所述实时底层流量的实时流量特征;若所述实时流量特征与特征库匹配,则确定所述实时底层流量对应隧道流量安全事件;若所述实时流量特征与所述特征库不匹配,则识别所述实时底层流量对应的边界主机;从所述实时底层流量中提取所述边界主机的所述实时流量。4.根据权利要求3所述的端口转发检测方法,其特征在于,从所述实时底层流量中提取所述边界主机的所述实时流量,包括:从所述实时底层流量中提取出所述边界主机的目标底层流量;从所述目标底层流量中,提取出与传输协议层和应用层对应的所述实时流量。5.根据权利要求1所述的端口转发检测方法,其特征在于,所述提取所述实时流量中至少一个流量包的包特征,包括:提取所述实...
【专利技术属性】
技术研发人员:刘书文,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。