本申请提供一种HTTP隧道检测方法、装置及电子设备,应用于网络安全技术领域,其中,HTTP隧道检测方法包括:获取HTTP流量数据对应的特征数据;其中,HTTP流量数据是通过HTTP隧道检测模型检测后属于由HTTP隧道采集得到的流量数据;将特征数据输入HTTP隧道工具检测模型,得到HTTP隧道工具检测模型输出的第一检测结果;其中,第一检测结果包括HTTP流量数据由各HTTP隧道工具产生的概率值。在上述方案中,与仅根据HTTP隧道检测模型输出的检测结果进行检测相比,本申请实施例提供的HTTP隧道检测方法的可信度更高。法的可信度更高。法的可信度更高。
【技术实现步骤摘要】
一种HTTP隧道检测方法、装置及电子设备
[0001]本申请涉及网络安全
,具体而言,涉及一种HTTP隧道检测方法、装置及电子设备。
技术介绍
[0002]随着互联网技术的发展,对于网络安全的维护难度也逐渐加大。虽然木马检测技术不断发展,但木马的反检测手段也在不断的改进;其中,隧道技术使木马通信具备了高度的隐蔽性,也使得传统的检测方法无法检测到,从而被恶意软件攻击或者被盗取信息。
[0003]在隧道技术中,超文本传输协议(Hypertext Transfer Protocol,HTTP)隧道是基于HTTP协议进行设计的,与HTTP协议数据使用相同的端口,可以轻易穿透防火墙,使传统的通过端口控制的方法失效。在现有技术中,对HTTP隧道进行木马检测的可信度较低。
技术实现思路
[0004]本申请实施例的目的在于提供一种HTTP隧道检测方法、装置及电子设备,用以解决现有技术中对HTTP隧道进行木马检测的可信度较低的技术问题。
[0005]第一方面,本申请实施例提供一种HTTP隧道检测方法,包括:获取HTTP流量数据对应的特征数据;其中,所述HTTP流量数据是通过HTTP隧道检测模型检测后属于由HTTP隧道采集得到的流量数据;将所述特征数据输入HTTP隧道工具检测模型,得到所述HTTP隧道工具检测模型输出的第一检测结果;其中,所述第一检测结果包括所述HTTP流量数据由各HTTP隧道工具产生的概率值。
[0006]在上述方案中,在利用HTTP隧道检测模型对待检测流量数据进行HTTP隧道检测之后,可以进一步的利用HTTP隧道工具检测模型对其中的HTTP流量数据对应的HTTP隧道工具进行检测,从而可以基于HTTP隧道检测模型输出的检测结果以及HTTP隧道工具检测模型输出的检测结果,共同确定该HTTP流量数据是否是由HTTP隧道采集得到的流量数据。其中,与仅根据HTTP隧道检测模型输出的检测结果进行检测相比,本申请实施例提供的HTTP隧道检测方法的可信度更高。
[0007]在可选的实施方式中,所述获取HTTP流量数据对应的特征数据,包括:获取待检测流量数据;将所述待检测流量数据输入HTTP隧道检测模型,得到所述HTTP隧道检测模型输出的第二检测结果;其中,所述第二检测结果包括所述待检测流量数据属于所述HTTP流量数据的概率值;对所述待检测流量数据中的所述HTTP流量数据进行特征处理,得到所述HTTP流量数据对应的所述特征数据。在上述方案中,可以首先利用HTTP隧道检测模型对待检测流量数据进行HTTP隧道检测,再利用HTTP隧道工具检测模型对待检测流量数据中的HTTP流量数据进行HTTP隧道工具检测,从而基于HTTP隧道检测模型输出的检测结果以及HTTP隧道工具检测模型输出的检测结果,共同确定该HTTP流量数据是否是由HTTP隧道采集得到的流量数据。其中,与仅根据HTTP隧道检测模型输出的检测结果进行检测相比,本申请实施例提供的HTTP隧道检测方法的可信度更高。
[0008]在可选的实施方式中,所述特征处理包括以下至少一种处理方式:神经网络学习处理、特征归一化处理、独热编码处理。在上述方案中,可以通过对HTTP流量数据进行特征处理,将原始数据转换为统一的数值特征,从而有利用对HTTP流量数据进行HTTP隧道工具检测。
[0009]在可选的实施方式中,在所述将所述特征数据输入HTTP隧道工具检测模型,得到所述HTTP隧道工具检测模型输出的第一检测结果之后,所述方法还包括:根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果;输出所述第三检测结果。在上述方案中,在对HTTP流量数据进行HTTP隧道检测以及HTTP隧道工具检测的基础上,还可以根据HTTP流量数据对应的特征数据以及第一检测结果对第二检测结果进行更新,从而可以进一步提高HTTP隧道检测的可信度。
[0010]在可选的实施方式中,所述根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果,包括:对所述第一检测结果进行方差分析,得到对应的方差分析结果;根据所述方差分析结果对所述第二检测结果进行更新,得到所述第三检测结果。在上述方案中,通过对第一检测结果进行方差分析,可以知晓HTTP流量数据由各HTTP隧道工具产生的概率值之间的显著性差异,根据上述显著性差异对第二检测结果进行更新,可以进一步提高HTTP隧道检测的可信度。
[0011]在可选的实施方式中,所述根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果,包括:将所述特征数据与所述第一检测结果中概率值最高的HTTP隧道工具对应的工具特征进行比对,得到对应的比对结果;根据所述比对结果对所述第二检测结果进行更新,得到所述第三检测结果。在上述方案中,通过将特征数据与HTTP隧道工具对应的工具特征进行比对,可以知晓HTTP流量数据是否命中该HTTP隧道工具对应的特征,根据上述比对结果对第二检测结果进行更新,可以进一步提高HTTP隧道检测的可信度。
[0012]在可选的实施方式中,所述根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果,包括:根据所述特征数据中的域名或者IP地址对所述第二检测结果进行更新,得到所述第三检测结果。在上述方案中,根据特征数据中的域名或者IP地址,可以知晓HTTP流量数据是否属于白名单中的流量数据,从而可以进一步提高HTTP隧道检测的可信度。
[0013]第二方面,本申请实施例提供一种HTTP隧道检测装置,包括:获取模块,用于获取HTTP流量数据对应的特征数据;其中,所述HTTP流量数据是通过HTTP隧道检测模型检测后属于由HTTP隧道采集得到的流量数据;输入模块,用于将所述特征数据输入HTTP隧道工具检测模型,得到所述HTTP隧道工具检测模型输出的第一检测结果;其中,所述第一检测结果包括所述HTTP流量数据由各HTTP隧道工具产生的概率值。
[0014]在上述方案中,在利用HTTP隧道检测模型对待检测流量数据进行HTTP隧道检测之后,可以进一步的利用HTTP隧道工具检测模型对其中的HTTP流量数据对应的HTTP隧道工具进行检测,从而可以基于HTTP隧道检测模型输出的检测结果以及HTTP隧道工具检测模型输出的检测结果,共同确定该HTTP流量数据是否是由HTTP隧道采集得到的流量数据。其中,与仅根据HTTP隧道检测模型输出的检测结果进行检测相比,本申请实施例提供的HTTP隧道检测方法的可信度更高。
[0015]在可选的实施方式中,所述获取模块具体用于:获取待检测流量数据;将所述待检测流量数据输入HTTP隧道检测模型,得到所述HTTP隧道检测模型输出的第二检测结果;其中,所述第二检测结果包括所述待检测流量数据属于所述HTTP流量数据的概率值;对所述待检测流量数据中的所述HTTP流量数据进行特征处理,得到所述HTTP流量数据对应的所述特征数据。在上述方案中,可以首先利用HTTP隧道检测模型对待本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种HTTP隧道检测方法,其特征在于,包括:获取HTTP流量数据对应的特征数据;其中,所述HTTP流量数据是通过HTTP隧道检测模型检测后属于由HTTP隧道采集得到的流量数据;将所述特征数据输入HTTP隧道工具检测模型,得到所述HTTP隧道工具检测模型输出的第一检测结果;其中,所述第一检测结果包括所述HTTP流量数据由各HTTP隧道工具产生的概率值。2.根据权利要求1所述的HTTP隧道检测方法,其特征在于,所述获取HTTP流量数据对应的特征数据,包括:获取待检测流量数据;将所述待检测流量数据输入所述HTTP隧道检测模型,得到所述HTTP隧道检测模型输出的第二检测结果;其中,所述第二检测结果包括所述待检测流量数据属于所述HTTP流量数据的概率值;对所述待检测流量数据中的所述HTTP流量数据进行特征处理,得到所述HTTP流量数据对应的所述特征数据。3.根据权利要求2所述的HTTP隧道检测方法,其特征在于,所述特征处理包括以下至少一种处理方式:神经网络学习处理、特征归一化处理、独热编码处理。4.根据权利要求2或3所述的HTTP隧道检测方法,其特征在于,在所述将所述特征数据输入HTTP隧道工具检测模型,得到所述HTTP隧道工具检测模型输出的第一检测结果之后,所述方法还包括:根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果;输出所述第三检测结果。5.根据权利要求4所述的HTTP隧道检测方法,其特征在于,所述根据所述特征数据和/或所述第一检测结果对所述第二检测结果进行更新,得到对应的第三检测结果,包括:对所述第一检测结果进行方差分析,得到对应的方差分析结果;根据所述方差分析结果对所述第二检测结果进行更新,得到所述第三检测结果...
【专利技术属性】
技术研发人员:苏香艳,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。