【技术实现步骤摘要】
一种隧道流量识别方法、装置及电子设备
[0001]本专利技术涉及信息安全
,具体而言,涉及一种隧道流量识别方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,可以基于该协议搭建隧道,从而使各种数据能够直接绕过防火墙的安全策略限制,通过该HTTP隧道进行传输。因此,许多恶意软件会利用HTTP隧道技术进行隐蔽通信,将恶意数据混在大量网页传输数据流中,通过HTTP隧道进行传输和攻击。
[0003]目前,为了能识别出使用HTTP隧道进行传输的流量(即HTTP隧道流量),可以对已知的HTTP隧道流量提取特征,然后在HTTP流量中,检测是否存在与所提取的特征相匹配的数据,如果匹配上则认为该HTTP流量为HTTP隧道流量。但这两种方法对于使用未知HTTP隧道进行传输的HTTP流量几乎无法检测,其只能对使用已知的HTTP隧道进行传输的HTTP流量进行检测,检测结果也不够准确。
专利技术内...
【技术保护点】
【技术特征摘要】
1.一种隧道流量识别方法,其特征在于,包括:获取目标流量,所述目标流量为超文本传输协议流量;确定所述目标流量的目标特征,所述目标特征包括协议头熵值特征,所述协议头熵值特征表示所述目标流量的协议头的熵值大小;在所述目标流量的协议头熵值特征大于预设阈值的情况下,确定所述协议头熵值特征是隧道特征;当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量。2.根据权利要求1所述的方法,其特征在于,所述确定所述目标流量的目标特征,还包括:提取所述目标流量的协议头内容特征,所述协议头内容特征包括所述目标流量的协议头中的字段信息;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前,包括:识别所述目标流量的协议头内容特征中是否包含罕见字段,所述罕见字段为非常规的字段信息;若包含,确定所述协议头内容特征是隧道特征。3.根据权利要求1所述的方法,其特征在于,所述确定所述目标流量的目标特征,还包括:提取所述目标流量的正文载荷特征,所述正文载荷特征表示所述目标流量正文中所携带载荷具有的特征;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前,包括:基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征。4.根据权利要求3所述的方法,其特征在于,所述基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征包括:将所述目标流量的正文载荷特征与已知隧道流量的正文载荷特征相比较,若二者相同,确定所述正文载荷特征是隧道特征;或者,识别所述目标流量的正文载荷特征中是否包含表示除超文本传输协议以外的其他协议的特殊字符串,若包含,确定所述正文载荷特征是隧道特征。5.根据权利要求1所述的方法,其特征在于,所述获取目标流量包括:提取采样流量的首部行内容,所述首部行内容为所述采样流量的协议头的首部行中所记载的目的主机的域名;识别所述采样流量的首部行内容中是否包含白名单...
【专利技术属性】
技术研发人员:张泰铭,南野,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。