本发明专利技术提供了一种隧道流量识别方法、装置及电子设备,其中,该方法包括:获取目标流量;确定目标流量的目标特征,目标特征包括协议头熵值特征;在目标流量的协议头熵值特征大于预设阈值的情况下,确定协议头熵值特征是隧道特征;当存在目标特征是隧道特征的情况时,确定目标流量是隧道流量。通过本发明专利技术实施例提供的隧道流量识别方法、装置及电子设备,利用HTTP正常流量的协议头部分所存放的信息量,与HTTP隧道流量的协议头部分所存放的信息量不同的特点,在该目标流量的协议头熵值特征是隧道特征的情况下,确定该目标流量为隧道流量。由于该方法直接对目标流量的协议头进行分析,可以识别出使用未知的HTTP隧道进行传输的HTTP隧道流量,既便捷又准确。既便捷又准确。既便捷又准确。
【技术实现步骤摘要】
一种隧道流量识别方法、装置及电子设备
[0001]本专利技术涉及信息安全
,具体而言,涉及一种隧道流量识别方法、装置、电子设备及计算机可读存储介质。
技术介绍
[0002]HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,可以基于该协议搭建隧道,从而使各种数据能够直接绕过防火墙的安全策略限制,通过该HTTP隧道进行传输。因此,许多恶意软件会利用HTTP隧道技术进行隐蔽通信,将恶意数据混在大量网页传输数据流中,通过HTTP隧道进行传输和攻击。
[0003]目前,为了能识别出使用HTTP隧道进行传输的流量(即HTTP隧道流量),可以对已知的HTTP隧道流量提取特征,然后在HTTP流量中,检测是否存在与所提取的特征相匹配的数据,如果匹配上则认为该HTTP流量为HTTP隧道流量。但这两种方法对于使用未知HTTP隧道进行传输的HTTP流量几乎无法检测,其只能对使用已知的HTTP隧道进行传输的HTTP流量进行检测,检测结果也不够准确。
技术实现思路
[0004]为解决现有存在的技术问题,本专利技术实施例提供一种隧道流量识别方法、装置、电子设备及计算机可读存储介质。
[0005]第一方面,本专利技术实施例提供了一种隧道流量识别方法,包括:获取目标流量,所述目标流量为超文本传输协议流量;确定所述目标流量的目标特征,所述目标特征包括协议头熵值特征,所述协议头熵值特征表示所述目标流量的协议头的熵值大小;在所述目标流量的协议头熵值特征大于预设阈值的情况下,确定所述协议头熵值特征是隧道特征;当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量。
[0006]可选地,确定所述目标流量的目标特征,还包括:提取所述目标流量的协议头内容特征,所述协议头内容特征包括所述目标流量的协议头中的字段信息;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前,包括:识别所述目标流量的协议头内容特征中是否包含罕见字段,所述罕见字段为非常规的字段信息;若包含,确定所述协议头内容特征是隧道特征。
[0007]可选地,确定所述目标流量的目标特征还包括:提取所述目标流量的正文载荷特征,所述正文载荷特征表示所述目标流量正文中所携带载荷具有的特征;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前包括:基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征。
[0008]可选地,基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征包括:将所述目标流量的正文载荷特征与已知隧道流量的正文载荷特征相比较,若二者相同,确定所述正文载荷特征是隧道特征;或者,识别所述目标流量的正文载荷特征中是否包含表示除超文本传输协议以外的其他协议的特殊字符串,若包含,确定所述正文载荷
特征是隧道特征。
[0009]可选地,获取目标流量包括:提取采样流量的首部行内容,所述首部行内容为所述采样流量的协议头的首部行中所记载的目的主机的域名;识别所述采样流量的首部行内容中是否包含白名单中的域名,若不包含,确定所述采样流量为目标流量。
[0010]第二方面,本专利技术实施例提供了一种隧道流量识别装置,其特征在于,包括:获取模块、处理模块、判断模块和确定模块。
[0011]获取模块用于获取目标流量,所述目标流量为超文本传输协议流量。
[0012]处理模块用于确定所述目标流量的目标特征,所述目标特征包括协议头熵值特征,所述协议头熵值特征表示所述目标流量的协议头的熵值大小。
[0013]判断模块用于在所述目标流量的协议头熵值特征大于预设阈值的情况下,确定所述协议头熵值特征是隧道特征。
[0014]确定模块用于当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量。
[0015]可选地,处理模块还包括:内容处理单元。
[0016]内容处理单元用于提取所述目标流量的协议头内容特征,所述协议头内容特征包括所述目标流量的协议头中的字段信息。
[0017]确定模块还包括:第一识别单元。
[0018]第一识别单元用于识别所述目标流量的协议头内容特征中是否包含罕见字段,所述罕见字段为非常规的字段信息;若包含,确定所述协议头内容特征是隧道特征。
[0019]可选地,处理模块还包括:载荷处理单元。
[0020]载荷处理单元用于提取所述目标流量的正文载荷特征,所述正文载荷特征表示所述目标流量正文中所携带载荷具有的特征。
[0021]确定模块还包括:第二识别单元。
[0022]第二识别单元用于基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征。
[0023]第三方面,本专利技术实施例提供了一种电子设备,包括:总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序;所述收发器、所述存储器和所述处理器通过所述总线相连,所述计算机程序被所述处理器执行时实现如上所述的隧道流量识别方法中的步骤。
[0024]第四方面,本专利技术实施例提供了一种计算机可读存储介质,包括:可读存储介质上存储的计算机程序;所述计算机程序被处理器执行时实现如上所述的隧道流量识别方法中的步骤。
[0025]本专利技术实施例提供的隧道流量识别方法、装置、电子设备及计算机可读存储介质,利用HTTP正常流量的协议头部分所存放的信息量,与HTTP隧道流量的协议头部分所存放的信息量不同的特点,能够确定HTTP隧道流量的协议头部分存放的信息量通常所满足的条件,即确定预设阈值;通过确定目标流量的协议头熵值特征,将该目标流量的协议头熵值特征与该预设阈值进行比较,能够确定该目标流量的协议头熵值特征是否为隧道特征,进而在该目标流量的协议头熵值特征是隧道特征的情况下,确定该目标流量为隧道流量。由于该方法直接对目标流量的协议头进行分析,可以识别出使用未知的HTTP隧道进行传输的
HTTP隧道流量,既便捷又准确。
附图说明
[0026]为了更清楚地说明本专利技术实施例或
技术介绍
中的技术方案,下面将对本专利技术实施例或
技术介绍
中所需要使用的附图进行说明。
[0027]图1示出了本专利技术实施例所提供的一种隧道流量识别方法的流程图;
[0028]图2示出了本专利技术实施例所提供的隧道流量识别方法中,隧道流量识别方法的具体流程图;
[0029]图3示出了本专利技术实施例所提供的一种隧道流量识别装置的结构示意图;
[0030]图4示出了本专利技术实施例所提供的一种电子设备的结构示意图。
具体实施方式
[0031]下面结合本专利技术实施例中的附图对本专利技术实施例进行描述。
[0032]图1示出了本专利技术实施例所提供的一种隧道流量识别方法的流程图。如图1所示,该方法包括以下步骤101
‑
104。
[0033]步骤101:获取目标流量,目标流量为超文本传输协议流量。
[0034]本本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种隧道流量识别方法,其特征在于,包括:获取目标流量,所述目标流量为超文本传输协议流量;确定所述目标流量的目标特征,所述目标特征包括协议头熵值特征,所述协议头熵值特征表示所述目标流量的协议头的熵值大小;在所述目标流量的协议头熵值特征大于预设阈值的情况下,确定所述协议头熵值特征是隧道特征;当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量。2.根据权利要求1所述的方法,其特征在于,所述确定所述目标流量的目标特征,还包括:提取所述目标流量的协议头内容特征,所述协议头内容特征包括所述目标流量的协议头中的字段信息;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前,包括:识别所述目标流量的协议头内容特征中是否包含罕见字段,所述罕见字段为非常规的字段信息;若包含,确定所述协议头内容特征是隧道特征。3.根据权利要求1所述的方法,其特征在于,所述确定所述目标流量的目标特征,还包括:提取所述目标流量的正文载荷特征,所述正文载荷特征表示所述目标流量正文中所携带载荷具有的特征;在所述当存在所述目标特征是隧道特征的情况时,确定所述目标流量是隧道流量之前,包括:基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征。4.根据权利要求3所述的方法,其特征在于,所述基于所述目标流量的正文载荷特征,确定所述正文载荷特征是否是隧道特征包括:将所述目标流量的正文载荷特征与已知隧道流量的正文载荷特征相比较,若二者相同,确定所述正文载荷特征是隧道特征;或者,识别所述目标流量的正文载荷特征中是否包含表示除超文本传输协议以外的其他协议的特殊字符串,若包含,确定所述正文载荷特征是隧道特征。5.根据权利要求1所述的方法,其特征在于,所述获取目标流量包括:提取采样流量的首部行内容,所述首部行内容为所述采样流量的协议头的首部行中所记载的目的主机的域名;识别所述采样流量的首部行内容中是否包含白名单...
【专利技术属性】
技术研发人员:张泰铭,南野,
申请(专利权)人:北京观成科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。