一种基于HTTP协议的隐蔽隧道及其检测方法

doi:10.3969/j.issn.1006-2475.2019.06.003

计算机与现代化

一种基于HTTP协议的隐蔽隧道及其检测方法

(1.贵州大学计算机科学与技术学院,贵州贵阳550025;2.贵州省公共大数据重点实验室,贵州贵阳550025)

收稿日期:2019-03-05 出版日期:2019-06-14 发布日期:2019-06-14
作者简介:赵琦(1990-),女,河南许昌人,硕士研究生,研究方向:信息安全,E-mail: 932692974@qq.com; 蒋朝惠(1965-),男,四川广安人,教授,硕士,研究方向:网络与信息安全; 周雪梅(1977-),女,贵州贵阳人,讲师,硕士,研究方向:网络安全,入侵检测技术; 宋紫华(1994-),男,四川广元人,硕士研究生,研究方向:网络与信息安全,E-mail: sc_zhsong@163.com。
基金资助:
贵州省公共大数据重点实验室开放课题(2017BDKFJJ025)

A Covert Tunnel Based on HTTP Protocol and Its Detection Method

(1. College of Computer Science and Technology, Guizhou University, Guiyang 550025, China;
2. Guizhou Provincial Key Laboratory of Public Big Data, Guiyang 550025, China)

Received:2019-03-05 Online:2019-06-14 Published:2019-06-14

摘要/Abstract

摘要： 隐蔽隧道攻防博弈已有三十多年，现有隐蔽隧道的主要检测方法包括对报文数据与报文结构的检测、基于流量统计的检测和基于机器学习的检测等。随着相关技术的发展，越来越多的隐蔽隧遂通过应用层协议构建。本文首先设计一种基于HTTP协议通信的隐蔽隧道，隧道使用后门程序进行隐蔽通信，并对通信数据进行加密使其具有更高的隐蔽性，实验表明该隧道可以绕过防火墙、360卫士等安全设备。其次，分析该类隧道结构和流量特征并提出一种检测方法，分别对报文结构特征和统计特征提取高区分度的特征。最后，选取机器学习的方法进行检测，实验使用SVM和决策树都可以准确地检测出该类隐蔽隧道，并且具有较低的误报率和漏报率。

关键词: 隐蔽隧道, webshell, 机器学习

Abstract: The attack-defense game of covert tunnels has lasted for more than 30 years. The main detection methods of existing covert tunnels include the detection of message data and structure, detection based on flow statistics and detection based on machine learning. With the development of relevant technologies, more and more covert tunnes are constructed through the application layer protocol. Firstly, this paper designs a covert tunnel based on HTTP protocol. The tunnel uses backdoor program to carry out concealed communication, and encrypts the communication data to make it more concealed. The experiment shows that the tunnel can bypass the firewall, 360 guard, and other security equipments. Secondly, this paper analyzes the structure and flow characteristics of this type of tunnel and proposes a detection method to extract high-distinction features for the structural features and statistical features of the message. Finally, machine learning method is selected for detection. Both SVM and decision tree can accurately detect this kind of covert tunnel, and have low false alarm rate and missing alarm rate.

Key words: covert tunnel, webshell, machine learning

中图分类号:

TP391

赵琦1,2,蒋朝惠1,2,周雪梅1,2,宋紫华1,2. 一种基于HTTP协议的隐蔽隧道及其检测方法[J]. 计算机与现代化, doi: 10.3969/j.issn.1006-2475.2019.06.003.

ZHAO Qi1,2, JIANG Chao-hui1,2, ZHOU Xue-mei1,2, SONG Zi-hua1,2. A Covert Tunnel Based on HTTP Protocol and Its Detection Method[J]. Computer and Modernization, doi: 10.3969/j.issn.1006-2475.2019.06.003.

参考文献

［1］孙丽雅,刘思琦. 2018年7月计算机病毒疫情分析［J］. 信息网络安全, 2018(9):106.
［2］巫祺炜,施勇,薛质. 基于OpenVPN识别的APT隐蔽隧道检测［J］. 信息安全与通信保密, 2015(12):112-115.
［3］ GITHUB. 给我一句话的时间——那些一句话后［EB/OL］. (2016-05-31)［2019-03-05］. http://xuelinf.github.io/2016/05/31/给我一句话的时间-PHP后门溯源.
［4］王永杰,刘京菊. 基于DNS协议的隐蔽通道原理及性能分析［J］. 计算机工程, 2014,40(7):102-105.
［5］章思宇,邹福泰,王鲁华,等. 基于DNS的隐蔽通道流量检测［J］. 通信学报, 2013(5):143-151.
［6］王传安. 基于信息熵SVM的ICMP隐蔽通道检测研究［D］. 镇江:江苏大学, 2009.
［7］兰景宏,刘胜利,李晔,等. 一种基于多层联合分析的HTTP隧道木马检测方法［J］. 计算机应用研究, 2016(1):240-244.
［8］马文岩. HTTP协议上几种新的应用层隐蔽通道［J］. 计算机光盘软件与应用, 2014,17(15):179-180.
［9］强亮,李斌,胡铭曾. 基于HTTP协议的网络隐蔽通道研究［J］. 计算机工程, 2005(15):224-225.
［10］HUANG L D, LIU J, LONG S Y. Design and implementation of lightweight RMI framework based on http tunnel［C］// Proceedings of 2014 2nd International Conference on Teaching and Computational Science(ICTCS 2014). 2014:4.
［11］赵晓丽.基于语义分析的网页病毒检测研究［D］. 青岛:中国海洋大学, 2010.
［12］谢慧,严承华,陈泽茂,等. 基于HTTP协议的跳频隐蔽通道技术研究［J］. 电子技术应用, 2010(10):102-105.
［13］薛晋康,许士博,吴兴龙. 基于流量分析的网络隐蔽通道检测模型［J］. 计算机工程, 2002(12):46-48.
［14］杨鹏,赵辉,鲍忠贵. 网络时间隐蔽通道的拟合模型特性研究［J］. 计算机科学, 2017,44(1):145-148.
［15］DUSI M, CROTTI M, GRINGOLI F, et al. Tunnel hunter: Detecting application-layer tunnels with statistical fingerprinting［J］. Computer Networks, 2009,53(1):81-97.
［16］罗友强. 基于通信行为分析的DNS隧道木马检测技术研究［D］. 郑州:解放军信息工程大学, 2017.
［17］王宜菲,杨亚磊,饶孟良. 基于C4.5的HTTP隧道检测技术研究［J］. 计算机工程与计, 2012,33(2):493-497.
［18］WANG F, HUANG L, CHEN Z, et al. A novel Web tunnel detection method based on protocol behaviors［C］// International Conference on Security and Privacy in Communication Systems. 2013:234-251.
［19］WRENCH P M, IRWIN B V W. Towards a PHP webshell taxonomy using deobfuscation-assisted similarity analysis［C］// 2015 Information Security for South Africa. 2015:1-8.
［20］NAZARIO J. PhoneyC: A virtual client honeypot［C］// Proceedings of the 2nd USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET). 2009:6.
［21］杜海章,方勇． PHP webshell实时动态检测［J］. 网络安全技术与应用, 2014,13(12):120-121.
［22］王文清,彭国军,陈震杭,等. 基于组合策略的webshell检测框架［J］. 计算机工程与设计, 2018,39(4):907-911.
［23］徐国天. 基于Referer字段递归分析的网页挂马检验方法研究［J］. 刑事技术, 2016,41(6):431-436.
［24］张慧琳,邹维,韩心慧. 网页木马机理与防御技术［J］. 软件学报, 2013,24(4):843-858.
［25］张玉冲,王松杰,李洋. 基于信息熵的数据流加密判断算法［J］. 计算机与数字工程, 2014,42(4):555-558.
［26］陈利,张利,班晓芳,等. 基于信息熵的加密会话检测方法［J］. 计算机科学, 2015,42(1):142-143.
［27］龚利,史杨. 基于DEDECMS内容管理系统的课程网站系统实现［J］. 电脑知识与技术, 2014(23):5406-5410.
［28］GITHUB.Python-string-similarity［EB/OL］. ［2019-03-05］. https://github.com/luozhouyang/python-string-similarity.

[1]	贾潇瑶, . 融合CatBoost和SHAP的乳腺癌预测及特征分析[J]. 计算机与现代化, 2023, 0(10): 32-38.
[2]	张芸, 白开峰, 王星, 仓甜, 周通, 段锦文, 苏晗. 智能电网环境下窃电行为检测[J]. 计算机与现代化, 2023, 0(03): 60-65.
[3]	石志伟, 武志峰, 张哲. 纠正学习策略下LightGBM-GRU模型的股票波动率预测[J]. 计算机与现代化, 2023, 0(01): 95-102.
[4]	关云鹏, 刘玉龙. 基于从共现矩阵提取关联的类别型数据聚类[J]. 计算机与现代化, 2022, 0(11): 1-8.
[5]	冷涛, . 基于深度学习的加密流量分类研究综述[J]. 计算机与现代化, 2021, 0(08): 112-120.
[6]	邓子云, . 一种为辅助诊断筛选机器学习模型的方法[J]. 计算机与现代化, 2021, 0(03): 88-93.
[7]	郭欣, 陈瑛, 章鸣嬛, 张璇, 潘曙明, 汤璐佳. 利用机器学习方法对灾难生命支持课程NDLS培训效果进行分析预测#br#[J]. 计算机与现代化, 2020, 0(12): 61-66.
[8]	陈平平,耿笑冉,邹敏,谭定英. 基于机器学习的文本情感倾向性分析[J]. 计算机与现代化, 2020, 0(03): 77-.
[9]	马吉科,尹飞,祝永晋,豆龙龙,李剑. 一种应用半监督学习的计量装置运行状态辨识方法[J]. 计算机与现代化, 2020, 0(03): 82-.
[10]	孙小川,芦天亮. 基于聚类的数据加权优化在犯罪预测中的应用[J]. 计算机与现代化, 2019, 0(06): 55-.
[11]	刘彬，张冀聪. 运动相关电位分类算法比较和语义范式分析[J]. 计算机与现代化, 2018, 0(11): 88-.
[12]	梁东，杨永全，魏志强. 基于支持向量机的网页正文内容提取方法[J]. 计算机与现代化, 2018, 0(09): 21-.
[13]	白君泽,杨红丽,张标. Android应用程序权限组重要性分析[J]. 计算机与现代化, 2018, 0(08): 102-.
[14]	李鹏鹏,范会敏. 文本分类中特征权重算法改进研究[J]. 计算机与现代化, 2018, 0(02): 66-.
[15]	唐家博1，王宇然1，程茹洁1，陆建1，蒋厚明2，胡牧2，吴佳3. 手机应用程序能耗的估计算法[J]. 计算机与现代化, 2018, 0(01): 1-7.

一种基于HTTP协议的隐蔽隧道及其检测方法

A Covert Tunnel Based on HTTP Protocol and Its Detection Method

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价