CN113922992B - 一种基于http会话的攻击检测方法 - Google Patents

Abstract

本发明涉及计算机检测技术领域，公开了一种基于HTTP会话的攻击检测方法，包括：步骤S1.通过DAQ模块导入实时数据；步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并进行识别；步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，否则，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，否则，返回步骤S1；步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并对攻击检测情况输出结果。

Description

一种基于HTTP会话的攻击检测方法

技术领域

本发明涉及计算机检测技术领域，具体地说，是一种基于HTTP会话的攻击检测方法，能够解决目前HTTP响应攻击检测不够准确，低效率、检测不全面的问题。同时对于安全研究开发者或安全***设计者像开发安全引擎或者WEB防火墙，都有一定的参考使用价值。

背景技术

随着互联网技术的发展，使用HTTP协议作为数据承载协议通信已经成为一种常态，它是互联网上应用最为广泛的一种网络协议，目前市面上的的浏览器都支持HTTP协议解析。由于HTTP协议是无状态、无连接、基于请求和响应且采用明文的的通信模式，意味着它也存在着很多安全漏洞的问题，越来越多的HTTP服务器和用户主机暴露在网络上，各种针对HTTP服务或客户端的攻击层出不穷。为了应对各种各样的网络攻击，出现了很多专业的WEB防火墙等。很多基于通信协议格式的攻击得到了有效的防护，但是很多恶意攻击混淆在HTTP通信的负载数据中，导致对HTTP客户端或服务器攻击很难实时防护。随着IPv6与物联网的发展，可以用于HTTP攻击的目标日益增大，攻击手段也越来越高明，使得WEB防火墙或***防火墙的抗HTTP攻击能力变得更加困难和重要。

目前市面上也提供了很多HTTP攻击检测的方法，如通过拦截HTTP请求，模拟请求再次向服务器发送请求，通过对比前后两次响应的数据，判断是否存在攻击，甚至有的为了提高识别准确率，通过响应数据构建HTML DOM树，前后两次对比HTML DOM树变化来提高攻击识别准确率。这些方法虽然能够识别一些攻击，但只能针对响应数据是HTML内容，对于其它非HTML的响应数据，则以上方法存在一定的缺陷，这些方法不够准确、检测也不全面，效率也比较低。

因此，针对上述问题。亟需一种技术方案，能够解决目前HTTP响应攻击检测不够准确，低效率、检测不全面的问题。同时对于安全研究开发者或安全***设计者像开发安全引擎或者WEB防火墙，都有一定的参考使用价值。

发明内容

本发明的目的在于提供一种基于HTTP会话的攻击检测方法，能够解决目前HTTP响应攻击检测不够准确，低效率、检测不全面的问题。同时对于安全研究开发者或安全***设计者像开发安全引擎或者WEB防火墙，都有一定的参考使用价值。

本发明通过下述技术方案实现：一种基于HTTP会话的攻击检测方法，包括以下步骤：

步骤S1.通过DAQ模块导入实时数据，使用SNORT引擎对实时数据进行流会话处理，当SNORT引擎识别到流会话处理后的实时数据为HTTP会话时，在HTTP会话的预处理插件中，判断所述实时数据是HTTP客户端数据还是HTTP服务端数据，如果是HTTP客户端数据，进入步骤S2，如果是HTTP服务端数据，进入步骤S3；

步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；

步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并对还原后的响应数据的数据类型进行识别；

步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，如果否，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，如果否，返回步骤S1；

步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并通过SNORT引擎对攻击检测情况输出结果。

在本技术方案中，在步骤S1中，使用SNORT引擎对实时数据进行流会话处理，实时数据被处理成数据流，SNORT引擎会自动判断数据流为HTTP会话，前后的数据是没有变的，我们不会改数据的原本的东西，所以这里的数据就是原始的实时数据，在步骤S2中，SNORT引擎提取请求信息的请求头部信息，SNORT引擎会建一个HTTP客户端的数据结构，结构里有相应的字段对应HTTP的头部格式，根据请求的头部的格式，SNORT引擎就会建一个数据结构和它相对应，并从原始数据，也就是实时数据中把数据复制到这个SNORT引擎建的数据结构中。相当于拷贝了一份HTTP的头部格式的数据，获取到客户端请求信息中请求头部的信息如提取请求方法类型{GET 、POST、HEAD}；域名信息：HOST字段、ACCEPT字段、content-type字段和ACCEPT-Encoding等字段。

本技术方案需要提取HTTP客户端方向的请求信息，记录请求类型；需要提取服务端方向的数据，并还原响应数据；对响应数据类型进行数据类型识别；判断客户端请求类型是否与服务端响应类型一致；在不一致的情况下，对数据进行病毒扫描，检测是否存在攻击。

为了更好地实现本发明，进一步地，步骤S1中 判断所述数据是HTTP客户端数据还是HTTP服务端数据的方法包括：

S1.1.根据HTTP协议标准中的负载数据去识别所述数据开头的类型，当识别到符合客户端数据的数据开头时判断此数据为HTTP客户端数据；

S1.2.当识别出所述数据为HTTP客户端数据时，对HTTP客户端数据进行标识和信息提取，获取HTTP客户端数据的信息；

S1.3.根据已经提取的客户端数据信息判断再导入的数据是HTTP客户端数据还是HTTP服务端数据。

在本技术方案中，当识别出所述数据为HTTP客户端数据时，对HTTP客户端数据进行标识及信息提取，获取HTTP客户端数据的详细信息，包括五元组会话、请求方法、请求类型等信息。

为了更好地实现本发明，进一步地，步骤S2包括：

根据HTTP请求类型，获取相应的请求数据，判断获取的请求数据的开头是否能提取到对应的关键信息，如果是，获取客户端请求信息中请求头部的信息，如果否，返回步骤S1。

在本技术方案中，根据HTTP请求类型，获取相应的请求数据，如请求方法为GET，获取ACCEPT字段关键信息，请求方法为POST，获取Content-Type字段关键信息等，如果没有提取到对应的关键信息，如没有提取到HTTP客户端的请求类型，及客户端的请求目的是上传或者下载数据等关键信息，没获取到，返回步骤S1。

为了更好地实现本发明，进一步地，步骤S3包括：

将步骤S1中获取的HTTP请求的数据类型与步骤S3已经识别出的响应数据类型进行比较。

在本技术方案中，获取相应的请求数据，根据HTTP请求类型，获取相应的请求数据，如请求方法为GET，获取ACCEPT字段关键信息，请求方法为POST，获取Content-Type字段关键信息等，判断获取的请求数据的开头是否为GET、HEAD、POST、PUT、DELETE、TRACE、OPTIONS或CONNECT，如果没有提取到对应的关键信息，如没有提取到HTTP客户端的请求类型，及客户端的请求目的是上传或者下载数据等关键信息，返回步骤S1。

为了更好地实现本发明，进一步地，步骤S4中判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致的方法包括：

通过SNORT引擎提取HTTP信息，并对HTTP信息进行还原；

根据所述还原的HTTP信息获取数据的相应类型。

在本技术方案中，提取HTTP服务端数据获取服务端中客户端所需的请求数据，并对客户端所需的请求数据进行还原，获取HTTP服务端的响应数据。

为了更好地实现本发明，进一步地，SNORT引擎包括：

所述SNORT引擎开启TCP、HTTP插件、文件还原插件、HTTP异常分析插件和日志插件； 通过SNORT引擎开启的插件对获取的数据进行编解码和插件预处理。

在本技术方案中，本发明的实现需要DAQ导包模块，SNORT检测引擎，CLAMAV杀毒引擎，SNORT引擎能够开启TCP、HTTP插件、开启文件还原插件、关闭数据写磁盘的操作、开启HTTP异常分析插件和开启日志功能。

为了更好地实现本发明，进一步地，步骤S5包括：

步骤S5.1.在SNORT引擎中加入CLAMAV引擎，当CLAMAV引擎扫描完数据时，实时把扫描数据信息返回给SNORT引擎；

步骤S5.2.在DAQ模块内预设离线独包模式，并将所述离线独包模式配置为在线采集模式；

步骤S5.3.根据SNORT引擎、CLAMAV引擎和DAQ模块内预设离线独包模式在线采集到检测情况，并根据所述检测情况输出日志或阻断会话。

在本技术方案中，首先需要通过DAQ模块导入离线或者实时的数据，配置离线读包模式，对于开发测试非常有用，配置为在线采集模式，可以用于实时阻断会话，防护WEB，具有一定的防护作用。其次通过SNORT检测引擎，对数据进行编解码，然后进行插件预处理，对会话进行分析，提取HTTP信息，以及HTTP通信内容还原工作，再进行数据类型识别。通过HTTP异常检测分析，判断响应是否存在异常。如果存在异常，通过CLAMAV杀毒引擎对数据再次进行攻击检测；最后根据检测情况输出结果，可以输出日志告警或者阻断会话等操作。

目前关于网络应用层的病毒查杀方式很多，我们专利还是特定针对HTTP会话的，使用通过DAQ模块导入离线或者实时的数据，配置离线读包模式，也就是导入数据的功能，DAQ已经是非常常用的计算测量硬件了，首先指定DAQ启动目录，再测试使用配置启动为读包模式就是我们的常用步骤。

本发明与现有技术相比，具有以下优点及有益效果：

（1）本发明所提供的一种基于HTTP会话的攻击检测方法不再向服务器发送二次请求，降低服务器或者网络需要承载带宽；

（2）本发明所提供的一种基于HTTP会话的攻击检测方法不用构建HTML DOM树，提升检测效率及检测范围，能够快速、高效识别HTTP负载的攻击，可实时动态升级病毒库，病毒库上百万级量，检测全面,包含对HTML等格式的数据检测；

（3）本发明所提供的一种基于HTTP会话的攻击检测方法不再对单一报文头检测，而是检测负载，提高准确率；

（4）本发明所提供的一种基于HTTP会话的攻击检测方法提供了一种高效易用可快速部署的HTTP攻击检测方案，研发/测试部署简单，为安全研发人员或者***设计者提供一种快速部署测试HTTP攻击的参考方法。

附图说明

本发明结合下面附图和实施例做进一步说明，本发明所有构思创新应视为所公开内容和本发明保护范围。

图1为本发明所提供的一种基于HTTP会话的攻击检测方法的流程图。

具体实施方式

实施例1：

本实施例的一种基于HTTP会话的攻击检测方法，如图1所示，包括以下步骤：

步骤S1.通过DAQ模块导入实时数据，使用SNORT引擎对实时数据进行流会话处理，当SNORT引擎识别到流会话处理后的实时数据为HTTP会话时，在HTTP会话的预处理插件中，判断所述实时数据是HTTP客户端数据还是HTTP服务端数据，如果是HTTP客户端数据，进入步骤S2，如果是HTTP服务端数据，进入步骤S3；

步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；

步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并对还原后的响应数据的数据类型进行识别；

步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，如果否，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，如果否，返回步骤S1；

步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并通过SNORT引擎对攻击检测情况输出结果。

在本实施例的步骤S1中，使用SNORT引擎对实时数据进行流会话处理，实时数据被处理成数据流，SNORT引擎会自动判断数据流为HTTP会话，前后的数据是没有变的，我们不会改数据的原本的东西，所以这里的数据就是原始的实时数据，在本实施例的步骤S2中，SNORT引擎提取请求信息的请求头部信息，SNORT引擎会建一个HTTP客户端的数据结构，结构里有相应的字段对应HTTP的头部格式，根据请求的头部的格式，SNORT引擎就会建一个数据结构和它相对应，并从原始数据，也就是实时数据中把数据复制到这个SNORT引擎建的数据结构中。相当于拷贝了一份HTTP的头部格式的数据，获取客户端请求信息中请求头部的信息如提取请求方法类型{GET 、POST、HEAD}；域名信息：HOST字段、ACCEPT字段、content-type字段和ACCEPT-Encoding等字段。

本实施例中，需要提取HTTP客户端方向的请求信息，记录请求类型；需要提取服务端方向的数据，并还原响应数据；对响应数据类型进行数据类型识别；判断客户端请求类型是否与服务端响应类型一致；在不一致的情况下，对数据进行病毒扫描，检测是否存在攻击。

实施例2：

本实施例在实施例1的基础上做进一步优化，当识别出所述数据为HTTP客户端数据时，对HTTP客户端数据进行标识及信息提取，获取HTTP客户端数据的详细信息，包括五元组会话、请求方法、请求类型等信息。

在本实施例，如何判断HTTP是客户端方向还是服务端方向举例如下：首先根据HTTP协议标准，根据负载数据去识别类型；HTTP的数据如果是客户端方向；那么它的负载数据开头必然是以下几种类型GET 、HEAD、POST、PUT、DELETE、TRACE、OPTIONS、CONNECT；例如一个客户端 GET请求类型的数据，它的负载数据格式的第一行如下：“请求方法+请求数据+HTTP版本号”；当识别出是HTTP客户端方向的数据时，则记下会话IP和端口，那么 srcIP+srcPORT就是客户端方向的数据，dstIP + dstPort就是服务端方向的数据，后面的报文就可以根据IP和端口来确定通信的内容是客户端还是服务端的方向数据。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例3：

本实施例在实施例1的基础上做进一步优化，在本实施例中，根据HTTP请求类型，获取相应的请求数据，如请求方法为GET，获取ACCEPT字段关键信息，请求方法为POST，获取Content-Type字段关键信息等，如果没有提取到对应的关键信息，如没有提取到HTTP客户端的请求类型，及客户端的请求目的是上传或者下载数据等关键信息。

在本实施例中，首先请求的类型，通过HTTP协议标准，有一个字段“ACCEPT”是标识请求的数据的类型。当对这个服务端的数据进行还原之后，对于程序来说是不知道它是什么数据，它可能是任意的数据，可能不是一张图片，是一个病毒文件或者有攻击的可执行的程序等，总之就不是客户想要的图片，所以这个时候，我们就需要去识别还原的这个数据到底是个什么东西，具体识别的方式如下：因为我们能够打开的文件它都有一定的文件格式特征，如：图片、doc、exe、可执行的程序等，都是有一定的特征，那么这个特征是我们提前准备好的数据特征，对还原的数据识别出它的类型与之前我们记录下来的客户端请求的类型进行比较，举例来说，客户明明请求的是图片，但服务器给我一个可执行的病毒文件，不是图片，那么这就是有问题的，接下来对他进行还原的话，我们无法确定还原出来的数据到底是不是具有威胁的数据，此时需要通过病毒库去查杀一遍，这个病毒库是开源的，这个病毒的相关信息和库也可以随便添加、修改、制作，即通过病毒的查杀来进一步判断还原的数据是否具有威胁。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例4：

本实施例在实施例1的基础上做进一步优化，在本实施例中，根据标识文本ACCEPT判断获取的请求数据的开头是否为GET、HEAD、POST、PUT、DELETE、TRACE、OPTIONS或CONNECT，如果是，获取相应的请求数据，根据HTTP请求类型，获取相应的请求数据，如请求方法为GET，获取ACCEPT字段关键信息，请求方法为POST，获取Content-Type字段关键信息等，判断获取的请求数据的开头是否为GET、HEAD、POST、PUT、DELETE、TRACE、OPTIONS或CONNECT，如果没有提取到对应的关键信息，如没有提取到HTTP客户端的请求类型，及客户端的请求目的是上传或者下载数据等关键信息。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例5：

本实施例在实施例1的基础上做进一步优化，在本实施例中，提取HTTP服务端数据获取服务端中客户端所需的请求数据，并对客户端所需的请求数据进行还原，获取HTTP服务端的响应数据。在本实施例中对服务端响应的负载数据进行还原提取，还原的是客户端想要请求的数据，如客户端请求的是图片，那么这个服务器响应的就是一张图片数据，这里还原的就是这张图片进行还原提取，还原的是客户端想要请求的数据，如客户端请求的是图片，那么这个服务器响应的就是一张图片数据。

本实施例的其他部分与实施例1相同，故不再赘述。

实施例6：

本实施例在上述实施例1-5任一项基础上做进一步优化，在本实施例中，本发明的实现需要DAQ导包模块，SNORT检测引擎，CLAMAV杀毒引擎，SNORT引擎能够开启TCP、HTTP插件、开启文件还原插件、关闭数据写磁盘的操作、开启HTTP异常分析插件和开启日志功能。

本实施例的其他部分与上述实施例1-5任一项基础上相同，故不再赘述。

实施例7：

本实施例在实施例1的基础上做进一步优化，在本实施例中，首先需要通过DAQ模块导入离线或者实时的数据，配置离线读包模式，对于开发测试非常有用，配置为在线采集模式，可以用于实时阻断会话，防护WEB，具有一定的防护作用。其次通过SNORT检测引擎，对数据进行编解码，然后进行插件预处理，对会话进行分析，提取HTTP信息，以及HTTP通信内容还原工作，再进行数据类型识别。通过HTTP异常检测分析，判断响应是否存在异常。如果存在异常，通过CLAMAV杀毒引擎对数据再次进行攻击检测；最后根据检测情况输出结果，可以输出日志告警或者阻断会话等操作。目前关于网络应用层的病毒查杀方式很多，我们专利还是特定针对HTTP会话的，使用通过DAQ模块导入离线或者实时的数据，配置离线读包模式，也就是导入数据的功能，DAQ已经是非常常用的计算测量硬件了，首先指定DAQ启动目录，再测试使用配置启动为读包模式就是我们的常用步骤。

本实施例的其他部分与实施例1相同，故不再赘述。

以上所述，仅是本发明的较佳实施例，并非对本发明做任何形式上的限制，凡是依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化，均落入本发明的保护范围之内。

Claims (5)

1.一种基于HTTP会话的攻击检测方法，其特征在于，包括以下步骤：步骤S1.通过DAQ模块导入实时数据，使用SNORT引擎对实时数据进行流会话处理，当SNORT引擎识别到流会话处理后的实时数据为HTTP会话时，在HTTP会话的预处理插件中，判断所述实时数据是HTTP客户端数据还是HTTP服务端数据，如果是HTTP客户端数据，进入步骤S2，如果是HTTP服务端数据，进入步骤S3；

步骤S2.根据SNORT引擎对所述HTTP客户端数据的请求信息进行提取，获取客户端请求信息中请求头部的信息；

步骤S3.根据SNORT引擎提取HTTP服务端数据，还原提取的HTTP服务端的响应数据，并对还原后的响应数据的数据类型进行识别；步骤S4.通过SNORT引擎中的HTTP异常检测插件判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致，如果是，返回步骤S1，如果否，对服务端还原的的响应数据进行病毒扫描，检测是否存在攻击，如果是，进入步骤S5，如果否，返回步骤S1；步骤S5.通过CLAMAV引擎对所述服务端还原的的响应数据再次进行攻击检测，并通过SNORT引擎对攻击检测情况输出结果；

所述步骤S1中 判断所述数据是HTTP客户端数据还是HTTP服务端数据的方法包括：S1.1.根据HTTP协议标准中的负载数据去识别所述数据开头的类型，当识别到符合客户端数据的数据开头时判断此数据为HTTP客户端数据；

S1.2.当识别出所述数据为HTTP客户端数据时，对HTTP客户端数据进行标识和信息提取，获取HTTP客户端数据的信息；S1.3.根据已经提取的客户端数据信息判断再导入的数据是HTTP客户端数据还是HTTP服务端数据；

所述步骤S5包括：步骤S5.1.在SNORT引擎中加入CLAMAV引擎，当CLAMAV引擎扫描完数据时，实时把扫描数据信息返回给SNORT引擎；步骤S5.2.在DAQ模块内预设离线独包模式，并将所述离线独包模式配置为在线采集模式；

步骤S5.3.根据SNORT引擎、CLAMAV引擎和DAQ模块内预设离线独包模式在线采集到检测情况，并根据所述检测情况输出日志或阻断会话。

2.根据权利要求1所述的一种基于HTTP会话的攻击检测方法，其特征在于，所述步骤S2包括：

根据HTTP请求类型，获取相应的请求数据，判断获取的请求数据的开头是否能否提取到对应的关键信息，如果是，获取客户端请求信息中请求头部的信息，如果否，返回步骤S1。

3.根据权利要求1所述的一种基于HTTP会话的攻击检测方法，其特征在于，所述步骤S3包括： 将步骤S1中获取的HTTP请求的数据类型与步骤S3已经识别出的响应数据类型进行比较。

4.根据权利要求1所述的一种基于HTTP会话的攻击检测方法，其特征在于，所述步骤S4中判断所述客户端所需的请求数据类型和HTTP服务端的响应数据类型是否一致的方法包括： 通过SNORT引擎提取HTTP信息，并对HTTP信息进行还原；根据所述还原的HTTP信息获取数据的相应类型。

5.根据权利要求1-4任一项所述的一种基于HTTP会话的攻击检测方法，其特征在于，所述SNORT引擎包括：

所述SNORT引擎开启TCP、HTTP插件、文件还原插件、HTTP异常分析插件和日志插件； 通过SNORT引擎开启的插件对获取的数据进行编解码和插件预处理。