一種基於HTTP內容一致性的惡意網絡行為發現方法與流程
2023-06-22 17:10:31 3
本發明屬於信息技術
技術領域:
,具體涉及一種基於HTTP內容一致性的惡意網絡行為發現方法。
背景技術:
:如今,隨著網際網路的發展,越來越多的網絡應用服務商選擇使用HTTP協議為用戶提供網站、移動應用服務,HTTP流量佔據了網際網路流量中很大一部分。由於HTTP流量巨大,繁雜,靈活度高,許多攻擊和惡意軟體開始使用HTTP流量隱藏自身的傳播和控制行為,其中一些惡意行為會偽造一個與HTTP載荷內容實際類型不同的Content-type類型,從而繞過防火牆(Firewall)以及入侵檢測系統(IDS)類型檢測,對企業和用戶的信息安全造成了嚴重的隱患。傳統基於規則的防火牆以及入侵檢測系統通常採用特徵匹配的方法進行網絡惡意行為的檢測。一方面,這往往需要對已知的惡意行為特徵進行提取,並且需要配置大量的特徵規則;另一方面,用戶只能檢測出命中規則的已知惡意行為,需要不斷更新規則庫來獲得對新的惡意行為進行檢測的能力,無法及時發現利用該現象進行傳播的未知惡意網絡行為。此外,HTTP流量中有大約35%左右的報文都存在著內容聲明不一致的現象,而大部分是由於錯誤配置造成的,這些不一致的報文往往是無害的,僅僅檢測HTTP載荷內容與聲明不一致性存在著很大的誤報率,不能很好的輔助發現網絡惡意行為。技術實現要素:本發明的目的在於提供一種基於HTTP協議的惡意網絡行為發現方法,通過檢測HTTP協議聲明報文內容以及其真實載荷內容的一致性,並對不一致的報文進行篩選,保留可疑惡意行為樣本,發現防火牆以及入侵檢測系統規則外的可疑的網絡行為,為惡意行為的篩選和發現提供了一個新的途徑。本發明採用的方案如下:一種基於HTTP內容一致性的惡意網絡行為發現方法,包括以下步驟:1)對HTTP報文進行解析;2)比較HTTP報文頭所聲明的類型和HTTP報文的實際載荷類型的一致性;3)若步驟2)比較的結果為不一致,則根據具體報文頭和實際載荷類型對不一致行為進行可疑程度判斷;4)對可疑程度大於設定的閾值的不一致行為進行記錄;5)對記錄的可疑的不一致行為進行掃描和分析,從而發現惡意行為。進一步地,步驟1)解析HTTP報文頭部,記錄報文頭的URL、Content-Type欄位。進一步地,步驟2)提取對應的HTTP報文的載荷,利用文件頭標識信息對載荷實際類型進行確認。進一步地,步驟2)從Content-type頭部欄位提取文件類型聲明,或者從URI中的文件擴展名提取文件類型聲明,然後與載荷實際類型進行一致性比較。進一步地,步驟3)對於所聲明的類型與載荷實際類型不一致的情況,參考可疑程度判斷表來判斷該不一致行為是否可疑。進一步地,步驟4)記錄的內容包括:HTTP請求的載荷內容,源IP及埠號,目的IP及埠號,HTTP請求方法(包括GET,POST,PUT等),URL地址,伺服器和客戶端標識信息。進一步地,步驟4)對可疑程度為中、高的不一致行為進行記錄。進一步地,步驟5)利用殺毒軟體對記錄後的可疑程度為中、高的樣本進行掃描,對於兩個以上殺毒軟體告警的樣本標記為惡意。進一步地,步驟5)對於可疑程度為中、高但殺毒軟體未報警的樣本進行手動分析,結合可疑程度發現未知的惡意行為。本發明的關鍵點是:1.對HTTP協議頭Content-type欄位聲明類型與載荷實際類型的一致性進行檢測;2.利用可疑程度判斷表對因錯誤配置等因素造成的無害的HTTP不一致報文進行過濾;3.記錄可疑不一致行為,保留原始信息及載荷樣本;4.對樣本進行掃描和分析,不僅能檢測已知惡意行為,同時具有很好的未知惡意行為發現能力。本發明為惡意行為的篩選和發現提供了一個新的途徑,具有以下優點和有益效果:1.該方法基於網絡行為而不是使用強規則進行惡意行為發現,普適度高;2.該方法能實時發現網絡流量中惡意行為,並保留證據;3.該方法具有很好的未知惡意行為發現能力;4.該方法彌補了傳統基於規則的防火牆和入侵檢測系統對未知惡意行為檢測的不足。附圖說明圖1是本發明的惡意行為發現方法的流程圖。具體實施方式為使本發明的上述目的、特徵和優點能夠更加明顯易懂,下面通過具體實施樣例和附圖,對本發明做進一步說明。圖1是本發明的惡意行為發現方法的流程圖。本發明首先對HTTP報文進行解析,比較報文頭和實際載荷類型聲明的一致性,若聲明內容不一致,根據具體報文頭和實際載荷類型進行可疑度判斷,決定是否記錄該不一致行為樣本,若可疑度高,則記錄該行為信息及載荷內容。該方法的具體步驟如下:1.解析HTTP報文頭部,記錄報文頭的URL,Content-Type欄位。2.提取對應報文的載荷,利用文件頭標識信息對載荷實際類型進行確認。3.將Content-Type欄位所聲明類型與載荷實際類型進行一致性比較。4.對於Content-Type欄位所聲明類型與載荷實際類型不一致的情況,參考可疑程度判斷表來判斷該不一致行為是否可疑。本實施樣例採用的可疑程度判斷表如表1所示。本發明中,可疑程度判斷表的建立方法為:根據Content-type與文件類型的匹配程度給出可疑程度,對可疑程度設定不同的級別,或設定不同的閾值。比如可以將可疑程度分低、中、高三個層次:1)如果Content-type欄位為空則標記可疑程度為低;2)如果Content-type欄位與文件實際類型在文件主類型上一致,只是副類型不一致,則標記可疑程度為低,如「image/png」和「image/jpeg」;3)如果Content-type欄位表明的類型為圖片,而文件實際類型為可執行文件,則標記可疑程度為高;4)如果Content-type欄位表明的類型為文本,而文件類型實際為可執行文件,則標記可疑程度為高;5)如果Content-type欄位表明的類型為音視頻流,而文件類型實際為可執行文件,則標記可疑程度為高;6)如果Content-type欄位表明的類型為圖片,而文件實際類型為php、js等腳本語言文本類型,則標記可疑程度為高;7)其他Content-type欄位表明的類型為圖片,而文件實際類型為非php、js腳本的普通文本類型,則標記可疑程度為中;8)其他情況的Content-type與實際文件類型不一致,則標記可疑程度為中。5.對於可疑行為進行記錄,記錄的內容包括:HTTP請求的載荷內容,TCP源IP及埠號,目的IP及埠號,HTTP請求方法(包括GET,POST,PUT等),URL地址,伺服器和客戶端標識信息。表2為一個存儲樣本信息表。6.利用殺毒軟體對記錄後的可疑程度大於設定的閾值的樣本,比如可疑程度為中、高的樣本,進行掃描,對於兩個以上殺毒軟體告警的樣本標記為惡意。7.對於可疑程度為中、高但殺毒軟體未報警的樣本進行手動分析,從而發現未知的惡意行為。下面提供兩個應用實例:示例1:利用HTTP載荷內容與聲明不一致性發現惡意木馬檢測系統發現Content-Type報文聲明為:Text/Html,但實際載荷內容為可執行文件的文件類型不一致樣本,將樣本上傳至VirusTotal進行檢測,發現該樣本為惡意木馬。示例2:利用HTTP載荷內容與聲明不一致性發現格式繞過攻擊檢測系統發現Content-Type報文聲明為:image/png,但實際格式內容為PHP腳本的載荷,經分析發現,該腳本屬於利用上傳漏洞繞過格式檢測的惡意攻擊行為。表1.HTTP不一致報文可疑程度判斷表HTTPContent-typeHTTP載荷實際類型可疑程度Anyapplication/octet-stream低Text/htmlapplication/x-dosexe高image/anyText/Html中………表2.存儲樣本信息表名稱值RecordDateYYYY-MM-DDHH:MM:SSRequestMethodGET/POSTHostwww.example.comURL/15-8-24/30471674.jpgClientIP123.123.123.123User-AgentMozilla/5.0SamplePath/home/sample/XXXXXXSampleMD5ff2caa1d0b45082d7a0b767e37fcef64除上面實施例外,本發明也可以採用其它實施方式,比如:步驟2:比較HTTP報文頭部所聲明的類型有兩種提取方法,包括Content-type頭部欄位和URI中攜帶的文件擴展名。前文所述方法中只提及從Content-type頭部提取文件類型聲明方法。從URI中的文件擴展名提取文件類型聲明也屬於本發明的實施方法。步驟4:記錄的內容採用可擴展方式,可以靈活增加記錄的頭部欄位。本發明正文中僅提到HTTP請求的載荷內容,源IP及埠號,目的IP及埠號,HTTP請求方法URL地址,伺服器和客戶端標識信息,因此在此基礎上增加的其他頭部欄位如Cookie、reference也屬於本發明範疇。步驟5:利用殺毒軟體對記錄後的樣本進行掃描包括離線、在線、離線和在線相結合三種方式:a)離線方式:在本地部署多個殺毒引擎的檢測環境,對樣本進行掃描;b)在線方式:將樣本通過網絡的方式上傳至在線惡意軟體檢測平臺如VirusTotal、Virusbook、Virscan等進行樣本掃描;c)離線和在線相結合的方式:是離線方式和在線方式聯合部署,對可疑樣本進行掃描的方式。以上實施例僅用以說明本發明的技術方案而非對其進行限制,本領域的普通技術人員可以對本發明的技術方案進行修改或者等同替換,而不脫離本發明的精神和範圍,本發明的保護範圍應以權利要求書所述為準。當前第1頁1 2 3