本发明属于信息技术
技术领域:
,具体涉及一种基于HTTP内容一致性的恶意网络行为发现方法。
背景技术:
:如今,随着互联网的发展,越来越多的网络应用服务商选择使用HTTP协议为用户提供网站、移动应用服务,HTTP流量占据了互联网络流量中很大一部分。由于HTTP流量巨大,繁杂,灵活度高,许多攻击和恶意软件开始使用HTTP流量隐藏自身的传播和控制行为,其中一些恶意行为会伪造一个与HTTP载荷内容实际类型不同的Content-type类型,从而绕过防火墙(Firewall)以及入侵检测系统(IDS)类型检测,对企业和用户的信息安全造成了严重的隐患。传统基于规则的防火墙以及入侵检测系统通常采用特征匹配的方法进行网络恶意行为的检测。一方面,这往往需要对已知的恶意行为特征进行提取,并且需要配置大量的特征规则;另一方面,用户只能检测出命中规则的已知恶意行为,需要不断更新规则库来获得对新的恶意行为进行检测的能力,无法及时发现利用该现象进行传播的未知恶意网络行为。此外,HTTP流量中有大约35%左右的报文都存在着内容声明不一致的现象,而大部分是由于错误配置造成的,这些不一致的报文往往是无害的,仅仅检测HTTP载荷内容与声明不一致性存在着很大的误报率,不能很好的辅助发现网络恶意行为。技术实现要素:本发明的目的在于提供一种基于HTTP协议的恶意网络行为发现方法,通过检测HTTP协议声明报文内容以及其真实载荷内容的一致性,并对不一致的报文进行筛选,保留可疑恶意行为样本,发现防火墙以及入侵检测系统规则外的可疑的网络行为,为恶意行为的筛选和发现提供了一个新的途径。本发明采用的方案如下:一种基于HTTP内容一致性的恶意网络行为发现方法,包括以下步骤:1)对HTTP报文进行解析;2)比较HTTP报文头所声明的类型和HTTP报文的实际载荷类型的一致性;3)若步骤2)比较的结果为不一致,则根据具体报文头和实际载荷类型对不一致行为进行可疑程度判断;4)对可疑程度大于设定的阈值的不一致行为进行记录;5)对记录的可疑的不一致行为进行扫描和分析,从而发现恶意行为。进一步地,步骤1)解析HTTP报文头部,记录报文头的URL、Content-Type字段。进一步地,步骤2)提取对应的HTTP报文的载荷,利用文件头标识信息对载荷实际类型进行确认。进一步地,步骤2)从Content-type头部字段提取文件类型声明,或者从URI中的文件扩展名提取文件类型声明,然后与载荷实际类型进行一致性比较。进一步地,步骤3)对于所声明的类型与载荷实际类型不一致的情况,参考可疑程度判断表来判断该不一致行为是否可疑。进一步地,步骤4)记录的内容包括:HTTP请求的载荷内容,源IP及端口号,目的IP及端口号,HTTP请求方法(包括GET,POST,PUT等),URL地址,服务器和客户端标识信息。进一步地,步骤4)对可疑程度为中、高的不一致行为进行记录。进一步地,步骤5)利用杀毒软件对记录后的可疑程度为中、高的样本进行扫描,对于两个以上杀毒软件告警的样本标记为恶意。进一步地,步骤5)对于可疑程度为中、高但杀毒软件未报警的样本进行手动分析,结合可疑程度发现未知的恶意行为。本发明的关键点是:1.对HTTP协议头Content-type字段声明类型与载荷实际类型的一致性进行检测;2.利用可疑程度判断表对因错误配置等因素造成的无害的HTTP不一致报文进行过滤;3.记录可疑不一致行为,保留原始信息及载荷样本;4.对样本进行扫描和分析,不仅能检测已知恶意行为,同时具有很好的未知恶意行为发现能力。本发明为恶意行为的筛选和发现提供了一个新的途径,具有以下优点和有益效果:1.该方法基于网络行为而不是使用强规则进行恶意行为发现,普适度高;2.该方法能实时发现网络流量中恶意行为,并保留证据;3.该方法具有很好的未知恶意行为发现能力;4.该方法弥补了传统基于规则的防火墙和入侵检测系统对未知恶意行为检测的不足。附图说明图1是本发明的恶意行为发现方法的流程图。具体实施方式为使本发明的上述目的、特征和优点能够更加明显易懂,下面通过具体实施样例和附图,对本发明做进一步说明。图1是本发明的恶意行为发现方法的流程图。本发明首先对HTTP报文进行解析,比较报文头和实际载荷类型声明的一致性,若声明内容不一致,根据具体报文头和实际载荷类型进行可疑度判断,决定是否记录该不一致行为样本,若可疑度高,则记录该行为信息及载荷内容。该方法的具体步骤如下:1.解析HTTP报文头部,记录报文头的URL,Content-Type字段。2.提取对应报文的载荷,利用文件头标识信息对载荷实际类型进行确认。3.将Content-Type字段所声明类型与载荷实际类型进行一致性比较。4.对于Content-Type字段所声明类型与载荷实际类型不一致的情况,参考可疑程度判断表来判断该不一致行为是否可疑。本实施样例采用的可疑程度判断表如表1所示。本发明中,可疑程度判断表的建立方法为:根据Content-type与文件类型的匹配程度给出可疑程度,对可疑程度设定不同的级别,或设定不同的阈值。比如可以将可疑程度分低、中、高三个层次:1)如果Content-type字段为空则标记可疑程度为低;2)如果Content-type字段与文件实际类型在文件主类型上一致,只是副类型不一致,则标记可疑程度为低,如“image/png”和“image/jpeg”;3)如果Content-type字段表明的类型为图片,而文件实际类型为可执行文件,则标记可疑程度为高;4)如果Content-type字段表明的类型为文本,而文件类型实际为可执行文件,则标记可疑程度为高;5)如果Content-type字段表明的类型为音视频流,而文件类型实际为可执行文件,则标记可疑程度为高;6)如果Content-type字段表明的类型为图片,而文件实际类型为php、js等脚本语言文本类型,则标记可疑程度为高;7)其他Content-type字段表明的类型为图片,而文件实际类型为非php、js脚本的普通文本类型,则标记可疑程度为中;8)其他情况的Content-type与实际文件类型不一致,则标记可疑程度为中。5.对于可疑行为进行记录,记录的内容包括:HTTP请求的载荷内容,TCP源IP及端口号,目的IP及端口号,HTTP请求方法(包括GET,POST,PUT等),URL地址,服务器和客户端标识信息。表2为一个存储样本信息表。6.利用杀毒软件对记录后的可疑程度大于设定的阈值的样本,比如可疑程度为中、高的样本,进行扫描,对于两个以上杀毒软件告警的样本标记为恶意。7.对于可疑程度为中、高但杀毒软件未报警的样本进行手动分析,从而发现未知的恶意行为。下面提供两个应用实例:示例1:利用HTTP载荷内容与声明不一致性发现恶意木马检测系统发现Content-Type报文声明为:Text/Html,但实际载荷内容为可执行文件的文件类型不一致样本,将样本上传至VirusTotal进行检测,发现该样本为恶意木马。示例2:利用HTTP载荷内容与声明不一致性发现格式绕过攻击检测系统发现Content-Type报文声明为:image/png,但实际格式内容为PHP脚本的载荷,经分析发现,该脚本属于利用上传漏洞绕过格式检测的恶意攻击行为。表1.HTTP不一致报文可疑程度判断表HTTPContent-typeHTTP载荷实际类型可疑程度Anyapplication/octet-stream低Text/htmlapplication/x-dosexe高image/anyText/Html中………表2.存储样本信息表名称值RecordDateYYYY-MM-DDHH:MM:SSRequestMethodGET/POSTHostwww.example.comURL/15-8-24/30471674.jpgClientIP123.123.123.123User-AgentMozilla/5.0SamplePath/home/sample/XXXXXXSampleMD5ff2caa1d0b45082d7a0b767e37fcef64除上面实施例外,本发明也可以采用其它实施方式,比如:步骤2:比较HTTP报文头部所声明的类型有两种提取方法,包括Content-type头部字段和URI中携带的文件扩展名。前文所述方法中只提及从Content-type头部提取文件类型声明方法。从URI中的文件扩展名提取文件类型声明也属于本发明的实施方法。步骤4:记录的内容采用可扩展方式,可以灵活增加记录的头部字段。本发明正文中仅提到HTTP请求的载荷内容,源IP及端口号,目的IP及端口号,HTTP请求方法URL地址,服务器和客户端标识信息,因此在此基础上增加的其他头部字段如Cookie、reference也属于本发明范畴。步骤5:利用杀毒软件对记录后的样本进行扫描包括离线、在线、离线和在线相结合三种方式:a)离线方式:在本地部署多个杀毒引擎的检测环境,对样本进行扫描;b)在线方式:将样本通过网络的方式上传至在线恶意软件检测平台如VirusTotal、Virusbook、Virscan等进行样本扫描;c)离线和在线相结合的方式:是离线方式和在线方式联合部署,对可疑样本进行扫描的方式。以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。当前第1页1 2 3