[发明专利]基于会话及HTTP协议标准检测HTTP隧道数据的方法

说明书

技术领域

本发明属计算机网络技术领域，是一种区分标准HTTP协议数据和HTTP隧道数据的方法。

背景技术

随着互联网技术的发展，如何控制内网用户访问互联网已经成了网络管理的重点。传统的网络管理以端口来区分各种网络服务，通过开放或关闭某些端口来实现外网访问的控制。WEB浏览作为最基本的互联网服务通常需要开放给用户使用，它所使用的是HTTP协议，默认端口为TCP80。鉴于HTTP端口一般是开放的，各类软件纷纷使用了HTTP隧道技术与外部建立连接。HTTP协议数据和HTTP隧道数据都使用相同的端口，因此不能简单的通过关闭端口来控制HTTP隧道数据，否则用户将无法浏览网页。传统的端口控制方法已经无法应对HTTP隧道穿透技术，未经授权的外网访问严重威胁着内部网络的安全。

发明内容

本发明的目的在于提出一种区分标准HTTP协议数据和HTTP隧道数据的方法，使用本发明可以识别HTTP隧道数据并对其实行差别服务，或阻止非HTTP协议数据穿透HTTP端口。

为了方便叙述，首先将本发明涉及的常用术语和标记介绍如下：

1.SrcIP、SrcPort、DstIP、DstPort：分别表示源IP、源端口、目标IP、目标端口。

2.会话(Session)：客户端与服务器一次连接过程中的所有信息数据。

3.会话连接表(Session Table)：用于保存多个会话的数据表，通常可采用哈希表。

HTTP隧道数据检测原理：

标准的HTTP协议遵从RFC2616(Hypertext Transfer Protocol--HTTP/1.1)和RFC1945(Hypertext Transfer Protocol--HTTP/1.0)标准。

根据RFC文档的描述：

1、当HTTP客户端向HTTP服务端发起请求时，将发送请求命令：如“GET”、“HEAD”、“POST”、“PUT”、“DELETE”、“CONNECT”等。其中“GET”、“HEAD”、“POST”为最常见的HTTP命令，其他HTTP命令则较少使用或用于连接代理服务器。HTTP协议标准规定，请求命令应当位于客户端发给服务端的数据首行起始部分。

例如：

GET/index.html HTTP/1.1

Host：www.example.com

Connection：keep-alive

Accept：text/html

......

2、当HTTP服务端收到HTTP客户端的请求命令后，将返回响应信息：如“HTTP/1.1200OK”、“HTTP/1.0404 Not Found”等。HTTP协议标准规定，响应信息应当位于服务端发给客户端的数据首行起始部分。

例如：

HTTP/1.1 200OK

Server：Apache

Content-Type：text/html；charset＝utf-8

Connection：keep-alive

......

HTTP隧道数据则采用私有协议，其不遵从HTTP协议标准。客户端发给服务端的数据起始部分不是“GET”、“HEAD”、“POST”等请求命令；服务端返回给客户端的数据起始部分也不是“HTTP/1.1 200OK”、“HTTP/1.0404 Not Found”等状态响应信息。

根据这些差别，我们可以通过检查一条会话连接客户端最开始的请求命令和服务端最开始的响应信息，来判断该会话是HTTP协议会话还是HTTP隧道会话。

附图说明

图1为本发明系统网络部署方式图

图2为本发明系统会话连接表维护处理流程图

图3为本发明系统对客户端数据包检测流程图

图4为本发明系统对服务端数据包检测流程图

具体实施方式

下面结合附图对本发明做进一步的详细介绍。

系统网络部署方式：

参见图1，本发明系统通常部署在局域网连接互联网的出口网关处，从网络中捕获指定端口的数据包。该端口一般为TCP80，必要时也可以指定或者增加其他端口。

会话连接表的维护：