本發明實施例提供一種確定終端是否存在長鏈路連接的方法及服務器，所述方法包括：獲取預先存儲的目標終端發送的遠程連接請求及對應的響應報文；根據所述遠程連接請求、所述響應報文和第一預設規則，獲取目標uRTT間隙；根據所述目標uRTT間隙和第二預設規則，確定所述目標終端是否存在長鏈路連接。所述服務器執行上述方法。本發明實施例提供的確定終端是否存在長鏈路連接中的方法及服務器，無需跳板主機的訪問權限，還能夠準確確定目標終端是否存在長鏈路連接，從而判斷出服務器是否成為黑客的入侵目標。

技術領域

本發明實施例涉及入侵檢測技術領域，具體涉及一種確定終端是否存在長鏈路連接的方法及服務器。

背景技術

黑客為了隱藏身份，常常使用其它終端向要入侵的服務器轉發遠程連接請求，這些終端可以作為黑客臨時利用的跳板主機，使得跟蹤黑客的IP地址變得十分困難，因為這些跳板主機可能位于不同的國家。黑客可能會登錄跳板主機，并從一臺跳板主機跳到另一臺跳板主機，并轉發遠程連接請求。這些作為跳板的主機之間構成了一條鏈路。當該鏈路中的中間跳板主機數量較多時，這樣的鏈路稱為“長鏈路”。

通過檢測鏈路是否為長鏈路，可以作為服務器是否被黑客入侵的依據，現有檢測鏈路是否為長鏈路的方法是：通過獲取中間跳板主機出入口流量，進而匹配出攻擊者的穿越流量，黑客發起的連接請求和服務器的應答形成了會話閉環，通過記錄遠程連接請求和應答之間的時間差來推測形成的鏈路是否為長鏈路。但是，現有技術需要通過中間跳板主機的權限，才可以獲取出入口流量，這在現實環境中十分困難，而且黑客每次并不一定都用同樣中間跳板主機所形成的鏈路發起入侵攻擊，極大地限制了上述方法在現實中的應用。

因此，如何無需通過跳板主機的訪問權限，還能夠準確確定終端是否存在長鏈路連接，從而判斷出服務器是否成為黑客的入侵目標，成為亟須解決的問題。

發明內容

針對現有技術存在的問題，本發明實施例提供一種確定終端是否存在長鏈路連接的方法及服務器。

第一方面，本發明實施例提供一種確定終端是否存在長鏈路連接的方法，所述方法包括：

獲取預先存儲的目標終端發送的遠程連接請求及對應的響應報文；

根據所述遠程連接請求、所述響應報文和第一預設規則，獲取目標uRTT間隙；

根據所述目標uRTT間隙和第二預設規則，確定所述目標終端是否存在長鏈路連接。

第二方面，本發明實施例提供一種確定長鏈路中跳板主機的服務器，所述服務器包括：

第一獲取模塊，用于獲取預先存儲的目標終端發送的遠程連接請求及對應的響應報文；

第二獲取模塊，用于根據所述遠程連接請求、所述響應報文和第一預設規則，獲取目標uRTT間隙；

確定模塊，用于根據所述目標uRTT間隙和第二預設規則，確定所述目標終端是否存在長鏈路連接。

第三方面，本發明實施例提供一種電子設備，包括：處理器、存儲器和總線，其中，

所述處理器和所述存儲器通過所述總線完成相互間的通信；

所述存儲器存儲有可被所述處理器執行的程序指令，所述處理器調用所述程序指令能夠執行如下方法：

獲取預先存儲的目標終端發送的遠程連接請求及對應的響應報文；

根據所述遠程連接請求、所述響應報文和第一預設規則，獲取目標uRTT間隙；

根據所述目標uRTT間隙和第二預設規則，確定所述目標終端是否存在長鏈路連接。

第四方面，本發明實施例提供一種非暫態計算機可讀存儲介質，包括：