本發明實施例提供了一種蜜罐服務器通信方法、SSLStrip中間人攻擊感知方法、相關裝置、計算機設備以及機器可讀介質，屬于信息安全領域，其中蜜罐服務器通信方法包括：蜜罐服務器通信方法，包括：模擬部署了自動重定向的正常服務器后，直接或間接接收被測終端以HTTP協議發送的HTTP頁面訪問請求；直接或間接向被測終端返回HTTP響應，以供被測終端根據接收到的HTTP響應判斷是否存在中間人攻擊，其中HTTP響應包含狀態碼和響應頭。本方案僅通過模擬一次正常的網絡通信來判定是否存在中間人攻擊，感知準確度高，不影響被測終端的正常網絡訪問效率，再者，無需解析HTTP報文頭部，具備更好的通用性。

技術領域

本發明涉及信息安全領域，并且更特別地涉及SSLStrip威脅的感知方案。

背景技術

在早期的數據通信中，客戶端與服務器通信采用HTTP(協議HyperText TransferProtocol，超文本傳輸協議)。HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了客戶端(如Web瀏覽器)和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協議不適合傳輸一些敏感信息，比如信用卡號、密碼等。隨著通信技術的發展，客戶端與服務器通信開始使用HTTPS協議(Hyper Text Transfer Protocolover Secure Socket Layer，超文本傳輸協議安全版)來替代HTTP協議傳輸敏感信息。HTTPS協議是在HTTP協議的基礎上引入了SSL協議(Secure Sockets Layer，安全套接層)。SSL協議能夠利用證書驗證服務器的身份，并且對網絡連接交互信息進行加密，防止被攻擊者竊聽，使得用戶和服務器的之間的通信能夠在可靠、安全的通道上傳輸。引入SSL協議后，即便攻擊者截取了客戶端與服務器之間的傳輸報文，在沒有獲取到客戶端本次與服務器通信產生的解密公鑰的情況下，攻擊者也無法知曉其中傳輸的敏感信息的明文信息。

然而，SSL協議的部署實現以及用戶的使用行為卻使其傾向于不安全，這種不安全很可能讓用戶受到極具威脅的網絡攻擊，其中中間人攻擊就是極具危險性的一種攻擊方式，給SSL的安全性帶來嚴重的破壞。中間人攻擊是一種間接的入侵攻擊，這種攻擊模式是通過各種技術手段將入侵者控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，這臺被控制的計算機就稱為“中間人”。然后入侵者把“中間人”計算機模擬成一臺或兩臺原始計算機，使之能夠與真正會話中的計算機建立活動連接并讀取或篡改傳遞的信息，真正通信的原始計算機用戶卻認為他們是在與合法終端進行通信，這種攻擊方式很難被發現。如今，在黑客技術越來越多地運用于獲取經濟利益時，中間人攻擊成為對網銀、網游、網上交易等最有威脅并且最具破壞性的一種攻擊方式。

常見的中間人攻擊方法是SSLStrip，其從HTTPS協議中剝離(strip)了SSL協議，使客戶端與服務器之間的數據傳輸在HTTP協議下工作。通過欺騙用戶，使其和攻擊者建立一個不安全的HTTP連接，由攻擊者代理和服務器建立HTTPS連接。由于剝離了SSL協議，這樣一來，所有原先應該加密的數據會以明文的形式呈現在攻擊者面前，例如用戶的郵箱賬戶、銀行賬戶以及用于在線支付的信用卡密碼。

由于SSLStrip攻擊造成上述嚴重的后果，因此必須對SSLStrip攻擊進行有效感知。公開號CN103685298A、名稱為“一種基于深度包檢測的SSL中間人攻擊發現方法”的發明中，先對HTTP報文進行分析，設定評分標準；然后針對正常情況和被攻擊情況下的HTTP報文，分別進行多次測試，得到正常情況和被攻擊情況下的平均計分值，接著再進行平均得到的平均值作為判斷攻擊的標準；最后對用戶端和服務器接收的HTTP報文頭部進行特征檢測，根據該標準來判斷攻擊是否發生。

上述SSLStrip感知方法具有如下缺陷：

1)評分主觀性強，影響感知準確度；

2)不斷地對用戶端和服務器接收的HTTP報文頭部進行特征檢測，一方面會降低網絡訪問效率，另一方面，當某些終端無解析HTTP報文頭部的權限時，該方法無法實現，因而不具備通用性。