本申请公开了一种隐蔽信道通信检测方法、装置及设备。该方法的步骤包括:获取ICMP数据包;提取ICMP数据包的预设特征,根据预设特征执行特征统计得到执行特征统计得到目标特征向量;利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道。由于本方法利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道,实现了基于ICMP数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。此外,本申请还提供一种基于ICMP的隐蔽信道通信检测装置、设备及存储介质,有益效果同上所述。
【技术实现步骤摘要】
一种隐蔽信道通信检测方法、装置及设备
本申请涉及网络通信领域,特别是涉及一种隐蔽信道通信检测方法、装置及设备。
技术介绍
ICMP(InternetControlMessageProtocol,网络控制报文协议)是TCP/IP协议簇的子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。当前常见的ping和tracert都利用ICMP协议来实现网络功能,它们是把网络协议应用到日常网络管理的典型实例。基于ICMP协议的隐蔽信道通信顾名思义就是使用ICMP协议进行数据传输达到通信手段的方法。由于ICMP协议为标准较低的通信协议,并且其数据报文在网络中所占的流量往往较小,因此往往被流量分析器以及网络管理员忽视,而当前的恶意控制者可能通过在ICMP数据包中携带恶意行为数据的方式与用户主机进行通信,以此达到对用户主机进行恶意控制的目的,难以确保用户主机的网络安全性。由此可见,提供一种隐蔽信道通信检测方法,以实现基于ICMP数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性,是本领域技术人员需要解决的问题。
技术实现思路
本申请的目的是提供一种隐蔽信道通信检测方法、装置及设备,以实现基于ICMP数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性。为解决上述技术问题,本申请提供一种隐蔽信道通信检测方法,包括:获取ICMP数据包;提取ICMP数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括ICMP数据包的类型和/或明文字符,其中,类型包括请求包及响应包;利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道。优选地,检测模型的生成过程包括:获取具有隐蔽信道通信行为的ICMP数据包正样本,并获取未具有隐蔽信道通信行为的ICMP数据包负样本;对ICMP数据包正样本执行特征统计得到正样本特征向量,并对ICMP数据包负样本执行特征统计得到负样本特征向量;对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。优选地,提取ICMP数据包的预设特征,根据预设特征执行特征统计得到目标特征向量包括:提取预设时间间隔内的每一ICMP数据包的预设特征;针对预设时间间隔内的所有ICMP数据包的预设特征执行特征统计得到目标特征向量。优选地,目标特征向量中包括数据长度、数据明文占比、请求频率以及请求响应比中的一种或多种。优选地,在提取ICMP数据包的预设特征之前,方法还包括:对ICMP数据包进行过滤处理得到满足ICMP默认标准的目标ICMP数据包;提取ICMP数据包的预设特征,包括:根据过滤后的ICMP数据包提取预设特征。优选地,对ICMP数据包进行过滤处理得到满足ICMP默认标准的目标ICMP数据包,包括:对ICMP数据包进行解析,得到数据部分的内容;将数据部分的内容与预设的ICMP协议内容不一致的ICMP数据包作为目标ICMP数据包。优选地,利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道,包括:利用决策树检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道。此外,本申请还提供一种隐蔽信道通信检测装置,包括:数据包获取模块,用于获取ICMP数据包;特征统计模块,用于提取ICMP数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括ICMP数据包的类型和/或明文字符,其中,类型包括请求包及响应包;模型检测模块,用于利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道。优选地,装置还包括:样本获取模块,用于获取具有隐蔽信道通信行为的ICMP数据包正样本,并获取未具有隐蔽信道通信行为的ICMP数据包负样本;特征向量获取模块,用于对ICMP数据包正样本执行特征统计得到正样本特征向量,并对ICMP数据包负样本执行特征统计得到负样本特征向量;模型训练模块,用于对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。此外,本申请还提供一种隐蔽信道通信检测设备,包括:存储器,用于存储计算机程序;处理器,用于执行计算机程序时实现如上述的隐蔽信道通信检测方法的步骤。此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的隐蔽信道通信检测方法的步骤。本申请所提供的隐蔽信道通信检测方法,首先获取ICMP数据包,进而提取ICMP数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括ICMP数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道。由于本方法利用检测模型对目标特征向量进行检测确定是否存在ICMP隐蔽信道,实现了基于ICMP数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。此外,本申请还提供一种基于ICMP的隐蔽信道通信检测装置、设备及存储介质,有益效果同上所述。附图说明为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本申请实施例公开的一种隐蔽信道通信检测方法的流程图;图2为本申请实施例公开的一种隐蔽信道通信检测中检测模型生成方法的流程图;图3为本申请实施例公开的一种具体的隐蔽信道通信检测方法的流程图;图4为本申请实施例公开的一种隐蔽信道通信检测装置的结构示意图。具体实施方式下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。基于ICMP协议的隐蔽信道通信顾名思义就是使用ICMP协议进行数据传输达到通信手段的方法。由于ICMP协议为标准较低的通信协议,并且其数据报文在网络中所占的流量往往较小,因此往往被流量分析器以及网络管理员忽视,而当前的恶意控制者可能通过在ICMP数据包中携带恶意行为数据的方式与用户主机进行通信,以此达到对用户主机进行恶意控制的目的,难以确保用户主机的网络安全性。为此,本申请的核心是提供一种隐蔽信道通信检测方法,以实现基于ICMP数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性。请参见图1所示,本申请实施例公开了一种隐蔽信道通信检测方法,包括:步骤S10:获取ICMP数据包。需要说明的是,本实施例的执行主体可以为设置于用户主机与外网服务器设备之间的流量检测本文档来自技高网...
【技术保护点】
1.一种隐蔽信道通信检测方法,其特征在于,包括:/n获取ICMP数据包;/n提取所述ICMP数据包的预设特征,根据所述预设特征执行特征统计得到目标特征向量,所述预设特征包括所述ICMP数据包的类型和/或明文字符,其中,所述类型包括请求包及响应包;/n利用检测模型对所述目标特征向量进行检测确定是否存在ICMP隐蔽信道。/n
【技术特征摘要】
1.一种隐蔽信道通信检测方法,其特征在于,包括:
获取ICMP数据包;
提取所述ICMP数据包的预设特征,根据所述预设特征执行特征统计得到目标特征向量,所述预设特征包括所述ICMP数据包的类型和/或明文字符,其中,所述类型包括请求包及响应包;
利用检测模型对所述目标特征向量进行检测确定是否存在ICMP隐蔽信道。
2.根据权利要求1所述的隐蔽信道通信检测方法,其特征在于,所述检测模型的生成过程包括:
获取具有隐蔽信道通信行为的ICMP数据包正样本,并获取未具有隐蔽信道通信行为的ICMP数据包负样本;
对所述ICMP数据包正样本执行特征统计得到正样本特征向量,并对所述ICMP数据包负样本执行特征统计得到负样本特征向量;
对所述正样本特征向量以及所述负样本特征向量进行模型训练生成所述检测模型。
3.根据权利要求1所述的隐蔽信道通信检测方法,其特征在于,所述提取所述ICMP数据包的预设特征,根据所述预设特征执行特征统计得到目标特征向量包括:
提取预设时间间隔内的每一ICMP数据包的所述预设特征;
针对所述预设时间间隔内的所有ICMP数据包的所述预设特征执行特征统计得到所述目标特征向量。
4.根据权利要求1所述的隐蔽信道通信检测方法,其特征在于,所述目标特征向量中包括数据长度、数据明文占比、请求频率以及请求响应比中的一种或多种。
5.根据权利要求1所述的基于ICMP的隐蔽信道通信检测方法,其特征在于,在所述提取所述ICMP数据包的预设特征之前,所述方法还包括:
对所述ICMP数据包进行过滤处理得到满足ICMP默认标准的目标ICMP数据包;
...
【专利技术属性】
技术研发人员:周运金,吴振宇,
申请(专利权)人:深信服科技股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。