【技术实现步骤摘要】
基于机器学习的ICMP隧道检测方法
本专利技术涉及互联网安全
,特别涉及一种基于机器学习的ICMP隧道检测方法。
技术介绍
在企业内网环境中,ICMP协议是必不可少的网络通信协议之一,被用于检测网络连通状态,通常情况下,防火墙会默认放此协议。由于防火墙对ICMP协议开放,恶意攻击者常会利用ICMP协议进行非法通信。例如,在黑客攻击中经常出现的一种情况是:黑客通过某一种方式取得了一台主机的权限,得到了一些文件,比如域Hash和密码文件之类的东西,需要回传至本地进行破解,但是防火墙阻断了由内网发起的请求,只有ICMP协议没有被阻断,而黑客又需要回传文件,这个时候如果黑客可以Ping通远程计算机,就可以尝试建立ICMP隧道,ICMP隧道是将流量封装进Ping数据包中,旨在利用Ping数据穿透防火墙的检测。现在市面上已经有了很多类似的工具了,比如Icmptunnel、Ptunnel以及Icmpsh等,但是由于ICMP隧道具有隐蔽性高,检测难度大等特点,导致现有技术中的检测工具存在误报较高和效率低下等问题,还由于没有对数...
【技术保护点】
1.一种基于机器学习的ICMP隧道检测方法,其特征在于,包括以下步骤:/n建立ICMP隧道检测模型;/n获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;/n对所述待检测数据进行预处理;/n对所述待检测数据进行分组操作;/n对所述待检测数据做特征工程处理,提取待检测特征;/n将所述待检测特征规范化处理;/n将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;/n将检测结果返回到前端界面进行展示。/n
【技术特征摘要】
1.一种基于机器学习的ICMP隧道检测方法,其特征在于,包括以下步骤:
建立ICMP隧道检测模型;
获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;
对所述待检测数据进行预处理;
对所述待检测数据进行分组操作;
对所述待检测数据做特征工程处理,提取待检测特征;
将所述待检测特征规范化处理;
将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;
将检测结果返回到前端界面进行展示。
2.如权利要求1所述的基于机器学习的ICMP隧道检测方法,其特征在于,建立ICMP隧道检测模型包括以下步骤:
生成训练数据,包括正常ICMP流量数据和ICMP隧道流量数据;
从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据,形成训练数据;
对所述训练数据进行预处理;
对所述训练数据进行分组操作;
对所述训练数据做特征工程处理,提取建模特征;
将所述建模特征规范化处理;
采用机器学习算法对规范化后的建模特征做模型训练,形成ICMP隧道检测模型。
3.如权利要求2所述的基于机器学习的ICMP隧道检测方法,其特征在于,通过采用网站搜集和/或自研ICMP数据生成器的方式采集所述正常ICMP流量数据和所述ICMP隧道流量数据。
4.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,对所述待检测数据和所述训练数据进行预处理的方式为:
对所述待检测数据和所述训练数据进行清洗和过滤。
5.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,对所述待检测数据和所述训练数据进行分组操作包括以下步骤:
获取单位时间段内的数据;
对获取的数据进行分组,分组规则为...
【专利技术属性】
技术研发人员:徐钟豪,谢忱,陈伟,
申请(专利权)人:上海斗象信息科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。