本申请涉及一种隐蔽通道检测方法及装置,该隐蔽通道检测方法包括:获取ICMP数据包;从所述ICMP数据包中提取多个IP流对;获取所述多个IP流对中ICMP报文的统计特征;将所述统计特征输入检测模型检测是否存在ICMP隐蔽通道。本申请不仅考虑了ICMP报文的整体数据统计特征,还充分考虑了ICMP报文中相邻ICMP请求报文有效负载数据之间的关系、相邻ICMP响应报文有效负载数据之间的关系、以及ICMP请求报文和与其对应的ICMP响应报文之间有效负载数据之间的关系,实现隐蔽通道的准确检测。实现隐蔽通道的准确检测。实现隐蔽通道的准确检测。
【技术实现步骤摘要】
隐蔽通道检测方法及装置
[0001]本申请涉及网络安全
,具体涉及一种隐蔽通道检测方法及装置。
技术介绍
[0002]与TCP或UDP相比,使用ICMP协议作为隐蔽通道具有一大优势,即ICMP数据包使用的参数少于TCP或UDP。特别是许多网络设备将ICMP流量视为良性,对其负载部分不做检测,因此,ICMP协议容易被用作隐蔽通道,攻击者可以将生成的任意信息隐藏在ICMP数据包负载中,检测ICMP隐蔽通道对于确保网络安全具有重要意义。
[0003]现有ICMP隐蔽通道检测没有考虑相邻ICMP请求报文有效负载数据之间的关系,没有考虑相邻ICMP响应报文有效负载数据之间的关系,也没有考虑ICMP请求报文与其对应的响应报文之间有效负载数据之间的关系,导致预测ICMP隐蔽通道准确率不高。
技术实现思路
[0004]鉴于现有技术存在的上述问题,本申请的目的在于提供一种隐蔽通道检测方法及装置,其能够准确检测ICMP协议中的隐蔽通道,提高网络安全性。
[0005]为了实现上述目的,本申请实施例提供一种隐蔽通道检测方法,包括:
[0006]获取ICMP数据包;
[0007]从所述ICMP数据包中提取多个IP流对;
[0008]获取所述多个IP流对中ICMP报文的统计特征;
[0009]将所述统计特征输入检测模型检测是否存在ICMP隐蔽通道。
[0010]在一些实施例中,获取所述多个IP流对中ICMP报文的统计特征,包括:分别获取每个IP流对中ICMP报文的统计特征。
[0011]在一些实施例中,获取每个IP流对中ICMP报文的统计特征,包括:
[0012]统计每个IP流对中,ICMP请求报文和ICMP应答报文分别所占ICMP报文流量的百分比,得到第一类型统计特征;
[0013]统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,得到第二类统计特征;
[0014]统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载的编辑距离的统计特征,得到第三类统计特征。
[0015]在一些实施例中,所述方法还包括:
[0016]统计每个IP流对中目标不可到达报文所占ICMP报文流量的百分比,得到第一类型统计特征。
[0017]在一些实施例中,统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,包括:
[0018]统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的百分位数和/或平均值。
[0019]在一些实施例中,统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载的编辑距离的统计特征,得到第三类统计特征,包括:
[0020]统计每个IP流对中,相邻ICMP请求报文的有效负载的编辑距离的百分位数和/或平均值;
[0021]统计每个IP流对中,相邻ICMP应答报文的有效负载的编辑距离的百分位数和/或平均值;
[0022]统计每个IP流对中,ICMP请求报文和与之对应的ICMP应答报文的有效负载的编辑距离的百分位数和/或平均值。
[0023]在一些实施例中,所述百分位数包括最小值、下四分位数、中位数、上四分位数、最大值中的至少一种。
[0024]在一些实施例中,所述检测模型基于训练获得,训练方法包括:
[0025]获取ICMP数据包;
[0026]对所述ICMP数据包进行标记,构建训练集;
[0027]将所述训练集输入深度学习网络中进行训练,得到检测模型。
[0028]本申请实施例还提供一种隐蔽通道检测装置,包括:
[0029]获取模块,其配置为获取ICMP数据包;
[0030]提取模块,其配置为从所述ICMP数据包中提取多个IP流对;
[0031]统计模块,其配置为获取所述多个IP流对中ICMP报文的统计特征;
[0032]检测模块,其配置为将所述统计特征输入检测模型检测是否存在ICMP隐蔽通道。
[0033]本申请实施例还提供一种终端设备,包括存储器和处理器,所述存储器用于存储可执行程序代码;所述处理器通过读取所述存储器中存储的可执行程序代码来运行与所述可执行程序代码对应的程序,以用于执行上述的方法。
[0034]本申请实施例还提供一种计算机可读存储介质,该存储介质用于存储计算机程序,所述计算机程序被处理器执行时实现上述的方法。
[0035]与现有技术相比较,本申请实施例提供的隐蔽通道检测方法及装置,在获取ICMP数据包后,提取其中的IP流对,并获取各IP流对中ICMP报文的多个类型的统计特征,将上述统计特征作为输入量输入检测模型中检测是否存在隐蔽通道,不仅考虑了ICMP报文的整体数据统计特征,还充分考虑了ICMP报文中相邻ICMP请求报文有效负载数据之间的关系、相邻ICMP响应报文有效负载数据之间的关系、以及ICMP请求报文和与其对应的ICMP响应报文之间有效负载数据之间的关系,实现隐蔽通道的准确检测。
附图说明
[0036]在不一定按比例绘制的附图中,相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例,并且与说明书以及权利要求书一起用于对所申请的实施例进行说明。在适当的时候,在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的,而并非旨在作为本装置或方法的穷尽或排他实施例。
[0037]图1为本申请实施例的隐蔽通道检测方法的流程图;
[0038]图2为本申请实施例的获取IP流对中ICMP报文的统计特征的流程图;
[0039]图3为本申请实施例的检测模型的训练方法的流程图;
[0040]图4为本申请实施例的隐蔽通道检测装置的结构示意图。
具体实施方式
[0041]下面,结合附图对本申请的具体实施例进行详细的描述,但不作为本申请的限定。
[0042]应理解的是,可以对此处公开的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
[0043]包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
[0044]通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特征将会变得显而易见。
[0045]还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
[0046]当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种隐蔽通道检测方法,其特征在于,包括:获取ICMP数据包;从所述ICMP数据包中提取多个IP流对;获取所述多个IP流对中ICMP报文的统计特征;将所述统计特征输入检测模型检测是否存在ICMP隐蔽通道。2.根据权利要求1所述的隐蔽通道检测方法,其特征在于,获取所述多个IP流对中ICMP报文的统计特征,包括:分别获取每个IP流对中ICMP报文的统计特征。3.根据权利要求2所述的隐蔽通道检测方法,其特征在于,获取每个IP流对中ICMP报文的统计特征,包括:统计每个IP流对中,ICMP请求报文和ICMP应答报文分别所占ICMP报文流量的百分比,得到第一类型统计特征;统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,得到第二类统计特征;统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载的编辑距离的统计特征,得到第三类统计特征。4.根据权利要求3所述的隐蔽通道检测方法,其特征在于,所述方法还包括:统计每个IP流对中目标不可到达报文所占ICMP报文流量的百分比,得到第一类型统计特征。5.根据权利要求3所述的隐蔽通道检测方法,其特征在于,统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,包括:统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的百分位数和/或平均值。6.根据权利要求3所述的隐蔽通道检测方法,其特征在于,统计每个IP流对中,I...
【专利技术属性】
技术研发人员:董叶豪,李渊,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。