【技术实现步骤摘要】
隐蔽通道检测方法及装置
[0001]本申请涉及网络安全
,具体涉及一种隐蔽通道检测方法及装置。
技术介绍
[0002]与TCP或UDP相比,使用ICMP协议作为隐蔽通道具有一大优势,即ICMP数据包使用的参数少于TCP或UDP。特别是许多网络设备将ICMP流量视为良性,对其负载部分不做检测,因此,ICMP协议容易被用作隐蔽通道,攻击者可以将生成的任意信息隐藏在ICMP数据包负载中,检测ICMP隐蔽通道对于确保网络安全具有重要意义。
[0003]现有ICMP隐蔽通道检测没有考虑相邻ICMP请求报文有效负载数据之间的关系,没有考虑相邻ICMP响应报文有效负载数据之间的关系,也没有考虑ICMP请求报文与其对应的响应报文之间有效负载数据之间的关系,导致预测ICMP隐蔽通道准确率不高。
技术实现思路
[0004]鉴于现有技术存在的上述问题,本申请的目的在于提供一种隐蔽通道检测方法及装置,其能够准确检测ICMP协议中的隐蔽通道,提高网络安全性。
[0005]为了实现上述目的,本申请实施例提供一种隐蔽...
【技术保护点】
【技术特征摘要】
1.一种隐蔽通道检测方法,其特征在于,包括:获取ICMP数据包;从所述ICMP数据包中提取多个IP流对;获取所述多个IP流对中ICMP报文的统计特征;将所述统计特征输入检测模型检测是否存在ICMP隐蔽通道。2.根据权利要求1所述的隐蔽通道检测方法,其特征在于,获取所述多个IP流对中ICMP报文的统计特征,包括:分别获取每个IP流对中ICMP报文的统计特征。3.根据权利要求2所述的隐蔽通道检测方法,其特征在于,获取每个IP流对中ICMP报文的统计特征,包括:统计每个IP流对中,ICMP请求报文和ICMP应答报文分别所占ICMP报文流量的百分比,得到第一类型统计特征;统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,得到第二类统计特征;统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载的编辑距离的统计特征,得到第三类统计特征。4.根据权利要求3所述的隐蔽通道检测方法,其特征在于,所述方法还包括:统计每个IP流对中目标不可到达报文所占ICMP报文流量的百分比,得到第一类型统计特征。5.根据权利要求3所述的隐蔽通道检测方法,其特征在于,统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的统计特征,包括:统计每个IP流对中,ICMP请求报文和ICMP应答报文的有效负载长度的百分位数和/或平均值。6.根据权利要求3所述的隐蔽通道检测方法,其特征在于,统计每个IP流对中,I...
【专利技术属性】
技术研发人员:董叶豪,李渊,
申请(专利权)人:北京天融信科技有限公司北京天融信软件有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。