一种ICMP隧道传输数据的异常检测方法及装置制造方法及图纸

本发明专利技术实施例提供了ICMP隧道传输数据的异常检测方法及装置，获取当前在ICMP隧道中传输的待检测ICMP数据包；利用第一交互频率识别模型，基于该ICMP数据包，对业务请求端进行交互频率异常识别，得到第一异常识别结果；若基于第一异常识别结果确定ICMP数据包为异常数据包，则对业务请求端执行相应的异常控制处理，这样能够提高ICMP隧道传输数据的异常检测准确度和检测效率，解决了因禁止ICMP隧道导致无法有效进行主机存活与否识别的问题，也解决了因ICMP隧道工具的编写多变性导致ICMP隧道工具的异常筛选难度大的问题，从而实现快速、准确地识别出ICMP隧道中所传输的异常ICMP数据，进而对相应的业务请求端和业务响应端执行相应的异常管控。相应的异常管控。相应的异常管控。

【技术实现步骤摘要】
一种ICMP隧道传输数据的异常检测方法及装置


[0001]本专利技术涉及通信
，尤其涉及一种ICMP隧道传输数据的异常检测方法及装置。

技术介绍

[0002]目前，随着通信技术的快速发展，为了确保通信网络的稳定性，需要实时对通信网络的连通状态进行监测，在现网环境部署中，ICMP协议(Internet Control Message Protocol，网络控制报文协议)是一种面向无连接的协议，用于传输出错报告控制信息，实时地反映着网络连通的状态，是网络部署必不可少的网络通信协议之一。其中，在通常情况下，防火墙都是默认对ICMP协议进行放通。也就是说，防火墙通常不会屏蔽Ping数据包，具体的，业务请求端的Ping工具通常会在ICMP请求数据包后面附加上一段随机的数据作为Payload；对应的，业务响应端则会拷贝这段Payload到ICMP响应数据包中返还给业务请求端，用于识别和匹配Ping请求。其中，由于网络中的防火墙对ICMP协议是开放的，恶意攻击者常会利用ICMP协议进行非法网络通信。因此，利用ICMP协议来进行数据传输的隧道进行检测的网络安全防护的重要性越来越突出。
[0003]当前，现有技术中针对使用ICMP隧道进行网络安全攻击问题的主要解决方式有：一是，在主机上将ICMP禁止，完全杜绝ICMP隧道，其中，采用该网络安全防护方式虽然能够确保网络安全，但ICMP协议作为支持IP的协议是在实际生产环境中需要获知主机是否存活的一个重要依据；二是，对所使用的ICMP隧道工具进行检查，其中，对所使用的ICMP隧道工具进行检查是一个有效的办法，但在实际环境中一般都是攻击者自己写代码制作的ICMP隧道工具，而这种攻击者自己写代码制作的工具是没有任何特征的，所以对使用ICMP隧道的工具进行检查，只能禁止开源的工具，非开源工具无法禁止。由此可知，无论是针对在网络主机上对ICMP进行禁止，还是使用ICMP隧道的工具筛选，从而导致当前防护网络安全问题的定位监测更多在于面上，无法精准对网络上使用ICMP协议进行数据传输的会话进行异常检测。
[0004]综上可知，现有技术中所采用的禁止利用ICMP隧道传输数据的方式，将导致无法有效进行主机存活与否识别，以及所采用的对ICMP隧道工具进行异常检测，存在因ICMP隧道工具的编写多变性导致异常筛选难度大，因此，无法实现在确保利用ICMP隧道来有效进行主机存活与否识别的基础上，快速准确地识别出ICMP隧道传输的异常数据包。

技术实现思路

[0005]本专利技术实施例的目的是提供一种ICMP隧道传输数据的异常检测方法及装置，以解决因禁止ICMP隧道导致无法有效进行主机存活与否识别的问题，以及解决因ICMP隧道工具的编写多变性导致ICMP隧道工具的异常筛选难度大的问题。
[0006]为了解决上述技术问题，本专利技术实施例是这样实现的：
[0007]第一方面，本专利技术实施例提供了一种ICMP隧道传输数据的异常检测方法，包括：
[0008]获取当前在ICMP隧道中传输的待检测ICMP数据包，其中，所述待检测ICMP数据包包括：由业务请求端传输至业务响应端的基于ICMP协议的第一数据包、以及由业务响应端返回至业务请求端的基于ICMP协议的第二数据包；
[0009]利用预先训练好的第一交互频率识别模型，基于所述待检测ICMP数据包，对所述业务请求端进行交互频率异常识别，得到第一异常识别结果；
[0010]根据所述第一异常识别结果，确定所述待检测ICMP数据包是否为异常ICMP数据包；
[0011]若判断结果为是，则对所述业务请求端执行相应的异常控制处理。
[0012]第二方面，本专利技术实施例提供了一种ICMP隧道传输数据的异常检测装置，包括：
[0013]数据包获取模块，用于获取当前在ICMP隧道中传输的待检测ICMP数据包，其中，所述待检测ICMP数据包包括：由业务请求端传输至业务响应端的基于ICMP协议的第一数据包、以及由业务响应端返回至业务请求端的基于ICMP协议的第二数据包；
[0014]交互频率识别模块，用于利用预先训练好的第一交互频率识别模型，基于所述待检测ICMP数据包，对所述业务请求端进行交互频率异常识别，得到第一异常识别结果；
[0015]数据包异常识别模块，用于根据所述第一异常识别结果，确定所述待检测ICMP数据包是否为异常ICMP数据包；
[0016]请求端异常控制模块，用于若判断结果为是，则对所述业务请求端执行相应的异常控制处理。
[0017]第三方面，本专利技术实施例提供了一种计算机设备，包括处理器、通信接口、存储器和通信总线；其中，所述处理器、所述通信接口以及所述存储器通过总线完成相互间的通信；所述存储器，用于存放计算机程序；所述处理器，用于执行所述存储器上所存放的程序，实现如第一方面所述的ICMP隧道传输数据的异常检测方法的步骤。
[0018]第四方面，本专利技术实施例提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现如第一方面所述的ICMP隧道传输数据的异常检测方法的步骤。
[0019]本专利技术实施例中的ICMP隧道传输数据的异常检测方法及装置，获取当前在ICMP隧道中传输的待检测ICMP数据包；利用第一交互频率识别模型，基于该ICMP数据包，对业务请求端进行交互频率异常识别，得到第一异常识别结果；若基于第一异常识别结果确定ICMP数据包为异常数据包，则对业务请求端执行相应的异常控制处理，这样能够提高ICMP隧道传输数据的异常检测准确度和检测效率，解决了因禁止ICMP隧道导致无法有效进行主机存活与否识别的问题，也解决了因ICMP隧道工具的编写多变性导致ICMP隧道工具的异常筛选难度大的问题，从而实现快速、准确地识别出ICMP隧道中所传输的异常ICMP数据，进而对相应的业务请求端和业务响应端执行相应的异常管控。
附图说明
[0020]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0021]图1为本专利技术实施例提供的ICMP隧道传输数据的异常检测方法的第一种流程示意图；
[0022]图2为本专利技术实施例提供的ICMP隧道传输数据的异常检测方法的第二种流程示意图；
[0023]图3为本专利技术实施例提供的ICMP隧道传输数据的异常检测方法的第三种流程示意图；
[0024]图4为本专利技术实施例提供的ICMP隧道传输数据的异常检测方法的第四种流程示意图；
[0025]图5为本专利技术实施例提供的ICMP隧道传输数据的异常检测装置的模块组成示意图；
[0026]图6为本专利技术实施例提供的计算机设备的结构示意图。
具体实施方式
[0027]为了使本
的人员更好本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种ICMP隧道传输数据的异常检测方法，其特征在于，包括：获取当前在ICMP隧道中传输的待检测ICMP数据包，其中，所述待检测ICMP数据包包括：由业务请求端传输至业务响应端的基于ICMP协议的第一数据包、以及由业务响应端返回至业务请求端的基于ICMP协议的第二数据包；利用预先训练好的第一交互频率识别模型，基于所述待检测ICMP数据包，对所述业务请求端进行交互频率异常识别，得到第一异常识别结果；根据所述第一异常识别结果，确定所述待检测ICMP数据包是否为异常ICMP数据包；若判断结果为是，则对所述业务请求端执行相应的异常控制处理。2.根据权利要求1所述的方法，其特征在于，所述根据所述第一异常识别结果，确定所述待检测ICMP数据包是否为异常ICMP数据包，包括：根据所述第一异常识别结果，判断所述业务请求端的实际交互频率是否满足第一交互频率异常条件；若判断结果为是，则利用预先训练好的数据特征识别模型，对所述待检测ICMP数据包进行特征异常识别，得到第二异常识别结果；根据所述第二异常识别结果，确定所述待检测ICMP数据包是否为异常ICMP数据包。3.根据权利要求2所述的方法，其特征在于，在确定所述业务请求端的实际交互频率满足第一交互频率异常条件之后，还包括：利用预先训练好的第二交互频率识别模型，基于所述待检测ICMP数据包，对所述业务响应端进行交互频率异常识别，得到第三异常识别结果；根据所述第三异常识别结果，判断所述业务响应端的实际交互频率是否满足第二交互频率异常条件；若判断结果为是，则确定与所述业务响应端进行ICMP数据包交互的至少一个关联请求端，并获取各所述关联请求端的关联ICMP数据包；利用预先训练好的所述第一交互频率识别模型，基于所述关联ICMP数据包，对所述关联请求端进行异常识别，得到第四异常识别结果；根据所述第四异常识别结果，确定所述关联请求端是否为异常业务请求端；若判断结果为是，则对所述关联请求端执行相应的异常控制处理。4.根据权利要求1所述的方法，其特征在于，所述利用预先训练好的第一交互频率识别模型，基于所述待检测ICMP数据包，对所述业务请求端进行交互频率异常识别，得到第一异常识别结果，包括：利用预先训练好的第一交互频率识别模型，基于所述待检测ICMP数据包，确定所述业务请求端的类型信息、实际交互频率、数据传输时间信息；以及，利用所述第一交互频率识别模型，基于所述类型信息和所述数据传输时间信息，确定所述业务请求端对应的交互频率异常区间；以及，根据所述业务请求端的所述实际交互频率与所述交互频率异常区间的比对结果，得到第一异常识别结果。5.根据权利要求3所述的方法，其特征在于，所述第一交互频率识别模型和所述第二交互频率识别模型是通过如下方式训练得到的：对预设历史时间段内的历史ICMP数据包进行解码处理，得到各所述历史ICMP数据包对
应的字段属性内容；按照业务请求端和业务响...

【专利技术属性】
技术研发人员：孙际勇，郝建忠，吕汉鑫，李彬，李金生，徐家俊，付为民，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：