CN111988309B - 一种icmp隐蔽隧道检测方法及系统 - Google Patents

Abstract

本发明提供ICMP隐蔽隧道检测方法及系统，方法包括以下步骤：接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；根据所述全局字典检测是否存在ICMP隐蔽隧道异常。该方法容易部署、性能消耗低、检测耗时少，能够准确检测出网络环境中的ICMP隐蔽隧道，检测精度高。

Description

一种ICMP隐蔽隧道检测方法及系统

技术领域

本发明属于网络安全技术领域，具体涉及一种ICMP隐蔽隧道检测方法及系统。

背景技术

互联网控制消息协议(Internet Control Message Protocol，ICMP)是互联网协议族的核心协议之一，它用于网际协议(IP)中发送控制消息，提供可能发生在通信环境中各种问题的反馈，它一般不作为两点间数据传递，但对两点间数据传递起着重要作用。

ICMP协议主要有探测目标主机是否存在、是否可达、传输报文是否超时、获取主机之间一次传输的时间等功能。在ICMP协议中，利用类型(Type)与代码(Code)值可以区分不同类型的功能，目前ICMP消息类型大约有10多种。比如，1)目标不可到达报文(Type为3)可以用来检测路由器或主机是否能传递数据报文，例如，我们要连接对方一个不存在的系统端口(端口号小于1024)时，将返回Type为3、Code为3的ICMP报文，从而可以让发送方放弃连接，常见的不可到达类型还有网络不可到达(Code为0)、主机不可到达(Code为1)、协议不可到达(Code为2)等。2)时间戳请求报文(Type为13)和时间戳应答报文(Type为14)用于测试两台主机之间数据报来回一次的传输时间，传输时主机填充原始时间戳，接收方收到请求后填充接收时间戳并以Type为14的报文格式返回，从而发送方可以计算出这个时间差，但是有些系统并不响应时间戳请求和应答这种报文。3)请求与应答，(请求Type为8，应答Type为0)，是指一台主机往另一台设备发送一个Type为8的ICMP报文，如果途中没有异常(例如被路由器丢弃、目标不回应ICMP或传输失败)，则目标应答Type为0的ICMP报文，说明这台设备存在。在实际网络环境中，开发者或运维人员在排查网络环境问题时，高频使用ping或者traceroute命令来检测网络是否畅通，因此，绝大部分网络环境的防火墙默认开放此协议，正是因为ICMP协议可以穿透防火墙，所以ICMP协议可以被不法分子利用来传输数据。

ICMP隐蔽隧道是指改变ICMP协议默认填充的Data属性值(通常也称为有效载荷payload)，即替换成需要传输的数据。一般情况下，ICMP隐蔽隧道会将数据封装到EchoRequest/Reply等消息类型报文的Data属性中，旨在利用ICMP协议穿透防火墙的检测，从而达到传输数据、指令等非法行为的目的。

在现有技术中，基于完全禁用ICMP协议的方法，该方法会导致检查网络问题的ping、traceroute等命令失效，在现实网络环境中，方法很难实施部署。基于ICMP数据包内容是否符合ICMP协议规范和请求评议标准的方法，该方法的缺点有：性能消耗大，对检测设备的性能要求高，很多ICMP通信并不严格遵守ICMP协议规范和RFC标准，检测结果准确率低。基于内容杂乱并且根据相应的目标传输标识所对应的请求内容和响应内容的统计数据来判断是否存在ICMP隐蔽隧道的方法，需要提取出每一条类型为Request和Reply的流量数据的内容，比较内容是否杂乱、计算传输标识对应的统计数据等一系列操作，该方法较复杂，特别是在流量大的网络环境下，检测模块耗时高。

发明内容

针对现有技术中的缺陷，本发明提供一种ICMP隐蔽隧道检测方法及系统，容易部署，性能消耗低，检测耗时少，检测精度高。

第一方面，一种ICMP隐蔽隧道检测方法，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；

对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；

当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；

根据所述全局字典检测是否存在ICMP隐蔽隧道异常。

优选地，所述对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据具体包括：

提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据。

优选地，所述过滤规则包括以下一种或几种规则的组合：

payload值为空值；

payload值为预设的固定填充数据；

payload值中包含预设的字符串；

payload值的信息熵小于预设的最小信息熵；

payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数。

优选地，所述全局字典用于记录同一个源IP下各payload值出现的频率。

优选地，所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常具体包括：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；

在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；

如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

优选地，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。

优选地，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的源IP关联到对应物理设备的网络接入点，供网络接入点的网络设备向物理设备下发断网措施，用于隔离该物理设备与网络；

生成告警信息发送给对应的管理终端。

第二方面，一种ICMP隐蔽隧道检测系统，包括：

镜像流量服务器：用于在网络汇聚层中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条消息类型为Request的ICMP流量；对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；根据所述全局字典检测是否存在ICMP隐蔽隧道异常。

优选地，所述检测设备具体用于：提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据；

所述过滤规则包括以下一种或几种规则的组合：

payload值为空值；

payload值为预设的固定填充数据；

payload值中包含预设的字符串；

payload值的信息熵小于预设的最小信息熵；

payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数。

优选地，所述全局字典用于记录同一个源IP下各payload值出现的频率；

所述检测设备具体用于：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

由上述技术方案可知，本发明提供的ICMP隐蔽隧道检测方法及系统，从镜像流量服务器中周期性地获取消息类型为Request的ICMP流量，提取每一个ICMP流量中的payload属性值，过滤掉正常的ICMP流量，根据过滤后的ICMP流量判断是否存在ICMP隐蔽隧道异常。该方法容易部署、性能消耗低、检测耗时少，能够准确检测出网络环境中的ICMP隐蔽隧道，检测精度高。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1为实施例一提供的ICMP隐蔽隧道检测方法的流程图。

图2为实施例三提供的ICMP隐蔽隧道检测系统的架构图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只作为示例，而不能以此来限制本发明的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

实施例一：

一种ICMP隐蔽隧道检测方法，参见图1，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；

具体地，该方法可以设置读取周期(例如5分钟)，当读取周期到达时，读取由镜像流量服务器在读取周期内采集的ICMP流量构成的原始流量包(即原始pcap包)。镜像流量服务器可以实时采集网络汇聚层中的ICMP流量。

对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；具体包括：提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据。

具体地，例如提取每条ICMP流量的发包时间time、源IP和payload值，构成三元组数据(time，ip，payload)。

当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；

具体地，由于在真实的网络环境实验中，正常使用ICMP协议的功能会存在如下现象：1)有效载荷payload为固定填充值，如一定数量的“XXXX”字符串。2)有效载荷payload中相邻字符ASCII间隔差值小(间隔差为0或者为1)的出现次数占字符总长比值大。如字符串“abcdefghijklmnopqrstuvwabcdefghi”,相邻两个字符的ASCII间隔差除’a’与’w’相差-22之外，其余间隔差为1，在该字符串中，出现相邻字符间隔差为1的次数为30次，字符串总长度为32，其比值为30/32＝0.9735，当预设值设置为0.6时，由于0.9735大于0.6，所以过滤该三元组数据。3)有效载荷payload中包含特殊或可识别的字符串，如“Data Buffer”或“…ping test…”。4)payload信息熵低等现象，其中最小信息熵可以设置为2.5。5)同一payload会重复多次发送，如ping命令在window环境中会尝试四次，linux环境中会尝试多次。所以，该方法在检测ICMP隐蔽隧道异常行为时，将包含正常payload的ICMP流量(例如包含固定填充、信息熵低、有规律可循的payload的)过滤掉，能够提高检测系统的检测吞吐量，在一定程度上提高了检测准确率。

根据所述全局字典检测是否存在ICMP隐蔽隧道异常。

从镜像流量服务器中周期性地获取消息类型为Request的ICMP流量，提取每一个ICMP流量中的payload属性值，过滤掉正常的ICMP流量，根据过滤后的ICMP流量判断是否存在ICMP隐蔽隧道异常。该方法容易部署、性能消耗低、检测耗时少，能够准确检测出网络环境中的ICMP隐蔽隧道，检测精度高。

优选地，所述过滤规则包括以下一种或几种规则的组合：

payload值为空值；

payload值为预设的固定填充数据；

payload值中包含预设的字符串；

payload值的信息熵小于预设的最小信息熵；

payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数。

具体地，该方法在对三元组数据进行过滤时，只要三元组数据中的payload值符合以上任意一条规则时，将该三元组数据过滤掉。

实施例二：

实施例二在实施例一的基础上，增加了以下内容：

所述全局字典用于记录同一个源IP下各payload值出现的频率。

具体地，全局字典用于记录源IP和其payload值出现的频率，例如全局字典以“源IP+payload值”组合的字符串作为key值，以payload值出现的频率frequent作为value值。例如当该源IP的payload值第一次出现时，频率frequent设为1，如果该源IP的payload值第二次出现时，频率frequent增加1。

优选地，所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常具体包括：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；

在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；

如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

具体地，该方法在将所有三元组数据遍历完后，在全局字典F中，筛选出value即frequent值为1的三元组数据，将三元组数据中的所有key值(“源IP_-_payload”)按字符“_-_”进行分割，将payload值以源IP进行分组汇总，最后把同一分组内的payload值长度进行累加，得到该源IP的payload值总长度，如果payload值总长度小于等于字符长度阈值(一般设置为5000)时，则认为该源IP不存在ICMP隐蔽隧道异常，否则该源IP存在ICMP隐蔽隧道异常。

优选地，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。

将ICMP隐蔽隧道异常的源IP关联到对应物理设备的网络接入点，供网络接入点的网络设备向物理设备下发断网措施，用于隔离该物理设备与网络；

生成告警信息发送给对应的管理终端。

具体地，当源IP存在ICMP隐蔽隧道异常时，将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。用户可以查看ICMP隐蔽隧道通信过程，向用户展示ICMP隐蔽隧道攻击过程，方便用户溯源，保存证据。例如当原始流量包A中的ICMP流量B存在ICMP隐蔽隧道异常时，标记原始流量包A异常。

该方法也可利用源IP关联到对应物理设备的网络接入点，让网络接入点的网络设备对物理设备下发断网措施，最终将物理设备与网络隔离，能够及时隔离异常设备，从而将风险降低到最小。同时将告警信息发送给管理员，管理员可以采取进一步的管理措施。

本发明实施例所提供的方法，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例三：

一种ICMP隐蔽隧道检测系统，参见图2，包括：

镜像流量服务器：用于在网络汇聚层中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条消息类型为Request的ICMP流量；对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；根据所述全局字典检测是否存在ICMP隐蔽隧道异常。

具体地，图2为一个小型的网络环境，在网络环境中，有终端设备PC、路由器等网络设备、镜像流量服务器、防火墙等硬件设施。镜像流量服务器作为数据采集部分，检测设备作为检测部分，最后输出的异常原始流量包和异常IP可以作为结果进行展示。

该系统部署简单，只需要在网络汇聚层处部署一台镜像流量服务器来实时捕获网络中的ICMP流量。检测设备周期性地从镜像服务器上获得消息类型为Echo Request的检测设备，过滤掉正常的三元组数据，根据剩余的三元组数据检测是否存在ICMP隐蔽隧道异常。

优选地，所述检测设备具体用于：提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据；

所述过滤规则包括以下一种或几种规则的组合：

payload值为空值；

payload值为预设的固定填充数据；

payload值中包含预设的字符串；

payload值的信息熵小于预设的最小信息熵；

payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数。

优选地，所述全局字典用于记录同一个源IP下各payload值出现的频率；

所述检测设备具体用于：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

优选地，所述检测设备还用于：

将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。

优选地，所述检测设备还用于：

将ICMP隐蔽隧道异常的源IP关联到对应物理设备的网络接入点，供网络接入点的网络设备向物理设备下发断网措施，用于隔离该物理设备与网络；

生成告警信息发送给对应的管理终端。

该系统从镜像流量服务器中周期性地获取消息类型为Request的ICMP流量，提取每一个ICMP流量中的payload属性值，过滤掉正常的ICMP流量，根据过滤后的ICMP流量判断是否存在ICMP隐蔽隧道异常。该方法容易部署、性能消耗低、检测耗时少，能够准确检测出网络环境中的ICMP隐蔽隧道，检测精度高。

本发明实施例所提供的系统，为简要描述，实施例部分未提及之处，可参考前述方法实施例中相应内容。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。

Claims (6)

1.一种ICMP隐蔽隧道检测方法，其特征在于，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；

对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；

当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；所述过滤规则包括以下一种或几种规则的组合：payload值为空值；payload值为预设的固定填充数据；payload值中包含预设的字符串；payload值的信息熵小于预设的最小信息熵；payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数；所述对三元组数据进行过滤具体包括：当三元组数据中的payload值符合任意一条所述过滤规则时，将所述三元组数据过滤掉；

根据所述全局字典检测是否存在ICMP隐蔽隧道异常；所述全局字典用于记录同一个源IP下各payload值出现的频率；

所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常具体包括：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；

在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；

如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

2.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，所述对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据具体包括：

提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据。

3.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。

4.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的源IP关联到对应物理设备的网络接入点，供网络接入点的网络设备向物理设备下发断网措施，用于隔离该物理设备与网络；

生成告警信息发送给对应的管理终端。

5.一种ICMP隐蔽隧道检测系统，其特征在于，包括：

镜像流量服务器：用于在网络汇聚层中采集原始流量包，并将采集到的原始流量包发送给检测设备；

检测设备：用于接收所述原始流量包，原始流量包中包括多条消息类型为Request的ICMP流量；对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；根据所述全局字典检测是否存在ICMP隐蔽隧道异常；

所述过滤规则包括以下一种或几种规则的组合：

payload值为空值；

payload值为预设的固定填充数据；

payload值中包含预设的字符串；

payload值的信息熵小于预设的最小信息熵；

payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数；

所述对三元组数据进行过滤具体包括：当三元组数据中的payload值符合任意一条所述过滤规则时，将所述三元组数据过滤掉；

所述全局字典用于记录同一个源IP下各payload值出现的频率；

所述检测设备具体用于：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

6.根据权利要求5所述ICMP隐蔽隧道检测系统，其特征在于，

所述检测设备具体用于：提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据。

Images