CN112118154A - 基于机器学习的icmp隧道检测方法 - Google Patents

基于机器学习的icmp隧道检测方法 Download PDF

Info

Publication number
CN112118154A
CN112118154A CN202010984137.0A CN202010984137A CN112118154A CN 112118154 A CN112118154 A CN 112118154A CN 202010984137 A CN202010984137 A CN 202010984137A CN 112118154 A CN112118154 A CN 112118154A
Authority
CN
China
Prior art keywords
data
icmp
detected
machine learning
tunnel detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010984137.0A
Other languages
English (en)
Inventor
徐钟豪
谢忱
陈伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Douxiang Information Technology Co ltd
Original Assignee
Shanghai Douxiang Information Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Douxiang Information Technology Co ltd filed Critical Shanghai Douxiang Information Technology Co ltd
Priority to CN202010984137.0A priority Critical patent/CN112118154A/zh
Publication of CN112118154A publication Critical patent/CN112118154A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Evolutionary Computation (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种基于机器学习的ICMP隧道检测方法,包括以下步骤:建立ICMP隧道检测模型;获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;对所述待检测数据进行预处理;对所述待检测数据进行分组操作;对所述待检测数据做特征工程处理,提取待检测特征;将所述待检测特征规范化处理;将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;将检测结果返回到前端界面进行展示。本发明通过对单位时间段内主机产生的ICMP数据包进行分析,并结合ICMP隧道检测模型进行检测,解决了现有技术中ICMP隧道检测过程混乱且复杂、检测误报较高以及检测效率低下等问题,增加了检测的灵活性,降低了维护成本,提高了新变种的检出率。

Description

基于机器学习的ICMP隧道检测方法
技术领域
本发明涉及互联网安全技术领域,特别涉及一种基于机器学习的ICMP隧道检测方法。
背景技术
在企业内网环境中,ICMP协议是必不可少的网络通信协议之一,被用于检测网络连通状态,通常情况下,防火墙会默认放此协议。由于防火墙对ICMP协议开放,恶意攻击者常会利用ICMP协议进行非法通信。例如,在黑客攻击中经常出现的一种情况是:黑客通过某一种方式取得了一台主机的权限,得到了一些文件,比如域Hash和密码文件之类的东西,需要回传至本地进行破解,但是防火墙阻断了由内网发起的请求,只有ICMP协议没有被阻断,而黑客又需要回传文件,这个时候如果黑客可以Ping通远程计算机,就可以尝试建立ICMP隧道,ICMP隧道是将流量封装进Ping数据包中,旨在利用Ping数据穿透防火墙的检测。
现在市面上已经有了很多类似的工具了,比如Icmptunnel、Ptunnel以及Icmpsh等,但是由于ICMP隧道具有隐蔽性高,检测难度大等特点,导致现有技术中的检测工具存在误报较高和效率低下等问题,还由于没有对数据进行分组以区分不同主机所发送的数据导致检测过程混乱且复杂。
因此有必要提供一种基于机器学习的ICMP隧道检测方法,以解决现有技术中检测过程混乱且复杂、检测误报较高以及检测效率低下等问题。
发明内容
本发明的目的在于提供一种基于机器学习的ICMP隧道检测方法,以解决现有技术中检测过程混乱且复杂、检测误报较高以及检测效率低下等问题。
为了解决现有技术中存在的问题,本发明提供了一种基于机器学习的ICMP隧道检测方法,包括以下步骤:
建立ICMP隧道检测模型;
获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;
对所述待检测数据进行预处理;
对所述待检测数据进行分组操作;
对所述待检测数据做特征工程处理,提取待检测特征;
将所述待检测特征规范化处理;
将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;
将检测结果返回到前端界面进行展示。
可选的,在所述基于机器学习的ICMP隧道检测方法中,建立ICMP隧道检测模型包括以下步骤:
生成训练数据,包括正常ICMP流量数据和ICMP隧道流量数据;
从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据,形成训练数据;
对所述训练数据进行预处理;
对所述训练数据进行分组操作;
对所述训练数据做特征工程处理,提取建模特征;
将所述建模特征规范化处理;
采用机器学习算法对规范化后的建模特征做模型训练,形成ICMP隧道检测模型。
可选的,在所述基于机器学习的ICMP隧道检测方法中,通过采用网站搜集和/或自研ICMP数据生成器的方式采集所述正常ICMP流量数据和所述ICMP隧道流量数据。
可选的,在所述基于机器学习的ICMP隧道检测方法中,对所述待检测数据和所述训练数据进行预处理的方式为:
对所述待检测数据和所述训练数据进行清洗和过滤。
可选的,在所述基于机器学习的ICMP隧道检测方法中,对所述待检测数据和所述训练数据进行分组操作包括以下步骤:
获取单位时间段内的数据;
对获取的数据进行分组,分组规则为按照网络会话四元组对所述待检测数据和所述训练数据进行分组。
可选的,在所述基于机器学习的ICMP隧道检测方法中,所述待检测特征和所述建模特征的特征相同,特征包括:
数据发送的时间、数据包的个数、非法Type数据包的个数、数据包中Type为0的个数、数据包中Type为8的个数、数据包中序号的均值、数据包中序号的方差、数据包中不重复的序号的个数、异常长度数据包的个数、异常内容数据包的个数、内容不重复数据包的个数、数据包长度的均值、数据包长度的方差、数据包内容的熵的均值、数据包内容的熵的最大值、数据包内容的熵的最小值以及数据包内容的熵大于0.8的个数。
可选的,在所述基于机器学习的ICMP隧道检测方法中,将所述待检测特征和所述建模特征规范化处理的方式为:
将所有待检测特征和所有建模特征取值规范化到0~1之间。
可选的,在所述基于机器学习的ICMP隧道检测方法中,在将所述待检测特征规范化处理之后,将所述待检测特征导入所述ICMP隧道检测模型之前,还包括以下步骤:
对所述待检测特征进行异常检测过滤。
可选的,在所述基于机器学习的ICMP隧道检测方法中,对所述待检测特征进行异常检测过滤的方式为:
使用孤立森林模型对所述待检测特征做初步过滤,过滤掉正常数据的待检测特征,保留可疑数据的待检测特征。
可选的,在所述基于机器学习的ICMP隧道检测方法中,展示的内容包括检测结果和原始数据;
检测结果展示内容如下:数据包的个数、异常内容数据包的个数、异常长度数据包的个数、非法Type数据包的个数以及数据包内容的熵的均值和方差;
原始数据展示内容如下:时间、访问源、访问目标、可疑度、查询类型、查询序号以及查询应答。
在本发明所提供的基于机器学习的ICMP隧道检测方法中,通过对单位时间段内主机产生的ICMP数据包进行分析,并结合ICMP隧道检测模型进行检测,解决了现有技术中ICMP隧道检测过程混乱且复杂、检测误报较高以及检测效率低下等问题,增加了检测的灵活性,降低了维护成本,提高了新变种的检出率。
附图说明
图1为本发明实施例提供的ICMP隧道检测方法的流程图;
图2为本发明实施例提供的建立ICMP隧道检测模型的流程图。
具体实施方式
下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述,本发明的优点和特征将更清楚。需说明的是,附图均采用非常简化的形式且均使用非精准的比例,仅用以方便、明晰地辅助说明本发明实施例的目的。
在下文中,如果本文所述的方法包括一系列步骤,则本文所呈现的这些步骤的顺序并非必须是可执行这些步骤的唯一顺序,且一些所述的步骤可被省略和/或一些本文未描述的其他步骤可被添加到该方法中。
现在市面上已经存在Icmptunnel、Ptunnel以及Icmpsh等ICMP隧道检测工具,但是由于ICMP隧道具有隐蔽性高,检测难度大等特点,导致现有技术中的检测工具存在误报较高和效率低下等问题,还由于没有对数据进行分组以区分不同主机所发送的数据导致检测过程混乱且复杂。
因此有必要提高一种基于机器学习的ICMP隧道检测方法,如图1所示,图1为本发明实施例提供的ICMP隧道检测方法的流程图,所述ICMP隧道检测方法包括以下步骤:
建立ICMP隧道检测模型;
获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;
对所述待检测数据进行预处理;
对所述待检测数据进行分组操作;
对所述待检测数据做特征工程处理,提取待检测特征;
将所述待检测特征规范化处理;
将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;
将检测结果返回到前端界面进行展示。
本发明通过对单位时间段内主机产生的ICMP数据包进行分析,并结合ICMP隧道检测模型进行检测,解决了现有技术中ICMP隧道检测过程混乱且复杂、检测误报较高以及检测效率低下等问题,增加了检测的灵活性,降低了维护成本,提高了新变种的检出率。
进一步的,在所述基于机器学习的ICMP隧道检测方法中,如图2所示,图2为本发明实施例提供的建立ICMP隧道检测模型的流程图,建立ICMP隧道检测模型包括以下步骤:
生成训练数据,包括正常ICMP流量数据和ICMP隧道流量数据;
从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据,形成训练数据;
对所述训练数据进行预处理;
对所述训练数据进行分组操作;
对所述训练数据做特征工程处理,提取建模特征;
将所述建模特征规范化处理;
采用机器学习算法对规范化后的建模特征做模型训练,形成ICMP隧道检测模型。
具体的,本发明可以通过采用网站搜集和/或自研ICMP数据生成器的方式采集所述正常ICMP流量数据和所述ICMP隧道流量数据,其中自研ICMP数据生成器可以采用Icmptunnel、Ptunnel或Icmpsh等工具;通常情况下,可以采用Icmptunnel、Ptunnel或Icmpsh等工具生成ICMP隧道流量数据,使用Ping命令向国内访问最多的前一万域名发起主动查询请求获取正常ICMP流量数据。
进一步的,还需要从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据,形成训练数据。在一个实施例中,协议解析工具可以为bro或argus等软件工具。
接着,对所述训练数据进行预处理和分组操作,预处理方式为:对所述训练数据进行清洗和过滤,用于去掉异常数据和无效数据,只保留有效的数据;分组操作包括以下步骤:获取单位时间段内的数据;对获取的数据进行分组,分组规则为按照网络会话四元组对所述训练数据进行分组,从而将同一个主机向目标主机发送的数据聚合到一个组,不同主机向目标主机发送的数据分在不同组,解决了现有技术中ICMP隧道检测过程混乱且复杂的问题;具体的,网络会话四元组具体指源IP、目的IP、源端口和目的端口组成的四元组,使用网络会话四元组作为后续的分析单元。
进一步的,将上个步骤得到的网络会话四元组作为分析单元,对每个分析单元提取建模需要的特征,建模特征数量共17个,将提取出的所有特征组成多个17维度特征向量。所述建模特征分为四类,具体特征如下:
第一类特征,数据包的数量特征。正常ICMP流量数据包全天分布比较均匀,单次请求的数据包个数比较少;ICMP隧道流量数据可能会更多的分布在凌晨等时间段,为了传输敏感数据,通常会发送大量的数据包。故具体包含2个特征:(1)数据发送的时间,提取具体的小时作为特征;(2)数据包的个数。
第二类特征,数据包的Type类型特征。正常ICMP流量数据包Type通常为0或者8,ICMP隧道流量数据包可能为一些特殊的值。故具体包含3个特征:(1)非法Type数据包的个数;(2)数据包中Type为0的个数;(3)数据包中Type为8的个数。
第三类特征,数据包的序号特征。正常ICMP流量数据包中的序号是有规律的,为从1开始依次递增的数字,且发送数据包和请求数据包中的序号一样,ICMP隧道流量数据包中的序号可能为一些随机生成的值。故具体包含3个特征:(1)数据包中序号的均值;(2)数据包中序号的方差;(3)数据包中不重复的序号的个数。
第四类特征,数据包的内容特征。正常ICMP流量数据包发送的内容长度通常是固定的,内容也有规律,且发送和请求返回的数据包内容一样。ICMP隧道流量数据包通常会发送大量的数据包,数据包的内容也都不一样。故具体包含9个特征:(1)异常长度数据包的个数;(2)异常内容数据包的个数;(3)内容不重复数据包的个数;(4)数据包长度的均值;(5)数据包长度的方差;(6)数据包内容的熵的均值;(7)数据包内容的熵的最大值;(8)数据包内容的熵的最小值;(9)数据包内容的熵大于0.8的个数。
优选的,因为各个特征量纲不同,取值范围跨度较大,所以需要对建模特征进行规范化处理,将所述建模特征规范化处理的方式为:将所有建模特征取值规范化到0~1之间。
最后,采用机器学习算法对规范化后的建模特征做模型训练,形成ICMP隧道检测模型,并将训练好的ICMP隧道检测模型存储在本地,用于检测时使用。其中,机器学习算法包括但不限于随机森林算法、支持向量机算法以及逻辑回归算法等,算法选取过程可以采用对算法效果进行评估的方法,通过交叉验证各种方法,以选择最优算法。
在所述基于机器学习的ICMP隧道检测方法中,如图1所示,图1为本发明实施例提供的ICMP隧道检测方法的流程图,所述ICMP隧道检测方法如下。
首先,获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据。在一个实施例中,可以使用流量镜像方式获取真实生产环境中待检测ICMP流量数据;协议解析工具可以为bro或argus等软件工具。
然后,对所述待检测数据进行预处理和分组操作,预处理方式为:对所述待检测数据进行清洗和过滤,用于去掉异常数据和无效数据,只保留有效的数据;分组操作包括以下步骤:获取单位时间段内的数据;对获取的数据进行分组,分组规则为按照网络会话四元组对所述待检测数据进行分组,从而将同一个主机向目标主机发送的数据聚合到一个组,不同主机向目标主机发送的数据分在不同组,解决了现有技术中ICMP隧道检测过程混乱且复杂的问题;具体的,网络会话四元组具体指源IP、目的IP、源端口和目的端口组成的四元组,使用网络会话四元组作为后续的分析单元。
接着,对所述待检测数据做特征工程处理,提取待检测特征,所述待检测特征和所述建模特征的特征相同。
优选的,因为各个特征量纲不同,取值范围跨度较大,所以需要对待检测特征进行规范化处理,将所述待检测特征规范化处理的方式为:将所有待检测特征取值规范化到0~1之间。
进一步的,在将所述待检测特征规范化处理之后,将所述待检测特征导入所述ICMP隧道检测模型之前,还包括以下步骤:对所述待检测特征进行异常检测过滤,异常检测过滤的方式为:
使用孤立森林模型对所述待检测特征做初步过滤,过滤掉正常数据的待检测特征,保留可疑数据的待检测特征,以减轻计算量。
接着,加载训练好的基于机器学习算法的ICMP隧道检测模型,将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测,从而识别出原始待检测数据是正常ICMP流量数据还是ICMP隧道流量数据。由于原始待检测数据是以单位时间段内的网络会话四元组为分析单元,因此检测出的正常ICMP流量数据和ICMP隧道流量数据中均包含多条流量数据。
具体的,ICMP隧道检测模型为待检测数据给出检测结果,检测结果为ICMP隧道流量可疑概率P,P取值为0到1,可疑概率P越大表示结果可信赖程度越高。优选的,本发明还可以基于规则对检测结果进行过滤,以减少误报。基于规则对检测结果进行过滤的方式为:(1)当检出待检测数据的可疑概率P小于指定阈值k1时过滤掉;(2)假设检出的ICMP隧道流量数据中包含L条ICMP流量数据,当L小于指定阈值k2时过滤掉。其中k1和k2为先验阈值,可根据安全专家建议设置。
最后,将检测结果返回到前端界面进行展示,展示的内容包括检测结果和原始数据,检测结果的展示用于展示当前检出流量数据的重要特征信息,原始数据的展示用于展示当前检出流量数据原始ICMP协议的内容;
检测结果展示内容如下:(1)数据包的个数、(2)异常内容数据包的个数、(3)异常长度数据包的个数、(4)非法Type数据包的个数以及(5)数据包内容的熵的均值和方差;
原始数据展示内容如下:(1)时间、(2)访问源、(3)访问目标、(4)可疑度、(5)查询类型、(6)查询序号以及(7)查询应答。
综上,在本发明所提供的基于机器学习的ICMP隧道检测方法中,通过对单位时间段内主机产生的ICMP数据包进行分析,并结合ICMP隧道检测模型进行检测,解决了现有技术中ICMP隧道检测过程混乱且复杂、检测误报较高以及检测效率低下等问题,增加了检测的灵活性,降低了维护成本,提高了新变种的检出率。
上述仅为本发明的优选实施例而已,并不对本发明起到任何限制作用。任何所属技术领域的技术人员,在不脱离本发明的技术方案的范围内,对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动,均属未脱离本发明的技术方案的内容,仍属于本发明的保护范围之内。

Claims (10)

1.一种基于机器学习的ICMP隧道检测方法,其特征在于,包括以下步骤:
建立ICMP隧道检测模型;
获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;
对所述待检测数据进行预处理;
对所述待检测数据进行分组操作;
对所述待检测数据做特征工程处理,提取待检测特征;
将所述待检测特征规范化处理;
将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;
将检测结果返回到前端界面进行展示。
2.如权利要求1所述的基于机器学习的ICMP隧道检测方法,其特征在于,建立ICMP隧道检测模型包括以下步骤:
生成训练数据,包括正常ICMP流量数据和ICMP隧道流量数据;
从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据,形成训练数据;
对所述训练数据进行预处理;
对所述训练数据进行分组操作;
对所述训练数据做特征工程处理,提取建模特征;
将所述建模特征规范化处理;
采用机器学习算法对规范化后的建模特征做模型训练,形成ICMP隧道检测模型。
3.如权利要求2所述的基于机器学习的ICMP隧道检测方法,其特征在于,通过采用网站搜集和/或自研ICMP数据生成器的方式采集所述正常ICMP流量数据和所述ICMP隧道流量数据。
4.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,对所述待检测数据和所述训练数据进行预处理的方式为:
对所述待检测数据和所述训练数据进行清洗和过滤。
5.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,对所述待检测数据和所述训练数据进行分组操作包括以下步骤:
获取单位时间段内的数据;
对获取的数据进行分组,分组规则为按照网络会话四元组对所述待检测数据和所述训练数据进行分组。
6.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,所述待检测特征和所述建模特征的特征相同,特征包括:
数据发送的时间、数据包的个数、非法Type数据包的个数、数据包中Type为0的个数、数据包中Type为8的个数、数据包中序号的均值、数据包中序号的方差、数据包中不重复的序号的个数、异常长度数据包的个数、异常内容数据包的个数、内容不重复数据包的个数、数据包长度的均值、数据包长度的方差、数据包内容的熵的均值、数据包内容的熵的最大值、数据包内容的熵的最小值以及数据包内容的熵大于0.8的个数。
7.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法,其特征在于,将所述待检测特征和所述建模特征规范化处理的方式为:
将所有待检测特征和所有建模特征取值规范化到0~1之间。
8.如权利要求1所述的基于机器学习的ICMP隧道检测方法,其特征在于,在将所述待检测特征规范化处理之后,将所述待检测特征导入所述ICMP隧道检测模型之前,还包括以下步骤:
对所述待检测特征进行异常检测过滤。
9.如权利要求8所述的基于机器学习的ICMP隧道检测方法,其特征在于,对所述待检测特征进行异常检测过滤的方式为:
使用孤立森林模型对所述待检测特征做初步过滤,过滤掉正常数据的待检测特征,保留可疑数据的待检测特征。
10.如权利要求1所述的基于机器学习的ICMP隧道检测方法,其特征在于,展示的内容包括检测结果和原始数据;
检测结果展示内容如下:数据包的个数、异常内容数据包的个数、异常长度数据包的个数、非法Type数据包的个数以及数据包内容的熵的均值和方差;
原始数据展示内容如下:时间、访问源、访问目标、可疑度、查询类型、查询序号以及查询应答。
CN202010984137.0A 2020-09-18 2020-09-18 基于机器学习的icmp隧道检测方法 Pending CN112118154A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010984137.0A CN112118154A (zh) 2020-09-18 2020-09-18 基于机器学习的icmp隧道检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010984137.0A CN112118154A (zh) 2020-09-18 2020-09-18 基于机器学习的icmp隧道检测方法

Publications (1)

Publication Number Publication Date
CN112118154A true CN112118154A (zh) 2020-12-22

Family

ID=73800060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010984137.0A Pending CN112118154A (zh) 2020-09-18 2020-09-18 基于机器学习的icmp隧道检测方法

Country Status (1)

Country Link
CN (1) CN112118154A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112929364A (zh) * 2021-02-05 2021-06-08 上海观安信息技术股份有限公司 一种基于icmp隧道分析的数据泄漏检测方法及系统
CN113179278A (zh) * 2021-05-20 2021-07-27 北京天融信网络安全技术有限公司 异常数据包的检测方法及电子设备
CN114124834A (zh) * 2021-10-20 2022-03-01 南京中新赛克科技有限责任公司 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法
CN115174265A (zh) * 2022-08-03 2022-10-11 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090285103A1 (en) * 2006-07-07 2009-11-19 Panasonic Corporation Apparatus for controlling tunneling loop detection
US20110267964A1 (en) * 2008-12-31 2011-11-03 Telecom Italia S.P.A. Anomaly detection for packet-based networks
CN104717108A (zh) * 2015-03-30 2015-06-17 北京邮电大学 基于主动测量和包间隔模型的网络瓶颈带宽测量方法
CN111181986A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 数据安全检测方法、模型训练方法、装置和计算机设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090285103A1 (en) * 2006-07-07 2009-11-19 Panasonic Corporation Apparatus for controlling tunneling loop detection
US20110267964A1 (en) * 2008-12-31 2011-11-03 Telecom Italia S.P.A. Anomaly detection for packet-based networks
CN104717108A (zh) * 2015-03-30 2015-06-17 北京邮电大学 基于主动测量和包间隔模型的网络瓶颈带宽测量方法
CN111181986A (zh) * 2019-12-31 2020-05-19 奇安信科技集团股份有限公司 数据安全检测方法、模型训练方法、装置和计算机设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112929364A (zh) * 2021-02-05 2021-06-08 上海观安信息技术股份有限公司 一种基于icmp隧道分析的数据泄漏检测方法及系统
CN113179278A (zh) * 2021-05-20 2021-07-27 北京天融信网络安全技术有限公司 异常数据包的检测方法及电子设备
CN113179278B (zh) * 2021-05-20 2023-04-18 北京天融信网络安全技术有限公司 异常数据包的检测方法及电子设备
CN114124834A (zh) * 2021-10-20 2022-03-01 南京中新赛克科技有限责任公司 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法
CN114124834B (zh) * 2021-10-20 2024-06-28 南京中新赛克科技有限责任公司 一种工业控制网络内icmp隐蔽隧道检测的集成学习装置及方法
CN115174265A (zh) * 2022-08-03 2022-10-11 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法
CN115174265B (zh) * 2022-08-03 2024-01-30 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法

Similar Documents

Publication Publication Date Title
CN112118154A (zh) 基于机器学习的icmp隧道检测方法
CN109587179B (zh) 一种基于旁路网络全流量的ssh协议行为模式识别与告警方法
JP6714314B2 (ja) 応答のない発信ネットワークトラフィックの解析を介する感染したネットワークデバイスの検出
EP3272096B1 (en) Learned profiles for malicious encrypted network traffic identification
EP3272095B1 (en) Malicious encrypted network traffic identification using fourier transform
CN110602100B (zh) Dns隧道流量的检测方法
EP1490768B1 (en) Adaptive behavioural intrusion detection
US11700269B2 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
US20120255019A1 (en) Method and system for operating system identification in a network based security monitoring solution
CN111818103B (zh) 一种网络靶场中基于流量的溯源攻击路径方法
CN107370752B (zh) 一种高效的远控木马检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
CN117749535B (zh) 一种网络流量异常检测方法及装置
US20150222648A1 (en) Apparatus for analyzing the attack feature dna and method thereof
JP2004312083A (ja) 学習データ作成装置、侵入検知システムおよびプログラム
CN112929364B (zh) 一种基于icmp隧道分析的数据泄漏检测方法及系统
CN115664833A (zh) 基于局域网安全设备的网络劫持检测方法
CN115150181A (zh) 基于精细化统计特征分析的伪造恶意加密流量检测方法
Berthier et al. An evaluation of connection characteristics for separating network attacks
Sqalli et al. Identifying scanning activities in honeynet data using data mining
CN114915442A (zh) 高级持续性威胁攻击检测方法及装置
CN115834097A (zh) 基于多视角的https恶意软件流量检测系统及方法
CN115733633A (zh) 一种检测方法和系统,及存储介质
CN118233180A (zh) 一种基于行为分析和流量检测的异常用户识别方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201222