CN112491662A - 一种icmp隐蔽隧道检测方法及装置 - Google Patents

一种icmp隐蔽隧道检测方法及装置 Download PDF

Info

Publication number
CN112491662A
CN112491662A CN202011460494.3A CN202011460494A CN112491662A CN 112491662 A CN112491662 A CN 112491662A CN 202011460494 A CN202011460494 A CN 202011460494A CN 112491662 A CN112491662 A CN 112491662A
Authority
CN
China
Prior art keywords
icmp
data
tunnel
load
length
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011460494.3A
Other languages
English (en)
Inventor
林飞
赵光宗
易永波
古元
乔伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Act Technology Development Co ltd
Original Assignee
Beijing Act Technology Development Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Act Technology Development Co ltd filed Critical Beijing Act Technology Development Co ltd
Priority to CN202011460494.3A priority Critical patent/CN112491662A/zh
Publication of CN112491662A publication Critical patent/CN112491662A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种ICMP隐蔽隧道检测方法及装置涉及信息技术领域。本发明由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;本发明采用基于统计综合分析的方法对ICMP隧道进行检测,对机器性能要求不高,能极大降低ICMP隧道误判比率。

Description

一种ICMP隐蔽隧道检测方法及装置
技术领域
本发明涉及信息技术领域。
背景技术
ICMP,Internet Control Message Protocol,即Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。在企业中,经常会使用ICMP协议测试网络连通状态.所以在很多情况下防火墙默认不会拦截,利用这点,黑客可以通过ICMP协议穿透防火墙与外界进行非法通信,实现诸如远程控制、文件传输等操作。
传统的检测方法一般通过检查ICMP内容数据和长度,是否符合ICMP协议标准,费时费力,对设备性能要求高,且误报率较高。
现有技术说明
Payload即负载,在计算机科学与电信领域,负载Payload是数据传输中所欲传输的实际信息,通常也被称作实际数据或者数据体。不同于负载的信头与元数据,称为开销数据,仅用于辅助数据传输。在计算机病毒或电脑蠕虫领域中,负载指的是进行有害操作的部分,例如:数据销毁、发送垃圾邮件等。
发明内容
鉴于现有技术的不足,本发明提供的一种ICMP隐蔽隧道检测方法及装置由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;
由ICMP流量采集器从路由设备采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器将ICMP流量表发送给ICMP数据分组器;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;由ICMP数据分组器统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器将ICMP数据组发送给ICMP数据负载长度判断器;
由ICMP数据负载长度判断器统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器将疑似通道数据组发送给ICMP特征码提取器;
由ICMP特征码提取器提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器;
由隧道概率判断器计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器;
由请求包与应答包对比器对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器输出请求包和应答包不同的ICMP数据为ICMP隧道数据组。
有益效果
本发明采用基于统计综合分析的方法对ICMP隧道进行检测,对机器性能要求不高,能极大降低ICMP隧道误判比率。
附图说明
图1是本发明的系统结构图。
具体实施方式
参看图1实现本发明提供的一种ICMP隐蔽隧道检测方法及装置由ICMP流量采集器1、ICMP数据分组器2、ICMP数据负载长度判断器3、ICMP特征码提取器4、隧道概率判断器5和请求包与应答包对比器6组成;
由ICMP流量采集器1从路由设备A采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器1将ICMP流量表发送给ICMP数据分组器2;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器2将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;正常ICMP数据每秒发送的数据包个数不会超过两个数据包,而ICMP隧道每秒发送的数据包个数很多,在短时间会发送成百上千个ICMP数据;由ICMP数据分组器2统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器2将ICMP数据组发送给ICMP数据负载长度判断器3;
由于操作系统默认ICMP数据大小为32字节和56字节两种长度,而ICMP隧道的数据包中负载的长度可以是任意大小的原理;由ICMP数据负载长度判断器3统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器3将疑似通道数据组发送给ICMP特征码提取器4;
由于操作系统默认ICMP数据的负载为固定内容,windows操作系统下ICMP数据的负载内容为abcdefghijklmnopqrstuvwabcdefghi,linux操作系统下ICMP数据的负载内容为$!"#$%&'()*+,-./01234567,当指定ICMP发送的数据长度时,ICMP数据的负载呈现为不断重复的固定字符串;由ICMP特征码提取器4提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器4计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器4将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器5;
由隧道概率判断器5计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器5将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器6;
正常的情况下ICMP数据请求包与应答包中的数据包是一致的,而ICMP隧道的请求数据包与应答可以相同,也可以不相同;由请求包与应答包对比器6对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器6输出请求包和应答包不同的ICMP数据为ICMP隧道数据组60。

Claims (1)

1.一种ICMP隐蔽隧道检测装置,其特征在于由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;
由ICMP流量采集器从路由设备采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器将ICMP流量表发送给ICMP数据分组器;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;由ICMP数据分组器统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器将ICMP数据组发送给ICMP数据负载长度判断器;
由ICMP数据负载长度判断器统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器将疑似通道数据组发送给ICMP特征码提取器;
由ICMP特征码提取器提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器;
由隧道概率判断器计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器;
由请求包与应答包对比器对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器输出请求包和应答包不同的ICMP数据为ICMP隧道数据组。
CN202011460494.3A 2020-12-14 2020-12-14 一种icmp隐蔽隧道检测方法及装置 Pending CN112491662A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011460494.3A CN112491662A (zh) 2020-12-14 2020-12-14 一种icmp隐蔽隧道检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011460494.3A CN112491662A (zh) 2020-12-14 2020-12-14 一种icmp隐蔽隧道检测方法及装置

Publications (1)

Publication Number Publication Date
CN112491662A true CN112491662A (zh) 2021-03-12

Family

ID=74916785

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011460494.3A Pending CN112491662A (zh) 2020-12-14 2020-12-14 一种icmp隐蔽隧道检测方法及装置

Country Status (1)

Country Link
CN (1) CN112491662A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364793A (zh) * 2021-06-17 2021-09-07 北京天融信网络安全技术有限公司 一种icmp隐蔽隧道检测方法、装置及存储介质
CN115174265A (zh) * 2022-08-03 2022-10-11 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031928A1 (en) * 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN110324210A (zh) * 2019-08-06 2019-10-11 杭州安恒信息技术股份有限公司 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN111478920A (zh) * 2020-04-27 2020-07-31 深信服科技股份有限公司 一种隐蔽信道通信检测方法、装置及设备
CN111988309A (zh) * 2020-08-18 2020-11-24 深圳市联软科技股份有限公司 一种icmp隐蔽隧道检测方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060031928A1 (en) * 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
CN107733851A (zh) * 2017-08-23 2018-02-23 刘胜利 基于通信行为分析的dns隧道木马检测方法
CN110324210A (zh) * 2019-08-06 2019-10-11 杭州安恒信息技术股份有限公司 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN111478920A (zh) * 2020-04-27 2020-07-31 深信服科技股份有限公司 一种隐蔽信道通信检测方法、装置及设备
CN111988309A (zh) * 2020-08-18 2020-11-24 深圳市联软科技股份有限公司 一种icmp隐蔽隧道检测方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李抒霞等: ""基于SVM的ICMP网络存储隐蔽信道检测"", 《信息安全研究》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364793A (zh) * 2021-06-17 2021-09-07 北京天融信网络安全技术有限公司 一种icmp隐蔽隧道检测方法、装置及存储介质
CN115174265A (zh) * 2022-08-03 2022-10-11 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法
CN115174265B (zh) * 2022-08-03 2024-01-30 上海欣诺通信技术股份有限公司 一种基于流量特征的icmp隐蔽隧道检测方法

Similar Documents

Publication Publication Date Title
US11057420B2 (en) Detection of malware and malicious applications
CN106034056B (zh) 一种业务安全分析的方法和系统
CN108040057B (zh) 适于保障网络安全、网络通信质量的sdn系统的工作方法
US9848004B2 (en) Methods and systems for internet protocol (IP) packet header collection and storage
US7623466B2 (en) Symmetric connection detection
JP4759389B2 (ja) パケット通信装置
US7903566B2 (en) Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data
CN112311789B (zh) 深度报文处理方法、装置、电子设备及存储介质
US7995496B2 (en) Methods and systems for internet protocol (IP) traffic conversation detection and storage
US20070204060A1 (en) Network control apparatus and network control method
CN110198293B (zh) 服务器的攻击防护方法、装置、存储介质和电子装置
CN112039904A (zh) 一种网络流量分析与文件提取系统及方法
US20020144156A1 (en) Network port profiling
US8762515B2 (en) Methods and systems for collection, tracking, and display of near real time multicast data
CN106603326B (zh) 基于异常反馈的NetFlow采样处理方法
US20100050262A1 (en) Methods and systems for automated detection and tracking of network attacks
JP2009510815A (ja) サーチ前のパケットのリアセンブル方法及びシステム
JP2006279930A (ja) 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
CN103795709A (zh) 一种网络安全检测方法和系统
KR20160019397A (ko) 네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법
CN112491662A (zh) 一种icmp隐蔽隧道检测方法及装置
US20170295193A1 (en) Adaptive anomaly context description
JP7079721B2 (ja) ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法
CN107666486A (zh) 一种基于报文协议特征的网络数据流恢复方法及系统
CN110691007A (zh) 一种精确测量quic连接丢包率的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20210312

WD01 Invention patent application deemed withdrawn after publication