CN112491662A - 一种icmp隐蔽隧道检测方法及装置 - Google Patents
一种icmp隐蔽隧道检测方法及装置 Download PDFInfo
- Publication number
- CN112491662A CN112491662A CN202011460494.3A CN202011460494A CN112491662A CN 112491662 A CN112491662 A CN 112491662A CN 202011460494 A CN202011460494 A CN 202011460494A CN 112491662 A CN112491662 A CN 112491662A
- Authority
- CN
- China
- Prior art keywords
- icmp
- data
- tunnel
- load
- length
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种ICMP隐蔽隧道检测方法及装置涉及信息技术领域。本发明由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;本发明采用基于统计综合分析的方法对ICMP隧道进行检测,对机器性能要求不高,能极大降低ICMP隧道误判比率。
Description
技术领域
本发明涉及信息技术领域。
背景技术
ICMP,Internet Control Message Protocol,即Internet控制报文协议。它是TCP/IP协议簇的一个子协议,用于在IP主机、路由器之间传递控制消息。在企业中,经常会使用ICMP协议测试网络连通状态.所以在很多情况下防火墙默认不会拦截,利用这点,黑客可以通过ICMP协议穿透防火墙与外界进行非法通信,实现诸如远程控制、文件传输等操作。
传统的检测方法一般通过检查ICMP内容数据和长度,是否符合ICMP协议标准,费时费力,对设备性能要求高,且误报率较高。
现有技术说明
Payload即负载,在计算机科学与电信领域,负载Payload是数据传输中所欲传输的实际信息,通常也被称作实际数据或者数据体。不同于负载的信头与元数据,称为开销数据,仅用于辅助数据传输。在计算机病毒或电脑蠕虫领域中,负载指的是进行有害操作的部分,例如:数据销毁、发送垃圾邮件等。
发明内容
鉴于现有技术的不足,本发明提供的一种ICMP隐蔽隧道检测方法及装置由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;
由ICMP流量采集器从路由设备采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器将ICMP流量表发送给ICMP数据分组器;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;由ICMP数据分组器统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器将ICMP数据组发送给ICMP数据负载长度判断器;
由ICMP数据负载长度判断器统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器将疑似通道数据组发送给ICMP特征码提取器;
由ICMP特征码提取器提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器;
由隧道概率判断器计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器;
由请求包与应答包对比器对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器输出请求包和应答包不同的ICMP数据为ICMP隧道数据组。
有益效果
本发明采用基于统计综合分析的方法对ICMP隧道进行检测,对机器性能要求不高,能极大降低ICMP隧道误判比率。
附图说明
图1是本发明的系统结构图。
具体实施方式
参看图1实现本发明提供的一种ICMP隐蔽隧道检测方法及装置由ICMP流量采集器1、ICMP数据分组器2、ICMP数据负载长度判断器3、ICMP特征码提取器4、隧道概率判断器5和请求包与应答包对比器6组成;
由ICMP流量采集器1从路由设备A采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器1将ICMP流量表发送给ICMP数据分组器2;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器2将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;正常ICMP数据每秒发送的数据包个数不会超过两个数据包,而ICMP隧道每秒发送的数据包个数很多,在短时间会发送成百上千个ICMP数据;由ICMP数据分组器2统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器2将ICMP数据组发送给ICMP数据负载长度判断器3;
由于操作系统默认ICMP数据大小为32字节和56字节两种长度,而ICMP隧道的数据包中负载的长度可以是任意大小的原理;由ICMP数据负载长度判断器3统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器3将疑似通道数据组发送给ICMP特征码提取器4;
由于操作系统默认ICMP数据的负载为固定内容,windows操作系统下ICMP数据的负载内容为abcdefghijklmnopqrstuvwabcdefghi,linux操作系统下ICMP数据的负载内容为$!"#$%&'()*+,-./01234567,当指定ICMP发送的数据长度时,ICMP数据的负载呈现为不断重复的固定字符串;由ICMP特征码提取器4提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器4计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器4将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器5;
由隧道概率判断器5计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器5将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器6;
正常的情况下ICMP数据请求包与应答包中的数据包是一致的,而ICMP隧道的请求数据包与应答可以相同,也可以不相同;由请求包与应答包对比器6对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器6输出请求包和应答包不同的ICMP数据为ICMP隧道数据组60。
Claims (1)
1.一种ICMP隐蔽隧道检测装置,其特征在于由ICMP流量采集器、ICMP数据分组器、ICMP数据负载长度判断器、ICMP特征码提取器、隧道概率判断器和请求包与应答包对比器组成;
由ICMP流量采集器从路由设备采集原始的网络流量,并将原始的网络流量中的ICMP流量记录到ICMP流量表,ICMP流量表每60秒更新一次;ICMP流量采集器将ICMP流量表发送给ICMP数据分组器;ICMP流量表记录每条ICMP数据记录的信息包括:源ip、目的ip、请求类型和负载;
ICMP数据分组器将ICMP流量表中源ip和目的ip相同的ICMP数据分到同一个ICMP数据组;由ICMP数据分组器统计ICMP数据组中ICMP数据的总数,当ICMP数据组中ICMP数据的总数大于100时,ICMP数据分组器将ICMP数据组发送给ICMP数据负载长度判断器;
由ICMP数据负载长度判断器统计ICMP数据组中ICMP数据的长度,并将ICMP数据组中负载长度不是32字节和56字节的ICMP数据组合生成疑似通道数据组,ICMP数据负载长度判断器将疑似通道数据组发送给ICMP特征码提取器;
由ICMP特征码提取器提取疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数,特征码有两个分别是字符串abcdefghijklmnopqrstuvwabcdefghi和字符串$!"#$%&'()*+,-./01234567;ICMP特征码提取器计算疑似通道数据组中的每条ICMP数据的负载内容的长度,长度单位为字节;ICMP特征码提取器将疑似通道数据组中的每条ICMP数据的负载内容的长度和疑似通道数据组中的每条ICMP数据的负载内容符合特征码的个数发送给隧道概率判断器;
由隧道概率判断器计算疑似通道数据组中的每条ICMP数据作为ICMP隧道数据的概率,ICMP隧道数据的概率=(ICMP数据的负载内容符合特征码的个数乘以4)除以ICMP数据的负载内容的长度,隧道概率判断器将ICMP隧道数据的概率大于0.9的ICMP数据发送给请求包与应答包对比器;
由请求包与应答包对比器对ICMP数据的请求包和应答包进行比对,当ICMP数据的请求包和应答包不同时,请求包与应答包对比器输出请求包和应答包不同的ICMP数据为ICMP隧道数据组。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011460494.3A CN112491662A (zh) | 2020-12-14 | 2020-12-14 | 一种icmp隐蔽隧道检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011460494.3A CN112491662A (zh) | 2020-12-14 | 2020-12-14 | 一种icmp隐蔽隧道检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112491662A true CN112491662A (zh) | 2021-03-12 |
Family
ID=74916785
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011460494.3A Pending CN112491662A (zh) | 2020-12-14 | 2020-12-14 | 一种icmp隐蔽隧道检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112491662A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364793A (zh) * | 2021-06-17 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种icmp隐蔽隧道检测方法、装置及存储介质 |
CN115174265A (zh) * | 2022-08-03 | 2022-10-11 | 上海欣诺通信技术股份有限公司 | 一种基于流量特征的icmp隐蔽隧道检测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060031928A1 (en) * | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN110324210A (zh) * | 2019-08-06 | 2019-10-11 | 杭州安恒信息技术股份有限公司 | 基于icmp协议进行隐蔽信道通信的检测方法及装置 |
CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
-
2020
- 2020-12-14 CN CN202011460494.3A patent/CN112491662A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060031928A1 (en) * | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
CN107733851A (zh) * | 2017-08-23 | 2018-02-23 | 刘胜利 | 基于通信行为分析的dns隧道木马检测方法 |
CN110324210A (zh) * | 2019-08-06 | 2019-10-11 | 杭州安恒信息技术股份有限公司 | 基于icmp协议进行隐蔽信道通信的检测方法及装置 |
CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
Non-Patent Citations (1)
Title |
---|
李抒霞等: ""基于SVM的ICMP网络存储隐蔽信道检测"", 《信息安全研究》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364793A (zh) * | 2021-06-17 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种icmp隐蔽隧道检测方法、装置及存储介质 |
CN115174265A (zh) * | 2022-08-03 | 2022-10-11 | 上海欣诺通信技术股份有限公司 | 一种基于流量特征的icmp隐蔽隧道检测方法 |
CN115174265B (zh) * | 2022-08-03 | 2024-01-30 | 上海欣诺通信技术股份有限公司 | 一种基于流量特征的icmp隐蔽隧道检测方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057420B2 (en) | Detection of malware and malicious applications | |
CN106034056B (zh) | 一种业务安全分析的方法和系统 | |
CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn系统的工作方法 | |
US9848004B2 (en) | Methods and systems for internet protocol (IP) packet header collection and storage | |
US7623466B2 (en) | Symmetric connection detection | |
JP4759389B2 (ja) | パケット通信装置 | |
US7903566B2 (en) | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data | |
CN112311789B (zh) | 深度报文处理方法、装置、电子设备及存储介质 | |
US7995496B2 (en) | Methods and systems for internet protocol (IP) traffic conversation detection and storage | |
US20070204060A1 (en) | Network control apparatus and network control method | |
CN110198293B (zh) | 服务器的攻击防护方法、装置、存储介质和电子装置 | |
CN112039904A (zh) | 一种网络流量分析与文件提取系统及方法 | |
US20020144156A1 (en) | Network port profiling | |
US8762515B2 (en) | Methods and systems for collection, tracking, and display of near real time multicast data | |
CN106603326B (zh) | 基于异常反馈的NetFlow采样处理方法 | |
US20100050262A1 (en) | Methods and systems for automated detection and tracking of network attacks | |
JP2009510815A (ja) | サーチ前のパケットのリアセンブル方法及びシステム | |
JP2006279930A (ja) | 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置 | |
CN103795709A (zh) | 一种网络安全检测方法和系统 | |
KR20160019397A (ko) | 네트워크 통신을 분석하기 위해 메타데이터를 추출 및 보존하기 위한 시스템 및 방법 | |
CN112491662A (zh) | 一种icmp隐蔽隧道检测方法及装置 | |
US20170295193A1 (en) | Adaptive anomaly context description | |
JP7079721B2 (ja) | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 | |
CN107666486A (zh) | 一种基于报文协议特征的网络数据流恢复方法及系统 | |
CN110691007A (zh) | 一种精确测量quic连接丢包率的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20210312 |
|
WD01 | Invention patent application deemed withdrawn after publication |