CN112929364A - 一种基于icmp隧道分析的数据泄漏检测方法及系统 - Google Patents
一种基于icmp隧道分析的数据泄漏检测方法及系统 Download PDFInfo
- Publication number
- CN112929364A CN112929364A CN202110160302.5A CN202110160302A CN112929364A CN 112929364 A CN112929364 A CN 112929364A CN 202110160302 A CN202110160302 A CN 202110160302A CN 112929364 A CN112929364 A CN 112929364A
- Authority
- CN
- China
- Prior art keywords
- data
- icmp
- query
- type
- same
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于ICMP隧道分析的数据泄露检测方法,包括S1.数据接入;S2.数据预处理,抓取ICMP协议中查询类ICMP报文数据;S3.对数据进行分组处理,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;S4.特征抽取,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;S5.异常行为识别,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。本发明通过引入机器学习的方法,以数据为媒介,构造出的具有区分能力的特征,然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为,具备了较高的查全率和查准率,解决了统计分析方法漏报率和误报率较高的问题。
Description
技术领域
本发明及计算机数据安全技术领域,具体来说是一种基于ICMP隧道分析的数据泄漏检测方法及系统。
背景技术
ICMP(Internet Control Messages Protocol,网间控制报文协议)是TCP/IP协议族的子协议,是一种面向无连接的协议。ICMP隧道就是将IP流量封装进ICMP的数据包中,旨在利用ping穿透防火墙的检测,因为通常防火墙是不会屏蔽ping数据包,从而使得内网主机中的数据被泄露。在当下防火墙等防御手段日益完善的背景下,传统socket隧道已极少,TCP、UDP大量被防御系统拦截,DNS、ICMP、http/https等难于禁止的协议已成为黑客控制隧道的主流。
目前,对通过ICMP隧道导致的数据泄漏检测方法主要包含规则匹配和统计分析的方法。规则匹配方法指的是通过制定规则来对抓取到的数据包进行匹配检测;统计分析方法是通过将抓取到的数据包转换为16进制后按照一定的字符数切分判断其内容是否有规律来做区分,对于正常操作系统产生的不断重复序列,在转换为16进制后切分生成的特征数组表现出较强的规律性,其表现为从00开始不断递增然后一直到ff的重复序列中的一段或几段。而人为构造的ping数据包在转换为16进制后切分生成的特征数组则较为混乱。
上述的规则匹配检测方法虽然能够发现部分ICMP隧道攻击行为,但是由于其过分依赖安全人员的知识广度,针对未知攻击类型无可奈何;另一方面即使是已知的攻击类型,由于规则匹配本身存在局限性,理论上是可以被绕过的,因此误报和漏报是天生存在的;而提高规则准确性的代价就是添加更多精细化规则,大量的规则不但给维护工作增加了难度,也拖累了整体性能。而统计分析方法虽然能够检测出未知的攻击类型,但是却存在着较高的误报率。同时,在统计分析的过程中,不断转换、切分、匹配使得检测效率大幅降低,在处理大批量数据的时候表现不佳。
现有技术中,也有基于机器学习的ICMP隧道检测方法,如申请号为202010984137.0公开的基于机器学习的ICMP隧道检测方法,该方法通过建立ICMP隧道检测模型;获取待检测ICMP流量数据,提取待检测ICMP流量数据中的ICMP协议数据,形成待检测数据;对所述待检测数据进行预处理;对所述待检测数据进行分组操作;对所述待检测数据做特征工程处理,提取待检测特征;将所述待检测特征规范化处理;将所述待检测特征导入所述ICMP隧道检测模型中,进行ICMP隧道检测;将检测结果返回到前端界面进行展示。该方法采用网络会话分组,如果攻击者将数据划分成多个部分进行隧道传输,那么单个会话上表现得跟正常ICMP行为很类似,该方法则很难识别出异常。
发明内容
本发明所要解决的技术问题在于如何。
本发明通过以下技术手段实现解决上述技术问题的:
一种基于ICMP隧道分析的数据泄露检测方法,包括以下步骤:
S1.数据接入,从网络流量中抓取ICMP数据包;
S2.数据预处理,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
S3.对数据进行分组处理,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
S4.特征抽取,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
S5.异常行为识别,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
本发明通过引入机器学习的方法,以数据为媒介,构造出的具有区分能力的特征,然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为,有效弥补了传统的规则检测方法中无法识别新型ICMP隧道攻击手段和易被绕过的问题,同时也具备了较高的查全率和查准率,解决了统计分析方法漏报率和误报率较高的问题。
进一步的,所述步骤S1中数据接入的具体方法为:
S11先识别待接入数据的格式,然后根据当前数据格式进行解析读取;
S12如果数据源为二进制数据,则需要将二进制数据转换为字符串数据,并提取设定的关键词。
进一步的,所述步骤S2中抓取ICMP协议中查询类报文数据的具体方法为:
根据ICMP报文中的TYPE和CODE对ICMP报文进行分类,得到非查询类ICMP报文和查询类ICMP报文,然后抓取查询类ICMP报文。
进一步的,两组数据的分类标准为:同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组,相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组。
进一步的,所述步骤S4中提取的特征至少包括:负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。
本发明还提供一种基于ICMP隧道分析的数据泄露检测系统,包括:
数据接入模块,从网络流量中抓取ICMP数据包;
数据预处理模块,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
对数据进行分组处理模块,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
特征抽取模块,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
异常行为识别模块,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
进一步的,所述数据接入模块中数据接入的具体方法为:
S11先识别待接入数据的格式,然后根据当前数据格式进行解析读取;
S12如果数据源为二进制数据,则需要将二进制数据转换为字符串数据,并提取设定的关键词。
进一步的,所述数据预处理模块中抓取ICMP协议中查询类报文数据的具体方法为:
根据ICMP报文中的TYPE和CODE对ICMP报文进行分类,得到非查询类ICMP报文和查询类ICMP报文,然后抓取查询类ICMP报文。
进一步的,两组数据的分类标准为:同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组,相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组。
进一步的,所述特征抽取模块中提取的特征至少包括:负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。
本发明的优点在于:
1、通过分组的方式,能够分别识别出数据发送方或接收方,结果解释性更强;分组方式区分开了不同类型的ICMP隧道,避免了特征干扰,提升了准确率;
2、采用孤立森林算法,无需事先收集或准备ICMP隧道相关的训练数据集,模型结果直接输出疑似产生ICMP的IP,无需人为干预或筛选;
3、本发明构建的特征是多个项目经验积累,紧紧围绕ICMP隧道的特点构建,使得模型能够更容易区分异常记录;
4、本发明按照IP与ICMP类型对数据进行分组,通过负载数据字符去重数、去重负载数据请求回应比例、请求总数回应总次数比例、负载数据总长度、负载数据最大长度、负载数据间差异异常数特征的提取,能够识别点对点攻击和跳转攻击;
本发明进一步提升准确性本发明通过引入机器学习的方法,以数据为媒介,构造出的具有区分能力的特征,然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为,有效弥补了传统的规则检测方法中无法识别新型ICMP隧道攻击手段和易被绕过的问题,同时也具备了较高的查全率和查准率,解决了统计分析方法漏报率和误报率较高的问题。
附图说明
图1为本发明实施例中基于ICMP隧道分析的数据泄露检测方法的流程图;
图2为本发明实施例中异常得分s和样本x在一批孤立树中的路径长度的期望值E(h(x))的关系;
图3为本发明实施例中孤立森林模型计算之后输出的异常得分效果展示图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供一种基于ICMP隧道分析的数据泄露检测方法,包括以下步骤:
步骤S1.数据接入,从网络流量中抓取ICMP数据包;
基于ICMP隧道分析的数据泄漏检测方法旨在检测通过ICMP隧道所产生的数据泄漏行为。检测所需要用到的数据源为网络流量中抓取到的ICMP数据包,可以通过采集口对镜像流量或离线PCAP文件等形式来提供。数据接入包含如下操作:
步骤S11.首先识别数据源格式,根据当前数据的格式,选择对应的读取方式,将数据读取至程序中;
步骤S12.若读入的数据是二进制,先将数据转换成字符串类型并将关键信息提取出来,为后续的分析工作提供可直接使用的分析数据。关键信息包括IP信息、负载数据、时间信息、设备信息等。
步骤S2.数据预处理,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
步骤S1接入的源数据,往往包含了大量的协议类型,包含但不限于DNS协议、TCP协议或UDP协议等,而本次分析的对象是ICMP协议,故首先需要根据协议类型将ICMP协议从众多数据中筛选出来,完成第一步数据精简。
此外,ICMP协议是一种封装在IP协议中来辅助IP协议完成必要的网络质量管理的协议,其功能是传输网络诊断信息,具体包含两种类型的信息:一类是查询类报文,主要作用是查询和采集;另一类是差错诊断类报文,主要用于诊断网络故障。由于ICMP报文包含在IP数据报中,在IP报文中,IP头部位于ICMP报文的前面,所以一个ICMP报文通常由IP头部、ICMP头部和ICMP报文等部分组成,其中IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型域TYPE可以区分ICMP报文的作用及格式,此外还有一个代码域CODE用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。所以可以根据ICMP报文中的TYPE和CODE来对ICMP报文进行分类。当攻击者使用ICMP隧道来进行数据窃取时,由于要与内网主机进行交互,故使用到的是ICMP协议的查询类功能。所以在数据预处理的过程中,需要将抓取到的非查询类ICMP报文舍弃,从而简化数据源的规模,让后续分析模型的算力作用在更重要的数据上。
步骤S3.对数据进行分组处理,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
由于ICMP隧道可以同时实现双向通信,即数据既可以被传入又可以被传出,所以需要根据传入数据或传出数据的不同行为特点来对接入的数据进行分组处理。在本方法中,将ICMP报文的类型和内网主机IP作为分组主键,使得同一个IP下产生的相同类型ICMP报文划分为相同的分组,相同IP下产生的不同类型ICMP报文划为不同的分组。
步骤S4.特征抽取,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
在S3步骤完成对原始数据进行分组操作之后,对相同内网主机IP下同类型的ICMP报文进行数据特征的抽取,主要特征如下所示:
其中,特征“负载数据字符去重数”指的是将同一IP分组下的所有ICMP报文所包含的负载数据进行汇总并以字节为单位进行去重,得到最终不重复的字节数量作为该特征的最终数值;特征“去重负载数据请求/回应次数”指的是对同一IP分组下的ICMP报文进行去重统计,统计其中的ICMP报文按负载数据去重后的请求次数与回应次数并将请求次数除以回应次数作为最终的特征值;特征“请求/回应总次数”指的是对同一IP分组下的ICMP报文进行汇总统计,计算其中请求总次数与回应总次数并将请求总次数除以回应总次数的结果作为最终的特征值;特征“负载数据总长度”指的是将同一IP分组下所有ICMP报文包含的负载数据进行字符串拼接并计算最终得到的字符串长度作为该特征的值;特征“负载数据最大长度”指的是将同一IP分组下所有ICMP报文包含的负载数据进行统计分析,找到其中最长的负载并计算其长度作为最终的特征值;特征“负载数据间差异异常数”指的是对同一IP分组下所有ICMP报文按时间进行顺序排列,分别计算相邻两条ICMP报文负载数据之间的编辑距离作为其差异程度的评判标准,最后提取所有编辑距离的平均值、众数、标准差等作为特征的最终数值。
步骤S5.异常行为识别,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
该方法中使用的模型算法为孤立森林算法,孤立森林是一种适用于连续数据的无监督异常检测方法,即不需要有标记的样本来训练,但是特征需要是连续的。在孤立森林中,递归地随机分割数据集,直到所有的样本点都是孤立的。在这种随机分割的策略下,异常点通常具有较短的路径。在该算法中,给定一个包含n个样本的数据集,树的平均路径长度为:
其中H(i)为调和数,该值可以被估计为ln(i)+0.5772156649。c(n)为给定样本数n时,路径长度的平均值,用来标准化样本x的路径长度h(x)。
样本x的异常得分定义为:
其中,E(h(x))为样本x在一批孤立树中的路径长度的期望。附图2给出了s和E(h(x))的关系。
在通过上述孤立森林模型计算之后,每个访问记录都能够返回一个异常得分,效果展示如附图3所示。通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的web攻击。
本实施例通过引入机器学习的方法,以数据为媒介,构造出的具有区分能力的特征,然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为,有效弥补了传统的规则检测方法中无法识别新型ICMP隧道攻击手段和易被绕过的问题,同时也具备了较高的查全率和查准率,解决了统计分析方法漏报率和误报率较高的问题。
与上述方法匹配的,本实施例还提供一种基于ICMP隧道分析的数据泄露检测系统,包括:
数据接入模块,从网络流量中抓取ICMP数据包;
基于ICMP隧道分析的数据泄漏检测方法旨在检测通过ICMP隧道所产生的数据泄漏行为。检测所需要用到的数据源为网络流量中抓取到的ICMP数据包,可以通过采集口对镜像流量或离线PCAP文件等形式来提供。数据接入包含如下操作:
步骤S11.首先识别数据源格式,根据当前数据的格式,选择对应的读取方式,将数据读取至程序中;
步骤S12.若读入的数据是二进制,先将数据转换成字符串类型并将关键信息提取出来,为后续的分析工作提供可直接使用的分析数据。关键信息包括IP信息、负载数据、时间信息、设备信息等。
数据预处理模块,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
步骤S1接入的源数据,往往包含了大量的协议类型,包含但不限于DNS协议、TCP协议或UDP协议等,而本次分析的对象是ICMP协议,故首先需要根据协议类型将ICMP协议从众多数据中筛选出来,完成第一步数据精简。
此外,ICMP协议是一种封装在IP协议中来辅助IP协议完成必要的网络质量管理的协议,其功能是传输网络诊断信息,具体包含两种类型的信息:一类是查询类报文,主要作用是查询和采集;另一类是差错诊断类报文,主要用于诊断网络故障。由于ICMP报文包含在IP数据报中,在IP报文中,IP头部位于ICMP报文的前面,所以一个ICMP报文通常由IP头部、ICMP头部和ICMP报文等部分组成,其中IP头部的Protocol值为1就说明这是一个ICMP报文,ICMP头部中的类型域TYPE可以区分ICMP报文的作用及格式,此外还有一个代码域CODE用于详细说明某种ICMP报文的类型,所有数据都在ICMP头部后面。所以可以根据ICMP报文中的TYPE和CODE来对ICMP报文进行分类。当攻击者使用ICMP隧道来进行数据窃取时,由于要与内网主机进行交互,故使用到的是ICMP协议的查询类功能。所以在数据预处理的过程中,需要将抓取到的非查询类ICMP报文舍弃,从而简化数据源的规模,让后续分析模型的算力作用在更重要的数据上。
对数据进行分组处理模块,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
由于ICMP隧道可以同时实现双向通信,即数据既可以被传入又可以被传出,所以需要根据传入数据或传出数据的不同行为特点来对接入的数据进行分组处理。在本方法中,将ICMP报文的类型和内网主机IP作为分组主键,使得同一个IP下产生的相同类型ICMP报文划分为相同的分组,相同IP下产生的不同类型ICMP报文划为不同的分组。
特征抽取模块,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
在S3步骤完成对原始数据进行分组操作之后,对相同内网主机IP下同类型的ICMP报文进行数据特征的抽取,主要特征如下所示:
其中,特征“负载数据字符去重数”指的是将同一IP分组下的所有ICMP报文所包含的负载数据进行汇总并以字节为单位进行去重,得到最终不重复的字节数量作为该特征的最终数值;特征“去重负载数据请求/回应次数”指的是对同一IP分组下的ICMP报文进行去重统计,统计其中的ICMP报文按负载数据去重后的请求次数与回应次数并将请求次数除以回应次数作为最终的特征值;特征“请求/回应总次数”指的是对同一IP分组下的ICMP报文进行汇总统计,计算其中请求总次数与回应总次数并将请求总次数除以回应总次数的结果作为最终的特征值;特征“负载数据总长度”指的是将同一IP分组下所有ICMP报文包含的负载数据进行字符串拼接并计算最终得到的字符串长度作为该特征的值;特征“负载数据最大长度”指的是将同一IP分组下所有ICMP报文包含的负载数据进行统计分析,找到其中最长的负载并计算其长度作为最终的特征值;特征“负载数据间差异异常数”指的是对同一IP分组下所有ICMP报文按时间进行顺序排列,分别计算相邻两条ICMP报文负载数据之间的编辑距离作为其差异程度的评判标准,最后提取所有编辑距离的平均值、众数、标准差等作为特征的最终数值。
异常行为识别模块,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
该方法中使用的模型算法为孤立森林算法,孤立森林是一种适用于连续数据的无监督异常检测方法,即不需要有标记的样本来训练,但是特征需要是连续的。在孤立森林中,递归地随机分割数据集,直到所有的样本点都是孤立的。在这种随机分割的策略下,异常点通常具有较短的路径。在该算法中,给定一个包含n个样本的数据集,树的平均路径长度为:
其中H(i)为调和数,该值可以被估计为ln(i)+0.5772156649。c(n)为给定样本数n时,路径长度的平均值,用来标准化样本x的路径长度h(x)。
样本x的异常得分定义为:
其中,E(h(x))为样本x在一批孤立树中的路径长度的期望。附图2给出了s和E(h(x))的关系。
在通过上述孤立森林模型计算之后,每个访问记录都能够返回一个异常得分,效果展示如附图3所示。通过将异常得分进行降序排列,就能够找出异常的操作记录,从而定位到该条记录所对应的web攻击。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种基于ICMP隧道分析的数据泄露检测方法,其特征在于,包括以下步骤:
S1.数据接入,从网络流量中抓取ICMP数据包;
S2.数据预处理,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
S3.对数据进行分组处理,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
S4.特征抽取,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
S5.异常行为识别,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
2.根据权利要求1所述的最红基于ICMP隧道分析的数据泄露检测方法,其特征在于,所述步骤S1中数据接入的具体方法为:
S11先识别待接入数据的格式,然后根据当前数据格式进行解析读取;
S12如果数据源为二进制数据,则需要将二进制数据转换为字符串数据,并提取设定的关键词。
3.根据权利要求1或2所述的一种基于ICMP隧道分析的数据泄露检测方法,其特征在于,所述步骤S2中抓取ICMP协议中查询类报文数据的具体方法为:
根据ICMP报文中的TYPE和CODE对ICMP报文进行分类,得到非查询类ICMP报文和查询类ICMP报文,然后抓取查询类ICMP报文。
4.根据权利要求3所述的一种基于ICMP隧道分析的数据泄露检测方法,其特征在于,两组数据的分类标准为:同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组,相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组。
5.根据权利要求4所述的一种基于ICMP隧道分析的数据泄露检测方法,其特征在于,所述步骤S4中提取的特征至少包括:负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。
6.一种基于ICMP隧道分析的数据泄露检测系统,其特征在于,包括:
数据接入模块,从网络流量中抓取ICMP数据包;
数据预处理模块,先根据协议类型从ICMP数据包中筛选出ICMP协议,然后抓取ICMP协议中查询类ICMP报文数据;
对数据进行分组处理模块,根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组,得到两组数据;
特征抽取模块,对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取;
异常行为识别模块,将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中,输出异常IP的得分。
7.根据权利要求6所述的最红基于ICMP隧道分析的数据泄露检测系统,其特征在于,所述数据接入模块中数据接入的具体方法为:
S11先识别待接入数据的格式,然后根据当前数据格式进行解析读取;
S12如果数据源为二进制数据,则需要将二进制数据转换为字符串数据,并提取设定的关键词。
8.根据权利要求6或7所述的一种基于ICMP隧道分析的数据泄露检测系统,其特征在于,所述数据预处理模块中抓取ICMP协议中查询类报文数据的具体方法为:
根据ICMP报文中的TYPE和CODE对ICMP报文进行分类,得到非查询类ICMP报文和查询类ICMP报文,然后抓取查询类ICMP报文。
9.根据权利要求8所述的一种基于ICMP隧道分析的数据泄露检测系统,其特征在于,两组数据的分类标准为:同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组,相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组。
10.根据权利要求9所述的一种基于ICMP隧道分析的数据泄露检测方法,其特征在于,所述特征抽取模块中提取的特征至少包括:负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110160302.5A CN112929364B (zh) | 2021-02-05 | 2021-02-05 | 一种基于icmp隧道分析的数据泄漏检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110160302.5A CN112929364B (zh) | 2021-02-05 | 2021-02-05 | 一种基于icmp隧道分析的数据泄漏检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112929364A true CN112929364A (zh) | 2021-06-08 |
CN112929364B CN112929364B (zh) | 2023-03-24 |
Family
ID=76170737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110160302.5A Active CN112929364B (zh) | 2021-02-05 | 2021-02-05 | 一种基于icmp隧道分析的数据泄漏检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112929364B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364793A (zh) * | 2021-06-17 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种icmp隐蔽隧道检测方法、装置及存储介质 |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1809000A (zh) * | 2006-02-13 | 2006-07-26 | 成都三零盛安信息系统有限公司 | 一种网络入侵的检测方法 |
CN101309179A (zh) * | 2007-05-18 | 2008-11-19 | 北京启明星辰信息技术有限公司 | 一种基于主机活跃性和通信模式分析实时异常流量检测方法 |
CN104104675A (zh) * | 2014-06-24 | 2014-10-15 | 赖洪昌 | Internet控制报文协议伪装捕获与分析技术 |
CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
CN104639385A (zh) * | 2013-11-13 | 2015-05-20 | 中兴通讯股份有限公司 | 检测l2vpn网络用户侧接口连通性的方法及设备 |
WO2016106592A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
CN106874325A (zh) * | 2016-06-29 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 数据的查询方法及装置 |
CN110519128A (zh) * | 2019-09-20 | 2019-11-29 | 西安交通大学 | 一种基于随机森林的操作系统识别方法 |
CN111181986A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据安全检测方法、模型训练方法、装置和计算机设备 |
CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
CN111835681A (zh) * | 2019-04-19 | 2020-10-27 | 北京京东尚科信息技术有限公司 | 一种大规模流量异常主机检测方法和装置 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
CN112118154A (zh) * | 2020-09-18 | 2020-12-22 | 上海斗象信息科技有限公司 | 基于机器学习的icmp隧道检测方法 |
CN112134862A (zh) * | 2020-09-11 | 2020-12-25 | 国网电力科学研究院有限公司 | 基于机器学习的粗细粒度混合网络异常检测方法及装置 |
-
2021
- 2021-02-05 CN CN202110160302.5A patent/CN112929364B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1809000A (zh) * | 2006-02-13 | 2006-07-26 | 成都三零盛安信息系统有限公司 | 一种网络入侵的检测方法 |
CN101309179A (zh) * | 2007-05-18 | 2008-11-19 | 北京启明星辰信息技术有限公司 | 一种基于主机活跃性和通信模式分析实时异常流量检测方法 |
CN104639385A (zh) * | 2013-11-13 | 2015-05-20 | 中兴通讯股份有限公司 | 检测l2vpn网络用户侧接口连通性的方法及设备 |
CN104104675A (zh) * | 2014-06-24 | 2014-10-15 | 赖洪昌 | Internet控制报文协议伪装捕获与分析技术 |
CN104506531A (zh) * | 2014-12-19 | 2015-04-08 | 上海斐讯数据通信技术有限公司 | 针对流量攻击的安全防御系统及方法 |
WO2016106592A1 (zh) * | 2014-12-30 | 2016-07-07 | 华为技术有限公司 | 一种特征信息分析方法及装置 |
CN106874325A (zh) * | 2016-06-29 | 2017-06-20 | 阿里巴巴集团控股有限公司 | 数据的查询方法及装置 |
CN111835681A (zh) * | 2019-04-19 | 2020-10-27 | 北京京东尚科信息技术有限公司 | 一种大规模流量异常主机检测方法和装置 |
CN112085039A (zh) * | 2019-06-12 | 2020-12-15 | 四川大学 | 一种基于随机森林的icmp隐蔽通道检测方法 |
CN110519128A (zh) * | 2019-09-20 | 2019-11-29 | 西安交通大学 | 一种基于随机森林的操作系统识别方法 |
CN111181986A (zh) * | 2019-12-31 | 2020-05-19 | 奇安信科技集团股份有限公司 | 数据安全检测方法、模型训练方法、装置和计算机设备 |
CN111478920A (zh) * | 2020-04-27 | 2020-07-31 | 深信服科技股份有限公司 | 一种隐蔽信道通信检测方法、装置及设备 |
CN111988309A (zh) * | 2020-08-18 | 2020-11-24 | 深圳市联软科技股份有限公司 | 一种icmp隐蔽隧道检测方法及系统 |
CN112134862A (zh) * | 2020-09-11 | 2020-12-25 | 国网电力科学研究院有限公司 | 基于机器学习的粗细粒度混合网络异常检测方法及装置 |
CN112118154A (zh) * | 2020-09-18 | 2020-12-22 | 上海斗象信息科技有限公司 | 基于机器学习的icmp隧道检测方法 |
Non-Patent Citations (2)
Title |
---|
吴元君: "基于孤立森林挖掘算法的入侵检测系统研究", 《盐城工学院学报(自然科学版)》 * |
李抒霞等: "基于SVM的ICMP网络存储隐蔽信道检测", 《信息安全研究》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364793A (zh) * | 2021-06-17 | 2021-09-07 | 北京天融信网络安全技术有限公司 | 一种icmp隐蔽隧道检测方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112929364B (zh) | 2023-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
CN110011999B (zh) | 基于深度学习的IPv6网络DDoS攻击检测系统及方法 | |
CN112003870B (zh) | 一种基于深度学习的网络加密流量识别方法及装置 | |
CN109063745B (zh) | 一种基于决策树的网络设备类型识别方法及系统 | |
US8065722B2 (en) | Semantically-aware network intrusion signature generator | |
CN109450721B (zh) | 一种基于深度神经网络的网络异常行为识别方法 | |
CN110597734A (zh) | 一种适用于工控私有协议的模糊测试用例生成方法 | |
CN110611640A (zh) | 一种基于随机森林的dns协议隐蔽通道检测方法 | |
CN107370752B (zh) | 一种高效的远控木马检测方法 | |
CN113206860B (zh) | 一种基于机器学习和特征选择的DRDoS攻击检测方法 | |
CN110430226B (zh) | 网络攻击检测方法、装置、计算机设备及存储介质 | |
US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
CN111526099B (zh) | 基于深度学习的物联网应用流量检测方法 | |
EP3745324B1 (en) | Classification device and classification method | |
CN112800424A (zh) | 一种基于随机森林的僵尸网络恶意流量监测方法 | |
CN103532969A (zh) | 一种僵尸网络检测方法、装置及处理器 | |
CN115134250B (zh) | 一种网络攻击溯源取证方法 | |
CN107209834A (zh) | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 | |
CN112118154A (zh) | 基于机器学习的icmp隧道检测方法 | |
CN114785563A (zh) | 一种软投票策略的加密恶意流量检测方法 | |
CN116915450A (zh) | 基于多步网络攻击识别和场景重构的拓扑剪枝优化方法 | |
CN112929364B (zh) | 一种基于icmp隧道分析的数据泄漏检测方法及系统 | |
KR20070077517A (ko) | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 | |
CN112104628A (zh) | 一种自适应特征规则匹配的实时恶意流量检测方法 | |
EP3576365B1 (en) | Data processing device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |