CN113179278B - 异常数据包的检测方法及电子设备 - Google Patents

异常数据包的检测方法及电子设备 Download PDF

Info

Publication number
CN113179278B
CN113179278B CN202110552324.6A CN202110552324A CN113179278B CN 113179278 B CN113179278 B CN 113179278B CN 202110552324 A CN202110552324 A CN 202110552324A CN 113179278 B CN113179278 B CN 113179278B
Authority
CN
China
Prior art keywords
data
character string
packet
data packet
time stamp
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110552324.6A
Other languages
English (en)
Other versions
CN113179278A (zh
Inventor
谢鹏程
余小军
刘盈
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202110552324.6A priority Critical patent/CN113179278B/zh
Publication of CN113179278A publication Critical patent/CN113179278A/zh
Application granted granted Critical
Publication of CN113179278B publication Critical patent/CN113179278B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种异常数据包的检测方法及电子设备,该方法应用于电子设备中,包括:获取基于第一通信协议进行传输的目标数据包;基于目标数据包的数据结构,将目标数据包中的数据部分抽出;对数据部分进行分析,确定数据部分中是否具有时间戳;在确定数据部分中具有时间戳的情况下,确定数据部分中除时间戳之外的剩余数据是否为连续字符串和/或循环字符串;在确定数据部分中除时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定目标数据包为符合第一条件的数据包。该方法能够准确的检测出该目标数据包是否为异常数据包,有效提高了检测效率和准确度,将低了对网络中的电子设备进行非法操作的风险。

Description

异常数据包的检测方法及电子设备
技术领域
本申请涉及网络信息领域,特别涉及一种网络信息中的异常数据包的检测方法及电子设备。
背景技术
ICMP(Internet Control Message Protocol)Internet控制报文协议,用于在网络设备(如IP主机、路由器)之间传递控制消息,控制消息是指检测网络通不通、主机是否可达、路由是否可用等针对网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递无疑起着重要的作用。因此多数防火墙策略、路由器策略和交换机ACL(访问列表)都会允许ICMP消息从任何网络组件传输到任何其他类型组件,而这一特性也可能被用来建立ICMP隧道进行隐蔽通信,从而造成传输的数据包的异常以实现非法目的。
发明内容
本申请实施例的目的在于提供一种异常数据包的检测方法及电子设备,该方法能够对网络中的异常数据包进行准确的检测,以防止对网络中的电子设备进行非法操作。
对此,本申请提供了一种异常数据包的检测方法,应用于电子设备中,所述方法包括:
获取基于第一通信协议进行传输的目标数据包;
基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
作为可选,所述方法还包括:
在确定所述数据部分中没有时间戳的情况下,确定所述数据部分的整体是否为连续字符串和/或循环字符串;
在确定所述数据部分的整体为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
作为可选,所述的对所述数据部分进行分析,确定所述数据部分中是否具有时间戳,包括:
获取所述数据部分中的具有特定字节的头部数据,其中所述头部数据包括相邻的第一头部数据和第二头部数据,所述第一头部数据用于表征当前时间,所述第二头部数据用于表征所述当前时间的精确度;
在所述第一头部数据和所述第二头部数据均满足第二条件中相应内容的情况下,确定所述数据部分中具有时间戳。
作为可选,所述头部数据为所述数据部分中前X个字节或前Y个字节所对应的数据,第一头部数据的字节数和第二头部数据的字节数相同。
作为可选,所述的确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串,包括:
基于所述剩余数据的数据长度,随机生成第一随机数和第二随机数;
获取所述剩余数据中存储的所述第一随机数对应的第一存储数,以及所述第二随机数对应的第二存储数;
确定所述第一存储数与所述第二存储数的第一差值,以及所述第一随机数和第二随机数的第二差值;
基于所述第一差值和所述第二差值,确定剩余数据是否为连续字符串。
作为可选,所述的确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串,包括:
基于所述剩余数据的数据长度,随机生成第三随机数;
基于所述第三随机数,获取所述剩余数据中第三随机数对应的第三存储数,以及所述第三随机数和预设循环单元长度之和对应的第四存储数;
在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串。
作为可选,所述方法还包括:
从预设循环单元长度集合中逐一获取每个所述预设循环单元长度,以获取所述预设循环单元长度相对应的所述第四存储数;
相应的,所述的在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串,包括:
将所述第三存储数与获取的每个所述第四存储数进行比对,如果具有相同的情况则确定所述剩余数据为循环字符串。
作为可选,所述方法还包括:
基于所述电子设备的至少一个操作系统的类型,确定所述预设循环单元长度集合。
本申请实施例还提供了一种电子设备,包括:
获取模块,其配置为:获取基于第一通信协议进行传输的目标数据包;
处理模块,其配置为:基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
本申请实施例还提供了另一种电子设备,包括存储器和处理器,所述存储器中存储有可执行程序,所述处理器执行所述可执行程序以进行如下步骤:
获取基于第一通信协议进行传输的目标数据包;
基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
本申请实施例检测方法,能够对网络中的数据包进行准确的检测,特别是能够对ICMP进行传输的目标数据包进行分析,基于其数据结构和具体的数据内容进行简便的分析,便能够准确的检测出该目标数据包是否为异常数据包,有效提高了检测效率和准确度,将低了对网络中的电子设备进行非法操作的风险。
附图说明
图1为本申请实施例的异常数据包的检测方法的流程图;
图2为本申请实施例的检测方法的一个实施例的流程图;
图3为本申请实施例的异常数据包的检测方法的一个具体实施例的流程图;
图4为本申请实施例的图1中步骤S30的一个实施例的流程图;
图5为本申请实施例的图1中步骤S40的一个实施例的流程图;
图6为本申请实施例的图1中步骤S40的另一个实施例的流程图;
图7为本申请实施例的电子设备的结构框图;
图8为本申请实施例的另一个电子设备的结构框图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
本申请实施例的一种异常数据包的检测方法,应用于电子设备中,能够对基于包括ICMP的第一通信协议进行传输的数据包进行检测,根据第一通信协议的内容来设置处理数据的具体方式,从而简便而快速的判断出数据包是否发生异常。
该方法主要包括以下步骤,结合图3,首先获取到基于第一通信协议进行传输的目标数据包,如主动从网络中或网络设备中获取,或者接收用户的主动输入等方式均可以获取该目标数据包,该目标数据包为判断是否为异常数据包的判断对象。目标对象具有数据结构,该数据结构表征了目标对象中数据排布方式以及不同数据之间的结构关系,其中目标对象中包括了数据部分(即Data部分),将该数据部分抽取出来进行处理,数据部分中可能具有时间戳,也可能没有时间戳,如果判断该数据部分中具有时间戳时,可以获取数据部分中除去时间戳以外的其他内容(即剩余数据)进行单独的分析。如果判断出剩余数据为连续字符串和/或循环字符串时,则可以确定目标数据包为非异常数据包,而如果剩余数据为非连续字符串和/或非循环字符串时,由于异常数据包为基于隧道技术而建立或传输的用于非法目的的数据包,其作用并不是用于在网络设备(如IP主机、路由器)之间传递正常的控制消息,因此会导致其数据部分不存在连续字符串和/或循环字符串,从而可以确定具有该情况的目标数据包为异常数据包。
此外,在判断数据部分中没有时间戳时,则可以对该数据部分进行是否具有连续字符串和/或循环字符串的分析,如果没有连续字符串和/或循环字符串,则也可以确定具有该情况的目标数据包为异常数据包。
下面结合上述方法步骤举例说明,正常的ICMP数据包(目标数据包)的数据部分(Data部分)可划分为4种情形:(1)8/16字节时间戳+连续的十六进制字符串;(2)8/16字节时间戳+循环的十六进制字符串;(3)连续的十六进制字符串;(4)循环的十六进制字符串。对于ICMP type 8/type 0目标数据包,只要确定其Data部分均不满足上述所有情形,则可以确定该目标数据包为异常ICMP数据包。
基于本实施例的检测方法,对于ICMP type 8/type 0的目标数据包,可以取出目标数据包的Data部分,进行如下判断:判断Data部分是否存在时间戳,若存在时间戳,判断剩余字节是否为连续的十六进制字符串或者循环单元长度为{1,23,64,256}集合中取值之一的十六进制循环字符串,若是,数据包正常,否则数据包异常;若不存在时间戳,判断整个Data部分是否为连续的十六进制字符串或者循环单元长度为{1,23,64,256}取值之一的十六进制循环字符串,若是则确定目标数据包正常,否则确定目标数据包异常。
下面结合附图对本申请的检测方法进行详细的说明。图1为本申请实施例的异常数据包的检测方法的流程图,如图1所示,所述检测方法可以应用于计算机,网络设备等电子设备中,该方法包括以下步骤:
S10,获取基于第一通信协议进行传输的目标数据包。
第一通信协议可以是网络中数据的传输协议,包括ICMP(Internet ControlMessage Protocol)Internet控制报文协议。目标数据包则为基于第一通信协议进行传输的数据包,其为分析的目标,如ICMP数据包。获取该目标数据包的方式可以是通过直接从网络或网络设备中抓取,也可以是用户主动的输入该目标数据包,以使电子设备进行获取。
此外,在获取目标数据包时,可以基于特定报文格式获取目标数据包,以使随后的分析更加准确,其中包括获取ICMP type8和ICMP type0报文格式的目标数据包。
S20,基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出。
目标数据的数据结构表征了目标数据包中不同类型的数据的结构以及相互之间的关系。例如基于ICMP的目标数据包,包括首部和数据部分,其中首部包括:Type、Code、Checksum、Identifier、Sequence Number五个部分;而数据部分(Data)则为目标数据包的主要内容。本申请中需要将目标数据包中的数据部分抽出进行分析。
S30,对所述数据部分进行分析,确定所述数据部分中是否具有时间戳。
时间戳是一份能够表示一份数据在一个特定时间点已经存在的完整的可验证的数据。其主要是为用户提供一份电子证据,以证明用户的某些数据的产生时间。目标数据中可能具有时间戳,也可能不具有时间戳,本实施例中可以将两者区别开来分别进行分析。在获取到数据部分后,对数据部分进行扫描,根据预先获知的时间戳特征来判断数据部分中是否具有时间戳。如根据时间戳特征与当前的数据部分中的所有数据进行逐一对比,从而可以确定数据部分中是否具有时间戳。
S40,在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串。
在确定数据部分中具有时间戳的情况下,将对数据部分中除时间戳之外的剩余数据进行进一步的分析,以判断该剩余数据是否为连续字符串和/或循环字符串。字符串可以以十进制、十六进制或其他进制的形式出现。连续字符串可以是字符串连续排列,其中不会出现空位,且数值逐步增加。而循环字符串则是以循环单元来循环排列的多个字符串。
在对剩余数据进行是否为连续字符串的分析时,可以通过多种方式进行判断,如通过对剩余数据的具体字符的逐个分析来确定是否具有空位,且数值是否逐步增加,从而确定是否为连续字符串;也可以利用随机数来对剩余数据的具体内容进行判断,如利用两个随机数之间的第一差值,与该随机数在剩余数据中对应的数值的第二差值进行比对,从而根据对比结果来进行判断。
而对剩余数据中是否为循环字符串的判断的分析,则可以通过判断是否具有循环单元,以及相应的循环长度来实现。也可以利用随机数来对其是否为循环字符串进行判断。如利用第一随机数在剩余数据中对应的第一数值,与第二随机数在剩余数据中对应的第二数值进行比对,从而根据对比结果来进行判断。
S50,在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
第一条件可以是判断目标数据包为非异常数据包对应的条件,如不具有ICMP隧道的特征的条件。本实施例中,在确定剩余数据为连续字符串和/或循环字符串的情况下,则可以确定目标数据包符合第一条件,其被确定为非异常数据包。
本实施例的该方法,能够对网络中的数据包进行准确的检测,特别是能够对ICMP进行传输的目标数据包进行分析,基于其数据结构和具体的数据内容进行简便的分析,便能够准确的检测出该目标数据包是否为异常数据包,有效提高了检测效率和准确度,将低了对网络中的电子设备进行非法操作的风险。
在本申请的一个实施例中,如图2所示并结合图3,所述方法还包括以下步骤:
S60,在确定所述数据部分中没有时间戳的情况下,确定所述数据部分的整体是否为连续字符串和/或循环字符串。
正常的数据包中也可能没有时间戳,因此在目标数据包的数据部分中如果没有检测到该时间戳的情况下,仍旧需要对数据部分的整体进行是否为连续字符串和/或循环字符串的判断。而对于连续字符串和循环字符串的判断方式则仍旧可以基于上述的内容实现。
如在对剩余数据进行是否为连续字符串的分析时,可以通过多种方式进行判断,如通过对剩余数据的具体字符的逐个分析来确定是否具有空位,且数值是否逐步增加,从而确定是否为连续字符串;也可以利用随机数来对剩余数据的具体内容进行是否为连续字符串的判断。而对剩余数据中是否为循环字符串的判断的分析,则可以通过判断是否具有循环单元,以及相应的循环长度来实现。也可以利用随机数来对其是否为循环字符串进行判断。
S70,在确定所述数据部分的整体为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
数据部分中不具有时间戳,而是整体为连续字符串和/或循环字符串时,对于基于ICMP传输的目标数据,该特征并不是基于ICMP隧道而传输的数据。目标数据包符合第一条件,可以被确定为非异常数据包。
为了更加清楚说明循环字符串的含有,下面的对数据部分(或者除去时间戳的剩余数据)的循环字符串进行举例说明。
电子设备的操作系统在填充特定报文格式的数据包(如type 8和type 0类型的数据包)的数据部分(Data部分)时,会填充默认的16进制字符串,根据操作系统类型说明Data部分所填充的内容。如Windows系统,会根据Data部分的长度填充按(0x)61 62 63 64 6567 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77循环的16进制字符串,其中(0x)为十六进制标识。对于Windows系统,Data部分的循环单元为(0x)61 62 63 64 65 66 6768 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77,该循环单元的长度为23字节。
对于Linux操作系统存在两种情形。情形一:会根据Data部分的长度填充按(0x)0001 023…fd fe ff循环的16进制字符串。对于这种情形,Data部分的循环单元为(0x)00 0102 03…fd fe ff,该循环单元的长度为256字节。情形二:Data部分填充按(0x)40 41 4243 44 45 46 47 48 49 4a 4b 4c 4d 4e 4f 50 51 52 53 54 55 56 57 58 59 5a 5b 5c5d 5e 5f 60 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 7677 78 79 7a 7b 7c 7d 7e 7f循环的16进制字符串。对于这种情形,Data部分的循环单元为(0x)40 41 42 43 44…7d 7e 7f,该循环单元的长度为64字节。
BSD系统,在填充Data部分时,大部分情形与Linux系统的情形一类似。但还存在另外一种情形:Data部分每个字节都相同,比如,都为(0x)00。若某数据包的Data部分长度为20字节,则该数据包的Data部分为(0x)00 00 00 00 00 00 00 00 00 00 00 00 00 00 0000 00 00 00 00。对于这种情形,循环单元的长度为1字节。
从而本申请中,在判断数据部分(或者除去时间戳的剩余数据)是否具有循环字符串时,可以根据不同的操作系统所对应的循环字符串的特征来进行具有针对性的判断,从而能够得到更加准确的判断结果。
在本申请的一个实施例中,如图4所示,所述的步骤S30:“对所述数据部分进行分析,确定所述数据部分中是否具有时间戳”,包括以下步骤:
S310,获取所述数据部分中的具有特定字节的头部数据,其中所述头部数据包括相邻的第一头部数据和第二头部数据,所述第一头部数据用于表征当前时间,所述第二头部数据用于表征所述当前时间的精确度。
具体的,时间戳可以设置在头部数据,即具有特定字节的头部数据整个可以是时间戳,头部数据包括相邻的第一头部数据和第二头部数据。例如头部数据为数据部分中处于头部的前8字节,其中该前8字节中的前4字节可以为第一头部数据,前8字节中的后4字节可以为第二头部数据。当然头部数据还可以为其他字节的数据,头部数据为数据部分中处于头部的前16字节,其中该前16字节中的前8字节可以为第一头部数据,前16字节中的后8字节可以为第二头部数据。
S320,在所述第一头部数据和所述第二头部数据均满足第二条件中相应内容的情况下,确定所述数据部分中具有时间戳。
本实施例中,头部数据可能是时间戳,也可能是其他数据内容,因此需要对头部数据中的第一头部数据和第二头部数据分别进行分析判断,从而确定数据部分中是否具有时间戳。本实施中需要在第一头部数据和第二头部数据均满足第二条件中相应内容的情况下,才能够确定数据部分中具有时间戳。而第二条件可以包括针对于第一头部数据进行分析判断的第一子条件,以及针对于第二头部数据进行分析判断的第二子条件。第一子条件可以是对当前时间设置的条件,第二子条件则可以是对当前时间的精确度所设置的条件。
举例说明,第一头部数据用于表征当前时间,第二头部数据用于表征所述当前时间的精确度。获取目标数据包中的Data部分(数据部分)的前8字节,将前8字节分为两部分,包括前4字节(第一头部数据)和后4字节(第二头部数据),将前4字节转换为十进制数;计算自1970年1月1日0时0分0秒到当前时间所经过的秒数;计算前4字节对应的十进制数和秒数的差值的绝对值,判断该绝对值是否小于86400;将后4字节转换为十进制数,判断该十进制数是否小于1000 000。当两个判断结果都为真时,则确定Data部分(数据部分)的前8字节为时间戳。
再例如,获取目标数据包的Data部分(数据部分)中的前16字节,将前16字节分为两部分,分别为前8字节和后8字节。将前8字节转换为十进制数;计算自1970年1月1日0时0分0秒到当前时间所经过的秒数;计算前8字节对应的十进制数和秒数的差值的绝对值,判断该绝对值是否小于86400;将后8字节转换为十进制数,判断该十进制数是否小于1000000。当两个判断结果都为真时,则可以确定目标数据包的Data部分(数据部分)中的前16字节为时间戳,否则判定该Data部分不存在时间戳。
作为可选,所述头部数据为所述数据部分中前X个字节或前Y个字节所对应的数据,第一头部数据的字节数和第二头部数据的字节数相同。
结合上述实施例,X和Y均为大于1的整数,当X为8时,Data部分(数据部分)的前8字节可能为时间戳(头部数据)时,第一头部数据和第二头部数据的字节数均为4。当Y为16时,Data部分(数据部分)的前16字节可能为时间戳时,第一头部数据和第二头部数据的字节数均为8。当然,X和Y还可以为其他整数,则第一头部数据和第二头部数据也发生相应的变化。
在本申请的一个实施例中,如图5所示,所述的步骤S40“确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串”,还包括以下步骤:
S410,基于所述剩余数据的数据长度,随机生成第一随机数和第二随机数。
S420,获取所述剩余数据中存储的所述第一随机数对应的第一存储数,以及所述第二随机数对应的第二存储数;
S430,确定所述第一存储数与所述第二存储数的第一差值,以及所述第一随机数和第二随机数的第二差值;
S440,基于所述第一差值和所述第二差值,确定剩余数据是否为连续字符串。
具体来说,数据部分中除时间戳之外的数据为剩余数据,例如除去数据部分中的头部数据以外的其他数据均为剩余数据。在对剩余数据进行是否为连续字符串的判断时,可以首先基于该剩余数据的数据长度,随机生成第一随机数和第二随机数。例如生成的第一随机数和第二随机数均大于1且不超过数据长度的具体数值,此外第一随机数和第二随机数不相同。
第一存储数为第一随机数在剩余数据中对应的数,如剩余数据的长度为26个字节,第一随机数为5,则第一存储数则为剩余数据中第一随机数5对应的第5个字节。而第二存储数也是类似,第二存储数为第二随机数在剩余数据中对应的数。
本实施例中确定第一存储数与第二存储数的第一差值,以及第一随机数和第二随机数的第二差值;在第一差值与第二差值相同的情况下则可以确定剩余数据为连续字符串。上述的确定步骤可以实施多次,从而在总体上能够防止偶然事件发生,以便更加准确定确定出剩余数据是否为连续字符串。
举例说明,存在两个ICMP数据包(目标数据包)。数据包一:Data部分为(0x)00 0102 03 04 05 06 07 08 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 19。该数据包一长度为26字节。
(1)基于长度26字节可以生成两个随机数,第一随机数为M=5,第二随机数为N=13。取第5字节上存储的数BM=(0x)04,取第13字节上存储的数BN=(0x)0c。计算BN–BM=(0x)0c-(0x)04=(0x)8=8。满足(BN-BM)等于N-M。
(2)基于长度26字节可以再生成两个随机数M=7,N=18。此时,BM=(0x)06,BN=(0x)11。BN–BM=(0x)11–(0x)06=(0x)0b=11。满足(BN-BM)等于N-M。
两次判断结果都为真,因此,最终结果为真。即确定该数据包一的Data部分为连续的十六进制字符串。从而可以认为该ICMP数据包(目标数据包)为正常数据包。
数据包二:Data部分为:(0x)69 70 63 6f 6e 66 69 67。该数据包二的长度为8字节。
(1)基于长度8字节可以生成两个随机数,第一随机数为M=2,第二随机数为N=5。此时,BM=(0x)70,BN=(0x)6e,BN–BM=(0x)6e–(0x)70=-2。(BN–BM)与N-M不相等。
(2)基于长度8字节可以再生成两个随机数M=3,N=4。此时,BM=(0x)63,BN=(0x)6f。BN–BM=(0x)6f–(0x)63=(0x)c=12。(BN-BM)与N-M不相等。
两次判断的结果均为假,则可以确定该数据包二的Data部分并不连续。从而可以认为该ICMP数据包(目标数据包)为异常数据包。
此外,在进行是否为连续字符串的判断时,可以设定为只要出现一次判断结果为假,则最终的结果一定为假,因此,不再需要继续生成随机数进行上述的分析和判断。
在本申请的一个实施例中,如图6所示,所述的步骤S40“确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串”,还包括以下步骤:
S450,基于所述剩余数据的数据长度,随机生成第三随机数;
S460,获取所述剩余数据中第三随机数对应的第三存储数,以及所述第三随机数和预设循环单元长度之和对应的第四存储数;
S470,在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串。
具体来说,在对剩余数据进行是否为循环字符串的分析判断时,可以利用第三随机数来实施。循环字符串具有循环出现的循环单元。第三随机数不超出剩余数据的数据长度。而预设循环单元长度可以是预设循环单元长度集合中的一个,该预设循环单元长度集合可以基于在多个操作系统中,目标数据包中具有循环字符串时剩余数据具有的数据长度来预先设定,如{1,23,64,256}。举例说明,对于两个ICMP数据包(目标数据包)。对于数据包三:其中的Data部分(数据部分)为(0x)61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f70 71 72 73 74 75 76 77 61 62 63 64 65 66。该数据包的长度为29字节。
(1)基于数据包三的长度29字节可以生成一个第三随机数P=4。获取数据包三的第4字节上的数BP=(0x)64,从{1,23,64,256}集合中获取预设循环单元长度23,在剩余数据中获取第(4+23)字节上的BP+23=(0x)64。确定BP与BP+23相等。
(2)类似的,再次生成一个第三随机数P=6。此时,BP=(0x)66,BP+23=(0x)66。确定BP与BP+23相等。
两次判断结果均为真,因此,最终结果为真。即确定该数据包三的Data部分为循环单元长度为23的循环字符串,从而可以确定该ICMP数据包(目标数据包)为正常数据包。
对于数据包四:其中的Data部分为(0x)57 69 6e 64 6f 77 73 20 50 6f 77 6572 53 68 65 6c 6c 20 72 75 6e 6e 69 6e 67 20 61 73 20 75 73 65 72。该数据包的长度为34字节。
(1)生成一个第三随机数P=5。此时,BP=(0x)6f,BP+23=(0x)61。BP与BP+23不相等。
(2)在生成一个随机数P=10。此时,BP=(0x)6f,BP+23=(0x)65。BP与BP+23不相等。
两次判断的结果均为假,因此,判断该数据包四的Data部分的循环单元长度并不是23,因此可以确定该数据包四并不具有循环字符串,从而可以确定目标数据包为异常数据包。
当然,该基于生成的第三随机数确定目标数据包的Data部分是否具有循环字符串的方式可以进行更多次实施上述步骤,如果出现有多个循环数不相同的情况下就可以确定该Data部分中除时间戳之外的剩余数据中不具有循环字符串,则可以确定目标数据包为异常数据包。
在本申请的一个实施例中,所述方法还包括:
从预设循环单元长度集合中逐一获取每个所述预设循环单元长度,以获取所述预设循环单元长度相对应的所述第四存储数;
相应的,所述的步骤S470“在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串”,包括:
将所述第三存储数与获取的每个所述第四存储数进行比对,如果具有相同的情况则确定所述剩余数据为循环字符串。具体的,对于电子设备处于不同的操作系统时,剩余部分为循环字符串时具有特定长度,因此该预设循环单元长度集合可以基于在多个操作系统中,目标数据包中具有循环字符串时剩余数据具有的数据长度来预先设定。预设循环单元长度集合中具有多个预设循环单元长度,本实施例中可以将每个预设循环单元长度与第三随机数进行结合,如相加并得到两者之“和”,从而基于每个“和”在剩余数据中获取相应的第四存储数。将第三存储数与每个第四存储数均进行比对,如果具有至少一个相同的情况,便可以确定剩余数据为循环字符串。
进一步的,所述方法还包括:基于所述电子设备的至少一个操作系统的类型,确定所述预设循环单元长度集合。
例如,在Windows操作系统下,为正常数据包的目标数据包的剩余数据对应的循环单元的长度为23字节;在Linux操作系统下,为正常数据包的目标数据包的剩余数据对应的循环单元的长度为64字节;在BSD操作系统下,为正常数据包的目标数据包的剩余数据对应的循环单元的长度为1字节。从而可以基于1,23以及64来预先设置该预设循环单元长度集合。为了扩大使用范围,作为可选,该预设循环单元长度集合可以设置为{1,23,64,256}。
举例说明,上述预设循环单元长度集合设置为{1,23,64,256},为ICMP Data部分的循环单元的长度的所有取值。同样,如果剩余数据的长度为L。判断一个剩余数据的循环单元的长度是否为23的方法为:生成一个第三随机数P(0<P≤(L-23)),取出剩余数据的字符串中第P个字节上的存储的数BP(第三存储数),再取出第P+23(两者之“和”)个字节上存储的数BP+23(第四存储数),判断BP是否等于BP+23,若相等则该剩余数据的字符串的循环单元的长度为23。为了避免偶然情况发生,可多生成几个随机数P,重复上述过程,若每次判断均为真,则确定待测字符串为循环长度为23的循环字符串。
当然该确定字符串是否为循环字符串的方式,也同样适用于不具有时间戳的目标数据包中的数据部分的判断,即将数据部分作为一个字符串来进行是否为循环字符串的判断。
本申请实施还提供了一种电子设备,如图7所示,包括:
获取模块,其配置为:获取基于第一通信协议进行传输的目标数据包。
具体的,第一通信协议可以是网络中数据的传输协议,包括ICMP(InternetControl Message Protocol)Internet控制报文协议。目标数据包则为基于第一通信协议进行传输的数据包,其为分析的目标,如ICMP数据包。获取模块获取该目标数据包的方式可以是通过直接从网络或网络设备中抓取,也可以是用户主动的输入该目标数据包,以使电子设备进行获取。
此外,获取模块在获取目标数据包时,可以基于特定报文格式获取目标数据包,以使随后的分析更加准确,其中包括获取ICMP type8和ICMP type0报文格式的目标数据包。
处理模块,其配置为:基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
具体来说,目标数据的数据结构表征了目标数据包中不同类型的数据的结构以及相互之间的关系。例如处理模块基于ICMP的目标数据包,包括首部和数据部分,其中首部包括:Type、Code、Checksum、Identifier、Sequence Number五个部分;而数据部分(Data)则为目标数据包的主要内容。本申请中处理模块需要将目标数据包中的数据部分抽出进行分析。
时间戳是一份能够表示一份数据在一个特定时间点已经存在的完整的可验证的数据。其主要是为用户提供一份电子证据,以证明用户的某些数据的产生时间。目标数据中可能具有时间戳,也可能不具有时间戳,本实施例中处理模块可以将两者区别开来分别进行分析。在获取到数据部分后,对数据部分进行扫描,根据预先获知的时间戳特征来判断数据部分中是否具有时间戳。如根据时间戳特征与当前的数据部分中的所有数据进行逐一对比,从而可以确定数据部分中是否具有时间戳。
在确定数据部分中具有时间戳的情况下,处理模块将对数据部分中除时间戳之外的剩余数据进行进一步的分析,以判断该剩余数据是否为连续字符串和/或循环字符串。字符串可以以十进制、十六进制或其他进制的形式出现。连续字符串可以是字符串连续排列,其中不会出现空位,且数值逐步增加。而循环字符串则是以循环单元来循环排列的多个字符串。
处理模块在对剩余数据进行是否为连续字符串的分析时,可以通过多种方式进行判断,如通过对剩余数据的具体字符的逐个分析来确定是否具有空位,且数值是否逐步增加,从而确定是否为连续字符串;也可以利用随机数来对剩余数据的具体内容进行判断,如利用两个随机数之间的第一差值,与该随机数在剩余数据中对应的数值的第二差值进行比对,从而根据对比结果来进行判断。
而处理模块对剩余数据中是否为循环字符串的判断分析,则可以通过判断是否具有循环单元,以及相应的循环长度来实现。也可以利用随机数来对其是否为循环字符串进行判断。如处理模块利用第一随机数在剩余数据中对应的第一数值,与第二随机数在剩余数据中对应的第二数值进行比对,从而根据对比结果来进行判断。
此外,第一条件可以是判断目标数据包为非异常数据包对应的条件,如不具有ICMP隧道的特征的条件。本实施例中,处理模块在确定剩余数据为连续字符串和/或循环字符串的情况下,则可以确定目标数据包符合第一条件,其被确定为非异常数据包。
在本申请的一个实施例中,所述处理模块进一步配置为:
在确定所述数据部分中没有时间戳的情况下,确定所述数据部分的整体是否为连续字符串和/或循环字符串;
在确定所述数据部分的整体为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
在本申请的一个实施例中,所述处理模块进一步配置为:
获取所述数据部分中的具有特定字节的头部数据,其中所述头部数据包括相邻的第一头部数据和第二头部数据,所述第一头部数据用于表征当前时间,所述第二头部数据用于表征所述当前时间的精确度;
在所述第一头部数据和所述第二头部数据均满足第二条件中相应内容的情况下,确定所述数据部分中具有时间戳。
在本申请的一个实施例中,所述头部数据为所述数据部分中前X个字节或前Y个字节所对应的数据,第一头部数据的字节数和第二头部数据的字节数相同。
在本申请的一个实施例中,所述处理模块进一步配置为:
基于所述剩余数据的数据长度,随机生成第一随机数和第二随机数;
获取所述剩余数据中存储的所述第一随机数对应的第一存储数,以及所述第二随机数对应的第二存储数;
确定所述第一存储数与所述第二存储数的第一差值,以及所述第一随机数和第二随机数的第二差值;
基于所述第一差值和所述第二差值,确定剩余数据是否为连续字符串。
在本申请的一个实施例中,所述处理模块进一步配置为:
基于所述剩余数据的数据长度,随机生成第三随机数;
基于所述第三随机数,获取所述剩余数据中第三随机数对应的第三存储数,以及所述第三随机数和预设循环单元长度之和对应的第四存储数;
在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串。
在本申请的一个实施例中,所述处理模块进一步配置为:
从预设循环单元长度集合中逐一获取每个所述预设循环单元长度,以获取所述预设循环单元长度相对应的所述第四存储数;
将所述第三存储数与获取的每个所述第四存储数进行比对,如果具有相同的情况则确定所述剩余数据为循环字符串。
在本申请的一个实施例中,所述电子设备还包括预设模块,所述预设模块配置为:
基于所述电子设备的至少一个操作系统的类型,确定所述预设循环单元长度集合。
本申请实施例还提供了一种电子设备,如图8所示,包括存储器和处理器,所述存储器中存储有可执行程序,所述处理器执行所述可执行程序以进行如下步骤:
获取基于第一通信协议进行传输的目标数据包;
基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
在本申请的一个实施例中,所述处理器进一步执行所述可执行程序以进行如下步骤:
获取所述数据部分中的具有特定字节的头部数据,其中所述头部数据包括相邻的第一头部数据和第二头部数据,所述第一头部数据用于表征当前时间,所述第二头部数据用于表征所述当前时间的精确度;
在所述第一头部数据和所述第二头部数据均满足第二条件中相应内容的情况下,确定所述数据部分中具有时间戳。
在本申请的一个实施例中,所述头部数据为所述数据部分中前X个字节或前Y个字节所对应的数据,第一头部数据的字节数和第二头部数据的字节数相同。
在本申请的一个实施例中,所述处理器进一步执行所述可执行程序以进行如下步骤:
基于所述剩余数据的数据长度,随机生成第一随机数和第二随机数;
获取所述剩余数据中存储的所述第一随机数对应的第一存储数,以及所述第二随机数对应的第二存储数;
确定所述第一存储数与所述第二存储数的第一差值,以及所述第一随机数和第二随机数的第二差值;
基于所述第一差值和所述第二差值,确定剩余数据是否为连续字符串。
在本申请的一个实施例中,所述处理器进一步执行所述可执行程序以进行如下步骤:
基于所述剩余数据的数据长度,随机生成第三随机数;
基于所述第三随机数,获取所述剩余数据中第三随机数对应的第三存储数,以及所述第三随机数和预设循环单元长度之和对应的第四存储数;
在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串。
在本申请的一个实施例中,所述处理器进一步执行所述可执行程序以进行如下步骤:
从预设循环单元长度集合中逐一获取每个所述预设循环单元长度,以获取所述预设循环单元长度相对应的所述第四存储数;
将所述第三存储数与获取的每个所述第四存储数进行比对,如果具有相同的情况则确定所述剩余数据为循环字符串。
在本申请的一个实施例中,所述处理器进一步执行所述可执行程序以进行如下步骤:
基于所述电子设备的至少一个操作系统的类型,确定所述预设循环单元长度集合。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (10)

1.一种异常数据包的检测方法,其特征在于,应用于电子设备中,所述方法包括:
获取基于第一通信协议进行传输的目标数据包;
基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包;否则,则确定所述目标数据包为异常数据包。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在确定所述数据部分中没有时间戳的情况下,确定所述数据部分的整体是否为连续字符串和/或循环字符串;
在确定所述数据部分的整体为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
3.根据权利要求1所述的方法,其特征在于,所述的对所述数据部分进行分析,确定所述数据部分中是否具有时间戳,包括:
获取所述数据部分中的具有特定字节的头部数据,其中所述头部数据包括相邻的第一头部数据和第二头部数据,所述第一头部数据用于表征当前时间,所述第二头部数据用于表征所述当前时间的精确度;
在所述第一头部数据和所述第二头部数据均满足第二条件中相应内容的情况下,确定所述数据部分中具有时间戳。
4.根据权利要求3所述的方法,其特征在于,所述头部数据为所述数据部分中前X个字节或前Y个字节所对应的数据,第一头部数据的字节数和第二头部数据的字节数相同。
5.根据权利要求1所述的方法,其特征在于,所述的确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串,包括:
基于所述剩余数据的数据长度,随机生成第一随机数和第二随机数;
获取所述剩余数据中存储的所述第一随机数对应的第一存储数,以及所述第二随机数对应的第二存储数;
确定所述第一存储数与所述第二存储数的第一差值,以及所述第一随机数和第二随机数的第二差值;
基于所述第一差值和所述第二差值,确定剩余数据是否为连续字符串。
6.根据权利要求1所述的方法,其特征在于,所述的确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串,包括:
基于所述剩余数据的数据长度,随机生成第三随机数;
基于所述第三随机数,获取所述剩余数据中第三随机数对应的第三存储数,以及所述第三随机数和预设循环单元长度之和对应的第四存储数;
在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
从预设循环单元长度集合中逐一获取每个所述预设循环单元长度,以获取所述预设循环单元长度相对应的所述第四存储数;
相应的,所述的在所述第三存储数和所述第四存储数相同的情况下,确定所述剩余数据为循环字符串,包括:
将所述第三存储数与获取的每个所述第四存储数进行比对,如果具有相同的情况则确定所述剩余数据为循环字符串。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
基于所述电子设备的至少一个操作系统的类型,确定所述预设循环单元长度集合。
9.一种电子设备,其特征在于,包括:
获取模块,其配置为:获取基于第一通信协议进行传输的目标数据包;
处理模块,其配置为:基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包。
10.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有可执行程序,所述处理器执行所述可执行程序以进行如下步骤:
获取基于第一通信协议进行传输的目标数据包;
基于所述目标数据包的数据结构,将所述目标数据包中的数据部分抽出;
对所述数据部分进行分析,确定所述数据部分中是否具有时间戳;
在确定所述数据部分中具有时间戳的情况下,确定所述数据部分中除所述时间戳之外的剩余数据是否为连续字符串和/或循环字符串;
在确定所述数据部分中除所述时间戳之外的剩余数据为连续字符串和/或循环字符串的情况下,确定所述目标数据包为符合第一条件的数据包;否则,则确定所述目标数据包为异常数据包。
CN202110552324.6A 2021-05-20 2021-05-20 异常数据包的检测方法及电子设备 Active CN113179278B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110552324.6A CN113179278B (zh) 2021-05-20 2021-05-20 异常数据包的检测方法及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110552324.6A CN113179278B (zh) 2021-05-20 2021-05-20 异常数据包的检测方法及电子设备

Publications (2)

Publication Number Publication Date
CN113179278A CN113179278A (zh) 2021-07-27
CN113179278B true CN113179278B (zh) 2023-04-18

Family

ID=76929799

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110552324.6A Active CN113179278B (zh) 2021-05-20 2021-05-20 异常数据包的检测方法及电子设备

Country Status (1)

Country Link
CN (1) CN113179278B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169910A (ja) * 2011-02-15 2012-09-06 Nec Infrontia Corp 通信装置、経路選択方法及びプログラム
CN103475655A (zh) * 2013-09-06 2013-12-25 瑞斯康达科技发展股份有限公司 一种实现IPSecVPN主备链路动态切换的方法
CN107332723A (zh) * 2016-04-28 2017-11-07 华为技术有限公司 隐蔽通道的检测方法和检测设备
CN110324210A (zh) * 2019-08-06 2019-10-11 杭州安恒信息技术股份有限公司 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN111988309A (zh) * 2020-08-18 2020-11-24 深圳市联软科技股份有限公司 一种icmp隐蔽隧道检测方法及系统
CN112085039A (zh) * 2019-06-12 2020-12-15 四川大学 一种基于随机森林的icmp隐蔽通道检测方法
CN112118154A (zh) * 2020-09-18 2020-12-22 上海斗象信息科技有限公司 基于机器学习的icmp隧道检测方法
CN112437062A (zh) * 2020-11-10 2021-03-02 北京天融信网络安全技术有限公司 一种icmp隧道的检测方法、装置、存储介质和电子设备

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101686235B (zh) * 2008-09-26 2013-04-24 北京神州绿盟信息安全科技股份有限公司 网络异常流量分析设备和方法
CN106790050B (zh) * 2016-12-19 2019-11-19 北京启明星辰信息安全技术有限公司 一种异常流量检测方法及检测系统
US11689543B2 (en) * 2018-08-10 2023-06-27 Rankin Labs, Llc System and method for detecting transmission of a covert payload of data
CN112491554B (zh) * 2020-11-19 2023-05-02 北京天融信网络安全技术有限公司 一种信息隐藏方法、装置,ip主机以及网络节点

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012169910A (ja) * 2011-02-15 2012-09-06 Nec Infrontia Corp 通信装置、経路選択方法及びプログラム
CN103475655A (zh) * 2013-09-06 2013-12-25 瑞斯康达科技发展股份有限公司 一种实现IPSecVPN主备链路动态切换的方法
CN107332723A (zh) * 2016-04-28 2017-11-07 华为技术有限公司 隐蔽通道的检测方法和检测设备
CN112085039A (zh) * 2019-06-12 2020-12-15 四川大学 一种基于随机森林的icmp隐蔽通道检测方法
CN110324210A (zh) * 2019-08-06 2019-10-11 杭州安恒信息技术股份有限公司 基于icmp协议进行隐蔽信道通信的检测方法及装置
CN111988309A (zh) * 2020-08-18 2020-11-24 深圳市联软科技股份有限公司 一种icmp隐蔽隧道检测方法及系统
CN112118154A (zh) * 2020-09-18 2020-12-22 上海斗象信息科技有限公司 基于机器学习的icmp隧道检测方法
CN112437062A (zh) * 2020-11-10 2021-03-02 北京天融信网络安全技术有限公司 一种icmp隧道的检测方法、装置、存储介质和电子设备

Also Published As

Publication number Publication date
CN113179278A (zh) 2021-07-27

Similar Documents

Publication Publication Date Title
US10721244B2 (en) Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program
Yang et al. RIHT: a novel hybrid IP traceback scheme
US7716742B1 (en) Systems and methods for determining characteristics of a network and analyzing vulnerabilities
US7317693B1 (en) Systems and methods for determining the network topology of a network
US20060161986A1 (en) Method and apparatus for content classification
JP5050781B2 (ja) マルウエア検出装置、監視装置、マルウエア検出プログラム、およびマルウエア検出方法
KR101295708B1 (ko) 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법
CN107968791B (zh) 一种攻击报文的检测方法及装置
US10735501B2 (en) System and method for limiting access request
US8855143B1 (en) Bandwidth saving system and method for communicating self describing messages over a network
US20060291490A1 (en) Computer-readable recording medium having recorded worm determination program, worm determination method, and worm determination apparatus
US20080291912A1 (en) System and method for detecting file
US20100251364A1 (en) Method and apparatus for classifying harmful packet
CN112887274A (zh) 命令注入攻击的检测方法、装置、计算机设备和存储介质
JP2010092236A (ja) 情報処理装置、プログラム、および記録媒体
CN110958245B (zh) 一种攻击的检测方法、装置、设备和存储介质
Kebande et al. Functional requirements for adding digital forensic readiness as a security component in IoT environments
CN116016351A (zh) 基于eBPF的UDP流量和丢包观测方法、系统及介质
CN114070800B (zh) 一种结合深度包检测和深度流检测的secs2流量快速识别方法
CN113179278B (zh) 异常数据包的检测方法及电子设备
KR100608541B1 (ko) 샘플링과 시그너쳐 검색 기능을 구비한 인터넷 프로토콜패킷 수집 장치 및 그 방법
US20180270197A1 (en) Intrusion prevention
CN115190056B (zh) 一种可编排的流量协议识别与解析方法、装置及设备
CN114553513A (zh) 一种通信检测方法、装置及设备
KR101148705B1 (ko) 응용프로그램의 네트워크 행동 시그니처 생성 장치, 수집 서버, 네트워크 행동 파악 시스템 및 네트워크 행동 시그니처 생성 방법

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant