CN114095265B

CN114095265B - Icmp隐蔽隧道检测方法、装置及计算机设备

Info

Publication number: CN114095265B
Application number: CN202111405495.2A
Authority: CN
Inventors: 梁钰华; 李少森; 徐峰; 李�浩; 宋洪运; 朱盛强; 王飞; 孙豪; 丁丙侯; 黄剑湘; 杨光; 刘超; 付天乙; 赵世伟; 王加磊; 何照能; 张子聪; 孙靖铷; 敬官欣; 崔萌
Original assignee: Kunming Bureau of Extra High Voltage Power Transmission Co
Current assignee: Kunming Bureau of Extra High Voltage Power Transmission Co
Priority date: 2021-11-24
Filing date: 2021-11-24
Publication date: 2024-04-05
Anticipated expiration: 2041-11-24
Also published as: CN114095265A

Abstract

本申请涉及一种ICMP隐蔽隧道检测方法、装置、计算机设备、存储介质和计算机程序产品。方法包括：持续获取ICMP数据包，并计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，所述载荷差反映两个ICMP数据包的数据位的差异情况；将所述载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果。采用本方法能够有效克服传统ICMP隐蔽隧道检测方法的误报率高及滞后性强等问题，实现提高检测全面性以及准确率的有益效果。

Description

ICMP隐蔽隧道检测方法、装置及计算机设备

技术领域

本申请涉及网络安全技术领域，特别是涉及一种ICMP隐蔽隧道检测方法、装置、计算机设备、存储介质和计算机程序产品。

背景技术

随着网络安全技术的发展，电力监控在电力系统中扮演的角色越来越重要，逐渐成为当下研究的热点。

现代的电力监控系统二次安防技术已比较完善，可以针对不同端口和不同主机进行访问限制和告警，但对于ICMP流量的管控还比较薄弱，因其可以躲避防火墙等安全网络设备检测的特点，易被攻击者用于形成隐蔽隧道实行恶意攻击。

现有技术中，有采用特征向量法进行隐蔽隧道检测的，通过构建特征向量来分析辨别是否为隐蔽隧道流量，以实现对电力监控系统厂站端生产控制大区边界的监控和预警。然而，该方法存在检测模型固定，易遗漏非特征、新变种隐蔽隧道的问题。

发明内容

基于此，有必要针对上述技术问题，提供一种能够提高检测全面性以及准确率的ICMP隐蔽隧道检测方法装置、计算机设备、计算机可读存储介质和计算机程序产品。

第一方面，本申请提供了一种ICMP隐蔽隧道检测方法。方法包括：

持续获取ICMP数据包，并计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，载荷差反映两个ICMP数据包的数据位的差异情况；

将载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果。

在其中一个实施例中，方法还包括：

将获取的ICMP数据包按源IP和目的IP二元组进行分类，其中源IP和目的IP相同的ICMP数据包分为同一组。

在其中一个实施例中，方法还包括：

构建训练样本集，训练样本集包括一堆源IP和目的IP均相同的ICMP数据包的载荷差；

计算训练样本集的信息熵，当信息熵大于等于信息熵阈值时，确定存在ICMP隐蔽隧道流量并停止检测；

当信息熵小于信息熵阈值时，利用训练样本集通过SVDD算法计算超球体的中心和半径，得到超球体模型。

在其中一个实施例中，利用训练样本集通过SVDD算法计算超球体的球心和半径，得到超球体模型，包括：

确定目标函数；

通过引入拉格朗日系数和高斯核函数将目标函数转化成其对偶函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在其中一个实施例中，得到ICMP隐蔽隧道检测结果，包括：

将载荷差输入超球体模型，计算载荷差到超球体球心的距离；

当距离大于超球体的半径时，则确定当前获取到的ICMP数据包为隐蔽隧道流量。

在其中一个实施例中，方法还包括：

对当前获取到的ICMP数据包进行格式过滤，当不满足格式规则时，则确定ICMP数据包为隐蔽隧道流量，当满足格式规则时，计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差；格式规则包括ICMP数据包的类型属于规定类型、ICMP数据包的类型与代码相匹配以及ICMP数据包的校验和正常中的至少一种。

在其中一个实施例中，方法还包括：

当载荷差不超过载荷差阈值时，将载荷差输入预先训练好的超球体模型；当载荷差大于载荷差阈值时，统计预定时间段内的数据包数量，数据包数量是预定时间内获取到的与当前获取到的ICMP数据包的源IP和目的IP均相同的数据包的数量，若数据包数量大于预设值，则确定当前获取到的ICMP数据包为隐蔽隧道流量，否则将载荷差输入预先训练好的超球体模型。

第二方面，本申请还提供了一种ICMP隐蔽隧道检测装置。装置包括：

获取模块，用于持续获取ICMP数据包；

计算模块，用于计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，载荷差反映两个ICMP数据包的数据位的差异情况；

检测模块，用于将载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果。

在其中一个实施例中，装置还包括分类模块，分类模块用于根据获取的ICMP数据包按源IP地址和目的IP地址的二元组进行分类，其中源IP地址和目的IP地址相同的ICMP数据包分为同一组。

在其中一个实施例中，装置还包括超球体模型生成模块，超球体模型生成模块包括样本构建单元、信息熵计算单元和模型生成单元；

样本构建单元，用于构建训练样本集，训练样本集包括一堆源IP和目的IP均相同的ICMP数据包的载荷差；

信息熵计算单元，用于计算训练样本集的信息熵，当信息熵大于等于信息熵阈值时，确定存在ICMP隐蔽隧道流量并停止检测；

模型生成单元，用于当信息熵小于信息熵阈值时，利用训练样本集通过SVDD算法计算超球体的中心和半径，得到超球体模型。

在其中一个实施例中，模型生成单元还用于：

确定目标函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在其中一个实施例中，检测模块还用于：

在其中一个实施例中，装置还包括：

格式过滤模块，用于对当前获取到的ICMP数据包进行格式过滤，当不满足格式规则时，则确定ICMP数据包为隐蔽隧道流量，当满足格式规则时，计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差；格式规则包括ICMP数据包的类型属于规定类型，ICMP数据包的类型与代码相匹配以及ICMP数据包的校验和正常中的至少一种。

在其中一个实施例中，装置还包括：

载荷差过滤模块，用于当载荷差不超过载荷差阈值时，将载荷差输入预先训练好的超球体模型，当载荷差大于载荷差阈值时，统计预定时间段的数据包数量，数据包数量是预定时间内获取到的与当前获取到的ICMP数据包的源ip和目的ip均相同的数据包的数量，若数据包数量大于预设值，则确定当前获取到的ICMP数据包为隐蔽隧道流量，否则将载荷差输入预先训练好的超球体模型。

第三方面，本申请还提供了一种计算机设备。计算机设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述ICMP隐蔽隧道检测方法的步骤。

第四方面，本申请还提供了一种计算机可读存储介质。计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述ICMP隐蔽隧道检测方法的步骤。

第五方面，本申请还提供了一种计算机程序产品。计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现上述ICMP隐蔽隧道检测方法的步骤。

上述ICMP隐蔽隧道检测方法、装置、计算机设备、存储介质和计算机程序产品，通过使用超球体模型对ICMP数据包的载荷差进行检测，判断是否存在ICMP隐蔽隧道，由于是正常隧道的超球体模型，因此，不论外界变种如何，只要不在超球体模型内均会被发现，即能够达到提高检测全面性以及准确率的有益效果。

附图说明

图1为一个实施例中ICMP隐蔽隧道检测方法的流程示意图；

图2为一个实施例中超球体模型生成过程的流程示意图；

图3为另一个实施例中ICMP隐蔽隧道检测方法的流程示意图；

图4为一个实施例中ICMP隐蔽隧道检测装置的结构框图；

图5为另一个实施例中ICMP隐蔽隧道检测装置的结构框图；

图6为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

在一个实施例中，如图1所示，提供了一种ICMP隐蔽隧道检测方法，本实施例以该方法应用于终端进行举例说明，可以理解的是，该方法也可以应用于服务器，还可以应用于包括终端和服务器的系统，并通过终端和服务器的交互实现。本实施例中，该方法包括以下步骤：

步骤102，持续获取ICMP数据包，并计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，载荷差反映两个ICMP数据包的数据位的差异情况。

其中，ICMP(Internet Control Message Protocol)是网络控制报文协议，它是TCP/IP协议族的一个子协议，用于IP层的差错报告、拥塞控制、路径控制以及路由器或主机信息的获取；ICMP与IP协议位于同一个层次(网络层)，但ICMP报文是封装在IP数据报的数据部分进行传输的。

具体的，持续监视电力监控系统厂站端来获得目标ICMP流量。当前获取到的ICMP数据包的载荷差计算方法为：

该ICMP数据包的载荷与其前一个ICMP数据包的载荷按位相减，确定两个ICMP数据包的差异位个数和载荷最大长度，则该ICMP数据包的载荷差即为差异位个数/载荷最大长度。第一个ICMP数据包的载荷差为0。

步骤104，将载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果。

可选的，得到ICMP隐蔽隧道检测结果，包括：

将一个ICMP数据包的载荷差输入预先训练好的超球体模型，计算载荷差到超球体球心的距离；

当距离大于超球体的半径时，判定存在隐蔽隧道，并输出警告。

在一个实施例中，检测方法还包括：

将获取的ICMP数据包按源IP地址和目的IP地址的二元组进行分类，其中源IP地址和目的IP地址相同的ICMP数据包分为同一组。

上述ICMP隐蔽隧道检测方法中，通过使用超球体模型对ICMP数据包的载荷差进行检测，判断是否存在ICMP隐蔽隧道，由于是正常隧道的超球体模型，因此，不论外界变种如何，只要待检测流量不在超球体模型内均会被发现，即能够有效克服传统ICMP隐蔽隧道检测方法的误报率高及滞后性强等问题，实现提高检测全面性以及准确率的有益效果；且该方法因其判断是根据IP地址分组进行实现的，故针对性、定位性强，能及时将风险流量反馈给运行人员并提供隔离保护，为电网的安全稳定运行不受外界侵扰提供保障。

在一个实施例中，ICMP隐蔽隧道检测方法还包括：

上述两个实施例中，通过对ICMP数据包进行格式过滤和载荷差边界过滤，实现了对ICMP隐蔽隧道的粗过滤，缩短了分析时间，提高了检测准确度。

上述实施例对ICMP隐蔽隧道检测流程进行了说明，现以一个实施例对检测方法中超球体模型的生成过程进行说明，在一个实施例中，如图2所示，检测方法还包括：

步骤202，构建训练样本集，训练样本集包括一堆源IP和目的IP均相同的ICMP数据包的载荷差。

具体的，将ICMP隐蔽隧道检测服务器部署在调度数据网业务汇聚交换机上，持续采集ICMP流量并依照源IP、目的IP二元组分组按时间顺序缓存至内部储存设备中；以某个二元组数据集的所有ICMP数据包为分析对象，统计所有ICMP数据包的载荷差，获得n份训练样本x_i＝{载荷差}，i∈{1,2,...,n-1,n}，组成该组的训练样本集DataSet x{x₁,x₂,x_i,......,x_n}。

步骤204，计算训练样本集的信息熵，当信息熵大于等于信息熵阈值时，确定存在ICMP隐蔽隧道流量，停止检测并输出警告；当信息熵小于信息熵阈值时，进行下一步分析。

具体的，定义训练样本x_i的信息量h(x_i)为：

h(x_i)＝-log₂p(x_i)

其中p(x_i)表示训练样本x_i在训练样本集DataSet x中出现的概率，然后求出该训练样本集的信息熵H(x)：

信息熵的值能反映出训练样本集的数据离散程度，熵值越小代表信息出现的越是有序，反之则为乱序。根据现场实际需要设置信息熵阈值H_limited，当训练样本的信息熵H(x)≥H_limited，则确定存在ICMP隐蔽隧道流量，终止分析同时输出发现隐蔽隧道的警告；若H(x)<H_limited，则进行下一步分析。

步骤206，利用步骤204得到的信息熵小于信息熵阈值的训练样本集通过SVDD算法计算超球体的中心和半径，得到超球体模型。

具体的，确定目标函数；通过引入拉格朗日系数和高斯核函数将目标函数转化成其对偶函数；根据对偶函数计算超球体的球心和半径，得到超球体模型。

对于本实施例中的步骤206，在另一个实施例中，该步骤进一步具体包括：

将训练样本集DataSet x{x₁,x₂,x_i,......,x_n}作为SVDD算法的训练样本，有x_i∈R^n×d，其中n是样本个数，d是特征维度，d＝1。首先通过非线性变换函数ψ＝x→F将数据从原始空间映射到特征空间，然后在特征空间中寻找一个体积最小的超球体，尽可能的包络整个训练样本集；为了构造这样一个最小体积超球体B(a,R)，需要解决以下优化问题：

约束条件为：

式中，R是超球体半径，a是超球体的球心，ξ是松弛因子，用于体现超球体的误分率，一般有ξ≥0，C是一个权衡超球体体积和误分率的惩罚参数，可根据实际情况进行修改，与ξ配合使用，确定超球体的容错率。

引用拉格朗日乘子法和核函数，原问题的对偶问题为：

约束条件为：

式中，是样本Xi对应的拉格朗日系数。求解该对偶问题后，可以获取所有样本对应的拉格朗日系数；K(x_i,x_j)是核函数，等同于特征空间中样本的内积，即K(x_i,x_j)＝<ψ(x_i),ψ(x_j)>，取核函数为高斯核函数，即

式中，x_c为核函数中心，即超球体球心a；σ为函数的宽度参数，控制了函数的径向作用范围。

在所有训练样本中，把拉格朗日系数满足的样本称为支持向量。假设训练数据集中属于支持向量的样本集合为SV，那么超球体的球心和半径的计算公式分别为：

至此，得到包络正常ICMP数据包的特征超球体模型。

上述实施例中，通过对训练样本集进行信息熵的过滤来获得正常隧道样本，利用正常隧道样本训练得到包络正常ICMP数据包的特征超球体模型，从而获取了高针对性、高准确率的检测模型。

利用上述实施例得到的超球体模型，在一个实施例中，如图3所示，提供了一种ICMP隐蔽隧道检测方法，具体包括：

步骤302，持续获取ICMP数据包。

具体的，在电力监控系统厂站端生产控制大区边界业务汇聚交换机处配置流镜像端口，对出入方向(镜像端口发送、接收)的ICMP数据包进行镜像并同步转发至观察端口，观察端口另一端连接至ICMP隐蔽隧道检测服务器，以此来获取来自于厂站内任意接入点的ICMP数据包，确保检测对象完整无遗漏。

可选的，将获取的ICMP数据包按源IP和目的IP的二元组进行分类，其中源IP和目的IP相同的ICMP数据包分为同一组。

具体的，服务器在一个时间窗T内，例如1min，将ICMP流量的消息类型区分开，仅留下类型为请求(REQUEST)的ICMP数据包。根据获得的ICMP流量数据包按二元组(源IP、目的IP)进行分类，源IP和目的IP相同的归为一类，由此获得数量不一的若干组二元组数据集。

步骤304，对当前获取到的ICMP数据包进行格式过滤，当不满足格式规则时，则确定ICMP数据包为隐蔽隧道流量，当满足格式规则时，进入下一步分析；格式规则包括ICMP数据包的类型属于规定类型、ICMP数据包的类型与代码相匹配以及ICMP数据包的校验和正常中的至少一种。

具体的，ICMP数据包由首部和数据段组成，首部为定长的8个字节，前4个字节是通用部分，后4个字节随报文类型的不同有所差异；ICMP数据包格式过滤主要是针对首部的过滤，若类型字段不在ICMP流量规定类型内，为非法格式，判定为ICMP隐蔽隧道流量；若类型与代码不匹配，为非法格式，判定为ICMP隐蔽隧道流量，例如若类型字段为8：回波请求，则代码字段一定是0；若校验和异常，判定为无效流量，予以过滤；此外，ICMP流量数据包中的标识符和序号字段由发送方任意选择设定，用于发送方和接收方的匹配，故不进行分析处理。

步骤306，计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，当载荷差不超过载荷差阈值时，将载荷差输入预先训练好的超球体模型；当载荷差大于载荷差阈值时，统计预定时间段内的数据包数量，数据包数量是预定时间内获取到的与当前获取到的ICMP数据包的源IP和目的IP均相同的数据包的数量，若数据包数量大于预设值，则确定当前获取到的ICMP数据包为隐蔽隧道流量，否则将载荷差输入预先训练好的超球体模型。

具体的，按时序排列经步骤306处理后的ICMP数据包，分别提取其数据段，然后将一个ICMP数据包与其前一个ICMP数据包载荷相减，得出该ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，首条ICMP数据包的载荷差为0。载荷差反映两个ICMP数据包的数据位的差异情况。

其中，某个ICMP包的载荷差值计算方法为：该ICMP包的载荷与前一个ICMP包的载荷按位相减，内容有差异的位标记为1，相同的标记为0，然后：

例如，数据包abcdefghi和abcdefjkl的载荷相减得000000111，载荷差就是3/9＝0.33。

根据上述计算，当载荷差小于载荷差阈值时，作为待检测流量输出；当载荷差值大于载荷差边界值时，统计当前时间窗口T(如1min)内该ICMP数据包所在的源IP和目的IP相同的二元组分组内ICMP数据包出现的数量，若该数量大于预设值，则确定当前获取到的ICMP数据包为隐蔽隧道流量，否则作为待检测流量输出。其中，本实施例中载荷差阈值设为16.67％，预设值可根据实际情况进行配置。

步骤308，将步骤306处理后输出的待检测流量输入预先训练好的超球体模型检测是否存在ICMP隐蔽隧道。

具体的，将待检测流量x_test输入预先训练好的超球体模型，按照如下公式计算载荷差到超球体球心的距离：

当该距离d小于等于超球体的半径R时，说明测试样本在超球体上或者内部，属于正常样本；当该距离d大于超球体的半径R时，确定存在隐蔽隧道，并输出警告。

上述ICMP隐蔽隧道检测方法中，通过使用超球体模型对ICMP数据包的载荷差进行检测，判断是否存在ICMP隐蔽隧道，由于是正常隧道的超球体模型，因此，不论外界变种如何，只要待检测流量不在超球体模型内均会被发现，即能够达到提高检测全面性以及准确率的有益效果。

应该理解的是，虽然如上的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，如上的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

基于同样的发明构思，本申请实施例还提供了一种用于实现上述所涉及的ICMP隐蔽隧道检测方法的ICMP隐蔽隧道检测装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似，故下面所提供的一个或多个ICMP隐蔽隧道检测装置实施例中的具体限定可以参见上文中对于ICMP隐蔽隧道检测方法的限定，在此不再赘述。

在一个实施例中，如图4所示，提供了一种ICMP隐蔽隧道检测装置，包括：获取模块、计算模块和检测模块，其中：

获取模块，用于持续获取ICMP数据包；

在一个实施例中，装置还包括分类模块，如图5所示，该分类模块用于根据获取的ICMP数据包按源IP地址和目的IP地址的二元组进行分类，其中源IP地址和目的IP地址相同的ICMP数据包分为同一组。

在一个实施例中，装置还包括超球体模型生成模块，如图5所示，该超球体模型生成模块包括样本构建单元、信息熵计算单元和模型生成单元；

对于上述实施例中超球体模型生成模块的模型生成单元，在一个实施例中，该模型生成单元还用于：

确定目标函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在一个实施例中，检测模块还用于：

在一个实施例中，装置还包括格式过滤模块，如图5所示，该格式过滤模块用于对当前获取到的ICMP数据包进行格式过滤，当不满足格式规则时，则确定ICMP数据包为隐蔽隧道流量，当满足格式规则时，计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差；格式规则包括ICMP数据包的类型属于规定类型，ICMP数据包的类型与代码相匹配以及ICMP数据包的校验和正常中的至少一种。

在其中一个实施例中，装置还包括载荷差过滤模块，如图5所示，该载荷差过滤模块，用于当载荷差不超过载荷差阈值时，将载荷差输入预先训练好的超球体模型，当载荷差大于载荷差阈值时，统计预定时间段的数据包数量，数据包数量是预定时间内获取到的与当前获取到的ICMP数据包的源IP和目的IP均相同的数据包的数量，若数据包数量大于预设值，则确定当前获取到的ICMP数据包为隐蔽隧道流量，否则将载荷差输入预先训练好的超球体模型。

上述ICMP隐蔽隧道检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器或终端，其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储已经训练好的超球体模型和已经获取到的ICMP数据包。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种ICMP隐蔽隧道检测方法。

本领域技术人员可以理解，图6中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现如下步骤：

在一个实施例中，该处理器执行计算机程序时还实现：

确定目标函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在一个实施例中，该处理器执行计算机程序时还实现：

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现如下步骤：

在一个实施例中，该处理器执行计算机程序时还实现：

确定目标函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在一个实施例中，该处理器执行计算机程序时还实现：

在一个实施例中，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如下步骤：

在一个实施例中，该处理器执行计算机程序时还实现：

确定目标函数；

根据对偶函数计算超球体的球心和半径，得到超球体模型。

在一个实施例中，该处理器执行计算机程序时还实现：

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory，MRAM)、铁电存储器(Ferroelectric Random Access Memory，FRAM)、相变存储器(Phase Change Memory，PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器等。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory，DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等，不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等，不限于此。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本申请专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。

Claims

1.一种ICMP隐蔽隧道检测方法，其特征在于，所述方法包括：

持续获取ICMP数据包，并计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，所述载荷差反映两个ICMP数据包的数据位的差异情况；

将所述载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果；

所述方法还包括：当所述载荷差不超过载荷差阈值时，将所述载荷差输入预先训练好的超球体模型；当所述载荷差大于所述载荷差阈值时，统计预定时间段内的数据包数量，所述数据包数量是预定时间内获取到的与当前获取到的ICMP数据包的源ip和目的ip均相同的数据包的数量，若所述数据包数量大于预设值，则确定所述当前获取到的ICMP数据包为隐蔽隧道流量，否则将所述载荷差输入预先训练好的超球体模型。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

构建训练样本集，所述训练样本集包括一堆源IP和目的IP均相同的ICMP数据包的载荷差；

计算所述训练样本集的信息熵，当所述信息熵大于等于信息熵阈值时，确定存在ICMP隐蔽隧道流量并停止检测；

当所述信息熵小于信息熵阈值时，利用所述训练样本集通过SVDD算法计算超球体的中心和半径，得到超球体模型。

4.根据权利要求3所述的方法，其特征在于，所述利用所述训练样本集通过SVDD算法计算超球体的球心和半径，得到超球体模型，包括：

确定目标函数；

通过引入拉格朗日系数和高斯核函数将所述目标函数转化成其对偶函数；

根据所述对偶函数计算超球体的球心和半径，得到超球体模型。

5.根据权利要求1所述的方法，其特征在于，所述得到ICMP隐蔽隧道检测结果，包括：

将载荷差输入所述超球体模型，计算所述载荷差到超球体球心的距离；

当所述距离大于超球体的半径时，则确定当前获取到的ICMP数据包为隐蔽隧道流量。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对当前获取到的ICMP数据包进行格式过滤，当不满足格式规则时，则确定所述ICMP数据包为隐蔽隧道流量，当满足格式规则时，计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差；所述格式规则包括ICMP数据包的类型属于规定类型、ICMP数据包的类型与代码相匹配以及ICMP数据包的校验和正常中的至少一种。

7.一种ICMP隐蔽隧道检测装置，其特征在于，所述装置包括：

获取模块，用于持续获取ICMP数据包；

计算模块，用于计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷差，前一个ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的ICMP数据包，所述载荷差反映两个ICMP数据包的数据位的差异情况；

检测模块，用于将所述载荷差输入预先训练好的超球体模型，并得到ICMP隐蔽隧道检测结果；

8.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至6中任一项所述的方法的步骤。

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至6中任一项所述的方法的步骤。