CN115174265A - 一种基于流量特征的icmp隐蔽隧道检测方法 - Google Patents

Abstract

本发明涉及信息安全领域，特别是涉及一种基于流量特征的多因子ICMP隐蔽隧道检测方法，包括，于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。

Description

一种基于流量特征的ICMP隐蔽隧道检测方法

技术领域

本发明涉及信息安全领域，特别是涉及一种基于流量特征的多因子ICMP隐蔽隧道检测方法。

背景技术

ICMP是“InternetControlMessageProtocol”(Internet控制消息协议)的缩写。它是TCP/IP协议族的一个子协议，用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据，但是对于用户数据的传递起着重要的作用。

在实际的生产环境中，运维人员在排查网络环境问题时，一般都会使用ping或者traceroute命令来检测网络是否畅通，因此，绝大部分网络环境的防火墙默认开放此协议。同时由于ICMP报文自身可以携带数据，而且ICMP报文是由系统内核处理的，不占用任何端口，因此具有很高的隐蔽性。通常ICMP隧道技术采用ICMP的ICMP_ECHO和ICMP_ECHOREPLY两种报文，把数据隐藏在ICMP数据包包头的选项域中，利用ping命令建立隐蔽通道。

进行隐蔽传输的时候，防火墙内部运行并接受外部攻击端的ICMP_ECHO数据包，攻击端把需要执行的命令隐藏在ICMP_ECHO数据包中，肉鸡接收到该数据包，解析其中隐藏的命令，并在防火墙内部主机上执行，再把执行结果隐藏在ICMP_ECHOREPLY数据包中，发送给外部攻击端。

目前，完全禁用ICMP协议会导致无法方便快捷排查网络问题，在现实生产环境中，很难实施和部署。机器学习技术已被成功应用到语音识别、图像识别等领域，并有很好的效果。但目前在网络安全行业能成功应用机器学习的案例较少，主要由于无法获取到大数据量的异常样本。在ICMP隧道检测场景中，业内同样存在异常样本数据稀缺问题，从而导致训练模型不能贴合实际生产环境，检测ICMP隧道的误报率较高，检测结果不是很准确。

发明内容

针对现有技术的缺陷，本申请提供一种基于流量特征的ICMP隐蔽隧道检测方法，其中：包括，

于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；

对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；

根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包具体包括：

于获取到ICMP流量数据的状态下，读取ICMP流量数据每个数据包中的第一特征值和第二特征值；

根据所述第一特征值和所述第二特征值形成一检测数据流包；

读取与所述检测数据流包匹配的数据以形成所述待检测数据流。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第一类数据的形成方式包括：

获取第一类数据的基础阈值，第一类数据的基础阈值为：

S1为第一类数据的基础阈值，n为上行下行包数的数量；A1、A2、A3均为结果值；

根据当前待检测数据流中与所述第一类数据匹配的数据包数量，结合所述第一类数据的基础阈值形成所述第一类数据；

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第二类数据的形成方式为：

S2＝(R/r)*A；

其中，S2为第二类数据的基础阈值，R为配置标准请求时间间隔；A为配置请求时间间隔异常影响因子；r为实际请求时间间隔。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第三类数据的形成方式为，

获取第三类数据的基础阈值；第三类数据的基础阈值为：

其中，S3为第三类数据的基础阈值，m1为载荷内容异常数量；

根据当前待检测数据流中与所述第三类数据匹配的数据包数量，结合所述第三类数据的基础阈值形成所述第三类数据。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第四类数据的形成方式为，

获取第四类数据的基础阈值；第四类数据的基础阈值为：

其中，S4为第四类数据的基础阈值，m2为载荷内容异常数量；

根据当前待检测数据流中与所述第四类数据匹配的数据包数量，结合所述第四类数据的基础阈值形成所述第四类数据。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第五类数据的形成方式为，

获取第五类数据的基础阈值；第五类数据的基础阈值为：

其中，S5为第五类数据的基础阈值，m3为内容不匹配异常数量；

根据当前待检测数据流中与所述第五类数据匹配的数据包数量，结合所述第五类数据的基础阈值形成所述第五类数据。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：所述第六类数据的形成方式为，

获取第六类数据的基础阈值；第六类数据的基础阈值为：

其中，S6为第六类数据的基础阈值，m4为配置Type异常数量；

根据当前待检测数据流中与所述第六类数据匹配的数据包数量，结合所述第六类数据的基础阈值形成所述第六类数据。

优选地，上述的一种基于流量特征的ICMP隐蔽隧道检测方法，其中：根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据检测形成一检测结果输出具体包括：

根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据结合与之匹配的权重系数计算形成可疑因子；

根据所述可疑因子判断是否存在隐蔽隧道。

另一方面，本申请再提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序，其中，所述处理器执行所述计算机程序时实现上述任一项所述一种基于流量特征的ICMP隐蔽隧道检测方法。

与现有技术相比，本发明的有益效果是：

1)根据流量特征实时检测，检测速度快；

2)根据六个维度的可疑因子对比基线模型，检测准确率高；

附图说明

图1为本发明实施例提供的一种基于流量特征的ICMP隐蔽隧道检测方法流程示意图；

图2为本发明实施例提供的一种基于流量特征的ICMP隐蔽隧道检测方法流程示意图；

图3为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供一种基于流量特征的ICMP隐蔽隧道检测方法，其中：包括，

如图1所示，步骤S110、于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；具体包括

步骤S1101、于获取到ICMP流量数据的状态下，读取ICMP流量数据每个数据包中的第一特征值和第二特征值；其中，第一特征值和第二特征值可被理解为数据包中携带的源地址和目标地址。例如一个数据流中包含有X1、X2、X3、X4四个数据包，其中X1的数据包的源地址为S11、目标地址为S12，X2的数据包的源地址为S11、目标地址为S13，其中X3的数据包的源地址为S12、目标地址为S11，其中X4的数据包的源地址为S11、目标地址为S12，则X1数据包、X4数据包的第一特征值为S11、第二特征值为S12，X2数据包的第一特征值为S11、第二特征值为S13。X3数据包的第一特征值为S12、第二特征值为S11。

步骤S1102、根据所述第一特征值和所述第二特征值形成一检测数据流包；及将包含第一特征值和第二特征值的数据包做为一个检测数据流包。如上述实施例中，X1、X3、X4数据包作为一个检测数据流包。因为X1、X3、X4数据包中均包含有S11、S12。

需要说明的是，检测数据流仅需要包含第一特征值和第二特征值，而不要求数据的包的第一特征值均相同、第二特征值均相同。

步骤S1103、读取与所述检测数据流包匹配的数据以形成所述待检测数据流。

列举一具体实施例：实现流量过滤采集ICMP流量，以源地址和目的地址为KEY建流以使得对ICMP流量进行分类处理。

通过上述步骤，将属于同一源地址、目标地址路径中的数据包作为同一待检测数据流处理。

步骤S120、对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；具体地：其中，

所述第一类数据的形成方式包括：

步骤S12011、获取第一类数据的基础阈值，第一类数据的基础阈值为：

S1为第一类数据的基础阈值，n为上行下行包数的数量；A1、A2、A3均为结果值。示意性地，N1的取值可为10，N2的取值可为30，

步骤S12012、根据当前待检测数据流中与所述第一类数据匹配的数据包数量，结合所述第一类数据的基础阈值形成所述第一类数据；其中，与所述第一类数据匹配的数据包数量即为上行下行包数的数量；

所述第二类数据的形成方式包括：

S2＝(R/r)*A；

其中，S2为第二类数据的基础阈值，R为配置标准请求时间间隔；A为配置请求时间间隔异常影响因子；r为实际请求时间间隔。

所述第三类数据的形成方式包括：

步骤S12031、获取第三类数据的基础阈值；第三类数据的基础阈值为：

其中，S3为第三类数据的基础阈值，m1为载荷内容异常数量。M1的取值可为10、M2的取值可为20，其中，通过多模匹配，如果没有出现abcdefghijklmnopqrstuvwabcdefghi或者！”#$％&’()+,-./01234567特征则认为是载荷内容异常。统计载荷内容异常数据包总数以形成m1。

步骤S12032、根据当前待检测数据流中与所述第三类数据匹配的数据包数量，结合所述第三类数据的基础阈值形成所述第三类数据。

所述第四类数据的形成方式包括：

步骤S12041、获取第四类数据的基础阈值；第四类数据的基础阈值为：

其中，S4为第四类数据的基础阈值，m2为载荷长度异常数量。P1的取值可为48，P2的取值可为64，针对每个数据包，解析出载荷的长度，对于长度不是32和48的则认为是长度异常，统计到载荷长度异常的数据包总数以形成m2；

步骤S12042、根据当前待检测数据流中与所述第四类数据匹配的数据包数量，结合所述第四类数据的基础阈值形成所述第四类数据。

所述第五类数据的形成方式包括：

步骤S12051、获取第五类数据的基础阈值；第五类数据的基础阈值为：

其中，S5为第五类数据的基础阈值，m3为内容不匹配异常数量。Q1的取值可为10，Q2的取值可为20，针对每个数据包，解析请求和响应的Sequence字段，对于Sequence相同的请求响应，检查请求响应数据包的载荷是否相同，如果不相同则认为是载荷内容不匹配，统计到载荷内容不匹配的数据包总数以形成m3；

步骤S12052、根据当前待检测数据流中与所述第五类数据匹配的数据包数量，结合所述第五类数据的基础阈值形成所述第五类数据。

所述第六类数据的形成方式包括：

步骤S12061、获取第六类数据的基础阈值；第六类数据的基础阈值为：

其中，S6为第六类数据的基础阈值，m4为配置Type异常数量。R1的取值可为10，R2的取值可为20，针对每个数据包，解析Type字段，正常的ping操作Type字段只能是0和8，如果出现非0和非8的，则认为是Type异常统计到Type异常计数里面。

上述的A1、B1、C1、D1、E1、F1的取值可为0.2；A2、B2、C2、D2、E2、F2的取值可为0.3；A3、B3、C3、D3、E3、F3的取值可为0.5。

步骤S12062、根据当前待检测数据流中与所述第六类数据匹配的数据包数量，结合所述第六类数据的基础阈值形成所述第六类数据。

步骤S130、根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。具体包括

步骤S1301、根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据结合与之匹配的权重系数计算形成可疑因子，具体地

S＝(S1*x1+S2*x2+S3*x3+S4*x4+S5*x5+S6*x6)/(x1+x2+x3+x4+x5+x6)；

其中，S为可疑因子；x1为第一类数据的权重，x2为第二类数据的权重，x3为第三类数据的权重，x4为第四类数据的权重，x5为第五类数据的权重，x6为第六类数据的权重，

步骤S1302、根据所述可疑因子判断是否存在隐蔽隧道。于可疑因子大于可疑因子阈值(例如可疑因子阈值为2.5)的状态下判断当前数据流存在有隐蔽隧道，当可疑因子不大于可疑因子阈值的状态下判断当前数据流中不存在隐蔽隧道。其中可疑因子阈值由用户自定义，此处不做具体限制。

列举一具体实施方案：一种基于流量特征的多因子ICMP隐蔽隧道检测装置，主要包括ICMP采集、ICMP建流、解析统计、上行下行包数异常研判、请求时间间隔异常研判、载荷长度异常研判、载荷内容异常研判、载荷内容不匹配异常研判、Type异常研判、基线模型、静态配置、动态学习、综合研判；

所述模块之间交互关系是：所述ICMP采集和ICMP建流交互，实现流量过滤采集ICMP流量，并将流量送往建流模块建流；

所述ICMP建流和解析统计交互，以源IP和目的IP为KEY建流，流老化可以是周期老化或者是超时老化；

所述包处理和上行下行包数异常研判、请求时间间隔异常研判、载荷长度异常研判、载荷内容异常研判、载荷内容不匹配异常研判，Type异常研判交互，统计ICMP流的包数信息，计算平均请求时间间隔，判断载荷长度是否异常，判断载荷内容是否异常，判断请求响应的载荷内容是否一致，判断Type字段是否为0或者8，以上结果均需计数；

所述上行下行包数异常研判与基线模型交互，提供上行下行包数异常的可疑因子，计算方法如下：

配置上行下行包的数量分别落在区间段[0,N1]、[N1,N2]和[N2,∞]的影响因子，N1和N2可配置，小于N1为A1，大于N1小于N2为A2，大于N2为A3，假设实际上行下行包的数量为n，则可疑因子S1的计算方式为：

所述请求时间间隔异常研判与基线模型交互，提供请求时间间隔异常的可疑因子，计算方式如下：

配置标准请求时间间隔为R，配置请求时间间隔异常影响因子A，实际请求时间间隔为r，则可疑因子计算方式为S2＝(R/r)*A。

所述载荷内容异常研判与基线模型交互，提供载荷内容异常的可疑因子，计算方式如下：

配置载荷内容异常数量分别落在区间段[0,M1]、[M1,M2]和[M2,∞]的影响因子，M1和M2可配置，小于M1为C1，大于M1小于M2为C2，大于M2为C3，假设载荷内容异常数量为m1，则可疑因子S3计算方式为：

所述载荷长度异常研判与基线模型交互，提供载荷长度异常的可疑因子，计算方式如下：

配置载荷长度异常数量分别落在区间段[0,P1]、[P1,P2]和[P2,∞]的影响因子，P1和P2可配置，小于P1为D1，大于P1小于P2为D2，大于P2为D3，假设实际载荷长度异常数量为m2，则可疑因子S4计算方式为：

所述载荷内容不匹配异常研判与基线模型交互，提供载荷内容不匹配异常的可疑因子，计算方式如下：

配置载荷内容不匹配异常数量分别落在区间段[0,Q1]、[Q1,Q2]和[Q2,∞]的影响因子，Q1和Q2可配置，小于Q1为E1，大于Q1小于Q2为E2，大于Q2为E3，假设实际内容不匹配异常数量为m3，则可疑因子S5计算方式为：

所述Type异常研判与基线模型交互，提供Type异常的可疑因子，计算方式如下：

配置Type异常数量分别落在区间段[0,R1]、[R1,R2]和[R2,∞]的影响因子，R1和R2可配置，小于R1为F1，大于R1小于R2为F2，大于R2为F3，假设实际载荷长度异常数量为m4，则可疑因子S6计算方式为：

所述静态配置与基线模型交互，提供基线模型的配置参数；

所述动态学习与基线模型交互，根据正常ICMP流量动态学习基线模型的各个参数；

所述基线模型与综合研判交互，将各维度的可疑因子和基线模型相比较，并将结果发送给综合研判，总的可疑因子计算方式为各个维度的可疑因子的加权平均值，每个维度会有一个加权系数x：

S＝(S1*x1+S2*x2+S3*x3+S4*x4+S5*x5+S6*x6)/(x1+x2+x3+x4+x5+x6)

所述综合研判根据比较结果判定该条流是否为隐蔽隧道。

解析统计模块对ICMP数据包进行深度解析，统计同一条流上的上下行包数，及多次请求之间的时间间隔；针对每个数据包，解析Type字段，正常的ping操作Type字段只能是0和8，如果出现非0和非8的，则认为是Type异常统计到Type异常计数里面；针对每个数据包，解析出载荷的长度，对于长度不是32和48的则认为是长度异常，统计到载荷长度异常的计数中；针对每个数据包，解析出载荷的内容，通过多模匹配，如果没有出现abcdefghijklmnopqrstuvwabcdefghi或者！”#$％&’()+,-./01234567特征则认为是载荷内容异常，统计到载荷内容异常计数；针对每个数据包，解析请求和响应的Sequence字段，对于Sequence相同的请求响应，检查请求响应数据包的载荷是否相同，如果不相同则认为是载荷内容不匹配，统计到载荷内容不匹配计数。

实施例二

本申请实施例提供了一种电子设备，如图3所示，本实施例提供了一种电子设备400，其包括：一个或多个处理器420；存储装置410，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器420运行，使得所述一个或多个处理器420实现：

于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；

对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；

根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。

如图3所示，该电子设备400包括处理器420、存储装置410、输入装置430和输出装置440；电子设备中处理器420的数量可以是一个或多个，图3中以一个处理器420为例；电子设备中的处理器420、存储装置410、输入装置430和输出装置440可以通过总线或其他方式连接，图3中以通过总线450连接为例。

存储装置410作为一种计算机可读存储介质，可用于存储软件程序、计算机可运行程序以及模块单元，如本申请实施例中的基于相关运行环境的控制方法对应的程序指令。

存储装置410可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需的应用程序；存储数据区可存储根据终端的使用所创建的数据等。此外，存储装置410可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中，存储装置410可进一步包括相对于处理器420远程设置的存储器，这些远程存储器可以通过网络连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

输入装置430可用于接收输入的数字、字符信息或语音信息，以及产生与电子设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏、扬声器等设备。

实施例三

在一些实施例中，以上所描述的方法可以被实现为计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于执行本公开的各个方面的计算机可读程序指令。具体地：

于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；

对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；

根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。

上述的计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

本文所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本公开操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言，以及常规的过程式编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)，该电子电路可以执行计算机可读程序指令，从而实现本公开的各个方面。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理单元，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理单元执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本公开的多个实施例的设备、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上已经描述了本公开的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中技术的技术改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims (10)

1.一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：包括，

于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包；

对所述待检测数据包形成第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测；

根据所述第一类数据、和/或第二类数据、和/或第三类数据、和/或第四类数据、和/或第五类数据、和/或第六类数据检测形成一检测结果输出。

2.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包具体包括：

于获取到ICMP流量数据的状态下，读取ICMP流量数据每个数据包中的第一特征值和第二特征值；

根据所述第一特征值和所述第二特征值形成一检测数据流包；

读取与所述检测数据流包匹配的数据以形成所述待检测数据流。

3.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第一类数据的形成方式包括：

获取第一类数据的基础阈值，第一类数据的基础阈值为：

S1为第一类数据的基础阈值，n为上行下行包数的数量；A1、A2、A3均为结果值；

根据当前待检测数据流中与所述第一类数据匹配的数据包数量，结合所述第一类数据的基础阈值形成所述第一类数据。

4.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第二类数据的形成方式为：

S2＝(R/r)*A；

其中，S2为第二类数据的基础阈值，R为配置标准请求时间间隔；A为配置请求时间间隔异常影响因子；r为实际请求时间间隔。

5.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第三类数据的形成方式为，

获取第三类数据的基础阈值；第三类数据的基础阈值为：

其中，S3为第三类数据的基础阈值，m1为载荷内容异常数量；

根据当前待检测数据流中与所述第三类数据匹配的数据包数量，结合所述第三类数据的基础阈值形成所述第三类数据。

6.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第四类数据的形成方式为，

获取第四类数据的基础阈值；第四类数据的基础阈值为：

其中，S4为第四类数据的基础阈值，m2为载荷内容异常数量；

根据当前待检测数据流中与所述第四类数据匹配的数据包数量，结合所述第四类数据的基础阈值形成所述第四类数据。

7.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第五类数据的形成方式为，

获取第五类数据的基础阈值；第五类数据的基础阈值为：

其中，S5为第五类数据的基础阈值，m3为内容不匹配异常数量；

根据当前待检测数据流中与所述第五类数据匹配的数据包数量，结合所述第五类数据的基础阈值形成所述第五类数据。

8.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：所述第六类数据的形成方式为，

获取第六类数据的基础阈值；第六类数据的基础阈值为：

其中，S6为第六类数据的基础阈值，m4为配置Type异常数量；

根据当前待检测数据流中与所述第六类数据匹配的数据包数量，结合所述第六类数据的基础阈值形成所述第六类数据。

9.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法，其特征在于：根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据检测形成一检测结果输出具体包括：

根据所述第一类数据、第二类数据、第三类数据、第四类数据、第五类数据、第六类数据结合与之匹配的权重系数计算形成可疑因子；

根据所述可疑因子判断是否存在隐蔽隧道。

10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1～9中任一项所述一种基于流量特征的ICMP隐蔽隧道检测方法。

Images