[发明专利]一种基于ICMP隧道分析的数据泄漏检测方法及系统

说明书

本发明提供一种基于ICMP隧道分析的数据泄露检测方法，包括S1.数据接入；S2.数据预处理，抓取ICMP协议中查询类ICMP报文数据；S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分。本发明通过引入机器学习的方法，以数据为媒介，构造出的具有区分能力的特征，然后通过异常检测模型来区分正常行为与ICMP隧道攻击行为，具备了较高的查全率和查准率，解决了统计分析方法漏报率和误报率较高的问题。

技术领域

本发明及计算机数据安全技术领域，具体来说是一种基于ICMP隧道分析的数据泄漏检测方法及系统。

背景技术

ICMP(Internet Control Messages Protocol，网间控制报文协议)是TCP/IP协议族的子协议，是一种面向无连接的协议。ICMP隧道就是将IP流量封装进ICMP的数据包中，旨在利用ping穿透防火墙的检测，因为通常防火墙是不会屏蔽ping数据包，从而使得内网主机中的数据被泄露。在当下防火墙等防御手段日益完善的背景下，传统socket隧道已极少，TCP、UDP大量被防御系统拦截，DNS、ICMP、http/https等难于禁止的协议已成为黑客控制隧道的主流。

目前，对通过ICMP隧道导致的数据泄漏检测方法主要包含规则匹配和统计分析的方法。规则匹配方法指的是通过制定规则来对抓取到的数据包进行匹配检测；统计分析方法是通过将抓取到的数据包转换为16进制后按照一定的字符数切分判断其内容是否有规律来做区分，对于正常操作系统产生的不断重复序列，在转换为16进制后切分生成的特征数组表现出较强的规律性，其表现为从00开始不断递增然后一直到ff的重复序列中的一段或几段。而人为构造的ping数据包在转换为16进制后切分生成的特征数组则较为混乱。

上述的规则匹配检测方法虽然能够发现部分ICMP隧道攻击行为，但是由于其过分依赖安全人员的知识广度，针对未知攻击类型无可奈何；另一方面即使是已知的攻击类型，由于规则匹配本身存在局限性，理论上是可以被绕过的，因此误报和漏报是天生存在的；而提高规则准确性的代价就是添加更多精细化规则，大量的规则不但给维护工作增加了难度，也拖累了整体性能。而统计分析方法虽然能够检测出未知的攻击类型，但是却存在着较高的误报率。同时，在统计分析的过程中，不断转换、切分、匹配使得检测效率大幅降低，在处理大批量数据的时候表现不佳。

现有技术中，也有基于机器学习的ICMP隧道检测方法，如申请号为202010984137.0公开的基于机器学习的ICMP隧道检测方法，该方法通过建立ICMP隧道检测模型；获取待检测ICMP流量数据，提取待检测ICMP流量数据中的ICMP协议数据，形成待检测数据；对所述待检测数据进行预处理；对所述待检测数据进行分组操作；对所述待检测数据做特征工程处理，提取待检测特征；将所述待检测特征规范化处理；将所述待检测特征导入所述ICMP隧道检测模型中，进行ICMP隧道检测；将检测结果返回到前端界面进行展示。该方法采用网络会话分组，如果攻击者将数据划分成多个部分进行隧道传输，那么单个会话上表现得跟正常ICMP行为很类似，该方法则很难识别出异常。

发明内容

本发明所要解决的技术问题在于如何。

本发明通过以下技术手段实现解决上述技术问题的：

一种基于ICMP隧道分析的数据泄露检测方法，包括以下步骤：

S1.数据接入，从网络流量中抓取ICMP数据包；

S2.数据预处理，先根据协议类型从ICMP数据包中筛选出ICMP协议，然后抓取ICMP协议中查询类ICMP报文数据；

S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；