[发明专利]一种ICMP模拟报文的生成方法及装置

说明书

本申请提供一种ICMP模拟报文的生成方法及装置，涉及网络安全领域，该ICMP模拟报文的生成方法包括：获取ICMP正常报文和ICMP攻击报文；根据ICMP正常报文和ICMP攻击报文训练判别器，并根据ICMP攻击报文训练生成器；根据判别器和生成器构建生成对抗网络；通过生成对抗网络对生成器进行迭代训练，得到模拟隧道数据生成器；获取模拟隧道数据生成器生成的ICMP模拟隧道数据；根据ICMP模拟隧道数据生成ICMP模拟报文。可见，实施这种实施方式，能够生成大量ICMP模拟报文，从而解决机器学习模型训练中黑样本稀缺的问题。

技术领域

本申请涉及网络安全领域，具体而言，涉及一种ICMP模拟报文的生成方法及装置。

背景技术

目前，APT攻击者开始采用ICMP隧道传输加以混淆的木马病毒，从而实现攻击的目的。然而，因为APT攻击往往潜伏性较强，且具有抗侦测能力，所以APT攻击通讯产生的ICMP流量数据极难获得，从而导致ICMP攻击流量十分稀少。因此，相应的机器学习模型训练中对应的黑样本十分稀缺。

发明内容

本申请实施例的目的在于提供一种ICMP模拟报文的生成方法及装置，能够生成大量ICMP模拟报文，从而解决机器学习模型训练中黑样本稀缺的问题。

本申请实施例第一方面提供了一种ICMP模拟报文的生成方法，包括：获取ICMP正常报文和ICMP攻击报文；

根据所述ICMP正常报文和所述ICMP攻击报文训练判别器，并根据所述ICMP攻击报文训练生成器；

根据所述判别器和所述生成器构建生成对抗网络；

通过所述生成对抗网络对所述生成器进行迭代训练，得到模拟隧道数据生成器；

获取所述模拟隧道数据生成器生成的ICMP模拟隧道数据；

根据所述ICMP模拟隧道数据生成ICMP模拟报文。

实施这种实施方式，能够预先创建生成对抗网络，并根据获取到的ICMP正常报文和ICMP攻击报文进行生成对抗网络的训练，实时该生成对抗网络能够迭代出模拟隧道数据生成器，该模拟隧道数据生成器能够生成大量可靠的ICMP模拟隧道数据，并能够被还原成对应的ICMP模拟报文，从而能够解决机器学习模型训练中黑样本稀缺的问题。

进一步地，所述根据所述ICMP正常报文和所述ICMP攻击报文训练判别器，并根据所述ICMP攻击报文训练生成器的步骤包括：

对所述ICMP正常报文进行解析，得到ICMP正常隧道数据；

对所述ICMP攻击报文进行解析，得到ICMP隐匿隧道数据；

对所述ICMP隐匿隧道数据进行模拟混淆处理，得到ICMP混淆隧道数据；

根据所述ICMP正常隧道数据和所述ICMP隐匿隧道数据训练判别器；

根据所述ICMP混淆隧道数据训练生成器。

实施这种实施方式，该方法能够根据准确的数据训练出能够准确识别是否为攻击数据的判别器，同时还能够根据准确的攻击数据和自生成的混淆数据训练出能够生成大量近似于正常数据的攻击数据的生成器。

进一步地，所述对所述ICMP攻击报文进行解析，得到ICMP隐匿隧道数据的步骤包括：

对所述ICMP攻击报文进行解析，得到optional data字段中存放的隐匿数据；

根据所述隐匿数据生成ICMP隐匿隧道数据。

实施这种实施方式，能够提取存放隐匿数据的ICMP协议的optional data字段中的字段数据，并根据该字段数据生成ICMP隐匿隧道数据，匆匆而完成对ICMP攻击报文的深度解析。