[发明专利]一种ICMP隐蔽隧道检测方法及系统

权利要求书

1.一种ICMP隐蔽隧道检测方法，其特征在于，包括以下步骤：

接收镜像流量服务器在网络汇聚层中采集到的原始流量包；原始流量包中包括多条消息类型为Request的ICMP流量；

对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据，所述三元组数据包括payload值；

当三元组数据中的payload值满足预设的过滤规则时，对三元组数据进行过滤，将过滤后剩余的三元组数据保存至全局字典中；所述过滤规则包括以下一种或几种规则的组合：payload值为空值；payload值为预设的固定填充数据；payload值中包含预设的字符串；payload值的信息熵小于预设的最小信息熵；payload值的小间隔次数与字符总长的比值大于预设值，所述小间隔次数为payload值中相邻字符ASCII间隔差值小于预设的间隔阈值出现的次数；所述对三元组数据进行过滤具体包括：当三元组数据中的payload值符合任意一条所述过滤规则时，将所述三元组数据过滤掉；

根据所述全局字典检测是否存在ICMP隐蔽隧道异常；所述全局字典用于记录同一个源IP下各payload值出现的频率；

所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常具体包括：

提取出所述全局字典中频率为1的源IP及对应的payload值，定义为可疑数据；

在可疑数据中，对同一源IP下所有payload值长度进行累加，得到payload值总长度；

如果所述payload值总长度大于预设的字符长度阈值时，判定为该源IP存在ICMP隐蔽隧道异常。

2.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，所述对所述原始流量包进行预处理，得到每条ICMP流量对应的三元组数据具体包括：

提取出原始流量包中每条ICMP流量的发包时间、源IP和payload值，定义为一组所述三元组数据。

3.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的数据按照发包时间的先后数据关联对应的原始流量包。

4.根据权利要求1所述ICMP隐蔽隧道检测方法，其特征在于，该方法在所述根据所述全局字典检测是否存在ICMP隐蔽隧道异常之后，还包括：

将ICMP隐蔽隧道异常的源IP关联到对应物理设备的网络接入点，供网络接入点的网络设备向物理设备下发断网措施，用于隔离该物理设备与网络；

生成告警信息发送给对应的管理终端。