[发明专利]基于机器学习的ICMP隧道检测方法

权利要求书

1.一种基于机器学习的ICMP隧道检测方法，其特征在于，包括以下步骤：

建立ICMP隧道检测模型；

获取待检测ICMP流量数据，提取待检测ICMP流量数据中的ICMP协议数据，形成待检测数据；

对所述待检测数据进行预处理；

对所述待检测数据进行分组操作；

对所述待检测数据做特征工程处理，提取待检测特征；

将所述待检测特征规范化处理；

将所述待检测特征导入所述ICMP隧道检测模型中，进行ICMP隧道检测；

将检测结果返回到前端界面进行展示。

2.如权利要求1所述的基于机器学习的ICMP隧道检测方法，其特征在于，建立ICMP隧道检测模型包括以下步骤：

生成训练数据，包括正常ICMP流量数据和ICMP隧道流量数据；

从所述正常ICMP流量数据和所述ICMP隧道流量数据中解析出ICMP协议数据，形成训练数据；

对所述训练数据进行预处理；

对所述训练数据进行分组操作；

对所述训练数据做特征工程处理，提取建模特征；

将所述建模特征规范化处理；

采用机器学习算法对规范化后的建模特征做模型训练，形成ICMP隧道检测模型。

3.如权利要求2所述的基于机器学习的ICMP隧道检测方法，其特征在于，通过采用网站搜集和/或自研ICMP数据生成器的方式采集所述正常ICMP流量数据和所述ICMP隧道流量数据。

4.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法，其特征在于，对所述待检测数据和所述训练数据进行预处理的方式为：

对所述待检测数据和所述训练数据进行清洗和过滤。

5.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法，其特征在于，对所述待检测数据和所述训练数据进行分组操作包括以下步骤：

获取单位时间段内的数据；

对获取的数据进行分组，分组规则为按照网络会话四元组对所述待检测数据和所述训练数据进行分组。

6.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法，其特征在于，所述待检测特征和所述建模特征的特征相同，特征包括：

数据发送的时间、数据包的个数、非法Type数据包的个数、数据包中Type为0的个数、数据包中Type为8的个数、数据包中序号的均值、数据包中序号的方差、数据包中不重复的序号的个数、异常长度数据包的个数、异常内容数据包的个数、内容不重复数据包的个数、数据包长度的均值、数据包长度的方差、数据包内容的熵的均值、数据包内容的熵的最大值、数据包内容的熵的最小值以及数据包内容的熵大于0.8的个数。

7.如权利要求1或2所述的基于机器学习的ICMP隧道检测方法，其特征在于，将所述待检测特征和所述建模特征规范化处理的方式为：

将所有待检测特征和所有建模特征取值规范化到0～1之间。

8.如权利要求1所述的基于机器学习的ICMP隧道检测方法，其特征在于，在将所述待检测特征规范化处理之后，将所述待检测特征导入所述ICMP隧道检测模型之前，还包括以下步骤：

对所述待检测特征进行异常检测过滤。

9.如权利要求8所述的基于机器学习的ICMP隧道检测方法，其特征在于，对所述待检测特征进行异常检测过滤的方式为：

使用孤立森林模型对所述待检测特征做初步过滤，过滤掉正常数据的待检测特征，保留可疑数据的待检测特征。

10.如权利要求1所述的基于机器学习的ICMP隧道检测方法，其特征在于，展示的内容包括检测结果和原始数据；

检测结果展示内容如下：数据包的个数、异常内容数据包的个数、异常长度数据包的个数、非法Type数据包的个数以及数据包内容的熵的均值和方差；

原始数据展示内容如下：时间、访问源、访问目标、可疑度、查询类型、查询序号以及查询应答。