[发明专利]Internet控制报文协议伪装捕获与分析技术

说明书

技术领域

本发明涉及Internet控制报文协议伪装捕获与分析技术，属于计算机应用技术领域。 

背景技术

随着计算机网络技术的飞速发展和扩大，特别是近年来Internet的迅猛发展，越来越多的人们已经感觉到网络安全的重要性。同时在全球范围内，针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加。此外，棱镜门事件，让人们对于网络安全面临的复杂、隐蔽和具破坏力的威胁有了更清晰的认识。 

随着不为人知的网络攻击与入侵行对国家安全、经济、社会生活的造成的影响不断被曝光，有效的信息安全通信技术也变成非常重要的问题。于是，一种新型的网络威胁识别技术应运而生，它在传统的网络入侵检测基础上实现了协议伪装的分析与识别，它能够发现隐藏于海量数据中的伪装成正常通信协议的网络入侵行为。至此，为了能够更好的发现隐蔽的Internet控制报文协议伪装数据，我们发明了“Internet控制报文协议伪装捕获与分析技术”。 

发明内容

为了能够有效的发现隐藏于海量数据中的ICMP协议伪装入侵行为，减低隐秘入侵行为带来的损失与影响。本发明实施例提供了Internet控制报文协议伪装捕获与分析技术。以此大力提高隐秘通信行为发现能力所述技术方案如下： 

1.Internet控制报文协议(ICMP)伪装捕获与分析技术，其特征主要表现在数据包重组与协议伪装分析的核心过程，ICMP数据包可以通过底层抓包技术捕获得到：(1)从网络数据包中过滤出IP协议数据包， 分析IP数据包是否为分片数据包，如果是分片的数据包，那么交由数据包重组模块处理，不是分片的数据包，交由协议伪装分析模块处理；(2)数据包重组模块分析当前是否为最后的IP分片数据包，如果是对当前所有IP分片数据包进行重组，那么将重新组合后的完整IP包交由协议伪装分析模块处理；(3)解码ICMP协议头部分，分析ICMP请求或者应答类型、ICMP操作码、数据包长度，得出是否为伪装的ICMP数据包；其具体操作步骤如下： 

(1)数据包过滤 

①过滤以太网数据包：从海里数据包中过滤出IP数据包； 

②是否分片IP包判断：检测当前IP数据包是否为分片包，如果是分片包，交由数据包重组模块处理；如果不是分片包，交由协议伪装检测模块处理； 

(2)数据包重组模块处理 

①查找是否为新的数据包分组：通过对来源IP、来源端口、目的IP、目的端口作HASH运算得出一个HASH值，用这个HASH值在数据包分组链表中查找是否为新的分组，如果是，创建一新的分组添加到分组链表，如果不是，那么就按照分片标志位中的便宜量顺序插入到已有分组的分片链表中； 

②检测分组数据包是否接收完成：检查当前IP数据包是否为最后一个分片包，如果是，那就表示当前分组已经接收完所有的分片包，可以进行数据包的重组了； 

③数据包重组：对当前分组的所有分片包按照分片标志位中的偏移量顺序组合成一个新的IP数据包； 

(3)ICMP协议伪装分析 

①解码ICMP数据包：按照ICMP协议头结构解码当前ICMP数据包，得到ICMP类型、代码、校验和以及不同类型和代码对应的不同内容， 

②检查类型与代码对应关系：ICMP不同的类型对应不同的代码和内容；如果类型与代码不匹配，那么它就是伪装的数据包； 

③检查内容长度：检查PING命令长度是否超过64字节、差错报文是否小于8字节差错报文头、时间查询报文是否小于20字节报文头、掩码查询报文是否小于12字节报文头，如果是，那它就是伪装的数 据包； 

以下是对本发明的技术作进一步的说明： 

所述的数据包重组，是指由于数据包长度超过以太网的最大传输单元(MTU)，那么IP层就要对数据包进行分片操作，使每一片的长度都小于或等于MTU，而数据包重组就是通过对分片到来的IP数据包进行缓存，等到齐集所有的分片数据包后对其进行重新组合，生成一个新的完整的数据包，因为其流量通常比较大，为了减少数据包重组对性能的影响，因此本发明技术采用了内存池重用技术、HASH表快速查找技术与缓存链表顺序存储技术结合的办法。分片重组时的组织方式由一张散列表存储，散列表存储不同报文头的分组链表，没一条分组链表存储具有相同报文头的分片链表。 

所述的ICMP协议伪装分析： 

1)对IP数据包解码，得到ICMP协议头中的类型、代码、校验和与内容数据，由于不同的类型、代码对应不同的内容，检测类型与代码是否匹配可以发现部分伪装的ICMP数据包。