[发明专利]一种基于ICMP隧道分析的数据泄漏检测方法及系统

权利要求书

1.一种基于ICMP隧道分析的数据泄露检测方法，其特征在于，包括以下步骤：

S1.数据接入，从网络流量中抓取ICMP数据包；

S2.数据预处理，先根据协议类型从ICMP数据包中筛选出ICMP协议，然后抓取ICMP协议中查询类ICMP报文数据；

S3.对数据进行分组处理，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；

S4.特征抽取，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；

S5.异常行为识别，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分；

两组数据的分类标准为：同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组，相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组；

所述步骤S4中提取的特征至少包括：负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。

2.根据权利要求1所述的基于ICMP隧道分析的数据泄露检测方法，其特征在于，所述步骤S1中数据接入的具体方法为：

S11先识别待接入数据的格式，然后根据当前数据格式进行解析读取；

S12如果数据源为二进制数据，则需要将二进制数据转换为字符串数据，并提取设定的关键词。

3.根据权利要求1或2所述的一种基于ICMP隧道分析的数据泄露检测方法，其特征在于，所述步骤S2中抓取ICMP协议中查询类报文数据的具体方法为：

根据ICMP报文中的TYPE和CODE对ICMP报文进行分类，得到非查询类ICMP报文和查询类ICMP报文，然后抓取查询类ICMP报文。

4.一种基于ICMP隧道分析的数据泄露检测系统，其特征在于，包括：

数据接入模块，从网络流量中抓取ICMP数据包；

数据预处理模块，先根据协议类型从ICMP数据包中筛选出ICMP协议，然后抓取ICMP协议中查询类ICMP报文数据；

对数据进行分组处理模块，根据传入数据和传出数据的不同行为特点对查询类ICMP报文数据进行分组，得到两组数据；

特征抽取模块，对相同内网下主机IP下同类型的ICMP协议中查询类ICMP报文数据进行特征抽取；

异常行为识别模块，将同一内网下所有IP根据步骤S4提取的特征输入孤立森林算法中，输出异常IP的得分；

两组数据的分类标准为：同一个IP下产生的相同类型查询类ICMP报文数据划分为相同的分组，相同IP下产生的不同类型查询类ICMP报文数据划为不同的分组；

所述特征抽取模块中提取的特征至少包括：负载数据字符去重数、去重负载数据请求/回应次数、请求/回应总次数、负载数据总长度、负载数据最大长度、负载数据间差异异常数。

5.根据权利要求4所述的基于ICMP隧道分析的数据泄露检测系统，其特征在于，所述数据接入模块中数据接入的具体方法为：

S11先识别待接入数据的格式，然后根据当前数据格式进行解析读取；

S12如果数据源为二进制数据，则需要将二进制数据转换为字符串数据，并提取设定的关键词。

6.根据权利要求4或5所述的一种基于ICMP隧道分析的数据泄露检测系统，其特征在于，所述数据预处理模块中抓取ICMP协议中查询类报文数据的具体方法为：

根据ICMP报文中的TYPE和CODE对ICMP报文进行分类，得到非查询类ICMP报文和查询类ICMP报文，然后抓取查询类ICMP报文。