[发明专利]一种ICMP隐蔽隧道检测方法、装置及存储介质

说明书

本发明实施例提供了一种ICMP隐蔽隧道检测方法、装置及存储介质，所述方法包括：获得第一ICMP报文；确定所述第一ICMP报文的IP地址；至少基于所述IP地址在目标文件中确定对应的对话对象，所述目标文件用于存储对话对象，所述对话对象用于表征已经获得过对应所述IP地址的第二ICMP报文，所述对话同时对象包含所述第二ICMP报文的属性信息，所述属性信息包括所述第二ICMP报文的时间信息，以及内容信息和/或长度信息；基于所述对话对象确定所述第二ICMP报文的属性信息；基于所述第一ICMP报文及第二ICMP报文的属性信息确定网络中是否存在ICMP隐蔽隧道。本发明的ICMP隐蔽隧道检测方法能够高效、准确的检测出ICMP隐蔽隧道，且适用范围广泛。

技术领域

本发明实施例涉及网络安全检测领域，特别涉及一种ICMP隐蔽隧道检测方法、装置及存储介质。

背景技术

隧道利用了网络协议的特点来隐蔽的进行数据传输，严重威胁信息安全，大多数ICMP(Internet Control Message Protocol因特网报文控制协议)流量可以躲避防火墙等网络设备的检测，因此，攻击者利用网际控制报文协议(ICMP协议)将数据隐藏在ICMP的有效负载部分，形成ICMP隐蔽通道。例如，在恶意攻击中经常出现一种情况是，攻击者通过某一种方式取得了一台主机的权限，得到了一些文件，比如域hash，密码文件之类的东西，需要回传至本地进行破解，但是防火墙阻断了由内网发起的请求，只有ICMP协议没有被阻断，而攻击者又需要回传文件，这个时候如果攻击者可以ping(Packet Internet Groper，是一种因特网包探索器，用于测试网络连接量的程序，用于向目的主机发送ICMP Echo请求报文，测试目的站是否可达及了解其有关状态)通远程计算机，就可以尝试建立ICMP隧道，ICMP隧道是将流量封装进ping数据包中，旨在利用ping数据穿透防火墙的检测。因此ICMP隧道的检测变得越来越重要。

现有的ICMP隧道检测方法有基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为。具体为基于流量分析来识别是否存在基于ICMP协议的隐蔽信道通信行为包括通过对获取的ICMP流量报文进行解析得到传输标识和传输内容，判断传输内容是否为杂乱。如果传输内容为杂乱，判断目标传输标识对应的请求内容和响应内容是否相同。如果目标传输标识对应的请求内容和响应内容不相同，基于目标传输标识确定隐蔽信道通信行为。但是由于上述检测方法需要判断传输内容是否为杂乱，但是确定内容为杂乱的阈值是很难确定的。因此会存在将正常的传输内容判定为杂乱以及将非正常的传输内容判定为不杂乱，从而影响后续判断是否存在隐蔽信道的准确性。同时该方法接下来判断目标传输标识对应的请求内容和响应内容是否相同，若不相同，则确定隐蔽信道通信行为。但是这种方法对于一些ICMP隧道工具无法起到作用，比如ICMP transmitter隧道工具，ICMPTransmitter工具是一个请求内容和响应内容一致的工具，因此采用上述方法是不能鉴别隐蔽信道的。或者，有些隧道工具，如traceroute，其发出ICMP报文后并没有响应报文，故采用上述方法也无法检测隐蔽信道。

发明内容

本发明提供了一种能够高效、准确，且适用范围广泛的ICMP隐蔽隧道检测方法、装置及存储介质。

为了解决上述技术问题，本发明实施例提供了一种ICMP隐蔽隧道检测方法，包括：

获得第一ICMP报文；

确定所述第一ICMP报文的IP地址；

至少基于所述IP地址在目标文件中确定对应的对话对象，所述目标文件用于存储对话对象，所述对话对象用于表征已经获得过对应所述IP地址的第二ICMP报文，所述对话对象同时包含所述第二ICMP报文的属性信息，所述属性信息包括所述第二ICMP报文的时间信息，以及内容信息和/或长度信息；

基于所述对话对象确定所述第二ICMP报文的属性信息；

基于所述第一ICMP报文及第二ICMP报文的属性信息确定网络中是否存在ICMP隐蔽隧道。