(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111405495.2 (22)申请日 2021.11.24 (71)申请人 中国南方电网有限责任公司超高压 输电公司昆明局 地址 650000 云南省昆明市自由贸易试验 区昆明片区经开区出口加工区玉缘路 21号 (72)发明人 梁钰华　李少森　徐峰　李浩　 宋洪运　朱盛强　王飞　孙豪　 丁丙侯　黄剑湘　杨光　刘超　 付天乙　赵世伟　王加磊　何照能　 张子聪　孙靖铷　敬官欣　崔萌　 赵伟杰　胡梦霖　吴新文　陶冶　 (74)专利代理 机构 广州华进联合专利商标代理 有限公司 4 4224 代理人 舒丁(51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 ICMP隐蔽隧道检测方法、 装置及计算机设备 (57)摘要 本申请涉及一种ICMP隐蔽隧道检测方法、 装 置、 计算机设备、 存储介质和计算机程序产品。 方 法包括： 持续获取ICMP数据包， 并计算当前获取 到的ICMP数据包与前一个ICMP数据包的载荷差， 前一个ICMP数据包是与当前获取到的ICMP数据 包的源IP和目的IP均相同的最近一个已获取到 的ICMP数据包， 所述载荷差反映两个ICMP数据包 的数据位的差异情况； 将所述载荷差输入预先训 练好的超球体模型， 并得到ICMP隐蔽隧道检测结 果。 采用本方法能够有效克服传统ICMP隐蔽隧道 检测方法的误报率高及滞后性强等问题， 实现提 高检测全面 性以及准确率的有益效果。 权利要求书2页 说明书13页 附图3页 CN 114095265 A 2022.02.25 CN 114095265 A 1.一种IC MP隐蔽隧道检测方法， 其特 征在于， 所述方法包括： 持续获取ICMP数据包， 并计算当前获取到的ICMP数据包与前一个ICMP数据包的载荷 差， 前一个ICMP数据包 是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已 获取到的IC MP数据包， 所述载荷差反映两个IC MP数据包的数据位的差异情况； 将所述载荷差 输入预先训练好的超球 体模型， 并得到IC MP隐蔽隧道检测结果。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 将获取的ICMP数据包按源IP地址和目的IP地址的二元组进行分类， 其 中源IP地址和目 的IP地址相同的IC MP数据包分为同一组。 3.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 构建训练样本集， 所述训练样本集包括一堆源IP和目的IP均相同的ICMP数据包的载荷 差； 计算所述训练样本集的信息熵， 当所述信息熵大于等于信息熵阈值时， 确定存在ICMP 隐蔽隧道流 量并停止检测； 当所述信 息熵小于信息熵阈值时， 利用所述训练样本集通过SVDD算法计算超球体的中 心和半径， 得到超球 体模型。 4.根据权利要求3所述的方法， 其特征在于， 所述利用所述训练样本集通过SVDD算法计 算超球体的球心和半径， 得到超球 体模型， 包括： 确定目标函数； 通过引入拉格朗日系数和高斯核函数将所述目标函数转 化成其对偶函数； 根据所述对偶函数计算超球 体的球心和半径， 得到超球 体模型。 5.根据权利要求1所述的方法， 其特 征在于， 所述得到IC MP隐蔽隧道检测结果， 包括： 将载荷差 输入所述超球 体模型， 计算所述载荷差 到超球体球心的距离； 当所述距离大于超球 体的半径时， 则确定当前获取到的IC MP数据包为隐蔽隧道流 量。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对当前获取到的ICMP数据包进行格式过滤， 当不满足格式规则时， 则确定所述ICMP数 据包为隐蔽隧道流量， 当满足格式规则时， 计算当前获取到的ICMP数据包与前一个ICMP数 据包的载荷差； 所述格式规则包括ICMP数据包的类型属 于规定类型、 ICMP数据包的类型与 代码相匹配以及IC MP数据包的校验和正常中的至少一种。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 当所述载荷差不超过载荷差阈值时， 将所述载荷差输入预先训练好的超球体模型； 当 所述载荷差大于所述载荷差阈值时， 统计预定时间段内的数据包数量， 所述数据包数量是 预定时间内获取到的与当前获取到的ICMP数据包的源ip和目的ip均相同的数据包的数量， 若所述数据包数量大于预设值， 则确定所述当前获取到的ICMP数据包为隐蔽隧道流量， 否 则将所述载荷差 输入预先训练好的超球 体模型。 8.一种IC MP隐蔽隧道检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于持续获取IC MP数据包； 计算模块， 用于计算当前获取到的ICMP数据包与前一个ICMP数据包 的载荷差， 前一个 ICMP数据包是与当前获取到的ICMP数据包的源IP和目的IP均相同的最近一个已获取到的 ICMP数据包， 所述载荷差反映两个IC MP数据包的数据位的差异情况；权　利　要　求　书 1/2 页 2 CN 114095265 A 2检测模块， 用于将所述载荷差输入预先训练好的超球体模型， 并得到ICMP隐蔽隧道检 测结果。 9.一种计算机设备， 包括存储器和处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。 10.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114095265 A 3