(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210931724.2 (22)申请日 2022.08.03 (71)申请人 上海欣诺通信技 术股份有限公司 地址 201610 上海市松江区文翔东路58号 友喜国际园1 1号楼 (72)发明人 唐麒隆　左源　李磊　向君耀　 吴志远　谢虎　李琳　 (74)专利代理 机构 上海港慧专利代理事务所 (普通合伙) 31402 专利代理师 杨锴 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/10(2022.01) (54)发明名称 一种基于流量特征的ICMP隐蔽隧道检测方 法 (57)摘要 本发明涉及信息安全 领域， 特别是涉及一种 基于流量特征的多因子ICMP隐蔽隧道 检测方法， 包括， 于获取到ICMP流量数据的状态下对所述 ICMP流量数据做分类处理以形成待检测数据包； 对所述待检测数据包形成第一类数据、 和/或第 二类数据、 和/或第三类数据、 和/或第四类数据、 和/或第五类数据、 和/或第六类数据检测； 根据 所述第一类数据、 和/或第二类数据、 和/或第三 类数据、 和/或第四类数据、 和/或第五类数据、 和/或第六类数据检测形成一检测结果输出。 权利要求书3页 说明书11页 附图2页 CN 115174265 A 2022.10.11 CN 115174265 A 1.一种基于流 量特征的ICMP隐蔽隧道检测方法， 其特 征在于： 包括， 于获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据 包； 对所述待检测数据包形成第一类数据、 和/或第二类数据、 和/或第三类数据、 和/或第 四类数据、 和/或第五类数据、 和/或第六类数据检测； 根据所述第一类数据、 和/或第二类数据、 和/或第三类数据、 和/或第四类数据、 和/或 第五类数据、 和/或第六类数据检测形成一检测结果输出。 2.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 于 获取到ICMP流量数据的状态下对所述ICMP流量数据做分类处理以形成待检测数据包具体 包括： 于获取到ICMP流量数据的状态下， 读取ICMP流量数据每个数据包中的第一特征值和第 二特征值； 根据所述第一特 征值和所述第二特 征值形成一检测数据流包； 读取与所述检测数据流包匹配的数据以形成所述待检测数据流。 3.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第一类数据的形成方式包括： 获取第一类数据的基础阈值， 第一类数据的基础阈值 为： S1为第一类数据的基础阈值， n 为上行下行包数的数量； A1、 A 2、 A3均为结果 值； 根据当前待检测数据流中与 所述第一类数据匹配的数据包数量， 结合所述第 一类数据 的基础阈值形成所述第一类数据。 4.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第二类数据的形成方式为： S2＝(R/r)*A； 其中， S2为第二类数据的基础阈值， R为配置标准请求时间间隔； A为配置请求时间间隔 异常影响因子； r为实际请求时间 间隔。 5.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第三类数据的形成方式为， 获取第三类数据的基础阈值； 第三类数据的基础阈值 为： 其中， S3为第三类数据的基础阈值， m1为载荷内容异常数量；权　利　要　求　书 1/3 页 2 CN 115174265 A 2根据当前待检测数据流中与 所述第三类数据匹配的数据包数量， 结合所述第 三类数据 的基础阈值形成所述第三类数据。 6.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第四类数据的形成方式为， 获取第四类数据的基础阈值； 第四类数据的基础阈值 为： 其中， S4为第四类数据的基础阈值， m2为载荷内容异常数量； 根据当前待检测数据流中与 所述第四类数据匹配的数据包数量， 结合所述第四类数据 的基础阈值形成所述第四类数据。 7.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第五类数据的形成方式为， 获取第五类数据的基础阈值； 第五类数据的基础阈值 为： 其中， S5为第五类数据的基础阈值， m3为内容 不匹配异常数量； 根据当前待检测数据流中与 所述第五类数据匹配的数据包数量， 结合所述第五类数据 的基础阈值形成所述第五类数据。 8.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 所 述第六类数据的形成方式为， 获取第六类数据的基础阈值； 第六类数据的基础阈值 为： 其中， S6为第六类数据的基础阈值， m4 为配置Type异常数量； 根据当前待检测数据流中与 所述第六类数据匹配的数据包数量， 结合所述第六类数据 的基础阈值形成所述第六类数据。 9.根据权利要求1所述的一种基于流量特征的ICMP隐蔽隧道检测方法， 其特征在于： 根 据所述第一类数据、 第二类数据、 第三类数据、 第四类数据、 第五类数据、 第六类数据检测形 成一检测结果输出 具体包括：权　利　要　求　书 2/3 页 3 CN 115174265 A 3