一种隐蔽信道通信检测方法、装置及设备与流程
本申请涉及网络通信领域,特别是涉及一种隐蔽信道通信检测方法、装置及设备。
背景技术:
icmp(internetcontrolmessageprotocol,网络控制报文协议)是tcp/ip协议簇的子协议,用于在ip主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。当前常见的ping和tracert都利用icmp协议来实现网络功能,它们是把网络协议应用到日常网络管理的典型实例。
基于icmp协议的隐蔽信道通信顾名思义就是使用icmp协议进行数据传输达到通信手段的方法。由于icmp协议为标准较低的通信协议,并且其数据报文在网络中所占的流量往往较小,因此往往被流量分析器以及网络管理员忽视,而当前的恶意控制者可能通过在icmp数据包中携带恶意行为数据的方式与用户主机进行通信,以此达到对用户主机进行恶意控制的目的,难以确保用户主机的网络安全性。
由此可见,提供一种隐蔽信道通信检测方法,以实现基于icmp数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性,是本领域技术人员需要解决的问题。
技术实现要素:
本申请的目的是提供一种隐蔽信道通信检测方法、装置及设备,以实现基于icmp数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性。
为解决上述技术问题,本申请提供一种隐蔽信道通信检测方法,包括:
获取icmp数据包;
提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包;
利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
优选地,检测模型的生成过程包括:
获取具有隐蔽信道通信行为的icmp数据包正样本,并获取未具有隐蔽信道通信行为的icmp数据包负样本;
对icmp数据包正样本执行特征统计得到正样本特征向量,并对icmp数据包负样本执行特征统计得到负样本特征向量;
对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。
优选地,提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量包括:
提取预设时间间隔内的每一icmp数据包的预设特征;
针对预设时间间隔内的所有icmp数据包的预设特征执行特征统计得到目标特征向量。
优选地,目标特征向量中包括数据长度、数据明文占比、请求频率以及请求响应比中的一种或多种。
优选地,在提取icmp数据包的预设特征之前,方法还包括:
对icmp数据包进行过滤处理得到满足icmp默认标准的目标icmp数据包;
提取icmp数据包的预设特征,包括:
根据过滤后的icmp数据包提取预设特征。
优选地,对icmp数据包进行过滤处理得到满足icmp默认标准的目标icmp数据包,包括:
对icmp数据包进行解析,得到数据部分的内容;
将数据部分的内容与预设的icmp协议内容不一致的icmp数据包作为目标icmp数据包。
优选地,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,包括:
利用决策树检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
此外,本申请还提供一种隐蔽信道通信检测装置,包括:
数据包获取模块,用于获取icmp数据包;
特征统计模块,用于提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包;
模型检测模块,用于利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
优选地,装置还包括:
样本获取模块,用于获取具有隐蔽信道通信行为的icmp数据包正样本,并获取未具有隐蔽信道通信行为的icmp数据包负样本;
特征向量获取模块,用于对icmp数据包正样本执行特征统计得到正样本特征向量,并对icmp数据包负样本执行特征统计得到负样本特征向量;
模型训练模块,用于对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。
此外,本申请还提供一种隐蔽信道通信检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的隐蔽信道通信检测方法的步骤。
此外,本申请还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的隐蔽信道通信检测方法的步骤。
本申请所提供的隐蔽信道通信检测方法,首先获取icmp数据包,进而提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。由于本方法利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,实现了基于icmp数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。此外,本申请还提供一种基于icmp的隐蔽信道通信检测装置、设备及存储介质,有益效果同上所述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例公开的一种隐蔽信道通信检测方法的流程图;
图2为本申请实施例公开的一种隐蔽信道通信检测中检测模型生成方法的流程图;
图3为本申请实施例公开的一种具体的隐蔽信道通信检测方法的流程图;
图4为本申请实施例公开的一种隐蔽信道通信检测装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本申请保护范围。
基于icmp协议的隐蔽信道通信顾名思义就是使用icmp协议进行数据传输达到通信手段的方法。由于icmp协议为标准较低的通信协议,并且其数据报文在网络中所占的流量往往较小,因此往往被流量分析器以及网络管理员忽视,而当前的恶意控制者可能通过在icmp数据包中携带恶意行为数据的方式与用户主机进行通信,以此达到对用户主机进行恶意控制的目的,难以确保用户主机的网络安全性。
为此,本申请的核心是提供一种隐蔽信道通信检测方法,以实现基于icmp数据报文的隐蔽信道通信检测,进而相对确保用户主机的网络安全性。
请参见图1所示,本申请实施例公开了一种隐蔽信道通信检测方法,包括:
步骤s10:获取icmp数据包。
需要说明的是,本实施例的执行主体可以为设置于用户主机与外网服务器设备之间的流量检测设备,流量检测设备通过对用户主机与外网服务器之间往来的数据流量进行网络安全检测。
本步骤中的icmp数据包指的是在实际检测场景下,基于icmp协议生成的待检测数据包,也就是在上述实际场景下,用户主机基于icmp协议向外网服务器设备发送的通信报文,或外网服务器设备基于icmp协议向用户主机发送的通信报文。另外,获取icmp数据包可以具体是采用流量检测设备拦截用户设备与外网服务器之间实时传输的icmp数据包的方式进行获取。
进一步地,在获取到icmp数据包之后,还可以将所述icmp数据包生成日志,针对生成的日志提取所述预设特征。
步骤s11:提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量。
预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包。
在获取到icmp数据包的基础上,本步骤进一步提取icmp数据包的预设特征,根据预设特征执行特征统计得到执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,本步骤中所指的目标特征向量,是由icmp数据包相关特征构成的集合。本步骤所指的特征统计,是对icmp数据包中icmp数据包的类型特征和/或明文字符特征的统计。
步骤s12:利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
在提取icmp数据包的预设特征,根据预设特征执行特征统计得到执行特征统计得到icmp数据包的类型和/或明文字符对应的目标特征向量之后,本步骤进一步利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
本实施例中,所述检测模型可以是经过训练生成的分类模型,比如决策树、随机森林、支持向量机、梯度提升树、神经网络等等。
值得注意的是,本领域技术人员应当知晓,在另一些其他的实施例中,所述检测模型还可以为判断模型,在该判断模型中设定了目标特征向量中的各特征对应的通过阈值,将该目标特征向量中的所有特征分别与对应通过阈值进行对比,得到目标特征向量中各特征对应的判断结果,根据所有的判断结果确定是否存在icmp隐蔽信道。
例如,在目标特征向量包括数据长度、数据明文占比、请求频率以及请求响应比四个特征时,其中,数据长度对应通过阈值为a1,数据明文占比对应通过阈值为a2,请求频率对应通过阈值为a3,请求响应比对应通过阈值为a4。将数据长度的值与a1进行对比,得到第一判断结果;将数据明文占比与a2进行对比,得到第二判断结果;将请求频率与a3进行对比,得到第三判断结果;将请求响应比与a4进行对比,得到第四判断结果。可以结合第一判断结果、第二判断结果、第三判断结果及第四判断结果通过预设的评估准则确定是否存在icmp隐蔽信道,所述评估准则至少可以包括以下情形:1.在第一判断结果、第二判断结果、第三判断结果及第四判断结果中至少存在一个为假的情况(该为假的情况可以理解为该判断结果表征存在icmp隐蔽信道的情况),即可视为存在icmp隐蔽信道;2.根据目标特征向量中每一特征对最终结果(确定是否存在icmp隐蔽信道的结果)产生的影响的程度为第一判断结果、第二判断结果、第三判断结果及第四判断结果赋予相应权重,根据权重及各判断结果进行加权得到最终值,根据最终值的大小与icmp隐蔽信道条件结合判断是否存在icmp隐蔽信道。当然,还可能存在其他类型的评估准则,在此不做限定。
本申请所提供的隐蔽信道通信检测方法,首先获取icmp数据包,进而提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。由于本方法利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,实现了基于icmp数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。
在上述实施例的基础上,作为一种优选的实施方式,目标特征向量中包括数据长度、数据明文占比、请求频率以及请求响应比中的一种或多种。
需要说明的是,数据长度指的是目标特征向量的字符串长度;
数据明文占比为明文字符与数据长度的比例值;其中,明文字符可以为通过unicode函数读取过程未报错,或在预设明文字符集中的字符,预设明文字符集中包含字母、数字以及特殊字符;
请求频率为预设时间间隔内icmp数据包中的请求包数量;
请求响应比为预设时间间隔内icmp数据包中的请求包数量与icmp数据包中的响应包数量的比例值。
需要说明的是,本实施方式中,数据明文占比是icmp数据包中通过unicode函数读取过程未报错,或在预设明文字符集中的字符占icmp数据包中整体字符长度的比例,其中,预设明文字符集中可以进一步包含字母、数字以及特殊字符,特殊字符可以是符号类字符。
另外,请求频率为预设时间间隔内icmp数据包中的请求包数量。需要说明的是,icmp数据包中包含用于发起icmp请求的请求数据包以及对icmp请求进行响应的响应数据包。
另外,请求响应比为预设时间间隔内icmp数据包中的请求包数量与icmp数据包中的响应包数量的比例值。
本实施方式中,目标特征向量包括数据长度、数据明文占比、请求频率以及请求响应比,进一步提高了目标特征向量的准确性,进而确保隐蔽信道通信检测过程的整体准确性。
此外,在上述实施例的基础上,作为一种优选的实施方式,提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量包括:
提取预设时间间隔内的每一icmp数据包的预设特征;
针对预设时间间隔内的所有icmp数据包的预设特征执行特征统计得到目标特征向量。
其中,所述预设时间间隔可以根据用户检测需求而定,在此不做限定。
需要说明的是,本实施方式中,具体是通过以预设时间间隔作为icmp数据包中预设特征的提取周期,进而针对预设时间间隔内的所有icmp数据包的预设特征执行特征统计得到目标特征向量,进一步提高了统计目标特征向量过程的灵活性以及准确性。
请参见图2所示,本申请实施例公开了一种隐蔽信道通信检测中,检测模型的生成方法,包括:
步骤s20:获取具有隐蔽信道通信行为的icmp数据包正样本,并获取未具有隐蔽信道通信行为的icmp数据包负样本。
需要说明的是,本步骤获取具有隐蔽信道通信行为的icmp数据包正样本,并获取未具有隐蔽信道通信行为的icmp数据包负样本,目的是能够在后续步骤中基于icmp数据包正样本以及icmp数据包负样本训练能够对隐蔽信道通信的icmp数据包进行检测的检测模型。
步骤s21:对icmp数据包正样本执行特征统计得到正样本特征向量,并对icmp数据包负样本执行特征统计得到负样本特征向量。
步骤s22:对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。
进一步地,在检测模型为经过训练生成的分类模型的情况下,本实施例中的检测模型根据具有隐蔽信道通信行为的icmp数据包正样本以及未具有隐蔽信道通信行为的icmp数据包负样本生成,也就是说,本实施例预先将具有隐蔽信道通信行为的icmp数据包作为icmp数据包正样本,将icmp数据包正样本的目标特征向量及该目标特征向量对应的标签(是否存在icmp隐蔽信道的标签)作为训练正样本,进而将不具有隐蔽信道通信行为的icmp数据包作为icmp数据包负样本,将icmp数据包负样本的目标特征向量及该目标特征向量对应的标签(是否存在icmp隐蔽信道的标签)作为训练负样本,通过训练正样本及训练负样本训练生成检测模型,注意,此处所指的正样本是指属于某一类别的样本,负样本是指不属于该类别的样本,进而通过本实施例中训练好的检测模型能够对待测的icmp数据包是否存在icmp隐蔽信道进行判定。
值得注意的是,对正样本特征向量以及负样本特征向量进行模型训练的本质是对正样本特征向量以及负样本特征向量各自具有的规律进行泛化统计,进而检测模型记录的即为不同规律条件对应的icmp数据包检测结果类型,即具有隐蔽信道通信行为的icmp数据包类型,或不具有隐蔽信道通信行为的icmp数据包类型。
本实施例通过在利用检测模型对目标特征向量进行检测之前,预先对基于icmp数据包正样本获取的正样本特征向量以及基于icmp数据包负样本获取的负样本特征向量进行模型训练生成检测模型,相对确保了检测模型的整体可靠性,进一步确保基于icmp数据报文进行隐蔽信道通信检测的准确性,并确保了用户主机的网络安全性。
在上述实施例的基础上,作为一种优选的实施方式,获取具有隐蔽信道通信行为的icmp数据包正样本,包括:
获取由具有隐蔽通信授权的厂商进行隐蔽信道通信行为时产生的icmp数据包正样本。
需要说明的是,本实施方式进一步考虑到在实际场景中,外网服务器设备与用户设备之间可能通过icmp数据包进行合法授权的隐蔽信道通信行为,而该隐蔽信道通信行为应是被允许的,可以理解为是合法厂商进行的正常数据交换行为,因此icmp数据包正样本中应排除上述合法授权的icmp数据包,进而在本实施方式中,基于具有隐蔽信道通信行为且未具有隐蔽通信授权的icmp数据包正样本以及与该icmp数据包正样本对应的icmp数据包负样本生成检测模型,其中,未具有隐蔽通信授权指的是隐蔽信道通信行为未被预先允许。本实施方式能够进一步确保检测模型的整体可靠性,进一步确保基于icmp数据报文进行隐蔽信道通信检测的准确性,并确保了用户主机的网络安全性。
请参见图3所示,本申请实施例公开了一种隐蔽信道通信检测方法,包括:
步骤s30:获取icmp数据包。
步骤s31:对icmp数据包进行过滤处理得到满足icmp默认标准的目标icmp数据包。
需要说明的是,本实施例在获取到icmp数据包之后,进一步在icmp数据包中过滤满足icmp默认标准的目标icmp数据包。
本步骤中的icmp默认标准指的是基于icmp协议在默认状态下生成的icmp数据包所具有的内容标准,也就是说,满足icmp默认标准的目标icmp数据包是能够被初步认证为不具有隐蔽信道通信行为的正常icmp数据包。
步骤s32:根据过滤后的icmp数据包提取预设特征,根据预设特征执行特征统计得到目标特征向量。
步骤s33:利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
本实施例在获取到icmp数据包后,本步骤对icmp数据包进行初步的筛选,过滤掉明显不具有隐蔽信道通信行为的正常icmp数据包,相对减少后续检测过程中icmp数据包的数据量,进而相对确保检测过程的整体稳定性,以及整体效率。
在上述实施例的基础上,作为一种优选的实施方式,对icmp数据包进行过滤处理得到满足icmp默认标准的目标icmp数据包,包括:
对icmp数据包进行解析,得到数据部分的内容;
将数据部分的内容与预设的icmp协议内容不一致的icmp数据包作为目标icmp数据包。
需要说明的是,本实施方式中,icmp数据包满足icmp默认标准具体为icmp数据包中的数据内容与icmp协议的默认内容一致,当icmp数据包中的数据内容与icmp协议的默认内容一致,则说明该icmp数据包中未携带有用于隐蔽信道通信的数据,因此将该icmp数据包过滤。例如,windows系统与linux系统的icmp报文数据部分的默认内容都是固定不变的,windows系统下为‘abcdefghijklmnopqrstuvwabcdefghi’,linux系统下为‘!”#$%&’()+,-./01234567’。本实施方式能够进一步确保在icmp数据包中过滤目标icmp数据包过程的准确性。
在上述一系列实施方式的基础上,作为一种优选的实施方式,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,包括:
利用决策树检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
需要说明的是,本实施例的重点在于检测模型具体为决策树检测模型,利用决策树检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
其中,决策树(decisiontree)是一种监督学习的分类方法,所谓监督学习就是给定一堆样本,每个样本都有一组属性和一个类别,这些类别是事先确定的,那么通过学习得到一个分类器,这个分类器能够对新出现的对象给出正确的分类,这样的机器学习就被称之为监督学习。由于决策树对于数据的类型分析具有较高的准确性,因此,进而本实施方式能够进一步提高隐蔽信道通信检测的准确性。
本实施例中,以目标特征向量包括数据长度、数据明文占比、请求频率以及请求响应比四个特征为例对决策树的生成过程进行描述,本领域技术人员可知,该例仅为示意性举例,在目标特征向量中包括其他特征时,其对应决策树模型的生成过程可不同,在此不做限定。
例如,可以以增熵原理来决定数据长度、数据明文占比、请求频率以及请求响应比中的一个特征作为根节点,比如,计算各个特征对应的增熵,将所有增熵进行对比,将最小的增熵对应的特征作为根节点,针对根节点进行分裂时,由于在目标特征向量中除了根节点对应的特征之外,还存在三个特征待选择,那么可以在待选择的三个特征中选择最大增熵对应的特征作为根节点的叶子节点,以此类推,直至目标特征向量中所有特征均选择完毕,得到一颗决策树。
其中,增熵e的定义如下:
e=-sum[p(xi)*log2(p(xi))]
其中,p(xi)为目标特征向量中第i个特征出现的概率。
通过大量的样本对决策树进行训练,不断调整每一节点对应的分裂阈值,直至所述决策树对应的目标函数(或者损失函数或者代价函数)满足要求后停止训练,得到训练好的决策树模型,根据训练好的决策树模型对所述目标特征向量进行检测以确定是否存在icmp隐蔽信道。
在一些其他的实施例中,所述检测模型还可以为其他类型的分类模型,比如随机森林、支持向量机、逻辑回归等,在此不做限定。
请参见图4所示,本申请实施例公开了一种隐蔽信道通信检测装置,包括:
数据包获取模块10,用于获取icmp数据包;
特征统计模块11,用于提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包;
模型检测模块12,用于利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
在前述实施例的基础上,本申请实施例对隐蔽信道通信检测装置进行进一步的说明和优化。具体的:
在一种具体实施方式中,装置还包括:
样本获取模块,用于获取具有隐蔽信道通信行为的icmp数据包正样本,并获取未具有隐蔽信道通信行为的icmp数据包负样本;
特征向量获取模块,用于对icmp数据包正样本执行特征统计得到正样本特征向量,并对icmp数据包负样本执行特征统计得到负样本特征向量;
模型训练模块,用于对正样本特征向量以及负样本特征向量进行模型训练生成检测模型。
在一种具体实施方式中,特征统计模块11,包括:
间隔提取模块,用于提取预设时间间隔内的每一icmp数据包的预设特征;
间隔统计模块,用于针对预设时间间隔内的所有icmp数据包的预设特征执行特征统计得到目标特征向量。
在一种具体实施方式中,目标特征向量中包括数据长度、数据明文占比、请求频率以及请求响应比中的一种或多种。
在一种具体实施方式中,装置还包括:
过滤模块,用于对icmp数据包进行过滤处理得到满足icmp默认标准的目标icmp数据包;
特征统计模块11,包括:
过滤统计模块,用于根据过滤后的icmp数据包提取预设特征。
在一种具体实施方式中,过滤模块,包括:
内容解析模块,用于对icmp数据包进行解析,得到数据部分的内容;
数据包确定模块,用于将数据部分的内容与预设的icmp协议内容不一致的icmp数据包作为目标icmp数据包。
在一种具体实施方式中,模型检测模块12,包括:
决策树检测模块,用于利用决策树检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。
本申请所提供的隐蔽信道通信检测装置,首先获取icmp数据包,进而提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。由于本装置利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,实现了基于icmp数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。
此外,本申请实施例还公开了一种隐蔽信道通信检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的隐蔽信道通信检测方法的步骤。
本申请所提供的隐蔽信道通信检测设备,首先获取icmp数据包,进而提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。由于本设备利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,实现了基于icmp数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。
此外,本申请实施例还公开了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的隐蔽信道通信检测方法的步骤。
本申请所提供的计算机可读存储介质,首先获取icmp数据包,进而提取icmp数据包的预设特征,根据预设特征执行特征统计得到目标特征向量,预设特征包括icmp数据包的类型和/或明文字符,其中,类型包括请求包及响应包,利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道。由于本计算机可读存储介质利用检测模型对目标特征向量进行检测确定是否存在icmp隐蔽信道,实现了基于icmp数据报文的隐蔽信道通信检测,相对确保了用户主机的网络安全性。
以上对本申请所提供的一种隐蔽信道通信检测方法、装置及设备进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
- 还没有人留言评论。精彩留言会获得点赞!