ICMP隐蔽隧道是指将其他协议的数据包、恶意命令和恶意数据等封装在ICMP协议的data部分进行传输的网络攻击方式,更加隐蔽、难以检测。当前主流的检测方法都是检测是否存在ICMP隐蔽隧道,而没有明确具体的攻击意图,这给安全人员采取针对性地防御措施带来不便。为了绕过基于单条流量的检测方法,一些新型的隐蔽隧道将恶意信息拆散到多条流量中进行传递,形成了上下文关联的隐蔽隧道,目前缺少对于这种隐蔽隧道的有效检测方法。本文为解决这两个问题,以明确ICMP隐蔽隧道具体攻击意图和检测上下文关联的隐蔽隧道为研究目标,开展相关研究并取得如下成果:1.针对ICMP隐蔽隧道检测中存在的无法识别具体攻击意图的问题,构建了 ICMP隐蔽隧道具体攻击意图检测模型,即icmpTend。从ICMP隐蔽隧道中常见的5类攻击意图:Shell攻击、敏感目录访问、通信协议流量的窃取、填充隧道保留字和常见的网络攻击提取攻击意图的关键字特征,构建了特征词库。结合ICMP流量高维、线性无关的特点,采用SVM作为分类器,进行多分类的训练和预测。根据模型的检测结果能够明确其具体的恶意攻击意图,为安全研究人员采取针对性地防御措施提供了依据。2.针对恶意数据或命令被拆分到多条流量中进行传输的这种上下文关联的ICMP隐蔽隧道,提出了以指定时间窗口内的原始十六进制数据流为基本检测单位的上下文关联的ICMP隐蔽隧道检测模型,即context Tunnel。一方面,该模型以原始的十六进制数据作为输入,特征提取时的信息损失减少;另一方面,以数据流为基本检测单位,可以检测攻击被分散到多条具有时序特征的流量中的情形。实验表明,contextTunnel可以有效检测出上下文关联的隐蔽隧道,检测的准确率达到98%、精确率达到98%、漏报率仅2%。3.在icmpTend模型和contextTunnel模型的基础上设计了一套从流量采集、流量解析、数据预处理到隐蔽隧道检测完整流程的ICMP隐蔽隧道检测系统。系统部署完成后能在用户无感知的情况下进行流量抓取,高效地进行流量解析,识别ICMP隐蔽隧道的攻击意图和检测上下文关联的隐蔽隧道。