ICMPTend: Internet Control Message Protocol Covert Tunnel Attack Intent Detector

1

作者 Tengfei Tu Wei Yin +4 位作者 Hua Zhang Xingyu Zeng Xiaoxiang Deng Yuchen Zhou Xu Liu 《Computers, Materials & Continua》 SCIE EI 2022年第5期2315-2331,共17页

The Internet Control Message Protocol(ICMP)covert tunnel refers to a network attack that encapsulates malicious data in the data part of the ICMP protocol for transmission.Its concealment is stronger and it is not eas... The Internet Control Message Protocol(ICMP)covert tunnel refers to a network attack that encapsulates malicious data in the data part of the ICMP protocol for transmission.Its concealment is stronger and it is not easy to be discovered.Most detection methods are detecting the existence of channels instead of clarifying specific attack intentions.In this paper,we propose an ICMP covert tunnel attack intent detection framework ICMPTend,which includes five steps:data collection,feature dictionary construction,data preprocessing,model construction,and attack intent prediction.ICMPTend can detect a variety of attack intentions,such as shell attacks,sensitive directory access,communication protocol traffic theft,filling tunnel reserved words,and other common network attacks.We extract features from five types of attack intent found in ICMP channels.We build a multi-dimensional dictionary of malicious features,including shell attacks,sensitive directory access,communication protocol traffic theft,filling tunnel reserved words,and other common network attack keywords.For the high-dimensional and independent characteristics of ICMP traffic,we use a support vector machine(SVM)as a multi-class classifier.The experimental results show that the average accuracy of ICMPTend is 92%,training ICMPTend only takes 55 s,and the prediction time is only 2 s,which can effectively identify the attack intention of ICMP. 展开更多

关键词 Internet control message protocol support vector machine covert tunnel network analysis

下载PDF 职称材料

基于HTTP协议报文分析的计算机网络取证研究 被引量：4

2

作者 宋璐璐 《电子设计工程》 2018年第9期37-40,45,共5页

针对目前我国网络用户不断增长,并且网络中出现的攻击现象不断增多,导致网络中用户的信息出现一系列的安全问题。为了能够有效保证网络用户的操作能够得到有效的监管,本文通过创建基于HTTP协议报文分析的计算机网络取证系统,对网络用户... 针对目前我国网络用户不断增长,并且网络中出现的攻击现象不断增多,导致网络中用户的信息出现一系列的安全问题。为了能够有效保证网络用户的操作能够得到有效的监管,本文通过创建基于HTTP协议报文分析的计算机网络取证系统,对网络用户的电子邮件、日志文件、即时通信软件进行提取和分析,从而手机电子数据证据,重新构建犯罪现场,为诉讼案件提供真实可靠的信息及证据。最后对基于HTTP协议报文分析的计算机网络取证系统进行了模型实验分析,通过实验表示,系统能够将可疑入侵的日志进行提取,达到预期目的。 展开更多

关键词 http协议 报文分析 计算机网络 取证

下载PDF 职称材料

基于HTTP请求报文的网站后门检测方法 被引量：1

3

作者 任俊玲 王承权 《北京信息科技大学学报（自然科学版）》 2019年第5期13-17,共5页

针对网站后门隐蔽、危害性大同时后门检测算法的通用性和检测效果有限的问题,提出了一种网站后门检测方法。该方法以HTTP请求报文为基础,从已知常见攻击、后门敏感操作、入侵标识符以及相似功能正异常实现差异等多个维度构建网站后门特... 针对网站后门隐蔽、危害性大同时后门检测算法的通用性和检测效果有限的问题,提出了一种网站后门检测方法。该方法以HTTP请求报文为基础,从已知常见攻击、后门敏感操作、入侵标识符以及相似功能正异常实现差异等多个维度构建网站后门特征集,分别以随机森林、支撑向量机和K近邻作为分类算法,结合HTTP请求报文特点对网站后门进行分析与检测。实验表明,该方法可以达到98.23%的高准确率,证实了算法的有效性。 展开更多

关键词 网络安全 后门检测 http请求报文 随机森林算法 支持向量机 K近邻分类算法

下载PDF 职称材料

非自体入侵下网络HTTP协议报文取证分析

4

作者 李枫 《内蒙古民族大学学报（自然科学版）》 2019年第6期479-484,共6页

为了实现非自体入侵下网络安全性,需要进行入侵HTTP协议报文取证分析,实现入侵信息检测,提出一种基于随机码持续性扩频检测的非自体入侵下网络HTTP协议报文取证方法.构建非自体入侵下网络HTTP协议报文随机序列分布模型,采用码元包络幅... 为了实现非自体入侵下网络安全性,需要进行入侵HTTP协议报文取证分析,实现入侵信息检测,提出一种基于随机码持续性扩频检测的非自体入侵下网络HTTP协议报文取证方法.构建非自体入侵下网络HTTP协议报文随机序列分布模型,采用码元包络幅值特征提取方法进行网络HTTP协议报文的非自体入侵下信息特征提取,结合相关性频谱分析方法实现入侵数据的模糊聚类处理,提取非自体入侵特征的关联规则分布集,根据提取结果采用随机码持续性扩频检测方法实现非自体入侵下网络HTTP协议报文取证,提高网络安全性.仿真结果表明,采用该方法进行非自体入侵下网络HTTP协议报文取证的准确性较高,抗干扰性较好. 展开更多

关键词 非自体入侵 网络 http协议 报文 取证

下载PDF 职称材料

融合自动化逆向和聚类分析的协议识别方法 被引量：2

5

作者 李城龙 薛一波 汪东升 《计算机科学与探索》 CSCD 2012年第5期397-408,共12页

网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and... 网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA)。该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测。该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题。通过对多个加密协议(如迅雷、BT、QQ和GTalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可。因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别。 展开更多

关键词 协议识别 网络消息 逆向分析 关联

下载PDF 职称材料

高速网络环境下协议还原技术研究 被引量：1

6

作者 许青林 覃国民 +1 位作者 姜文超 王志 《小型微型计算机系统》 CSCD 北大核心 2016年第2期207-211,共5页

针对传统网络协议还原技术在高速网络环境下的性能问题,设计了一种高性能协议还原技术.利用零拷贝技术采集网络数据包,动态反馈的一致性哈希算法均衡协议还原中心负载,协议还原中心采用三维立体空间的重组算法和多级双循环无锁缓冲队列... 针对传统网络协议还原技术在高速网络环境下的性能问题,设计了一种高性能协议还原技术.利用零拷贝技术采集网络数据包,动态反馈的一致性哈希算法均衡协议还原中心负载,协议还原中心采用三维立体空间的重组算法和多级双循环无锁缓冲队列技术保证系统的高效并发处理,应用层协议还原模块以插件形式注入系统,确保平台的扩展性、移植性,自适应动态哈希内存池为系统提供了高效的数据缓存支持.实验表明,该技术在数据采集能力、协议还原吞吐量以及性能方面相比Libpcap和Libnids均得到了很大提高. 展开更多

关键词 网络安全 协议分析 入侵检测 报文重组

下载PDF 职称材料

网络存储数据访问协议——NFS和SMB 被引量：2

7

作者 兰军瑞 傅丰 韩德志 《微机发展》 2001年第2期34-37,共4页

本文介绍了两种常用的网络存储数据访问方法 :SMB和NFS ,从数据交互、特点等方面作了详细地论述 。

关键词 超文本传输协议 NFS SMB 网络协议 网络文件系统 服务器信息块

下载PDF 职称材料

网络隐蔽通道的研究与实现 被引量：3

8

作者 张然 尹毅峰 +1 位作者 黄新彭 甘勇 《信息网络安全》 2013年第7期44-46,共3页

网络隐蔽通道是一种利用网络通信数据作为载体进行秘密数据传送的手段。文章对网络隐蔽通道的发展历史、工作原理及其常用构建技术进行了分析和讨论,给出了一种基于HTTP报文首部行Date时间值的隐蔽信道构建方法,并对该隐蔽方法进行了实... 网络隐蔽通道是一种利用网络通信数据作为载体进行秘密数据传送的手段。文章对网络隐蔽通道的发展历史、工作原理及其常用构建技术进行了分析和讨论,给出了一种基于HTTP报文首部行Date时间值的隐蔽信道构建方法,并对该隐蔽方法进行了实现。实现证明,该隐蔽通道难以检测,具有较好的隐蔽性。 展开更多

关键词 隐蔽通道 网络协议 http报文 Date首部行

下载PDF 职称材料

基于协议解析的工控网络安全仿真平台设计 被引量：7

9

作者 方捷睿 曹卫民 +2 位作者 白建涛 熊智华 杨帆 《自动化仪表》 CAS 2021年第2期102-106,共5页

工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该... 工业控制网络的安全防护通常采用防火墙技术和多种复杂的应用层协议协同完成,但是未涉及应用层协议的深入分析。为了更好地保障工控网络数据访问的安全,结合工控网络报文定制性的特点,详细分析了基于应用层协议解析的安全防护策略。该方案在工业防火墙的基础上,通过对工控网络通信协议的报文深入解析,直接在报文层面解析过滤,从而拦截与功能实现无关的报文,并发现隐藏较深的威胁。以OPC协议为例,搭建了基于应用层协议深度解析的工控网络安全仿真测试平台,并利用石化企业现场设备的通信数据对该平台进行了验证。所提出的安防策略为工控网络安全设备的设计和制造提供了一种基于应用层协议解析的方案,具备较高级别的安全性能。 展开更多

关键词 工控网络 信息安全 OPC协议 协议解析 网络报文 仿真平台 安全生产 工业控制系统

下载PDF 职称材料

对微云的网络取证研究 被引量：4

10

作者 杨新宇 王健 《信息网络安全》 2015年第3期69-73,共5页

云存储应用是目前使用最广泛的云计算服务之一,然而云存储为用户提供随时存取数据的便捷服务的同时,通过云存储传播敏感文件,导致泄密的风险也大大增加。而云计算环境给传统的数字取证带来诸多挑战。为此面向云存储的取证已经成为取证... 云存储应用是目前使用最广泛的云计算服务之一,然而云存储为用户提供随时存取数据的便捷服务的同时,通过云存储传播敏感文件,导致泄密的风险也大大增加。而云计算环境给传统的数字取证带来诸多挑战。为此面向云存储的取证已经成为取证技术研究热点。文章在传统数字取证模型的基础上,提出一种基于网络取证的云存储取证模型,通过协议分析对微云进行取证,证实了云存储网络取证的可行性。最后为云存储取证的下一步工作提出方法和思路。 展开更多

关键词 云存储 网络取证 取证模型 协议分析

下载PDF 职称材料

一种通用网络通信模块的设计及应用 被引量：2

11

作者 赵志强 杨旭东 《自动化仪表》 CAS 北大核心 2014年第4期53-56,共4页

在自动化检测系统中,为实现现场作业的远程监控,需要通过网络在现场控制站和远程监控站之间传输大量实时数据。为此,需要针对不同的检测系统设计相应的网络通信模块,增加了系统开发周期和难度。基于C++Builder的开发环境,设计了一种通... 在自动化检测系统中,为实现现场作业的远程监控,需要通过网络在现场控制站和远程监控站之间传输大量实时数据。为此,需要针对不同的检测系统设计相应的网络通信模块,增加了系统开发周期和难度。基于C++Builder的开发环境,设计了一种通用的网络通信模块,通过制定不同格式的通信协议进行数据的打包和解析,实现了不同检测系统传感器数据的实时网络传输。实际测试表明,该模块在缩短检测系统软件开发周期的同时,以较低的丢包率和较快的传输速率保证了网络数据的传输,同时,该通信模块能在许多自动化检测系统中加以运用,具有通用性。 展开更多

关键词 网络通信 C++BUILDER 通信协议 消息打包 消息解析 数据传输

下载PDF 职称材料

基于DoH流量的DGA识别方法 被引量：1

12

作者 张千帆 郭晓军 周鹏举 《计算机技术与发展》 2021年第12期122-127,共6页

现有研究表明,域名生成算法(domain generation algorithm,DGA)已成为僵尸网络建立命令和控制服务通信的关键技术之一。由于利用DGA域名随机性的检测方法已趋于成熟,为逃避检测,DGA算法可能采用加密流量形式进行传输。针对基于域名随机... 现有研究表明,域名生成算法(domain generation algorithm,DGA)已成为僵尸网络建立命令和控制服务通信的关键技术之一。由于利用DGA域名随机性的检测方法已趋于成熟,为逃避检测,DGA算法可能采用加密流量形式进行传输。针对基于域名随机性的检测模型缺乏对加密DGA流量的识别等问题,该文基于DoH(DNS-over-HTTPS)协议验证了DGA流量进行加密传输的可能性,分析了命令控制服务过程所产生的HTTP报文内容、HTTP流量及对应的TCP流量。因利用DoH协议进行传输的数据包中不再包含DNS报文解析过程,最终选取了DoH流量数据包的长度和时序信息等特征进行识别。在DoH网络中DGA流量特征分析的基础上结合KNN分类算法识别DGA域名,设计了一种基于特征工程与机器学习结合的识别方法,提供了DoH网络中DGA流量的检测方法。实验结果表明,基于DoH流量的DGA分类模型在人工数据集上的准确率达到了79%,表现出良好的分类精度,为DoH网络安全提供了保障。 展开更多

关键词 僵尸网络 命令控制服务 域名生成算法 DNS-over-httpS/DoH协议 网络流量分析

下载PDF 职称材料

基于SNIFFER的计算机网络原理的实验设计 被引量：1

13

作者 湛强 《科技情报开发与经济》 2007年第21期209-210,共2页

介绍了Sniffer软件的原理和应用,探讨了利用Sniffer软件来架构计算机网络实验,给出了实验的主要内容及分析结果。

关键词 SNIFFER 网络实验 报文分析 http协议

下载PDF 职称材料

一种基于信息熵的协议分析算法

14

作者 张莹 高玉琢 滑斌 《电脑知识与技术》 2017年第7X期208-209,219,共3页

随着互联网的快速发展,IPv4地址被大量使用即将耗尽,IPv4向IPv6过渡已成为必经之路。IPv6环境下网络取证将会出现很多问题.文章以分析IPv6协议的基本报文格式为基础,分析了IPv6网络环境下网络取证的难点,提出了一种解决网络取证问题的算... 随着互联网的快速发展,IPv4地址被大量使用即将耗尽,IPv4向IPv6过渡已成为必经之路。IPv6环境下网络取证将会出现很多问题.文章以分析IPv6协议的基本报文格式为基础,分析了IPv6网络环境下网络取证的难点,提出了一种解决网络取证问题的算法,即基于信息熵的协议分析算法,并给出了算法分析流程。 展开更多

关键词 IPV6 网络取证 协议分析

下载PDF 职称材料