两阶段的园区网络SSH反向隧道检测方法及系统技术方案

本发明专利技术涉及一种两阶段的园区网络SSH反向隧道检测方法及系统，其方法包括：S1：将采集到的原始流量按照四元组：{源ip，目的ip，源端口号，目的端口号}进行划分，将具有相同四元组的原始流量视为一个流；S2：基于规则匹配的一阶段SSH反向隧道检测，检测流是否包含SSH反向隧道；S3：基于深度学习的二阶段SSH反向隧道检测，对流进行图像化后使用训练好的CNN模型进行分类任务，判断流是否包含SSH反向隧道；S4：汇总步骤S2和S3得到的包含SSH反向隧道的流的情况，输出检测结果。本发明专利技术提供的方法能快速、准确地检测出园区网络存在的SSH反向隧道。准确地检测出园区网络存在的SSH反向隧道。准确地检测出园区网络存在的SSH反向隧道。

【技术实现步骤摘要】
两阶段的园区网络SSH反向隧道检测方法及系统


[0001]本专利技术涉及网络安全检测领域，具体涉及一种两阶段的园区网络SSH反向隧道检测方法及系统。

技术介绍

[0002]SSH是一种用于远程登录、安全传输的常用加密协议，其标准端口号为22。SSH反向隧道是一种通过加密的SSH连接来传输任意网络数据的方法，它可以用来给传统的应用程序加密，同时可以用来实现跨越防火墙访问内网服务。
[0003]园区网络(如校园网或公司内网)的网络安全，由于涉及到数据隐私、数据安全等多种安全问题，一直以来都是安全领域研究的重点。目前，对于园区网络的攻击方式多种多样。在园区网络的攻击场景中，可能需要在内外网之间传输大量恶意流量，为了顺利避开园区防火墙的监控，使用SSH反向隧道是一种常用的手段。
[0004]近些年来，使用SSH反向隧道的恶意攻击事件频发，严重威胁园区网络的信息安全。
[0005]攻击者在建立好反向隧道后，对园区网络有以下几点危害：
[0006]1.绕过网络安全控制(如防火墙、NAT等)传输恶意流量。
[0007]2.非法访问内部网络，造成信息泄露、系统瘫痪等问题。
[0008]3.横向移动，攻击者可以将攻击目标扩大到其他主机，进一步危害园区网络的安全。
[0009]目前，对SSH反向隧道检测的相关研究还比较少。现有的方法中，使用了基于规则匹配和传统的机器学习的方法实现。但是基于规则匹配的方法漏报严重，传统机器学习方法需要手动提取流量统计特征，同时统计特征容易被攻击者规避。因此，如何提高SSH反向隧道检测的准确率和泛化能力成为一个亟待解决的问题。

技术实现思路

[0010]为了解决上述技术问题，本专利技术提供一种两阶段的园区网络SSH反向隧道检测方法及系统。
[0011]本专利技术技术解决方案为：一种两阶段的园区网络SSH反向隧道检测方法，包括：
[0012]步骤S1：将采集到的原始流量按照四元组：{源ip，目的ip，源端口号，目的端口号}进行划分，将具有相同四元组的所述原始流量视为一个流；
[0013]步骤S2：基于规则匹配的一阶段SSH反向隧道检测，检测所述流是否包含SSH反向隧道；
[0014]步骤S3：基于深度学习的二阶段SSH反向隧道检测，对所述流进行图像化后使用训练好的CNN模型进行分类任务，判断所述流是否包含SSH反向隧道；
[0015]步骤S4：汇总步骤S2和S3得到的包含SSH反向隧道的流的情况，输出检测结果。
[0016]本专利技术与现有技术相比，具有以下优点：
[0017]1、本专利技术公开了一种两阶段的园区网络SSH反向隧道检测方法，提出两阶段的分析模式，首先使用规则匹配的方式，能高效准确地过滤流量的数量。两阶段的设计处理比现有方法具有更快的处理速度。
[0018]2、相比于传统的机器学习分类方法需要手动提取流量特征并进行特征选择，本专利技术提出了一种全新的将流量转化成图片的表达方式，能够极大保留流量中的有效信息，并剔除了可能会引起过拟合的各种特征，有效地提高了模型的泛化能力和适用范围，在训练数据充分的情况下，检测的准确率有更好的表现。
附图说明
[0019]图1为本专利技术实施例中一种两阶段的园区网络SSH反向隧道检测方法的流程图；
[0020]图2为本专利技术实施例中SSH的报文结构示意图；
[0021]图3为本专利技术实施例中规则匹配的状态转移示意图；
[0022]图4为本专利技术实施例中流图像示意图；
[0023]图5为本专利技术实施例中2D
‑
CNN模型结构示意图；
[0024]图6为本专利技术实施例中一种两阶段的园区网络SSH反向隧道检测系统的结构框图。
具体实施方式
[0025]本专利技术提供了一种两阶段的园区网络SSH反向隧道检测方法，能快速、准确地检测出园区网络存在的SSH反向隧道。
[0026]为了使本专利技术的目的、技术方案及优点更加清楚，以下通过具体实施，并结合附图，对本专利技术进一步详细说明。
[0027]实施例一
[0028]如图1所示，本专利技术实施例提供的一种两阶段的园区网络SSH反向隧道检测方法，包括下述步骤：
[0029]步骤S1：将采集到的原始流量按照四元组：{源ip，目的ip，源端口号，目的端口号}进行划分，将具有相同四元组的原始流量视为一个流；
[0030]步骤S2：基于规则匹配的一阶段SSH反向隧道检测，检测流是否包含SSH反向隧道；
[0031]步骤S3：基于深度学习的二阶段SSH反向隧道检测，对流进行图像化后使用训练好的CNN模型进行分类任务，判断流是否包含SSH反向隧道；
[0032]步骤S4：汇总步骤S2和S3得到的包含SSH反向隧道的流的情况，输出检测结果。
[0033]在一个实施例中，上述步骤S1：将采集到的原始流量按照四元组：{源ip，目的ip，源端口号，目的端口号}进行划分，将具有相同四元组的原始流量视为一个流，具体包括：
[0034]本专利技术实施例在园区网络出口位置使用tcpdump实时抓包得到原始pcap文件，按照源ip、目的ip、源端口、目的端口四元组对原始pcap文件进行划分，划分出不同的流。将划分后的每个流单独存储成一个pcap文件，并使用四元组与流的开始时间作为分割后的流文件名。
[0035]在一个实施例中，上述步骤S2：基于规则匹配的一阶段SSH反向隧道检测流是否包含SSH反向隧道，具体包括：
[0036]步骤S21：统计流的持续时间T、包的总数K；如果满足T<T0或K<K0，则认定为不含隧
道或没有危害的隧道的流，对该流的分析结束，继续分析下一条流；其中T0和K0分别为预设的流持续时间和包总数的阈值；
[0037]击键包是SSH作为一种远程控制协议常见的数据包，当远控端使用键盘输入各种命令时，每个包会携带一个键盘字符(一字节)发送到对端。而为了实现回显功能，对端也会发送一个完全相同的报文。因此，若在SSH连接中存在击键行为，就会出现明显的击键流量。
[0038]SSH的报文结构如图2所示，除了有效负载之外，还包括报文长度、填充长度、隧道信息、MAC填充等多个字段内容。在普通SSH流量中，击键包中的有效负载为1个字节，整个包的长度为30
‑
60字节(由SSH加密算法等决定)；而在隧道SSH流量中，击键包的有效负载是普通SSH流量中的完整击键包大小，再经过各字段的填充后，隧道击键包的大小将会是70
‑
110字节。本专利技术实施例在进行规则匹配时，先分析是否存在击键流量，再根据击键包的大小判断是否存在隧道。
[0039]另一方面，SSH反向隧道一旦建立后，一般会持续存在，方便外网人员获得长时间的内网控制权限。因此，如果一个流的持续时间过短或交互的报文数很少，可以认为这个流不含隧道，或者含有隧道但是没有恶意行为。
[0040]本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种两阶段的园区网络SSH反向隧道检测方法，其特征在于，包括：步骤S1：将采集到的原始流量按照四元组：{源ip，目的ip，源端口号，目的端口号}进行划分，将具有相同四元组的所述原始流量视为一个流；步骤S2：基于规则匹配的一阶段SSH反向隧道检测，检测所述流是否包含SSH反向隧道；步骤S3：基于深度学习的二阶段SSH反向隧道检测，对所述流进行图像化后使用训练好的CNN模型进行分类任务，判断所述流是否包含SSH反向隧道；步骤S4：汇总步骤S2和S3得到的包含SSH反向隧道的流的情况，输出检测结果。2.根据权利要求1所述的两阶段的园区网络SSH反向隧道检测方法，其特征在于，所述步骤S2：基于规则匹配的一阶段SSH反向隧道检测所述流是否包含SSH反向隧道，具体包括：步骤S21：统计流的持续时间T、包的总数K；如果满足T<T0或K<K0，则认定为不含隧道或没有危害的隧道的流，对该流的分析结束，继续分析下一条流；其中T0和K0分别为预设的流持续时间和包总数的阈值；步骤S22：遍历所述流中包含的所有包的大小及方向；如果出现2n个包大小完全相同，包的方向恰好依次是正向、反向交替，且包的大小在范围[L1，L2]中，则认为含有隧道，转至步骤S4；如果出现2n个包大小完全相同，包的方向恰好依次是正向、反向交替，且包的大小在范围[0，L1]中，则认定不含隧道，对该流的分析结束，继续分析下一条流；其中，n为预设的包数量阈值、L1和L2为预设的包长大小参数；步骤S23：如果遍历完所述流的所有包，分析仍没有结束，则认为无法判定是否含有隧道；转至步骤S3。3.根据权利要求2所述的两阶段的园区网络SSH反向隧道检测方法，其特征在于，所述步骤S3：基于深度学习的二阶段SSH反向隧道检测，对所述流进行图像化后使用训练好的CNN模型进行分类任务，判断所述流是否包含SSH反向隧道，具体包括：步骤S31：对所述流进行图像化，得到流图像；步骤S32：将所述流图像输入训练好的CNN模型，得到二分类结果，即包含隧道与不含隧道两种情况。4.根据权利要求3所述的两阶段的园区网络SSH反向隧道检测方法，其特征在于，所述步骤S31：对所述流进行图像化，得到流图像，具体包括：步骤S311：初始化一个大小为Height*Wid...

【专利技术属性】
技术研发人员：李巍，肖旻远，李云春，兰岸，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：