AI技术应用实践——ICMP隐蔽隧道检测

近年来，AI技术持续应用在网络安全领域，通过数据学习总结，提高对潜在威胁的检测能力，不断强化现有安全产品的能力。

在此背景下，迪普科技深度使用AI技术赋能现有产品及解决方案，迪普科技先知威胁感知大数据平台以大数据+AI智能分析技术为核心，构建高效精准的安全检测分析模型，针对常见APT网络攻击、加密流量恶意行为、异常流量识别、综合态势评估等方面构建了大量的AI安全检测模型。

ICMP（Internet Control Message Protocol），即网际控制报文协议，是网络通信中必不可少的协议之一。

由于ICMP流量可以实时反映网络的状态，各种安全设备考虑到它的良性特点通常会默认放行。攻击者正是利用这一点，将重要数据封装到合法的ping数据包（基于ICMP协议，对应的报文类型为“8”或“0”，代码为“0”）的“选项数据”字段进行传输，从而规避安全设备的检测，到达目标服务器上，这便是ICMP隐蔽隧道的工作原理。目前有icmptunnel、ptunnel、icmpsh、ishell等工具可以用来搭建ICMP隧道，为了检测ICMP隧道，就要了解ICMP正常报文和隧道报文的区别。

通过分析正常报文和隧道报文的特点，可以提取ICMP数据包的特征行为，然后借助AI检测模型对其行为进行学习，进而实现隐蔽隧道的精准检测。

迪普科技采用AI技术构建了针对ICMP隐蔽隧道的检测模型。

在建模阶段，可以分别建立多个AI模型，在各项指标都较好的情况下，根据奥卡姆剃刀原理，选择可解释性高且简单的模型——决策树算法，达到可解释性高，计算复杂度低，速度快的目的。

通过实际的检测验证，包含16269个ICMP报文的测试集中仅有1个隧道报文被预测成正常报文，其余都预测正确。相应的，各项性能指标如Accuracy、AUC、召回率、F1值都接近100%，从而验证该AI检测模型的准确度高。

将经过验证的ICMP隐匿隧道AI检测模型应用到先知威胁感知大数据平台上进行实战能力验证，以某次攻击事件为例，大数据平台检测到ICMP流量被识别为隐匿隧道攻击。

AI赋能安全展望

在网络安全攻防技术不断升级、网络安全建设要求不断加强的背景下，AI技术必将是未来网络安全防御不可或缺的一环。迪普科技未来也将持续加大在AI安全检测、安全分析等领域的技术投入，推动AI与网络安全技术两者不断融合、优化、提升，将AI安全由“单场景”向“全局化”演进，使得未来的网络安全技术手段更为简单、智能、安全。