(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111220193.8 (22)申请日 2021.10.20 (71)申请人 南京中新 赛克科技有限责任公司 地址 210012 江苏省南京市雨 花台区宁双 路19号2幢15 01室 (72)发明人 杨帆　邓志情　蒋鹏飞　 (74)专利代理 机构 南京苏高专利商标事务所 (普通合伙) 32204 代理人 张弛 (51)Int.Cl. G06K 9/62(2022.01) G06N 20/00(2019.01) H04L 9/40(2022.01) H04L 41/14(2022.01) (54)发明名称 一种用于工业控制网络下的SSH隐蔽隧道检 测装置及方法 (57)摘要 本发明公开了一种用于工业控制网络下的 SSH隐蔽隧道 检测装置及方法， SSH隐蔽隧道 检测 装置包括流量采集与解析系统、 数据处理分析系 统、 机器学习系统， 利用模式向量使用序列识别 算法， 识别SSH隧道边界是否存在， 利用流统计数 据和已训练好的集成学习算法模型检测SSH隧道 流量， 再以投票方案(voting)结合两个模型结 果， 确定具体流数据是否为SSH隐蔽隧道流量。 该 技术方案能够实现对SSH隐蔽隧道流量的检测， 以解决现有 技术中工业控制领域SSH隐蔽隧道信 息泄露的问题。 权利要求书2页 说明书4页 附图3页 CN 114118206 A 2022.03.01 CN 114118206 A 1.一种用于 工业控制网络下的S SH隐蔽隧道检测装置， 其特 征在于， 包括： 流量采集与解析系统， 用以对工业控制S SH协议流量数据进行解析； 数据处理分析系 统， 用以对每包数据重构TCP流， TCP流三次握手信息不全则将该重构 TCP流所有相关数据包丢弃， 反之对重构TCP流生 成唯一标识符进 行分组； 统计每个重构TCP 流内指前指定个数包的流模式向量， 并对流统计信息构建特 征工程， 生成数据结果； 机器学习系统； 用以将打标过的正常流量作为正常类， 隐蔽隧道流量作为异常类， 两类 数据随机合并按照一定的比例随机抽取， 生成训练集、 测试集与验证集； 对合并后的数据中 模式向量部分训练序列 识别模型同时使用基分类器按分类误差最小化作为目标， 使用交叉 熵损失函数， 不断迭代优化模型结构参数， 即训练模型， 并使用集成学习融合多分类模型结 果得到集成学习算法模型， 并在最后以投票方式将序列 识别模型与集成学习算法模型的结 果进行加 权， 生成工业控制现场SSH隐蔽隧道检测模型； 将数据结果调入工业控制现场SSH 隐蔽隧道检测模型获取模型输出结果， 并调用检测模型对模型输出结果数据进行检测， 获 取每个流分类结果。 2.根据权利要求1所述的SSH隐蔽隧道检测装置， 其特征在于， 数据处理分析系统中提 取流模式向量为， 对每个流前指定个数包提取包长、 按指定窗口(t)大小进行滑动， 获取 (X1,X2,...Xt)， 其中Xi＝(x,y,z)， Xi是第一个数据包， x为包大小,y为方向,z为包间隔。 3.根据权利要求1或2所述的SSH隐蔽隧道检测装置， 其特征在于， 数据处理分析系统中 对流统计信息构建特征工程包括对按网络层和传输层划分的流统计信息构建特征工程以 及按时间划分的流统计信息构建特 征工程 按网络层和传输层划分的流统计信 息构建特征工程包括： 统计进的数据包的大小的最 大值、 进的数据包的大小的最小值； 计算进的数据包的大小的均值、 进的数据包的大小的标 准差、 进的数据包的大小的总值、 进的数据包的总包数； 统计出的数据包的大小的最大值、 出的数据包的大小的最小值； 计算出的数据包的大小的均值、 出的数据包的大小的方差、 出 的数据包的大小的总值； 按时间划分的流统计信息构建特征工程包括： 统计会话持续时间、 进的数据包对间隔 时间的最大值、 进的数据包对间隔时间的最小值； 计算进的数据包对间隔时间的均值、 进的 数据包对间隔时间的标准差； 统计出 的数据包对之间间隔时间的最大值、 出 的数据包对之 间间隔时间的最小值； 计算出 的数据包对之间间隔时间的均值、 出 的数据包对之间间隔时 间的标准差 。 4.根据权利要求3所述的SSH隐蔽隧道检测装置， 其特征采在于， 流量集与解析系统中， 对SSH协议流量的解析包括： 五元、 时间戳、 TCP  flag、 SEQ  number、 ACK  number、 SSH包载荷 长度； 五元包括源IP、 目的IP、 源端口、 目的端口、 协议名； 所述唯一标识符即利用五元信息 进行哈希计算， 生成一串唯一的字符串。 5.根据权利要求1所述的SSH隐蔽隧道检测装置， 其特征在于， 还包括流量接收设备； 用 以采集工业控制S SH协议流量数据。 6.一种用于 工业控制网络下的S SH隐蔽隧道检测方法， 其特 征在于， 包括以下步骤： (1)对工业控制S SH协议流量数据进行解析； (2)对每包数据重构TCP流， TCP流三次握手信息不全， 即没有完整三个握手过程包， 则 将该重构TCP流所有相关数据包丢弃， 反之对重构TCP流生成唯一标识符进行分组； 统计每权　利　要　求　书 1/2 页 2 CN 114118206 A 2个重构TCP流内指前指定个数包的流模式向量(X1,X2,...Xt)， 并对流统计信息构建特征工 程， 生成数据结果； (3)将打标过的正常流量作为正常类， 隐蔽隧道流量作为异常类， 两类数据随机合并按 照一定的比例随机抽取， 生 成训练集、 测试集与验证集； 对合并后的数据中模式 向量部分训 练序列识别模型同时使用基分类器按分类误差最小化作为 目标， 使用交叉熵损失函数， 不 断迭代优化模型结构参数， 即训练模型， 并使用集成学习融合多分类模型结果得到集成学 习算法模型， 并在最后以投票方式将序列识别模型与集成学习算法模型 的结果进行加权， 生成工业控制现场 SSH隐蔽隧道检测模 型； 将数据结果调入工业控制现场SS H隐蔽隧道检测 模型获取模型输出结果， 并调用检测模型对模型输出结果数据进行检测， 获取每个流分类 结果。 7.根据权利要求6所述的SSH隐蔽隧道检测方法， 其特征在于， 步骤(2)中， 提取流模式 向量为， 对每个流前指定个数包提取包长、 按指定窗口(t)大小进行滑动， 获取(X1,X2, ...Xt)， 其中Xi＝(x,y,z)， Xi是第一个数据包， x为包大小,y为方向,z为包间隔。 8.根据权利 要求6或7所述的SSH隐蔽隧道检测方法， 其特征在于， 步骤(2)中， 对流统计 信息构建特 征工程包括： 步骤2.1.按网络层和传输层划分： 统计进客户端向服务端发送的数据包的大小的最大 值、 进的数据包的大小的最小值； 计算进的数据包的大小的均值、 进的数据包的大小的标准 差、 进的数据包的大小的总值、 进的数据包的总包数； 统计出的数据包的大小的最大值、 出 的数据包的大小的最小值； 计算出的数据包的大小的均值、 出的数据包的大小的方差、 出的 数据包的大小的总值； 步骤2.2.按时间划分： 统计会话持续时间、 进的数据包对间隔时间的最大值、 进的数据 包对间隔时间的最小值； 计算进的数据包对间隔时间的均值、 进的数据包对间隔时间的标 准差； 统计出的数据包对之 间间隔时间的最大值、 出的数据包对之 间间隔时间的最小值； 计 算出的数据包 对之间间隔时间的均值、 出的数据包 对之间间隔时间的标准差； 步骤2.3.将以上所有数据结果按流唯一标识进行合并存储入非结构化数据库， 供后续 集成学习算法检测使用。 9.根据权利要求6或7所述的SSH隐蔽隧道检测方法， 其特征在于， 步骤(1)中， 对SSH协 议流量的解析包括： 五元、 时间戳、 TCP  flag、 SEQ  number、 ACK  number、 SSH包载荷长度； 五 元包括源IP、 目的IP、 源端口、 目的端口、 协议名。 10.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现权利要求6至9任一项所述 方法的步骤。 11.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求6 至9中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114118206 A 3