[发明专利]一种隐蔽信道通信检测方法、装置及设备

说明书

本申请公开了一种隐蔽信道通信检测方法、装置及设备。该方法的步骤包括：获取UDP数据流；针对UDP数据流执行特征统计得到目标特征向量，其中，目标特征向量包括请求端口特征和/或请求包特征；利用预先训练好的检测模型对目标特征向量进行检测确定是否存在UDP隐蔽信道。本方法通过检测模型，实现了对UDP数据流的隐蔽信道通信检测，相对确保了用户主机的网络安全性。此外，本申请还提供一种基于UDP的隐蔽信道通信检测装置、设备及存储介质，有益效果同上所述。

技术领域

本申请涉及网络通信领域，特别是涉及一种隐蔽信道通信检测方法、装置及设备。

背景技术

UDP(User Datagram Protocol，用户数据报协议)是互联网协议集中支持一个无连接的传输协议，UDP为应用程序提供了一种无需建立与对端连接就可以发送封装的数据包的方法。

基于UDP协议的隐蔽信道通信顾名思义就是使用UDP协议进行数据传输达到隐蔽通信手段的方法，由于基于UDP协议无需建立通信双方的通信连接即可传输大量数据包，因此当前的恶意控制者可能通过将数据编码在端口的方式，携带恶意行为数据的方式与用户主机进行通信，以此达到对用户主机进行恶意控制的目的，目前针对UDP数据流进行的隐蔽信道通信的检测算法寥寥无几，但是当恶意控制者一旦使用UDP协议进行隐蔽信道通信时，往往会对用户主机的稳定性造成较高程度的威胁，难以确保用户主机的网络安全性。

由此可见，提供一种隐蔽信道通信检测方法，以实现基于UDP数据流的隐蔽信道通信检测，进而相对确保用户主机的网络安全性，是本领域技术人员需要解决的问题。

发明内容

本申请的目的是提供一种隐蔽信道通信检测方法、装置及设备，以实现基于UDP数据流的隐蔽信道通信检测，进而相对确保用户主机的网络安全性。

为解决上述技术问题，本申请提供一种隐蔽信道通信检测方法，包括：

获取UDP数据流；

针对UDP数据流执行特征统计得到目标特征向量，其中，目标特征向量包括请求端口特征和/或请求包特征；

利用预先训练好的检测模型对目标特征向量进行检测确定是否存在UDP隐蔽信道。

优选地，获取UDP数据流之后还包括：

对UDP数据流中的异常数据进行清洗得到待提取数据流；

相应地，针对UDP数据流执行特征统计得到目标特征向量包括：

根据待提取数据流执行特征统计得到目标特征向量。

优选地，对UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将属于预设网段范围内的UDP数据流作为待提取数据流。

优选地，对UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将请求包的数量大于或等于预设数量阈值的UDP数据流作为待提取数据流。

优选地，对UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将请求端口满足预设端口条件的UDP数据流作为待提取数据流。

优选地，针对UDP数据流执行特征统计得到目标特征向量包括：

基于预设的时间间隔将UDP数据流进行分段得到至少一数据流片段，针对数据流片段执行特征统计得到目标特征向量。

优选地，请求端口特征包括端口位数和/或端口重复率和/或端口信息熵，请求包特征包括请求包数量和/或请求包频率。

此外，本申请还提供一种隐蔽信道通信检测装置，包括：