[发明专利]一种隐蔽信道通信检测方法、装置及设备

说明书

本申请公开了一种隐蔽信道通信检测方法、装置及设备。该方法的步骤包括：获取SNMP数据流；对SNMP数据流进行协议审计得到目标特征，其中，目标特征中包括对象标识符特征和/或数据字段对应特征；利用检测模型对目标特征进行检测确定是否存在SNMP隐蔽信道。本方法通过检测模型对SNMP数据流的目标特征进行隐蔽信道通信行为的检测，实现了基于SNMP数据报文的隐蔽信道通信检测，相对确保了用户主机的网络安全性。此外，本申请还提供一种隐蔽信道通信检测装置、设备及存储介质，有益效果同上所述。

技术领域

本申请涉及网络通信领域，特别是涉及一种隐蔽信道通信检测方法、装置及设备。

背景技术

SNMP(Simple Network Management Protocol，简单网络管理协议)是专门设计用于在IP网络管理网络节点的一种标准协议，它是一种应用层协议，网络管理员通过SNMP能够管理网络效能，发现并解决网络问题以及规划网络增长。

基于SNMP协议的隐蔽信道通信顾名思义就是使用SNMP协议进行数据传输达到通信手段的方法，当前的恶意控制者可能通过在SNMP数据流中携带恶意行为数据的方式与用户主机进行通信，以此达到对用户主机进行恶意控制的目的，当恶意控制者一旦使用SNMP协议进行隐蔽信道通信时，往往会对用户主机的稳定性造成较高程度的威胁，难以确保用户主机的网络安全性。

由此可见，提供一种隐蔽信道通信检测方法，以实现基于SNMP数据流的隐蔽信道通信检测，进而相对确保用户主机的网络安全性，是本领域技术人员需要解决的问题。

发明内容

本申请的目的是提供一种隐蔽信道通信检测方法、装置及设备，以实现基于SNMP数据流的隐蔽信道通信检测，进而相对确保用户主机的网络安全性。

为解决上述技术问题，本申请提供一种隐蔽信道通信检测方法，包括：

获取SNMP数据流；

对SNMP数据流进行协议审计得到目标特征，其中，目标特征中包括对象标识符特征和/或数据字段对应特征；

利用检测模型对目标特征进行检测确定是否存在SNMP隐蔽信道。

优选地，若目标特征包括对象标识符特征和数据字段对应特征，利用检测模型对目标特征进行检测确定是否存在SNMP隐蔽信道包括：

利用第一检测模型对对象标识符特征进行检测得到第一检测结果；

利用第二检测模型对数据字段对应特征进行检测得到第二检测结果；

根据第一检测结果及第二检测结果确定是否存在SNMP隐蔽信道。

优选地，对SNMP数据流进行协议审计得到目标特征包括：

对SNMP数据流进行协议审计得到各字段对应的数据；

在字段中提取出对象标识符字段对应的数据作为对象标识符特征，和/或在字段中提取出数据字段对应数据作为数据字段对应特征。

优选地，在字段中提取出对象标识符字段对应的数据作为对象标识符特征包括：

在字段中提取对象标识符字段内的数字，将数字组合为数字组；

将数字组设置为对象标识符特征。

优选地，在字段中提取出数据字段对应数据作为数据字段对应特征包括：

在字段中提取各数据字段内的数据片段，并将各数据片段组合为数据组合；

将数据组合设置为数据字段对应特征。

优选地，在利用检测模型对目标特征进行检测确定是否存在SNMP隐蔽信道之前，方法还包括：