[发明专利]一种隐蔽信道通信检测方法、装置及设备

权利要求书

1.一种隐蔽信道通信检测方法，其特征在于，包括：

获取UDP数据流；

针对所述UDP数据流执行特征统计得到目标特征向量，其中，所述目标特征向量包括请求端口特征和/或请求包特征；

利用预先训练好的检测模型对所述目标特征向量进行检测确定是否存在UDP隐蔽信道。

2.根据权利要求1所述的隐蔽信道通信检测方法，其特征在于，获取UDP数据流之后还包括：

对所述UDP数据流中的异常数据进行清洗得到待提取数据流；

相应地，所述针对所述UDP数据流执行特征统计得到目标特征向量包括：

根据所述待提取数据流执行特征统计得到目标特征向量。

3.据权利要求2所述的隐蔽信道通信检测方法，其特征在于，所述对所述UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将属于预设网段范围内的UDP数据流作为所述待提取数据流。

4.据权利要求2所述的隐蔽信道通信检测方法，其特征在于，所述对所述UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将请求包的数量大于或等于预设数量阈值的UDP数据流作为待提取数据流。

5.据权利要求2所述的隐蔽信道通信检测方法，其特征在于，所述对所述UDP数据流中的异常数据进行清洗得到待提取数据流包括：

将请求端口满足预设端口条件的UDP数据流作为待提取数据流。

6.据权利要求1所述的隐蔽信道通信检测方法，其特征在于，所述针对所述UDP数据流执行特征统计得到目标特征向量包括：

基于预设的时间间隔将所述UDP数据流进行分段得到至少一数据流片段，针对所述数据流片段执行特征统计得到所述目标特征向量。

7.据权利要求1至6任意一项所述的隐蔽信道通信检测方法，其特征在于，所述请求端口特征包括端口位数和/或端口重复率和/或端口信息熵，所述请求包特征包括请求包数量和/或请求包频率。

8.一种隐蔽信道通信检测装置，其特征在于，包括：

数据流获取模块，用于获取UDP数据流；

特征统计模块，用于针对所述UDP数据流执行特征统计得到目标特征向量，其中，所述目标特征向量包括请求端口特征和/或请求包特征；

模型检测模块，用于利用预先训练好的检测模型对所述目标特征向量进行检测确定是否存在UDP隐蔽信道。

9.一种隐蔽信道通信检测设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的隐蔽信道通信检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的隐蔽信道通信检测方法的步骤。