[发明专利]一种隐蔽信道检测模型更新方法及装置

说明书

本申请提供一种隐蔽信道检测模型更新方法及装置，应用于计算机领域，方法包括：利用预先训练好的隐蔽信道检测模型对第一实时流量数据包进行检测，以判断产生第一实时流量数据包的信道中是否存在隐蔽信道；其中，隐蔽信道检测模型根据训练样本的第一特征以及第二特征训练得到，第一特征包括训练样本的基础属性，第二特征为利用隐蔽信道检测规则库对训练样本进行匹配得到的；在检测之后，若根据检测结果能够得到明确的检测结论，则可以利用第一实时流量数据包以及对应的标签对隐蔽信道检测模型进行更新，从而使得更新后的隐蔽信道检测模型更适用于当前环境，因此可以降低隐蔽信道检测模型对隐蔽信道的识别误报率。

技术领域

本申请涉及计算机领域，具体而言，涉及一种隐蔽信道检测模型更新方法及装置。

背景技术

在现有技术中，针对Internet控制报文协议(Internet Control MessageProtocol，ICMP)隐蔽信道的检测技术，一般采用基于规则的静态阈值检测技术或者基于特征值的检测技术。但是，上述两种技术在检测的过程中均存在一定的局限性，从而使得传统的ICMP隐蔽信道的识别误报率高。

发明内容

本申请实施例的目的在于提供一种隐蔽信道检测模型更新方法及装置，用以解决ICMP隐蔽信道的识别误报率高的技术问题。

为了实现上述目的，本申请实施例所提供的技术方案如下所示：

第一方面，本申请实施例提供一种隐蔽信道检测模型更新方法，包括：获取第一实时流量数据包；利用预先训练好的隐蔽信道检测模型对所述第一实时流量数据包进行检测，以判断产生所述第一实时流量数据包的信道中是否存在隐蔽信道；其中，所述隐蔽信道检测模型根据训练样本的第一特征以及第二特征训练得到，所述第一特征包括所述训练样本的基础属性，所述第二特征为利用隐蔽信道检测规则库对所述训练样本进行匹配得到的；判断根据检测结果是否能够得到明确的检测结论；若根据所述检测结果能够得到所述明确的检测结论，则根据检测结果确定所述第一实时流量数据包对应的标签，并根据所述第一实时流量数据包以及所述第一实时流量数据包对应的标签对所述隐蔽信道检测模型进行更新。在上述方案中，在利用隐蔽信道检测模型对第一实时流量数据包进行隐蔽信道的检测之后，若根据检测结果能够得到明确的检测结论，则可以利用上述第一实时流量数据包以及对应的标签对隐蔽信道检测模型进行更新，从而使得更新后的隐蔽信道检测模型更适用于当前环境，因此可以降低隐蔽信道检测模型对隐蔽信道的识别误报率。

在本申请的可选实施例中，所述根据所述第一实时流量数据包以及所述第一实时流量数据包对应的标签对所述隐蔽信道检测模型进行更新，包括：存储所述第一实时流量数据包以及所述第一实时流量数据包对应的标签作为更新样本；在存储的更新样本的数量超过预设计数阈值时，利用所述存储的更新样本对所述隐蔽信道检测模型进行更新，并清零所述存储的更新样本的数量。在上述方案中，当包括第一实时流量数据包以及对应的标签的更新样本的数量超过预设计数阈值时，可以利用多个更新样本对隐蔽信道检测模型进行更新，从而无需每得到一个更新样本便更新一次，降低了运算量。

在本申请的可选实施例中，在所述利用所述存储的更新样本对所述隐蔽信道检测模型进行更新之前，所述方法还包括：对所述存储的更新样本进行数据统计，得到对应的统计数组，并将所述统计数组添加至所述更新样本中。在上述方案中，可以对第一实时流量数据包进行数据统计，从而得到第一实时流量数据包在当前环境下的一些特征，并根据统计得到的统计数组共同对隐蔽信道检测模型进行更新，从而进一步的降低隐蔽信道检测模型在当前环境中对隐蔽信道的识别误报率。

在本申请的可选实施例中，所述检测结果为产生所述第一实时流量数据包的信道中存在隐蔽信道的第一概率值；所述判断根据检测结果是否能够得到明确的检测结论，包括：若所述第一概率值大于第一预设阈值或者所述第一概率值小于第二预设阈值，则确定根据所述检测结果能够得到所述明确的检测结论；其中，所述第一预设阈值大于所述第二预设阈值；若所述第一概率值小于所述第一预设阈值且大于所述第二预设阈值，则确定根据所述检测结果不能够得到所述明确的检测结论。