本申請涉及通信領(lǐng)域，特別涉及一種隱蔽通道的檢測方法和檢測設(shè)備。
背景技術(shù)：
：隱蔽通道是一種違犯安全策略，秘密傳輸信息的機制。隱蔽通道按照其存在的環(huán)境不同可以分為主機隱蔽通道和網(wǎng)絡(luò)隱蔽通道。主機隱蔽通道是在主機中不同進(jìn)程之間秘密傳輸信息。網(wǎng)絡(luò)隱蔽通道是在網(wǎng)絡(luò)中不同主機之間秘密傳輸信息。網(wǎng)絡(luò)隱蔽通道一般通過將有效數(shù)據(jù)攜帶于網(wǎng)絡(luò)協(xié)議中進(jìn)行傳輸，通過載體在網(wǎng)絡(luò)中正常傳輸，從而達(dá)到有效數(shù)據(jù)的秘密傳輸而不被發(fā)現(xiàn)。網(wǎng)絡(luò)隱蔽通道已成為攻擊者與該攻擊者控制的主機進(jìn)行信息傳輸?shù)闹匾ぞ摺９粽咄ㄟ^隱蔽通道將被控主機中的數(shù)據(jù)信息傳送至攻擊者，從而獲取情報。同時，攻擊者通過隱蔽通道傳送控制命令，從而達(dá)到長期控制被控主機的目的。分析隱蔽通道通信的原理與技術(shù)，研究網(wǎng)絡(luò)隱蔽通道檢測技術(shù)，有助于發(fā)現(xiàn)網(wǎng)絡(luò)存在的被控主機，切斷攻擊者對被控主機的控制，消除網(wǎng)絡(luò)中重大安全隱患，對提升網(wǎng)絡(luò)安全有重大的意義。網(wǎng)絡(luò)隱蔽通道是攻擊者繞過網(wǎng)絡(luò)安全策略進(jìn)行數(shù)據(jù)傳輸?shù)闹匾緩?，是在系統(tǒng)安全模型的基礎(chǔ)框架內(nèi)提出的，也就是說，隱蔽通道是可以用來逃避基于安全策略的安全監(jiān)測，從而傳輸數(shù)據(jù)的一種方式。如，超文本傳輸協(xié)議(hypertexttransferprotocol，http)、域名系統(tǒng)(domainnamesystem，dns)、網(wǎng)絡(luò)控制報文協(xié)議(internetcontrolmessageprotocol，icmp)都是實現(xiàn)應(yīng)用層隱蔽通道的常用手段。正是由于http、dns和icmp協(xié)議都是防火墻中的安全策略允許傳輸?shù)膮f(xié)議范疇現(xiàn)有的技術(shù)通常采用基于特征匹配的檢測技術(shù)來檢測隱蔽通道。在防火墻等網(wǎng)絡(luò)檢測設(shè)備中維護(hù)一個特征數(shù)據(jù)庫，將流經(jīng)防火墻的報文內(nèi)容與特征數(shù)據(jù)庫中的特征進(jìn)行匹配。然而這種簡單字符串匹配的檢測技術(shù)無法對加密數(shù)據(jù)進(jìn)行檢測，誤報率較高，也無法識別未知的隱蔽通道。技術(shù)實現(xiàn)要素：本申請實施例提供了一種隱蔽通道的檢測方法和檢測設(shè)備，該方法能夠提升對http隱蔽通道進(jìn)行檢測的有效性。第一方面，提供了一種隱蔽通道的檢測方法，包括：獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；針對該至少一組報文中的第一組報文執(zhí)行后續(xù)步驟：根據(jù)報文攜帶的時間戳和http頭部標(biāo)簽，生成該第一組報文對應(yīng)的記錄表，該記錄表中包含按照時間戳順序排列的至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括目標(biāo)長度值、目標(biāo)時長或孤立記錄的數(shù)目，其中，該目標(biāo)長度值是由該記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值確定的，該目標(biāo)時長是由各組連續(xù)記錄分別對應(yīng)的持續(xù)時長確定的，其中，一組連續(xù)記錄對應(yīng)一個長度值和一個持續(xù)時長，該連續(xù)記錄是指記錄表中位置相鄰且包含的cookie字段內(nèi)容有至少一個字符相同的至少兩個記錄，該連續(xù)記錄對應(yīng)的持續(xù)時長是指每組連續(xù)記錄中最前一個記錄與最后一個記錄時間戳的差值，該孤立記錄是指所包含的cookie字段內(nèi)容與該第一組報文對應(yīng)的記錄表中的其他記錄所包含的cookie字段內(nèi)容不存在相同字符的記錄；確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道。因此，本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正 常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。本申請實施例對于cookie攜帶數(shù)據(jù)的隱蔽通道，具有較好的檢測效果。當(dāng)攻擊者通過cookie進(jìn)行攜帶數(shù)據(jù)時，一般都會使用整個cookie進(jìn)行攜帶數(shù)據(jù)，此時通過本申請的方法，可以對隱蔽通道的行為達(dá)到100％檢出。當(dāng)攻擊者為了逃避檢測，使用cookie的一部分?jǐn)y帶數(shù)據(jù)時，由于攻擊者為帶寬的要求，會使用cookie的小部分固定，大部分?jǐn)y帶數(shù)據(jù)，即大部分為孤立記錄對應(yīng)的cookie，此時本申請同樣具有高檢出率。應(yīng)理解，預(yù)定時間段可以為預(yù)設(shè)的一段時間，例如，可以為指定時間的一段時間，例如可以為某年某月某天的一段時間，也可以是當(dāng)前最近的一段時間，該一段時間可以為30分鐘、1小時、2小時等，本申請實施例并不限于此。應(yīng)理解，本申請實施例中的“相同cookie字段內(nèi)容”也可以稱為穩(wěn)定內(nèi)容或固定內(nèi)容，本申請實施例中的“相同cookie字段內(nèi)容”是指連續(xù)的cookie的相同位置上有相同字符。記錄表中可以具有多組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值。應(yīng)理解，歷史時間可以是過去的一段連續(xù)的時間，例如8小時、10小時、15小時、一天、兩天、三天等，本申請實施例并不限于此。還應(yīng)注意，本申請實施例中默認(rèn)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量數(shù)據(jù)為不存在cookie隱蔽通道的數(shù)據(jù)，即正常數(shù)據(jù)。結(jié)合第一方面，在第一方面的一種實現(xiàn)方式中，該檢測方法還包括：如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在cookie隱蔽通道。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，如果該特征值包括該目標(biāo)長度值，該特征值的正常閾值范圍為大于指定長度閾值。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，如 果該特征值包括該目標(biāo)時長，該特征值的正常閾值范圍為大于指定時長閾值。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，如果該特征值包括該孤立記錄的數(shù)目，該特征值的正常閾值范圍為小于指定數(shù)目閾值。應(yīng)理解，特征值的正常閾值范圍，可以是檢測設(shè)備預(yù)先獲取的。例如，可以是獲取其他的設(shè)備發(fā)送的該特征值的正常閾值范圍，也可以是該檢測設(shè)備自身根據(jù)歷史時段的該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。相應(yīng)地，相應(yīng)地，當(dāng)該特征值的正常閾值范圍是由該檢測設(shè)備自身根據(jù)訓(xùn)練出的，即離線部分和在線部分由同一檢測設(shè)備執(zhí)行時，結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，該確定該第一組報文的特征值是否屬于特征值的正常閾值范圍之前，該檢測方法還包括：根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含按照時間戳順序排列的至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容，該特征值的正常閾值范圍包括大于指定長度閾值、大于指定時長閾值和小于指定數(shù)目閾值，該根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍，包括：確定該歷史時間段中每個時段對應(yīng)的記錄表中的至少一組連續(xù)記錄中每組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值，該每組連續(xù)記錄對應(yīng)的持續(xù)時長，該每個時段對應(yīng)的記錄表中孤立記錄的數(shù)目；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的的相同cookie字段內(nèi)容的長度值，確定該每個時段的第一長度閾值，第一預(yù)設(shè)比例的所有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該第一長度閾值；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該每個時段的第一時長閾值，第一預(yù)設(shè)比例的該每個時段內(nèi)的所有組連續(xù)記錄對應(yīng)的持續(xù)時長大于該第一時長閾值；將該每個時段中孤立記錄的數(shù)目確定為該每個時段的第一數(shù)目閾值；將該歷史時間中所有時段內(nèi)的第一長度閾值、第一時長閾值和第一數(shù)目閾值分別取平均值確定第二長度閾值、第二時長閾值和第二數(shù)目閾值；將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，根據(jù)該指定長度閾值確定大于該指定長度閾值的范圍；將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，根據(jù)該指定時長閾值確定大于該指定時長閾值的范圍；將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值，根據(jù)該指定數(shù)目閾值確定小于該指定數(shù)目閾值的范圍。也就是說，首先對歷史時間段中每個時段進(jìn)行統(tǒng)計，確定該每個時段的第一長度閾值，第一時長閾值和第一數(shù)目閾值。然后，將所有時段的第一長度閾值，第一時長閾值和第一數(shù)目閾值分別取平均值，確定出確定第二長度閾值、第二時長閾值和第二數(shù)目閾值。之后將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值。最后分別根據(jù)指定長度閾值、指定時長閾值和指定數(shù)目閾值確定大于指定長度閾值的范圍、大于指定時長閾值的范圍和小于指定數(shù)目閾值范圍。應(yīng)理解，第一預(yù)設(shè)比例可以是預(yù)先設(shè)置好的比例，例如可以為80％、85％、90％、95％等，本申請實施例并不對此做限定?？蛇x地，第一預(yù)設(shè)比例可以與本文中的第二預(yù)設(shè)比例相同。本申請實施例中的指定長度閾值大于或等于該第二長度閾值即指定長度閾值為第二長度閾值的1+x倍，在實際應(yīng)用中，可以根據(jù)誤報率適當(dāng)調(diào)節(jié)x的值的大小，增加x，可以降低誤報，但是x太大有可能產(chǎn)生漏報，根據(jù)不同網(wǎng)絡(luò)的實際情況進(jìn)行調(diào)節(jié)，本申請實施例并不對此做限定。類似的，指定數(shù)目閾值和指定長度閾值也具有類似的調(diào)整，此處不再贅述。應(yīng)理解，本申請實施例中的據(jù)歷史時段的報文訓(xùn)練出的特征值的正常閾值范圍的過程即離線處理過程，可以通過機器學(xué)習(xí)完成。本申請實施例中可 以設(shè)定學(xué)習(xí)的時間范圍，學(xué)習(xí)的內(nèi)容，最終得到上述三個特征值的正常閾值范圍。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，該根據(jù)該第一組報文對應(yīng)的記錄數(shù)據(jù)，統(tǒng)計得到該第一組報文的特征值，包括：確定該第一組報文對應(yīng)的記錄表中至少一組連續(xù)記錄中每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度，該每一組連續(xù)記錄對應(yīng)的持續(xù)時長，該第一組報文對應(yīng)的記錄表中的孤立記錄；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值，確定該目標(biāo)長度值，該第二預(yù)設(shè)比例的該記錄表中各有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該目標(biāo)長度值；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該目標(biāo)時長，該第二預(yù)設(shè)比例的該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長大于該目標(biāo)時長；統(tǒng)計該孤立記錄，確定該孤立記錄的數(shù)目。應(yīng)理解，該第二預(yù)設(shè)比例是預(yù)先設(shè)置好的比例，例如可以為80％、85％、90％、95％等，本申請實施例并不對此做限定。優(yōu)選地，第二預(yù)設(shè)比例可以與上文中的第一預(yù)設(shè)比例相同。結(jié)合第一方面及其上述實現(xiàn)方式，在第一方面的另一種實現(xiàn)方式中，在該針對該至少一組報文中的第一組報文執(zhí)行后續(xù)過程之前，該方法還包括：獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于第三預(yù)設(shè)比例。第二方面，提供了一種隱蔽通道的檢測方法，其特征在于，包括：獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；針對該至少一組報文中的第一組報文執(zhí)行后續(xù)步驟：根據(jù)報文的http頭部標(biāo)簽，生成該第一組報文對應(yīng)的記錄表，該記錄表中包含按至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含至少一個鍵值對，該至少一個鍵值對是從與該記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括鍵數(shù)目和孤立鍵的比例，其中，鍵數(shù)目是指該記錄表的所有記錄中的不同鍵的數(shù)目，該孤立鍵是指在該記錄表的所有記錄的鍵值對中只出現(xiàn)過一次的鍵，該孤立鍵的比例是指該記錄表中的孤立鍵的總個數(shù)與該記錄表中鍵數(shù)目的比值；確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道。因此，本申請實施例通過確定目標(biāo)url參數(shù)集合的目標(biāo)特征值，該目標(biāo)特征值包括該目標(biāo)url參數(shù)集合中url參數(shù)的種類個數(shù)或孤立url參數(shù)的比例，并確定該目標(biāo)特征值是否滿足預(yù)設(shè)條件，當(dāng)該目標(biāo)特征值滿足由歷史時間內(nèi)該源ip到該目的ip的http請求的url參數(shù)集合確定的預(yù)設(shè)條件時，確定該目標(biāo)時段內(nèi)的http請求存在url參數(shù)隱蔽通道。實現(xiàn)了進(jìn)行http隱蔽通道的檢測。換句話說，本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。本申請實施例對于url參數(shù)攜帶數(shù)據(jù)的隱蔽通道，具有較好的檢測效果。在攻擊者進(jìn)行url參數(shù)隱蔽通道時，當(dāng)使用參數(shù)名字和參數(shù)內(nèi)容攜帶數(shù)據(jù)時，會使參數(shù)集合超大，并且大部分參數(shù)的頻率都是1即大部分為孤立鍵，此時通過本申請，具有很高的檢出率。應(yīng)理解，預(yù)定時間段可以為預(yù)設(shè)的一段時間，例如，可以為指定時間的一段時間，例如可以為某年某月某天的一段時間，也可以是當(dāng)前最近的一段時間，該一段時間可以為30分鐘、1小時、2小時等，本申請實施例并不限于此。應(yīng)理解，歷史時間可以是過去的一段連續(xù)的時間，例如8小時、10小時、15小時、一天、兩天、三天等，本申請實施例并不限于此。還應(yīng)注意，本申請實施例中默認(rèn)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量數(shù)據(jù)為不存在url參數(shù)隱蔽通道的數(shù)據(jù)，即正常數(shù)據(jù)。結(jié)合第二方面，在第二方面的一種實現(xiàn)方式中，該方法還包括：如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在url參數(shù)隱蔽通道。結(jié)合第二方面及其上述實現(xiàn)方式，在第二方面的另一種實現(xiàn)方式中，如果該特征值包括該鍵數(shù)目，該特征值的正常閾值范圍為小于指定鍵數(shù)目。結(jié)合第二方面及其上述實現(xiàn)方式，在第二方面的另一種實現(xiàn)方式中，如果該特征值包括該孤立鍵的比例，該特征值的正常閾值范圍為小于指定比例閾值。應(yīng)理解，特征值的正常閾值范圍，可以是檢測設(shè)備預(yù)先獲取的。例如，可以是獲取其他的設(shè)備發(fā)送的該特征值的正常閾值范圍，也可以是該檢測設(shè)備自身根據(jù)歷史時段的該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。相應(yīng)地，當(dāng)該特征值的正常閾值范圍是由該檢測設(shè)備自身根據(jù)訓(xùn)練出的，即離線部分和在線部分由同一檢測設(shè)備執(zhí)行時，結(jié)合第二方面及其上述實現(xiàn)方式，在第二方面的另一種實現(xiàn)方式中，在確定該第一組報文的特征值是否屬于特征值的正常閾值范圍之前，該檢測方法還包括：根據(jù)歷史時間段內(nèi)該第一組報文的源ip到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。結(jié)合第二方面及其上述實現(xiàn)方式，在第二方面的另一種實現(xiàn)方式中，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含至少兩條記錄，至少兩條記錄中的每一條記錄分 別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含至少一個鍵值對，該每一條記錄包含的至少一個鍵值對是從該每一個條記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的，該特征值的正常閾值范圍包括小于指定鍵數(shù)目和小于指定比例閾值，該根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍，包括：統(tǒng)計該歷史時間段中每個時段對應(yīng)的記錄表中的各個記錄對應(yīng)的鍵數(shù)目，確定該每個時段對應(yīng)的記錄表中的所有記錄對應(yīng)的鍵數(shù)目和孤立鍵的比例；將該歷史時間段內(nèi)的所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值確定初始鍵數(shù)目閾值和初始比例閾值；將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值，根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。也就是說，首先對歷史時間段中每一個時段進(jìn)行統(tǒng)計，確定出歷史時間中的每一個時段的鍵數(shù)目和孤立鍵的比例。然后，將所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值，確定初始鍵數(shù)目閾值和初始比例閾值。之后，將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值。最后，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。應(yīng)理解，本申請實施例中的指定鍵數(shù)目閾值大于或等于該該初始數(shù)目閾值即指定指定鍵數(shù)目閾值為初始數(shù)目閾值的1+y倍，在實際應(yīng)用中，可以根據(jù)誤報率適當(dāng)調(diào)節(jié)y的值的大小，增加y，可以降低誤報，但是y太大有可能產(chǎn)生漏報，根據(jù)不同網(wǎng)絡(luò)的實際情況進(jìn)行調(diào)節(jié)，本申請實施例并不對此做限定。類似的，指定數(shù)目閾值和指定長度閾值也具有類似的調(diào)整，此處不再贅述。應(yīng)理解，本申請實施例中的據(jù)歷史時段的報文訓(xùn)練出的特征值的正常閾值范圍的過程即離線處理過程，可以通過機器學(xué)習(xí)完成。本申請實施例中可以設(shè)定學(xué)習(xí)的時間范圍，學(xué)習(xí)的內(nèi)容，最終得到上述二個特征值的正常閾值 范圍。結(jié)合第二方面及其上述實現(xiàn)方式，在第二方面的另一種實現(xiàn)方式中，在該針對該至少一組報文中的第一組報文執(zhí)行后續(xù)過程之前，該檢測方法還包括：獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于預(yù)設(shè)比例。第三方面，提供了一種隱蔽通道的檢測設(shè)備，該檢測設(shè)備能夠?qū)崿F(xiàn)第一方面或第二方面及其實現(xiàn)方式中的任一實現(xiàn)方式，該檢測設(shè)備中的各個模塊的操作和/或功能，分別用于實現(xiàn)的第一方面或第二方面及其實現(xiàn)方式中的相應(yīng)方法特征，為了簡潔，在此不再贅述。第四方面，提供了一種隱蔽通道的檢測設(shè)備，該設(shè)備包括存儲指令的存儲器和處理器，其中，該處理器執(zhí)行該指令進(jìn)行如第一方面或第二方面及其各種實現(xiàn)方式提供的任一種用于隱蔽通道的檢測的方法。第五方面，提供了一種處理裝置，該處理裝置應(yīng)用于通信系統(tǒng)中。該處理裝置可以為一個或多個處理器或芯片。在其他可能情況下，該處理裝置也可以為通信系統(tǒng)中的實體裝置或虛擬裝置。該處理裝置被配置用于執(zhí)行上述第一方面或第二及其各種實現(xiàn)方式提供的任一種隱蔽通道的檢測的方法。第六方面，提供了一種計算機程序產(chǎn)品，該計算機程序產(chǎn)品包括：計算機程序代碼，當(dāng)該計算機程序代碼被通信設(shè)備的計算單元、處理單元或處理器運行時，使得該通信設(shè)備執(zhí)行上述第一方面或第二方面及其各種實現(xiàn)方式提供的任一種隱蔽通道的檢測的方法。第七方面，提供了一種計算機可讀存儲介質(zhì)，該計算機可讀存儲介質(zhì)存儲有程序，該程序使得通信設(shè)備執(zhí)行上述第一方面或第二方面及其各種實現(xiàn)方式提供的任一種隱蔽通道的檢測的方法。附圖說明為了更清楚地說明本申請實施例的技術(shù)方案，下面將對本申請實施例中所需要使用的附圖作簡單地介紹，顯而易見地，下面所描述的附圖僅僅是本 申請的一些實施例，對于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1是本申請實施例可應(yīng)用的檢測隱蔽通道的場景示意圖。圖2是根據(jù)本申請一個實施例的http隱蔽通道檢測的方法示意流程圖。圖3是根據(jù)本申請一個實施例的隱蔽通道的檢測方法的示意流程圖。圖4是根據(jù)本申請一個實施例的確定目標(biāo)特征值的門限的流程圖。圖5是根據(jù)本申請一個實施例的隱蔽通道的檢測方法的示意流程圖。圖6是根據(jù)本申請另一實施例的確定目標(biāo)特征值的門限的流程圖。圖7是根據(jù)本申請另一實施例的http隱蔽通道檢測的方法示意流程圖。圖8是根據(jù)本申請一個實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖9是根據(jù)本申請一個實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖10是根據(jù)本申請另一實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖11是根據(jù)本申請另一實施例的隱蔽通道的檢測設(shè)備的示意框圖。具體實施方式下面將結(jié)合本申請實施例中的附圖，對本申請實施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實施例是本申請的一部分實施例，而不是全部實施例。基于本申請中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動的前提下所獲得的所有其他實施例，都應(yīng)屬于本申請保護(hù)的范圍。應(yīng)理解，本申請實施例中客戶端可以為用戶終端，服務(wù)器端可以為網(wǎng)站、數(shù)據(jù)庫等。在服務(wù)器端存儲有客戶端需要的資源，比如以超級文本標(biāo)記語言(hypertextmarkuplanguage，html)描述的網(wǎng)頁文件和圖像等?？蛻舳丝梢园l(fā)出http請求到服務(wù)器端，服務(wù)器端根據(jù)客戶端的請求發(fā)出相應(yīng)的應(yīng)答。客戶端和服務(wù)器間可以具有多個中間節(jié)點，中間節(jié)點可以為網(wǎng)關(guān)(gateway，gw)設(shè)備，還可以是任何具有報文轉(zhuǎn)發(fā)功能的設(shè)備，例如可以是交換機、路由器、及代理服務(wù)器和會話邊界控制器(sessionbordercontroller，sbc)等設(shè)備。例如，客戶端可以通過中間節(jié)點向網(wǎng)絡(luò)側(cè)服務(wù)器發(fā)送用于請求業(yè)務(wù)服務(wù)的http業(yè)務(wù)請求消息的，相應(yīng)地，服務(wù)器也是通過相應(yīng)的中間節(jié)點向終端發(fā)送業(yè)務(wù)響應(yīng)消息。應(yīng)理解，本申請實施例中客戶端 和服務(wù)器端間的http請求可以遵從傳輸控制協(xié)議/因特網(wǎng)互聯(lián)協(xié)議(transmissioncontrolprotocol/internetprotocol，tcp/ip)，本申請實施中的http也可以在任何其他互聯(lián)網(wǎng)協(xié)議上，或者在其他網(wǎng)絡(luò)上實現(xiàn)。本申請實施例并不對此做限定。以下，為了便于理解和說明，作為示例而非限定，以將本申請的隱蔽通道的檢測方法和設(shè)備在網(wǎng)絡(luò)系統(tǒng)中的執(zhí)行過程和動作進(jìn)行說明。圖1是本申請實施例可應(yīng)用的檢測隱蔽通道的場景示意圖。如圖1所示的場景系統(tǒng)可以包括客戶端和服務(wù)器，客戶端和服務(wù)器之間通過http協(xié)議通信，為了網(wǎng)絡(luò)安全，在客戶端和服務(wù)器之間設(shè)置有邊界防火墻。然而，現(xiàn)有的隱蔽通過可以繞過網(wǎng)絡(luò)安全策略進(jìn)行數(shù)據(jù)傳輸。本申請實施例中可以對客戶端和服務(wù)器間的http協(xié)議的數(shù)據(jù)流量進(jìn)行統(tǒng)計，例如可以通過流探針進(jìn)行http數(shù)據(jù)流量的統(tǒng)計，流探針將統(tǒng)計的http數(shù)據(jù)流量發(fā)送給隱蔽通道的檢測設(shè)備，進(jìn)而隱蔽通道的檢測設(shè)備可以對該http數(shù)據(jù)流量進(jìn)行分析，檢測是否存在隱蔽通道。應(yīng)理解，本申請實施例中的隱蔽通道的檢測設(shè)備可以為任意設(shè)備，例如可以為終端設(shè)備，也可以為網(wǎng)絡(luò)設(shè)備，也可以為其他設(shè)備，只要能夠根據(jù)http數(shù)據(jù)流量進(jìn)行隱蔽通道分析檢測即可，本申請實施例并不對此做限定。圖2是根據(jù)本申請一個實施例的http隱蔽通道檢測的方法示意流程圖。如圖2所示的http隱蔽通道的檢測可以包括離線處理過程，即歷史數(shù)據(jù)分析過程，和實時處理過程即在線處理分析過程。離線處理的過程用于根據(jù)歷史數(shù)據(jù)得到相關(guān)參數(shù)的正常閾值范圍，例如下文中的特征值的正常閾值范圍；實時處理部分用于確定當(dāng)前http數(shù)據(jù)流量的相關(guān)參數(shù)是否屬于相關(guān)參數(shù)的正常閾值范圍，進(jìn)而根據(jù)判斷結(jié)果確定是否存在隱蔽通道。具體而言，如圖2所示的步驟202—204為離線處理過程，包括202，將http流量進(jìn)行存儲，形成歷史數(shù)據(jù)；之后對大量歷史數(shù)據(jù)進(jìn)行分析，即203，關(guān)鍵字段提取計算；204，得到關(guān)鍵參數(shù)的正常閾值范圍，用于支持http流量實時異常檢測，這里的關(guān)鍵參數(shù)可以為下文中的特征值。其中離線處理過程可以使用機器學(xué)習(xí)的方法進(jìn)行，例如，通過輸入關(guān)鍵特征，通過機器學(xué)習(xí)得到門限。本申請實施例并不對此做限定。步驟201可以為實時處理的過程，即當(dāng)收到的實時http流量時，提取 關(guān)鍵參數(shù)，判斷是否屬于經(jīng)過步驟202—204得到的關(guān)鍵參數(shù)的正常閾值范圍，根據(jù)判斷結(jié)果確定是否存在隱蔽通道。應(yīng)理解，本申請實時例中的離線處理過程和實時處理過程可以是由同一隱蔽通道檢測設(shè)備執(zhí)行，也可以是由不同的設(shè)備執(zhí)行。只要在實時處理時，執(zhí)行實時處理部分的隱蔽通道的檢測設(shè)備能夠預(yù)先獲取到對應(yīng)的關(guān)鍵參數(shù)的正常閾值范圍即可，本申請實施例并不對此做限定。應(yīng)注意，本申請實時例中的歷史數(shù)據(jù)和實時數(shù)據(jù)都是由同一源ip到同一目的ip的http請求數(shù)據(jù)。并且，歷史數(shù)據(jù)是不存在隱蔽通道的http請求數(shù)據(jù)，即正常數(shù)據(jù)。應(yīng)理解，http隱蔽通道可以包括多種隱蔽通道，例如cookie隱蔽通道和統(tǒng)一資源定位符(uniformresourcelocator，url)參數(shù)隱蔽通道等，針對不同的隱蔽通道，具體地處理過程不同，門限值也不同，下文中本將分別針對cookie隱蔽通道和url參數(shù)隱蔽通道進(jìn)行詳細(xì)描述。首先針對cookie隱蔽通道描述如下：由于http是一種無狀態(tài)的協(xié)議，服務(wù)器單從網(wǎng)絡(luò)連接上無從知道客戶身份。通過給客戶端們頒發(fā)一個通行證，所有客戶端訪問都必須攜帶自己通行證。這樣服務(wù)器就能從通行證上確認(rèn)客戶身份了。這就是cookie的工作原理。cookie實際上是一小段的文本信息。客戶端請求服務(wù)器，如果服務(wù)器需要記錄該用戶狀態(tài)，就使用響應(yīng)消息(response)向客戶端瀏覽器頒發(fā)一個cookie?？蛻舳藶g覽器會把cookie保存起來。當(dāng)瀏覽器再請求該網(wǎng)站時，瀏覽器把請求的網(wǎng)址連同該cookie一同提交給服務(wù)器。服務(wù)器檢查該cookie，以此來辨認(rèn)用戶狀態(tài)。針對cookie內(nèi)容的隱蔽通道檢測方法，通過對cookie內(nèi)容變化率的識別進(jìn)行檢測。實現(xiàn)原理為，對于同一個http服務(wù)器和同一臺http客戶端通信而言，cookie是代表http客戶端的身份的一段文本信息，其有一定的穩(wěn)定性，代表身份標(biāo)識的cookie設(shè)置后，除非cooike過期或者瀏覽器清除cookie操作，或者使用其他用戶名登錄，否則cookie中標(biāo)識身份等信息的部分不會隨意改變，即cookie中的大部分不會在短時間內(nèi)隨意改變。根據(jù)cookie的這個特點，本申請實施例中的隱蔽通道的檢測設(shè)備通過分析cookie中是否包含相對穩(wěn)定的部分，即下文中的相同cookie字段的內(nèi) 容，這個部分保持穩(wěn)定的時間，進(jìn)行隱蔽通道檢測。如果某個訪問對應(yīng)的cookie整個字段一直是變化的，則可以判定為cookie隱蔽通道，具體地實施方案將在下文中詳細(xì)描述。下面結(jié)合圖3具體描述本申請實施例的隱蔽通道的檢測方法。圖3是根據(jù)本申請一個實施的隱蔽通道的檢測方法的示意流程圖。圖3所示的方法可以由隱蔽通道的檢測設(shè)備執(zhí)行。具體地，圖3所示的方法300包括：310，獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的http請求流量。應(yīng)理解，預(yù)定時間段可以為預(yù)設(shè)的一段時間，例如，可以為指定時間的一段時間，例如可以為某年某月某天的一段時間，也可以是當(dāng)前最近的一段時間，該一段時間可以為30分鐘、1小時、2小時等，本申請實施例并不限于此。320，根據(jù)該http請求流量中報文的源ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址。針對該至少一組報文中的第一組報文執(zhí)行后續(xù)步驟。需要說明的是，為了簡明起見，后續(xù)步驟是以第一組報文為例進(jìn)行說明的，對于分組處理后與第一組報文具有不同源ip地址或目的ip地址的其他組報文，也可以執(zhí)行類似的處理。例如，第一組報文的源ip地址和目的ip地址為202.117.52.1-202.117.52.2。應(yīng)理解，第一組報文可以為預(yù)定時間段內(nèi)的至少一組報文中的任意一組報文。可選地，第一組報文還可以是滿足預(yù)設(shè)上下行數(shù)據(jù)比例的條件的一組報文。具體而言，本申請實施例中，還可以獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；該第一組報文滿足以下條件，即：該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于第三預(yù)設(shè)比例。換句話說，由于正常情況上行http流量遠(yuǎn)遠(yuǎn)小于下行http流量，經(jīng)過上下行流量比分析，當(dāng)上下行流量比異常時，即當(dāng)上下行流量的比例大于第三預(yù)設(shè)比例時，可以確定該報文有較大可能存在隱蔽通道，才執(zhí)行步驟330 及其后續(xù)步驟。這里第三預(yù)設(shè)比例可以根據(jù)統(tǒng)計獲得，例如可以為20％、30％等，本申請實施例并不限于此。330，根據(jù)報文攜帶的時間戳和http頭部標(biāo)簽，生成該第一組報文對應(yīng)的記錄表，該記錄表中包含按照時間先后順序排列的至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容。顯然，時間戳也可以用隱蔽通道的檢測設(shè)備接收到該報文的時間來替換，只要能夠體現(xiàn)出各記錄對應(yīng)的報文之間時間上的順序即可。例如，第一組報文的記錄表可以如表1所示，表1中所示的記錄表中包括記錄1至記錄7。應(yīng)理解，表1僅示出了該記錄表中的部分記錄，本申請實施例并不限于此。表1，第一組報文對應(yīng)的記錄表記錄編號cookie字段內(nèi)容時間戳記錄1aaaaaaaaaaaaaaaaaaaaaa1234561s記錄2aaaaaaaaaaaaaaaaaaaaaa6543212s記錄3aaaaaaaaaaaaaaaaaaaaaa567893s記錄4aaaaaaaaaaaaaaaaaaaaaa0988764s記錄5cccccccccccccccccccccccccccc5s記錄6bbbbbbbbbbbbbbbbbb22222226s記錄7bbbbbbbbbbbbbbbbbb33333337s………340，根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括目標(biāo)長度值、目標(biāo)時長或孤立記錄的數(shù)目，其中，該目標(biāo)長度值是由該記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值確定的，該目標(biāo)時長是由各組連續(xù)記錄分別對應(yīng)的持續(xù)時長確定的，其中，一組連續(xù)記錄對應(yīng)一個長度值和一個持續(xù)時長，該連續(xù)記錄是指記錄表中位置相鄰且包含的cookie字段內(nèi)容有至少一個字符相同的至少兩個記錄，該連續(xù)記錄對應(yīng)的持續(xù)時長是指每組連續(xù)記錄中最前一個記錄與最后一個記錄時間戳的差值，該孤立記錄是指所包含的cookie字段內(nèi)容與該第一組報文對應(yīng)的記錄表中的其他記錄所包含的cookie字段內(nèi)容不存在相同字符的記錄。應(yīng)理解，本申請實施例中的“相同cookie字段內(nèi)容”也可以稱為穩(wěn)定內(nèi)容或固定內(nèi)容，本申請實施例中的“相同cookie字段內(nèi)容”是指連續(xù)的cookie的相同位置上有相同字符。記錄表中可以具有多組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值，例如，如表1所示，第一組連續(xù)記錄可以為記錄1至記錄4，該組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容可以為aaaaaaaaaaaaaaaaaaaaaa，由于記錄1至記錄4具有相同部分即22個a，所以該相同cookie字段內(nèi)容的長度值即為22。第二組連續(xù)記錄可以為記錄6至記錄7，類似地，該組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容為的長度值為bbbbbbbbbbbbbbbbbb，相應(yīng)的，該第二組對應(yīng)的相同cookie字段內(nèi)容的長度值為18。各組連續(xù)記錄分別對應(yīng)的持續(xù)時長是指指每組連續(xù)記錄中最前一個記錄與最后一個記錄時間戳的差值，例如，第一組連續(xù)記錄的持續(xù)時長可以為記錄1與記錄4時間戳的差值，由于記錄1的時間戳為1s，記錄4的時間戳為4s，所以第一組連續(xù)記錄的持續(xù)時長為3s。表1所示的記錄1至記錄7中，由于記錄5所包含的cookie字段內(nèi)容與其他記錄所包含的cookie字段內(nèi)容不存在相同字符的記錄，因此，記錄5即為一個孤立記錄。具體而言，作為另一實施例，在340中，首先，可以確定該第一組報文對應(yīng)的記錄表中至少一組連續(xù)記錄中每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度，該每一組連續(xù)記錄對應(yīng)的持續(xù)時長，該第一組報文對應(yīng)的記錄表中的孤立記錄。例如，如表1所示的記錄表中，每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值依次可以為l1…lx。具體可以通過如下方式獲得：將記錄表中的記錄逐一兩兩進(jìn)行比較，當(dāng)連續(xù)第1個到第n個記錄的cookie字段包含相同cookie字段內(nèi)容時，記錄這個相同cookie字段內(nèi)容的長度l1，當(dāng)?shù)趎+1個記錄的cookie字段內(nèi)容與之前都不同時，繼續(xù)下一組比較，比較第n+1之后的連續(xù)幾個記錄包含相同cookie字段內(nèi)容的長度值，記錄l2。依次類推。例如，根據(jù)表1的記錄表中記錄的cookie字段內(nèi)容可以得到第一組記錄即記錄1到記錄4中具有相同cookie字段內(nèi)容：22個a，記錄5中沒有與其他記錄相同的部分，第二組記錄即記錄6與記錄7具有相同cookie字段內(nèi)容：18個b，因此，可以得到l1＝22，l2＝18。每一組連續(xù)記錄對應(yīng)的持續(xù)時長依次可以為t1…tx，如上表1中所示，第一組連續(xù)記錄即記錄1到記錄4的持續(xù)的時間t1＝3s，即1s與4s的時間差；第二組連續(xù)記錄即記錄6到記錄7的持續(xù)時間t2＝1s，即6s與7s的時間差。表1中的一個孤立記錄為記錄5。然后，統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值，確定該目標(biāo)長度值，該第二預(yù)設(shè)比例的該記錄表中各有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該目標(biāo)長度值；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該目標(biāo)時長，該第二預(yù)設(shè)比例的該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長大于該目標(biāo)時長；統(tǒng)計該孤立記錄，確定該孤立記錄的數(shù)目。應(yīng)理解，該第二預(yù)設(shè)比例是預(yù)先設(shè)置好的比例，例如可以為80％、85％、90％、95％等，本申請實施例并不對此做限定。優(yōu)選地，第二預(yù)設(shè)比例可以與下文中的第一預(yù)設(shè)比例相同。例如，每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度為l1…lx。該第二預(yù)設(shè)比例為90％，即確定出目標(biāo)長度值l，使得l1…lx,中的90％的數(shù)值大于該l。舉例而言，所有長度值依次為1、2、3…99、100。那么，為了使得1至100中的90％的數(shù)值大于該l，即可以確定出該目標(biāo)長度值l＝10。采用類似地的處理方法，確定該記錄表對應(yīng)的目標(biāo)時長，例如，該記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長為依次t1…tx,該第二預(yù)設(shè)比例為90％，即確定出目標(biāo)集合中相同內(nèi)容的持續(xù)時間t，使得t1…tx,中的90％的數(shù)值大于該t。舉例而言，所有持續(xù)時間依次為1s、2s、3s…99s、100s。那么，為了使得1s至100s中的90％的數(shù)值大于該t，可以確定出該目標(biāo)時長t＝10s。表1中所示的記錄1至記錄7中孤立記錄的數(shù)目為1，即記錄5。350，確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。應(yīng)理解，歷史時間可以是過去的一段連續(xù)的時間，例如8小時、10小時、15小時、一天、兩天、三天等，本申請實施例并不限于此。還應(yīng)注意，本申請實施例中默認(rèn)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的 目的ip地址的http請求流量數(shù)據(jù)為不存在cookie隱蔽通道的數(shù)據(jù)，即正常數(shù)據(jù)?？蛇x地，作為另一實施例，如果該特征值包括該目標(biāo)長度值，該特征值的正常閾值范圍為大于指定長度閾值。可替代地，作為另一實施例，如果該特征值包括該目標(biāo)時長，該特征值的正常閾值范圍為大于指定時長閾值?？商娲?，作為另一實施例，如果該特征值包括該孤立記錄的數(shù)目，該特征值的正常閾值范圍為小于指定數(shù)目閾值。應(yīng)理解，在350中，特征值的正常閾值范圍，可以是檢測設(shè)備預(yù)先獲取的。例如，可以是獲取其他的設(shè)備發(fā)送的該特征值的正常閾值范圍，也可以是該檢測設(shè)備自身根據(jù)歷史時段的該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。相應(yīng)地，當(dāng)該特征值的正常閾值范圍是由該檢測設(shè)備自身根據(jù)訓(xùn)練出的，即離線部分和在線部分由同一檢測設(shè)備執(zhí)行時，在350之前，該檢測方法300還可以包括：根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。進(jìn)一步地，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組源ip地址和目的ip地址分別為202.117.52.1-202.117.52.2的報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含按照時間戳順序排列的至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容，該特征值的正常閾值范圍包括大于指定長度閾值、大于指定時長閾值和小于指定數(shù)目閾值。該根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍，包括：確定該歷史時間段中每個時段對應(yīng)的記錄表中的至少一組連續(xù)記錄中每組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值，該每組連續(xù)記錄對應(yīng)的持續(xù)時長，該每個時段對應(yīng)的記錄表中孤立記錄的數(shù)目；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的的相同cookie字段內(nèi)容的長 度值，確定該每個時段的第一長度閾值，第一預(yù)設(shè)比例的所有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該第一長度閾值；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該每個時段的第一時長閾值，第一預(yù)設(shè)比例的該每個時段內(nèi)的所有組連續(xù)記錄對應(yīng)的持續(xù)時長大于該第一時長閾值；將該每個時段中孤立記錄的數(shù)目確定為該每個時段的第一數(shù)目閾值；將該歷史時間中所有時段內(nèi)的第一長度閾值、第一時長閾值和第一數(shù)目閾值分別取平均值確定第二長度閾值、第二時長閾值和第二數(shù)目閾值；將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，根據(jù)該指定長度閾值確定大于該指定長度閾值的范圍；將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，根據(jù)該指定時長閾值確定大于該指定時長閾值的范圍；將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值，根據(jù)該指定數(shù)目閾值確定小于該指定數(shù)目閾值的范圍。也就是說，首先對歷史時間段中每個時段進(jìn)行統(tǒng)計，確定該每個時段的第一長度閾值，第一時長閾值和第一數(shù)目閾值。然后，將所有時段的第一長度閾值，第一時長閾值和第一數(shù)目閾值分別取平均值，確定出確定第二長度閾值、第二時長閾值和第二數(shù)目閾值。之后將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值。最后分別根據(jù)指定長度閾值、指定時長閾值和指定數(shù)目閾值確定大于指定長度閾值的范圍、大于指定時長閾值的范圍和小于指定數(shù)目閾值范圍。應(yīng)理解，第一預(yù)設(shè)比例可以是預(yù)先設(shè)置好的比例，例如可以為80％、85％、90％、95％等，本申請實施例并不對此做限定?？蛇x地，第一預(yù)設(shè)比例可以與上文中的第二預(yù)設(shè)比例相同。本申請實施例中，確定特征值的正常閾值范圍的具體過程可參見下文中的圖4實施中的具體描述。360，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道。也就是說，在第一組報文的特征值超出特征值的正常閾值范圍時，即確 定該第一組報文存在cookie隱蔽通道?？蛇x地，如果該第一組報文的特征值屬于特征值的正常閾值范圍，即確定該第一組報文不存在cookie隱蔽通道。因此，本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。本申請實施例對于cookie攜帶數(shù)據(jù)的隱蔽通道，具有較好的檢測效果。當(dāng)攻擊者通過cookie進(jìn)行攜帶數(shù)據(jù)時，一般都會使用整個cookie進(jìn)行攜帶數(shù)據(jù)，此時通過本申請的方法，可以對隱蔽通道的行為達(dá)到接近100％檢出。當(dāng)攻擊者為了逃避檢測，使用cookie的一部分?jǐn)y帶數(shù)據(jù)時，由于攻擊者為帶寬的要求，會使用cookie的小部分固定，大部分?jǐn)y帶數(shù)據(jù)，即大部分為孤立記錄對應(yīng)的cookie，此時本申請同樣具有高檢出率。下面將結(jié)合圖4詳細(xì)描述本申請實施例的確定特征值的正常閾值范圍的具體流程。圖4是根據(jù)本申請一個實施例的確定特征值的正常閾值范圍的流程圖。如圖4所示的過程包括：401，存儲歷史數(shù)據(jù)。具體而言，將歷史時間中的http訪問流量進(jìn)行存儲，存儲內(nèi)容包含協(xié)議頭部關(guān)鍵信息，包括源ip和目的ip，所訪問的url,http頭部標(biāo)簽的名值對、時間戳等。例如，歷史時間可以為z天，存儲該z天內(nèi)的數(shù)據(jù)，其中，z可以為1、2、3或4等，其中時間越長，計算的特征值的閾值范圍越準(zhǔn)確。402，根據(jù)源ip和目的ip對存儲的http協(xié)議報文的cookie進(jìn)行提取。具體而言，將存儲的http關(guān)鍵信息按照源ip和目的ip進(jìn)行分組，并取出cookie字段。其中，一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址。例如，在本實施例中為了便于說明，以歷史數(shù)據(jù)中與附圖3中的第一組報文具有相同的源ip地址和相同的目的ip地址的一組報文進(jìn)行說明，即以歷史數(shù)據(jù)中源ip地址和目的ip地址分別為202.117.52.1-202.117.52.2的一組 報文進(jìn)行說明。403，以固定時間段為單位對已分組的cookie進(jìn)行分析。具體而言，以固定時間段為單位進(jìn)行分析，確定每一個時段的對應(yīng)的一組報文的記錄表。該組報文對應(yīng)的記錄表中包含按照時間戳順序排列的至少兩條記錄，至少兩條記錄中的每一條記錄分別與該組報文中的一個報文一一對應(yīng)，該每一條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容。該時間段可以與上文中的預(yù)定時間段相等，例如可以為1小時。下面以一個時段記錄表如表2所示的內(nèi)容舉例來進(jìn)行具體說明。表2，一組報文對應(yīng)的記錄表記錄編號cookie字段內(nèi)容時間戳記錄1aaaabbbbaaaaaaaaaaaaaa1234561s記錄2aaaabbbbaaaaaaaaaaaaaa6543212s記錄3aaaabbbbaaaaaaaaaaaaaa567893s記錄4aaaabbbbaaaaaaaaaaaaaa1234564s記錄5cccccccccccccccccccccccccccc5s記錄6dddddddddddddddddd22222226s記錄7dddddddddddddddddd33333337s………404，確定每個時段的第一長度閾值。具體而言，提取該時段中的各組連續(xù)記錄對應(yīng)的的相同cookie字段內(nèi)容的長度值l1…lx。提取流程為，將該時段內(nèi)的所有cookie字段按照所在報文發(fā)送時間進(jìn)行排序，然后逐一兩兩進(jìn)行比較，當(dāng)連續(xù)第1個到第n個記錄的cookie字段包含相同cookie字段內(nèi)容時，記錄這個相同cookie字段內(nèi)容的長度l1，當(dāng)?shù)趎+1個記錄的cookie字段內(nèi)容與之前都不同時，繼續(xù)下一組比較，比較第n+1之后的連續(xù)幾個記錄包含相同cookie字段內(nèi)容的長度值，記錄l2。依次類推。例如，根據(jù)表2的記錄表中記錄的cookie字段內(nèi)容可以得到第一組記錄即記錄1到記錄4中具有相同cookie字段內(nèi)容：aaaabbbbaaaaaaaaaaaaaa共22個字符，記錄5中沒有與其他記錄相同的部分，第二組記錄即記錄6與記錄7具有相同cookie字段內(nèi)容：dddddddddddddddddd共18個字符，因此，可以得到l1＝22，l2＝18。在確定出該時段內(nèi)的所有組的相同cookie字段內(nèi)容的長度值后，確定該時段的第一長度閾值l，使得所有組的相同cookie字段內(nèi)容的長度值的第一預(yù)設(shè)比例，例如90％的數(shù)值大于l，即90％的所有組的相同cookie字段 內(nèi)容的長度值大于l。405，確定每個時段的第一時長閾值。具體而言，每一組連續(xù)記錄對應(yīng)的持續(xù)時長依次可以為t1…tx，如表2中所示第一組連續(xù)記錄即記錄1到記錄4的持續(xù)的時間t1＝3s，即1s與4s的時間差；第二組連續(xù)記錄即記錄6到記錄7的持續(xù)時間t2＝1s，即6s與7s的時間差。在確定出該時段內(nèi)的所有持續(xù)時長后，確定該時段的第一時長閾值t，使得該時段內(nèi)的所有持續(xù)時長中的第一預(yù)設(shè)比例，例如90％大于t，即90％的所有持續(xù)時長大于t。406，確定每個時段的第一數(shù)目閾值。具體而言，將該每個時段中孤立記錄的數(shù)目確定為該每個時段的第一數(shù)目閾值；確定該時段中的孤立記錄的個數(shù)n，即每個時段的第一數(shù)目閾值，上表中，n為1，即記錄5。407，對歷史時間中的所有的l，t，n進(jìn)行存儲。408，將歷史時間劃分為不同時間段后，得到不同時間段的l，t，n后，對按照源ip地址和目的ip地址被分為同一組的所有的l、t、n求平均得到第二長度閾值ln，第二時長閾值tn，第二數(shù)目閾值nn。之后將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值。最后分別根據(jù)指定長度閾值、指定時長閾值和指定數(shù)目閾值確定大于指定長度閾值的范圍、大于指定時長閾值的范圍和小于指定數(shù)目閾值范圍?？蛇x地，本申請實施例中的指定長度閾值大于或等于該第二長度閾值即指定長度閾值為第二長度閾值的1+x倍，在實際應(yīng)用中，可以根據(jù)誤報率適當(dāng)調(diào)節(jié)x的值的大小，增加x，可以降低誤報，但是x太大有可能產(chǎn)生漏報，根據(jù)不同網(wǎng)絡(luò)的實際情況進(jìn)行調(diào)節(jié)，本申請實施例并不對此做限定。類似的，指定數(shù)目閾值和指定長度閾值也具有類似的調(diào)整，此處不再贅述。應(yīng)理解，本申請實施例中的據(jù)歷史時段的報文訓(xùn)練出的特征值的正常閾值范圍的過程即離線處理過程，可以通過機器學(xué)習(xí)完成。本申請實施例中可以設(shè)定學(xué)習(xí)的時間范圍，學(xué)習(xí)的內(nèi)容，最終得到上述三個特征值的正常閾值 范圍。上文結(jié)合圖3和圖4對cookie隱蔽通道的檢測方法進(jìn)行了詳細(xì)的描述，下面將結(jié)合圖5和圖6詳細(xì)描述本申請實施的對隱蔽通道的檢測方法。針對url參數(shù)的隱蔽通道檢測方法，本申請實施例通過對url參數(shù)的集合范圍分析實施檢測。具體而言，對于同一個http服務(wù)器，參數(shù)名字集合有確定的范圍，比如訪問購物類網(wǎng)站，例如京東、淘寶、亞馬遜網(wǎng)站等，url參數(shù)可能有店鋪名稱，物品顏色，尺碼等。即，參數(shù)的名字位于有限的范圍內(nèi)。通過分析參數(shù)名字集合的范圍，范圍內(nèi)每個參數(shù)出現(xiàn)的頻率，識別通過url的參數(shù)進(jìn)行隱蔽通道傳輸。下面將結(jié)合具體實施例進(jìn)行詳細(xì)描述。圖5是根據(jù)本申請一個實施的隱蔽通道的檢測方法的示意流程圖。圖5所示的方法可以由隱蔽通道檢測設(shè)備執(zhí)行。具體地，圖5所示的方法500包括：510，獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量。應(yīng)理解，預(yù)定時間段可以為預(yù)設(shè)的一段時間，例如，可以為指定時間的一段時間，例如可以為某年某月某天的一段時間，也可以是當(dāng)前最近的一段時間，該一段時間可以為30分鐘、1小時、2小時等，本申請實施例并不限于此。520，根據(jù)該http請求流量中報文的源ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址。針對該至少一組報文中的第一組報文執(zhí)行后續(xù)步驟。需要說明的是，為了簡明起見，后續(xù)步驟是以第一組報文為例進(jìn)行說明的，對于分組處理后與第一組報文由不同源ip地址或目的ip地址的其他組報文，也可以執(zhí)行類似的處理。例如，第一組報文的源ip地址和目的ip地址為202.117.52.1-202.117.52.2。應(yīng)理解，第一組報文可以為預(yù)定時間段內(nèi)的至少一組報文中的任意一組報文?？蛇x地，第一組報文還可以是滿足預(yù)設(shè)上下行數(shù)據(jù)比例的條件的一組報文。具體而言，本申請實施例中，還可以獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的 ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；該第一組報文滿足以下條件，即：該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于第三預(yù)設(shè)比例。換句話說，由于正常情況上行http流量遠(yuǎn)遠(yuǎn)小于下行http流量，經(jīng)過上下行流量比分析，當(dāng)上下行流量比異常時，即當(dāng)上下行流量的比例大于第三預(yù)設(shè)比例時，可以確定該報文有較大可能存在隱蔽通道，才執(zhí)行步驟530及其后續(xù)步驟。這里第三預(yù)設(shè)比例可以根據(jù)統(tǒng)計獲得，例如可以為20％、30％等，本申請實施例并不限于此。530，根據(jù)報文的http頭部標(biāo)簽，生成該第一組報文對應(yīng)的記錄表，該記錄表中包含按至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含至少一個鍵值對，該至少一個鍵值對是從與該記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的。例如，http請求的一個報文的一個url如下：“https://www.baidu.com/s？wd＝ddd&rsv_spt＝1&rsv_iqid＝0x80d3bbdd00028c7e&issp＝1&f＝8&rsv_bp＝0&rsv_idx＝2&ie＝utf-8&tn＝baiduhome_pg&rsv_enter＝1&rsv_sug3＝4&rsv_sug1＝3&rsv_sug7＝100&rsv_sug2＝0&inputt＝1745&rsv_sug4＝1761”。該報文的記錄包含上述的url的鍵值對，針對上url，查詢(query)字段以“？”開始，以“#”結(jié)束，其中的鍵值對以“&”相間隔，例如，該報文對應(yīng)的至少一個鍵值對包括wd＝ddd、rsv_spt＝1、rsv_iqid＝0x80d3bbdd00028c7e等。在鍵值對wd＝ddd中，wd即為鍵，ddd即為wd的值。540，根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括鍵數(shù)目和孤立鍵的比例，其中，鍵數(shù)目是指該記錄表的所有記錄中的不同鍵的數(shù)目，該孤立鍵是指在該記錄表的所有記錄的鍵值對中只出現(xiàn)過一次的鍵，該孤立鍵的比例是指該記錄表中的孤立鍵的總個數(shù)與該記錄表中鍵數(shù)目的比值。具體而言，在540中，統(tǒng)計所有記錄的鍵值對確定第一組報文的鍵數(shù)目和孤立鍵的比例。應(yīng)理解，本申請實施例中，不同的記錄中的鍵值對可以具有相同的鍵， 例如，在一個記錄中具有鍵值對wd＝ddd，在另一個記錄中具有鍵值對wd＝dddx，該兩個鍵值對具有同一個鍵wd。550，確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。應(yīng)理解，歷史時間可以是過去的一段連續(xù)的時間，例如8小時、10小時、15小時、一天、兩天、三天等，本申請實施例并不限于此。還應(yīng)注意，本申請實施例中默認(rèn)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量數(shù)據(jù)為不存在url參數(shù)隱蔽通道的數(shù)據(jù)，即正常數(shù)據(jù)。可選地，作為另一實施例，如果該特征值包括該鍵數(shù)目，該特征值的正常閾值范圍為小于指定鍵數(shù)目?？商娲?，作為另一實施例，如果該特征值包括該孤立鍵的比例，該特征值的正常閾值范圍為小于指定比例閾值。應(yīng)理解，在550中，特征值的正常閾值范圍，可以是檢測設(shè)備預(yù)先獲取的。例如，可以是獲取其他的設(shè)備發(fā)送的該特征值的正常閾值范圍，也可以是該檢測設(shè)備自身根據(jù)歷史時段的該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的。相應(yīng)地，當(dāng)該特征值的正常閾值范圍是由該檢測設(shè)備自身根據(jù)訓(xùn)練出的，即離線部分和在線部分由同一檢測設(shè)備執(zhí)行時，在550之前，該檢測方法500還可以包括：根據(jù)歷史時間段內(nèi)該第一組報文的源ip到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。進(jìn)一步地，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組源ip地址和目的ip地址分別為202.117.52.1-202.117.52.2的報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含至少一個鍵值對，該每一條記錄包含的至少一個鍵值對是從該每一個條記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的，該特征值的正常閾值范圍包括小于指定鍵數(shù)目和小于指定比例閾值，該根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍，包括：統(tǒng)計該歷史時間段中每個時段中一組源ip地址和目的ip地址分別為202.117.52.1-202.117.52.2的報文對應(yīng)的記錄表中的各個記錄對應(yīng)的鍵數(shù)目，確定該每個時段對應(yīng)的記錄表中的所有記錄對應(yīng)的鍵數(shù)目和孤立鍵的比例；將該歷史時間段內(nèi)的所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值確初始鍵數(shù)目閾值和初始比例閾值；將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值，根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。也就是說，首先對歷史時間段中每一個時段進(jìn)行統(tǒng)計，確定出歷史時間中的每一個時段的鍵數(shù)目和孤立鍵的比例。然后，將所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值，確定初始鍵數(shù)目閾值和初始比例閾值。之后，將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值。最后，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。本申請實施例中，確定特征值的正常閾值范圍的具體過程可參見下文中的圖6實施中的具體描述，此處不再贅述。560，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道。也就是說，在第一組報文的特征值超出特征值的正常閾值范圍時，即確定該第一組報文存在cookie隱蔽通道?？蛇x地，如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在url參數(shù)隱蔽通道。因此，本申請實施例通過確定目標(biāo)url參數(shù)集合的目標(biāo)特征值，該目標(biāo)特征值包括該目標(biāo)url參數(shù)集合中url參數(shù)的種類個數(shù)或孤立url參數(shù)的比例，并確定該目標(biāo)特征值是否滿足預(yù)設(shè)條件，當(dāng)該目標(biāo)特征值滿足由歷史時間內(nèi)該源ip到該目的ip的http請求的url參數(shù)集合確定的預(yù)設(shè)條件時，確定該目標(biāo)時段內(nèi)的http請求存在url參數(shù)隱蔽通道。實現(xiàn)了進(jìn) 行http隱蔽通道的檢測。本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。本申請實施例對于url參數(shù)攜帶數(shù)據(jù)的隱蔽通道，具有較好的檢測效果。在攻擊者進(jìn)行url參數(shù)隱蔽通道時，當(dāng)使用參數(shù)名字和參數(shù)內(nèi)容攜帶數(shù)據(jù)時，會使參數(shù)集合超大，并且大部分參數(shù)的頻率都是1即大部分為孤立鍵，此時通過本申請，具有很高的檢出率。下面將結(jié)合圖6詳細(xì)描述本申請實施例的確定特征值的正常閾值范圍的具體流程。圖6是根據(jù)本申請另一實施例的確定特征值的正常閾值范圍的流程圖。如圖6所示的過程包括：601，歷史數(shù)據(jù)存儲。具體而言，將歷史時間中的http訪問流量進(jìn)行存儲，存儲內(nèi)容包含協(xié)議頭部關(guān)鍵字段，包括的源ip和目的ip，所訪問的url,http頭部標(biāo)簽的名值對等。例如，歷史時間可以為z天，存儲該z天內(nèi)的數(shù)據(jù)，其中，z可以為1、2、3或4等，其中時間越長，計算的特征值的閾值范圍越準(zhǔn)確。602，根據(jù)源ip和目的ip對存儲的http協(xié)議報文的鍵值對進(jìn)行提取。具體而言，將存儲的http關(guān)鍵信息按照源ip和目的ip進(jìn)行分組，并取出查詢字段中的鍵值對，其中，一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址。例如，在本實施例中為了便于說明，以歷史數(shù)據(jù)中與附圖5中的第一組報文具有相同的源ip地址和相同的目的ip地址的一組報文進(jìn)行說明，即以歷史數(shù)據(jù)中源ip地址和目的ip地址分別為202.117.52.1-202.117.52.2的一組報文進(jìn)行說明。。603，以固定時段為單位對已分組的鍵值對進(jìn)行分析。具體而言，以固定時間段為單位進(jìn)行分析，確定每一個時段的對應(yīng)的一組報文的記錄表。該組報文對應(yīng)的記錄表中包含至少兩條記錄，至少兩條記 錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含至少一個鍵值對，該每一條記錄包含的至少一個鍵值對是從該每一個條記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的。該時間段可以與上文中的預(yù)定時間段相等。604，確定每一個時段的鍵數(shù)目，m。605，確定每一個時段的孤立鍵的比，y％。606，對歷史時間中的所有的m、y％進(jìn)行存儲。607，對歷史時間中的同一組的所有的m、y％求平均得到初始鍵數(shù)目閾值mn，初始比例閾值xn。之后，將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值。最后，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。應(yīng)理解，本申請實施例中的指定鍵數(shù)目閾值大于或等于該該初始數(shù)目閾值即指定指定鍵數(shù)目閾值為初始數(shù)目閾值的1+y倍，在實際應(yīng)用中，可以根據(jù)誤報率適當(dāng)調(diào)節(jié)y的值的大小，增加y，可以降低誤報，但是y太大有可能產(chǎn)生漏報，根據(jù)不同網(wǎng)絡(luò)的實際情況進(jìn)行調(diào)節(jié)，本申請實施例并不對此做限定。類似的，指定數(shù)目閾值和指定長度閾值也具有類似的調(diào)整，此處不再贅述。應(yīng)理解，本申請實施例中的據(jù)歷史時段的報文訓(xùn)練出的特征值的正常閾值范圍的過程即離線處理過程，可以通過機器學(xué)習(xí)完成。本申請實施例中可以設(shè)定學(xué)習(xí)的時間范圍，學(xué)習(xí)的內(nèi)容，最終得到上述二個特征值的正常閾值范圍。上文中結(jié)合圖1至圖6詳細(xì)描述了本申請實施的http隱蔽通道的檢測方法，下面結(jié)合圖7具體的例子，詳細(xì)說明本申請實施例的http隱蔽通道的檢測方法的可能的實現(xiàn)方式。圖7是根據(jù)本申請另一實施例的http隱蔽通道檢測的方法示意流程圖。圖7所示的方法可以由隱蔽通道檢測設(shè)備執(zhí)行。具體地，圖7所示的方法包括：701，獲取流探針提取的http流量。702，進(jìn)行白名單過濾。其中，白名單例如包括知名的合法服務(wù)器地址等，如果http流量中的請求報文匹配命中白名單時，不執(zhí)行后續(xù)檢測流程。當(dāng)沒有命中白名單時，執(zhí)行步驟703。703，上下行流量比分析。具體地，分析一定時間例如，10分鐘、30分鐘或1小時等內(nèi)相同源ip和目的ip分組內(nèi)的http上下行流量比例。正常情況下，上行http流量遠(yuǎn)遠(yuǎn)小于下行http流量，經(jīng)過上下行流量比分析，篩選出上下行流量比值大于預(yù)設(shè)閾值的http請求，例如，預(yù)設(shè)閾值可以為10％、20％、30％、40％或50％等，本申請實施例并不限于此。之后執(zhí)行步驟704，704，下行流量內(nèi)容分析。具體地，檢查下行流量的報文是否符合可顯示文本頁面的特征。例如，檢測下行流量中是否包含html格式文件，html文件是否包含報文頭等。通常情況下，下行報文內(nèi)容一般為可顯示的文本頁面，因此，當(dāng)下行流量為可解析頁面時，可以停止隱蔽通道檢測，當(dāng)下行流量為非可解析頁面時，執(zhí)行步驟705-708進(jìn)行隱蔽通道的檢測。705，url參數(shù)隱蔽通道檢測。具體地url參數(shù)隱蔽通道檢測的具體實施過程可以參見上述圖5中的相關(guān)描述，為避免重復(fù)，此處不再贅述。706，cookie隱蔽通道檢測。具體地cookie隱蔽通道檢測的具體實施過程可以參照上文中圖3的相關(guān)描述，為避免重復(fù)，此處不再贅述?？蛇x地，本申請實施例中還可以進(jìn)行其他的隱蔽通道的檢測。例如，refer隱蔽通道的檢測、post內(nèi)容隱蔽通道的檢測等，相應(yīng)地，本申請實施例方法還可以包括步驟707、708等，本申請實施例并不對此做限定。707，referer隱蔽通道檢測。具體地，referer隱蔽通道的檢測可以按照現(xiàn)有的方式進(jìn)行，本申請實施例并不對此做限定。708，post內(nèi)容隱蔽通道的檢測。具體地，post內(nèi)容隱蔽通道的檢測可以按照現(xiàn)有的方式進(jìn)行，本申請實施例并不對此做限定。圖7的例子中給出了多種http隱蔽通道的檢測過程，具體包括705-708 的不同的隱蔽通道的檢測，但本申請實施例并不限于此，還可以進(jìn)行其他隱蔽通道的檢測，應(yīng)理解，在實際應(yīng)用中可以只進(jìn)行上述隱蔽通道的其中一種隱蔽通道的檢測，也可以進(jìn)行任意兩種或多種隱蔽通道的檢測，本申請實施例并不對此做限定。應(yīng)注意，上文中的圖1和圖7的例子僅僅是為了幫助本領(lǐng)域技術(shù)人員理解本申請實施例，而非要將本申請實施例限于所例示的具體數(shù)值或具體場景。本領(lǐng)域技術(shù)人員根據(jù)實際情況，顯然可以進(jìn)行各種等價的修改或變化，這樣的修改或變化也落入本申請實施例的范圍內(nèi)。應(yīng)理解，上述各過程的序號的大小并不意味著執(zhí)行順序的先后，各過程的執(zhí)行順序應(yīng)以其功能和內(nèi)在邏輯確定，而不應(yīng)對本申請實施例的實施過程構(gòu)成任何限定。上文中結(jié)合圖1至圖7詳細(xì)描述了本申請實施例的http隱蔽通道的檢測方法，下面結(jié)合圖8至圖10描述本申請實施例的http隱蔽通道的檢測設(shè)備。圖8是根據(jù)本申請一個實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖8所示的檢測設(shè)備?？梢詾閳D1場景中的檢測設(shè)備，應(yīng)理解，圖8所示的檢測設(shè)備800能夠?qū)崿F(xiàn)圖3實施例中涉及的隱蔽通道的檢測方法中的各個過程。檢測設(shè)備800中的各個模塊的操作和/或功能，分別為了實現(xiàn)圖3中的方法實施例中的相應(yīng)流程。具體可參見上述方法實施例中的描述，為避免重復(fù)，此處適當(dāng)省略詳述描述。具體地，圖8所示的檢測設(shè)備800包括：接收單元810、處理單元820和確定單元830。獲取單元810用于獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；處理單元820用于根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；根據(jù)報文攜帶的時間戳和http頭部標(biāo)簽，生成該至少一組報文中的第一組報文對應(yīng)的記錄表，該記錄表中包含按照時間戳順序排列的至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie 字段內(nèi)容；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括目標(biāo)長度值、目標(biāo)時長或孤立記錄的數(shù)目，其中，該目標(biāo)長度值是由該記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值確定的，該目標(biāo)時長是由各組連續(xù)記錄分別對應(yīng)的持續(xù)時長確定的，其中，一組連續(xù)記錄對應(yīng)一個長度值和一個持續(xù)時長，該連續(xù)記錄是指記錄表中位置相鄰且包含的cookie字段內(nèi)容有至少一個字符相同的至少兩個記錄，該連續(xù)記錄對應(yīng)的持續(xù)時長是指每組連續(xù)記錄中最前一個記錄與最后一個記錄時間戳的差值，該孤立記錄是指所包含的cookie字段內(nèi)容與該第一組報文對應(yīng)的記錄表中的其他記錄所包含的cookie字段內(nèi)容不存在相同字符的記錄；確定單元830用于確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道。因此，本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。可替代地，作為另一實施例，該確定單元830還用于如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在cookie隱蔽通道?？蛇x地，如果該特征值包括該目標(biāo)長度值，該特征值的正常閾值范圍為大于指定長度閾值?？蛇x地，如果該特征值包括該目標(biāo)時長，該特征值的正常閾值范圍為大于指定時長閾值?？蛇x地，如果該特征值包括該孤立記錄的數(shù)目，該特征值的正常閾值范 圍為小于指定數(shù)目閾值?？蛇x地，作為另一實施例，該處理單元820還用于根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍?？蛇x地，作為另一實施例，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含按照時間戳順序排列的至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容，該特征值的正常閾值范圍包括大于指定長度閾值、大于指定時長閾值和小于指定數(shù)目閾值，該處理單元820具體用于確定該歷史時間段中每個時段對應(yīng)的記錄表中的至少一組連續(xù)記錄中每組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值，該每組連續(xù)記錄對應(yīng)的持續(xù)時長，該每個時段對應(yīng)的記錄表中孤立記錄的數(shù)目；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的的相同cookie字段內(nèi)容的長度值，確定該每個時段的第一長度閾值，第一預(yù)設(shè)比例的所有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該第一長度閾值；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該每個時段的第一時長閾值，第一預(yù)設(shè)比例的該每個時段內(nèi)的所有組連續(xù)記錄對應(yīng)的持續(xù)時長大于該第一時長閾值；將該每個時段中孤立記錄的數(shù)目確定為該每個時段的第一數(shù)目閾值；將該歷史時間中所有時段內(nèi)的第一長度閾值、第一時長閾值和第一數(shù)目閾值分別取平均值確定第二長度閾值、第二時長閾值和第二數(shù)目閾值；將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，根據(jù)該指定長度閾值確定大于該指定長度閾值的范圍；將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，根據(jù)該指定時長閾值確定大于該指定時長閾值的范圍；將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值，根據(jù)該指定數(shù)目閾值確定小于該指定數(shù)目閾值的范圍?？蛇x地，作為另一實施例，該處理單元820具體用于確定該第一組報文 對應(yīng)的記錄表中至少一組連續(xù)記錄中每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度，該每一組連續(xù)記錄對應(yīng)的持續(xù)時長，該第一組報文對應(yīng)的記錄表中的孤立記錄；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值，確定該目標(biāo)長度值，該第二預(yù)設(shè)比例的該記錄表中各有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該目標(biāo)長度值；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該目標(biāo)時長，該第二預(yù)設(shè)比例的該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長大于該目標(biāo)時長；統(tǒng)計該孤立記錄，確定該孤立記錄的數(shù)目?？蛇x地，作為另一實施例，該檢測設(shè)備800還包括：預(yù)處理單元840用于獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例是否大于第三預(yù)設(shè)比例；如果該預(yù)處理單元840確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于第三預(yù)設(shè)比例，觸發(fā)該處理單元820進(jìn)行分組操作。圖9是根據(jù)本申請一個實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖9所示的檢測設(shè)備?？梢詾閳D1場景中的檢測設(shè)備，應(yīng)理解，圖9所示的檢測設(shè)備900能夠?qū)崿F(xiàn)圖5實施例中涉及的隱蔽通道的檢測方法中的各個過程。檢測設(shè)備900中的各個模塊的操作和/或功能，分別為了實現(xiàn)圖5中的方法實施例中的相應(yīng)流程。具體可參見上述方法實施例中的描述，為避免重復(fù)，此處適當(dāng)省略詳述描述。具體地，圖9所示的檢測設(shè)備900包括：接收單元910、處理單元920和確定單元930。接收單元910用于獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；處理單元920用于根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；根據(jù)報文的http頭部標(biāo)簽，生成該該至少一組報文中的第一組報文對應(yīng)的記錄表，該記錄表中包含按至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含至少一個鍵值對，該至少一個鍵值對是從與該記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括鍵數(shù)目和孤立鍵的比例，其中，鍵數(shù)目是指該記錄表的所有記錄中的不同鍵的數(shù)目，該孤立鍵是指在該記錄表的所有記錄的鍵值對中只出現(xiàn)過一次的鍵，該孤立鍵的比例是指該記錄表中的孤立鍵的總個數(shù)與該記錄表中鍵數(shù)目的比值；確定單元930用于確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道。因此，本申請實施例通過確定目標(biāo)url參數(shù)集合的目標(biāo)特征值，該目標(biāo)特征值包括該目標(biāo)url參數(shù)集合中url參數(shù)的種類個數(shù)或孤立url參數(shù)的比例，并確定該目標(biāo)特征值是否滿足預(yù)設(shè)條件，當(dāng)該目標(biāo)特征值滿足由歷史時間內(nèi)該源ip到該目的ip的http請求的url參數(shù)集合確定的預(yù)設(shè)條件時，確定該目標(biāo)時段內(nèi)的http請求存在url參數(shù)隱蔽通道。實現(xiàn)了進(jìn)行http隱蔽通道的檢測?？蛇x地，作為另一實施例，該確定單元930還用于如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在url參數(shù)隱蔽通道?？蛇x地，作為另一實施例，如果該特征值包括該鍵數(shù)目，該特征值的正常閾值范圍為小于指定鍵數(shù)目?？蛇x地，作為另一實施例，如果該特征值包括該孤立鍵的比例，該特征值的正常閾值范圍為小于指定比例閾值?？蛇x地，作為另一實施例，處理單元920還用于根據(jù)歷史時間段內(nèi)該第一組報文的源ip到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。可選地，作為另一實施例，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含至少一個鍵值對，該每一條記錄包含的至少一個鍵值對是從該每一個條記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的，該特征值的正常閾值范圍包括小于指定鍵數(shù)目和小于指定比例閾值，處理單元920具體用于統(tǒng)計該歷史時間段中每個時段對應(yīng)的記錄表中的各個記錄對應(yīng)的鍵數(shù)目，確定該每個時段對應(yīng)的記錄表中的所有記錄對應(yīng)的鍵數(shù)目和孤立鍵的比例；將該歷史時間段內(nèi)的所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值確定初始鍵數(shù)目閾值和初始比例閾值；將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值，根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。可選地，作為另一實施例，該檢測設(shè)備900還包括：預(yù)處理單元940用于獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例是否大于預(yù)設(shè)比例；如果該預(yù)處理單元940確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于預(yù)設(shè)比例，觸發(fā)該處理單元920進(jìn)行分組操作。圖10是根據(jù)本申請另一實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖10所示的檢測設(shè)備。可以為圖1場景中的檢測設(shè)備，應(yīng)理解，圖10所示的檢測設(shè)備1000能夠?qū)崿F(xiàn)圖3實施例中涉及的隱蔽通道的檢測方法中的各個過程。檢測設(shè)備1000中的各個模塊的操作和/或功能，分別為了實現(xiàn)圖3中的方法實施例中的相應(yīng)流程。具體可參見上述方法實施例中的描述，為避免重復(fù)，此處適當(dāng)省略詳述描述。具體地，圖10所示的檢測設(shè)備1000包括：處理器1010、存儲器1020 和網(wǎng)絡(luò)接口1030，可選地，還可以包括總線系統(tǒng)1040。其中，處理器1010、存儲器1020和網(wǎng)絡(luò)接口1030通過總線系統(tǒng)1040相連。處理器1010可能是一種集成電路芯片，具有信號的處理能力。在實現(xiàn)過程中，上述方法的各步驟可以通過處理器1010中的硬件的集成邏輯電路或者軟件形式的指令完成。上述的處理器1010可以是通用處理器、數(shù)字信號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)場可編程門陣列(fieldprogrammablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件?？梢詫崿F(xiàn)或者執(zhí)行本申請實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。存儲器1020包括但不限于是隨機存取存儲器(ram)、只讀存儲器(rom)、可擦除可編程只讀存儲器(eprom或者快閃存儲器)、或便攜式只讀存儲器(cd-rom)。網(wǎng)絡(luò)接口1030可以是有線接口，例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface，簡稱fddi)、千兆以太網(wǎng)(gigabitethernet，簡稱ge)接口；網(wǎng)絡(luò)接口1030也可以是無線接口。本申請實施例中可以通過網(wǎng)絡(luò)接口1030實現(xiàn)與至少一個其他網(wǎng)元之間的通信連接，例如，可以通過網(wǎng)絡(luò)接口1030實現(xiàn)與流探針的通信?？偩€系統(tǒng)1040除包括數(shù)據(jù)總線之外，還可以包括電源總線、控制總線和狀態(tài)信號總線等。但是為了清楚說明起見，在圖中將各種總線都標(biāo)為總線系統(tǒng)1040。具體地，網(wǎng)絡(luò)接口1030用于獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；可選地，該存儲器1020用于存儲指令，這里指令也可以稱為程序，該處理器1010用于執(zhí)行該存儲器1020存儲的指令根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；根據(jù)報文攜帶的時間戳和http頭部標(biāo)簽，生成該至少一組報文中的第一組報文對應(yīng)的記錄表，該記錄表中包含按照時間戳順序排列的至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對 應(yīng)，該每條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括目標(biāo)長度值、目標(biāo)時長或孤立記錄的數(shù)目，其中，該目標(biāo)長度值是由該記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值確定的，該目標(biāo)時長是由各組連續(xù)記錄分別對應(yīng)的持續(xù)時長確定的，其中，一組連續(xù)記錄對應(yīng)一個長度值和一個持續(xù)時長，該連續(xù)記錄是指記錄表中位置相鄰且包含的cookie字段內(nèi)容有至少一個字符相同的至少兩個記錄，該連續(xù)記錄對應(yīng)的持續(xù)時長是指每組連續(xù)記錄中最前一個記錄與最后一個記錄時間戳的差值，該孤立記錄是指所包含的cookie字段內(nèi)容與該第一組報文對應(yīng)的記錄表中的其他記錄所包含的cookie字段內(nèi)容不存在相同字符的記錄；確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道。因此，本申請實施例通過判斷預(yù)定時間段內(nèi)的http請求流量中的第一組報文的的特征值是否屬于歷史時間段內(nèi)的正常報文訓(xùn)練出的特征值的正常閾值范圍，如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在cookie隱蔽通道，實現(xiàn)了http隱蔽通道的檢測。本申請實施例通過根據(jù)歷史時間的報文訓(xùn)練出正常的報文的特征值的正常范圍，來判斷預(yù)定時間內(nèi)的http請求流量中是否存在隱蔽通道，提升對http隱蔽通道進(jìn)行檢測的有效性。可替代地，作為另一實施例，處理器1010還用于如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在cookie隱蔽通道。可選地，如果該特征值包括該目標(biāo)長度值，該特征值的正常閾值范圍為大于指定長度閾值?？蛇x地，如果該特征值包括該目標(biāo)時長，該特征值的正常閾值范圍為大于指定時長閾值。可選地，如果該特征值包括該孤立記錄的數(shù)目，該特征值的正常閾值范圍為小于指定數(shù)目閾值。可選地，作為另一實施例，該處理器1010還用于根據(jù)歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍?？蛇x地，作為另一實施例，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含按照時間戳順序排列的至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含從對應(yīng)的報文時間戳和http頭部標(biāo)簽中提取的cookie字段內(nèi)容，該特征值的正常閾值范圍包括大于指定長度閾值、大于指定時長閾值和小于指定數(shù)目閾值，該處理器1010具體用于確定該歷史時間段中每個時段對應(yīng)的記錄表中的至少一組連續(xù)記錄中每組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值，該每組連續(xù)記錄對應(yīng)的持續(xù)時長，該每個時段對應(yīng)的記錄表中孤立記錄的數(shù)目；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的的相同cookie字段內(nèi)容的長度值，確定該每個時段的第一長度閾值，第一預(yù)設(shè)比例的所有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該第一長度閾值；統(tǒng)計該每個時段中所有組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該每個時段的第一時長閾值，第一預(yù)設(shè)比例的該每個時段內(nèi)的所有組連續(xù)記錄對應(yīng)的持續(xù)時長大于該第一時長閾值；將該每個時段中孤立記錄的數(shù)目確定為該每個時段的第一數(shù)目閾值；將該歷史時間中所有時段內(nèi)的第一長度閾值、第一時長閾值和第一數(shù)目閾值分別取平均值確定第二長度閾值、第二時長閾值和第二數(shù)目閾值；將大于或等于該第二長度閾值的數(shù)值確定為該指定長度閾值，根據(jù)該指定長度閾值確定大于該指定長度閾值的范圍；將大于或等于該第二時長閾值的數(shù)值確定為該指定時長閾值，根據(jù)該指定時長閾值確定大于該指定時長閾值的范圍；將大于或等于該第二數(shù)目閾值的孤立記錄的數(shù)值確定為該指定數(shù)目閾值，根據(jù)該指定數(shù)目閾值確定小于該指定數(shù)目閾值的范圍?？蛇x地，作為另一實施例，該處理器1010具體用于確定該第一組報文對應(yīng)的記錄表中至少一組連續(xù)記錄中每一組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度，該每一組連續(xù)記錄對應(yīng)的持續(xù)時長，該第一組報文對應(yīng)的記錄表中的孤立記錄；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄分別對應(yīng)的相同cookie字段內(nèi)容的長度值，確定該目標(biāo)長度值，該第二預(yù)設(shè)比例的該記錄表中各有組連續(xù)記錄對應(yīng)的相同cookie字段內(nèi)容的長度值大于該目標(biāo)長度值；統(tǒng)計該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長，確定該目標(biāo)時長，該第二預(yù)設(shè)比例的該第一組報文對應(yīng)的記錄表中各組連續(xù)記錄對應(yīng)的持續(xù)時長大于該目標(biāo)時長；統(tǒng)計該孤立記錄，確定該孤立記錄的數(shù)目?？蛇x地，作為另一實施例，網(wǎng)絡(luò)接口1030還用于獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；處理器1010還用于確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例是否大于第三預(yù)設(shè)比例；如果該預(yù)處理單元確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于第三預(yù)設(shè)比例，觸發(fā)上述分組操作。圖11是根據(jù)本申請另一實施例的隱蔽通道的檢測設(shè)備的示意框圖。圖11所示的檢測設(shè)備?？梢詾閳D1場景中的檢測設(shè)備，應(yīng)理解，圖11所示的檢測設(shè)備1100能夠?qū)崿F(xiàn)圖5實施例中涉及的隱蔽通道的檢測方法中的各個過程。檢測設(shè)備1100中的各個模塊的操作和/或功能，分別為了實現(xiàn)圖5中的方法實施例中的相應(yīng)流程。具體可參見上述方法實施例中的描述，為避免重復(fù)，此處適當(dāng)省略詳述描述。具體地，圖11所示的檢測設(shè)備1100包括：處理器1110、存儲器1120和網(wǎng)絡(luò)接口1130，可選地，還可以包括總線系統(tǒng)1140。其中，處理器1110、存儲器1120和網(wǎng)絡(luò)接口1130通過總線系統(tǒng)1140相連。處理器1110可能是一種集成電路芯片，具有信號的處理能力。在實現(xiàn)過程中，上述方法的各步驟可以通過處理器1110中的硬件的集成邏輯電路或者軟件形式的指令完成。上述的處理器1110可以是通用處理器、數(shù)字信 號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)場可編程門陣列(fieldprogrammablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件?？梢詫崿F(xiàn)或者執(zhí)行本申請實施例中的公開的各方法、步驟及邏輯框圖。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等。存儲器1120包括但不限于是隨機存取存儲器(ram)、只讀存儲器(rom)、可擦除可編程只讀存儲器(eprom或者快閃存儲器)、或便攜式只讀存儲器(cd-rom)。網(wǎng)絡(luò)接口1130可以是有線接口，例如光纖分布式數(shù)據(jù)接口(fiberdistributeddatainterface，簡稱fddi)、千兆以太網(wǎng)(gigabitethernet，簡稱ge)接口；網(wǎng)絡(luò)接口1130也可以是無線接口。本申請實施例中可以通過網(wǎng)絡(luò)接口1130實現(xiàn)與至少一個其他網(wǎng)元之間的通信連接，例如，可以通過網(wǎng)絡(luò)接口1130實現(xiàn)與流探針的通信?？偩€系統(tǒng)1140除包括數(shù)據(jù)總線之外，還可以包括電源總線、控制總線和狀態(tài)信號總線等。但是為了清楚說明起見，在圖中將各種總線都標(biāo)為總線系統(tǒng)1140。具體地，網(wǎng)絡(luò)接口1130用于獲取預(yù)定時間段內(nèi)流經(jīng)網(wǎng)絡(luò)傳輸設(shè)備的超文本傳輸協(xié)議http請求流量；該存儲器1120用于存儲指令，該處理器1110用于執(zhí)行該存儲器1120存儲的指令根據(jù)該http請求流量中報文的源網(wǎng)際協(xié)議ip地址和目的ip地址，對該http請求流量中的報文進(jìn)行分組獲得至少一組報文，同一組內(nèi)的報文具有相同的源ip地址和相同的目的ip地址；根據(jù)報文的http頭部標(biāo)簽，生成該該至少一組報文中的第一組報文對應(yīng)的記錄表，該記錄表中包含按至少兩條記錄，該至少兩條記錄中的每條記錄分別與該第一組報文中的一個報文一一對應(yīng)，該每條記錄包含至少一個鍵值對，該至少一個鍵值對是從與該記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的；根據(jù)該第一組報文對應(yīng)的記錄表，統(tǒng)計得到該第一組報文的特征值，該特征值包括鍵數(shù)目和孤立鍵的比例，其中，鍵數(shù)目是指該記錄表的所有記錄中的不同鍵的數(shù)目，該孤立鍵是指在該記錄表的所有記錄的鍵值對中只出現(xiàn)過一次的鍵，該孤立鍵的比例是指該記錄表中的孤立鍵的總個數(shù)與該記錄表 中鍵數(shù)目的比值；確定單元，用于確定該第一組報文的特征值是否屬于特征值的正常閾值范圍，該特征值的正常閾值范圍是由歷史時間段內(nèi)該第一組報文的源ip地址到該第一組報文的目的ip地址的http請求流量訓(xùn)練出的；如果該第一組報文的特征值不屬于特征值的正常閾值范圍，確定該第一組報文存在url參數(shù)隱蔽通道。因此，本申請實施例通過確定目標(biāo)url參數(shù)集合的目標(biāo)特征值，該目標(biāo)特征值包括該目標(biāo)url參數(shù)集合中url參數(shù)的種類個數(shù)或孤立url參數(shù)的比例，并確定該目標(biāo)特征值是否滿足預(yù)設(shè)條件，當(dāng)該目標(biāo)特征值滿足由歷史時間內(nèi)該源ip到該目的ip的http請求的url參數(shù)集合確定的預(yù)設(shè)條件時，確定該目標(biāo)時段內(nèi)的http請求存在url參數(shù)隱蔽通道。實現(xiàn)了進(jìn)行http隱蔽通道的檢測?？商娲兀鳛榱硪粚嵤├?，處理器1110還用于如果該第一組報文的特征值屬于特征值的正常閾值范圍，確定該第一組報文不存在url參數(shù)隱蔽通道?？蛇x地，作為另一實施例，如果該特征值包括該鍵數(shù)目，該特征值的正常閾值范圍為小于指定鍵數(shù)目?？蛇x地，作為另一實施例，如果該特征值包括該孤立鍵的比例，該特征值的正常閾值范圍為小于指定比例閾值?？蛇x地，作為另一實施例，處理器1110還用于根據(jù)歷史時間段內(nèi)該第一組報文的源ip到該第一組報文的目的ip地址的http請求流量，確定該特征值的正常閾值范圍。可選地，作為另一實施例，該歷史時間段包括至少一個與該預(yù)定時間段的長度相等的時段，該每個與該預(yù)定時間段的長度相等的時段對應(yīng)一組報文，每組報文對應(yīng)一個記錄表，該每組報文對應(yīng)的記錄表中包含至少兩條記錄，至少兩條記錄中的每一條記錄分別與該每組報文中的一個報文一一對應(yīng)，該每一條記錄包含至少一個鍵值對，該每一條記錄包含的至少一個鍵值對是從該每一個條記錄對應(yīng)的報文的http頭部標(biāo)簽的查詢字段中提取到的，該特征值的正常閾值范圍包括小于指定鍵數(shù)目和小于指定比例閾值，處理器1110具體用于統(tǒng)計該歷史時間段中每個時段對應(yīng)的記錄表中的各個記錄對應(yīng)的鍵數(shù)目，確定該每個時段對應(yīng)的記錄表中的所有記錄對應(yīng)的 鍵數(shù)目和孤立鍵的比例；將該歷史時間段內(nèi)的所有時段的鍵數(shù)目和孤立鍵的比例分別取平均值確定初始鍵數(shù)目閾值和初始比例閾值；將大于或等于該初始數(shù)目閾值的數(shù)值確定為該指定鍵數(shù)目閾值，根據(jù)該指定鍵數(shù)目閾值確定小于指定數(shù)目閾值的范圍；將大于或等于該初始比例閾值的數(shù)值確定為該指定比例閾值，根據(jù)該指定比例閾值確定小于指定比例閾值的范圍。可選地，作為另一實施例，網(wǎng)絡(luò)接口1130還用于獲取該預(yù)定時間段該第一組報文對應(yīng)的下行流量的數(shù)據(jù)量，該下行流量包含源ip地址與該第一組報文的目的ip地址相同、且目的地址與該第一報文的源ip地址相同的報文；處理器1110還用于確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例是否大于預(yù)設(shè)比例；如果該預(yù)處理單元確定該第一組報文的數(shù)據(jù)量與該下行流量的數(shù)據(jù)量的比例大于預(yù)設(shè)比例，觸發(fā)上述分組操作。應(yīng)理解，說明書中提到的“一個實施例”或“一實施例”意味著與實施例有關(guān)的特定特征、結(jié)構(gòu)或特性包括在本申請的至少一個實施例中。因此，在整個說明書各處出現(xiàn)的“在一個實施例中”或“在一實施例中”未必一定指相同的實施例。此外，這些特定的特征、結(jié)構(gòu)或特性可以任意適合的方式結(jié)合在一個或多個實施例中。應(yīng)理解，在本申請的各種實施例中，上述各過程的序號的大小并不意味著執(zhí)行順序的先后，各過程的執(zhí)行順序應(yīng)以其功能和內(nèi)在邏輯確定，而不應(yīng)對本申請實施例的實施過程構(gòu)成任何限定。本文中術(shù)語“和/或”，僅僅是一種描述關(guān)聯(lián)對象的關(guān)聯(lián)關(guān)系，表示可以存在三種關(guān)系，例如，a和/或b，可以表示：單獨存在a，同時存在a和b，單獨存在b這三種情況。另外，本文中字符“/”，一般表示前后關(guān)聯(lián)對象是一種“或”的關(guān)系。應(yīng)理解，在本申請實施例中，“與a相應(yīng)的b”表示b與a相關(guān)聯(lián)，根據(jù)a可以確定b。但還應(yīng)理解，根據(jù)a確定b并不意味著僅僅根據(jù)a確定b，還可以根據(jù)a和/或其它信息確定b。本領(lǐng)域普通技術(shù)人員可以意識到，結(jié)合本文中所公開的實施例描述的各示例的單元及算法步驟，能夠以電子硬件、計算機軟件或者二者的結(jié)合來實 現(xiàn)，為了清楚地說明硬件和軟件的可互換性，在上述說明中已經(jīng)按照功能一般性地描述了各示例的組成及步驟。這些功能究竟以硬件還是軟件方式來執(zhí)行，取決于技術(shù)方案的特定應(yīng)用和設(shè)計約束條件。專業(yè)技術(shù)人員可以對每個特定的應(yīng)用來使用不同方法來實現(xiàn)所描述的功能，但是這種實現(xiàn)不應(yīng)認(rèn)為超出本申請的范圍。在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)、裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本申請實施例方案的目的。另外，在本申請各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以是兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。通過以上的實施方式的描述，所屬領(lǐng)域的技術(shù)人員可以清楚地了解到本申請可以用硬件實現(xiàn)，或固件實現(xiàn)，或它們的組合方式來實現(xiàn)。當(dāng)使用軟件實現(xiàn)時，可以將上述功能存儲在計算機可讀介質(zhì)中或作為計算機可讀介質(zhì)上的一個或多個指令或代碼進(jìn)行傳輸。計算機可讀介質(zhì)包括計算機存儲介質(zhì)和通信介質(zhì)，其中通信介質(zhì)包括便于從一個地方向另一個地方傳送計算機程序的任何介質(zhì)。存儲介質(zhì)可以是計算機能夠存取的任何可用介質(zhì)。以此為例但不限于：計算機可讀介質(zhì)可以包括ram、rom、eeprom、cd-rom或其他光盤存儲、磁盤存儲介質(zhì)或者其他磁存儲設(shè)備、或者能夠用于攜帶或存儲具有指令或數(shù)據(jù)結(jié)構(gòu)形式的期望的程序代碼并能夠由計算機存取的任何其他介質(zhì)。如本申請所使用的，盤(disk)和碟(disc)包括壓縮光碟(cd)、激光碟、光碟、數(shù)字通用光碟(dvd)、軟盤和藍(lán)光光碟，其中盤通常磁性的復(fù)制數(shù)據(jù)，而碟則用激光來光學(xué)的復(fù)制數(shù)據(jù)。上面的組合也應(yīng)當(dāng)包括在計算機可讀介質(zhì)的保護(hù)范圍之內(nèi)。總之，以上所述僅為本申請技術(shù)方案的較佳實施例而已，并非用于限定本申請的保護(hù)范圍。凡在本申請的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本申請的保護(hù)范圍之內(nèi)。當(dāng)前第1頁12