本技術(shù)涉及網(wǎng)絡(luò)安全，尤其涉及一種基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法、裝置、電子設(shè)備及可讀存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、自1973年lampson提出隱蔽信道的概念開始，隨互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，隱蔽通道因其隱蔽性高、載體豐富等特性，被黑客廣泛用來傳輸惡意軟件或數(shù)據(jù)。正是由于隱蔽通道具有隱蔽性高的特點(diǎn)，對(duì)隱蔽通道威脅數(shù)據(jù)的檢測(cè)也較為困難，目前，亟需一種對(duì)隱秘通道威脅數(shù)據(jù)進(jìn)行檢測(cè)的技術(shù)。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本技術(shù)實(shí)施例提供一種基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法、裝置、電子設(shè)備及可讀存儲(chǔ)介質(zhì)，能夠有效地檢測(cè)基于預(yù)設(shè)協(xié)議的隱蔽通道進(jìn)行通信的報(bào)文。

2、第一方面，本技術(shù)實(shí)施例提供一種基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法，包括：采集目標(biāo)檢測(cè)環(huán)境中的待檢測(cè)數(shù)據(jù)報(bào)文；其中，所述待檢測(cè)數(shù)據(jù)報(bào)文為基于預(yù)設(shè)協(xié)議的數(shù)據(jù)報(bào)文；獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值；根據(jù)所述特征值和預(yù)先訓(xùn)練的基于變精度粗糙集的決策樹優(yōu)化模型，確定所述待檢測(cè)數(shù)據(jù)報(bào)文是否為惡意報(bào)文，以確定所述待檢測(cè)數(shù)據(jù)報(bào)文是否為基于預(yù)設(shè)協(xié)議的隱蔽通道進(jìn)行通信的報(bào)文；其中，所述預(yù)先訓(xùn)練的基于變精度粗糙集的決策樹優(yōu)化模型，根據(jù)如下步驟得到：采集基于預(yù)設(shè)協(xié)議的多條訓(xùn)練數(shù)據(jù)報(bào)文；針對(duì)所述多條訓(xùn)練數(shù)據(jù)報(bào)文中的每條訓(xùn)練數(shù)據(jù)報(bào)文，獲取一個(gè)訓(xùn)練樣本；其中，每個(gè)訓(xùn)練樣本包括自身對(duì)應(yīng)的訓(xùn)練數(shù)據(jù)報(bào)文的目標(biāo)特征的特征值以及表示所述訓(xùn)練數(shù)據(jù)報(bào)文是否為惡意的數(shù)據(jù)報(bào)文的標(biāo)簽；根據(jù)多個(gè)訓(xùn)練樣本和變精度粗糙集模型，計(jì)算多個(gè)訓(xùn)練樣本中的各目標(biāo)特征的分類精度；將分類精度大于或等于預(yù)設(shè)閾值的目標(biāo)特征作為指定特征；根據(jù)多個(gè)訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，構(gòu)建基于變精度粗糙集的決策樹優(yōu)化模型。

3、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值，包括：提取所述待檢測(cè)數(shù)據(jù)報(bào)文的第一指定特征的特征值；和/或，在預(yù)設(shè)時(shí)間內(nèi)，在目標(biāo)檢測(cè)環(huán)境中統(tǒng)計(jì)指定特征的特征值，將統(tǒng)計(jì)得到的所述指定特征的特征值作為所述待檢測(cè)數(shù)據(jù)報(bào)文的第二指定特征的特征值。

4、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，在采集目標(biāo)檢測(cè)環(huán)境中的待檢測(cè)數(shù)據(jù)報(bào)文之后，獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值之前，所述方法還包括：對(duì)所述待檢測(cè)數(shù)據(jù)報(bào)文進(jìn)行數(shù)據(jù)預(yù)處理；對(duì)完成數(shù)據(jù)預(yù)處理的所述待檢測(cè)數(shù)據(jù)報(bào)文進(jìn)行清洗；針對(duì)清洗后的所述待檢測(cè)數(shù)據(jù)報(bào)文，執(zhí)行所述獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值的步驟。

5、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述根據(jù)多個(gè)訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，構(gòu)建基于變精度粗糙集的決策樹優(yōu)化模型，包括：根據(jù)各訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，計(jì)算每個(gè)所述指定特征的增益率；將各所述指定特征中增益率最大的第一指定特征，作為決策樹的根節(jié)點(diǎn)；根據(jù)所述第一指定特征的特征值、各訓(xùn)練樣本中的所述指定特征中除所述第一指定特征之外的其它指定特征、其它指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，依次確定葉子節(jié)點(diǎn)，以構(gòu)建基于變精度粗糙集的決策樹優(yōu)化模型。

6、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，各所述指定特征包括第二指定特征；其中，所述根據(jù)各訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，計(jì)算每個(gè)所述指定特征的增益率，包括：根據(jù)各訓(xùn)練樣本中的所述第二指定特征、所述第二指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，計(jì)算所述第二指定特征的增益率；其中，根據(jù)如下公式計(jì)算所述第二指定特征的增益率：

7、

8、其中，為第二指定特征，為所述第二指定特征的增益率，為所述第二指定特征的增益，為所述第二指定特征的懲罰因子；

9、

10、其中，為訓(xùn)練樣本總數(shù)量；為訓(xùn)練樣本中標(biāo)簽為惡意的樣本個(gè)數(shù)；為訓(xùn)練樣本中標(biāo)簽為安全的樣本個(gè)數(shù)；為與相關(guān)的權(quán)重；為與相關(guān)的權(quán)重；為第二指定特征的取值個(gè)數(shù)；為大于等于1小于等于的整數(shù)；為訓(xùn)練樣本中，第二指定特征的第個(gè)取值的樣本個(gè)數(shù)；為第二指定特征的第個(gè)取值的樣本個(gè)數(shù)中，標(biāo)簽為惡意的樣本個(gè)數(shù)；為第二指定特征的第個(gè)取值的樣本個(gè)數(shù)中，標(biāo)簽為安全的樣本個(gè)數(shù)；為與相關(guān)的權(quán)重；

11、

12、其中，為第二指定特征的取值個(gè)數(shù)；為大于等于1小于等于的整數(shù)；為訓(xùn)練樣本中，第二指定特征的第個(gè)取值的樣本個(gè)數(shù)；為訓(xùn)練樣本總數(shù)量；為與相關(guān)的權(quán)重。

13、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述指定特征包括域名、域名請(qǐng)求類型的特征、域名請(qǐng)求負(fù)載長(zhǎng)度和/或基于預(yù)設(shè)協(xié)議的請(qǐng)求。

14、第二方面，本技術(shù)實(shí)施例提供基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)裝置，包括：采集模塊，用于采集目標(biāo)檢測(cè)環(huán)境中的待檢測(cè)數(shù)據(jù)報(bào)文；其中，所述待檢測(cè)數(shù)據(jù)報(bào)文為基于預(yù)設(shè)協(xié)議的數(shù)據(jù)報(bào)文；獲取模塊，用于獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值；確定模塊，用于根據(jù)所述特征值和預(yù)先訓(xùn)練的基于變精度粗糙集的決策樹優(yōu)化模型，確定所述待檢測(cè)數(shù)據(jù)報(bào)文是否為惡意報(bào)文，以確定所述待檢測(cè)數(shù)據(jù)報(bào)文是否為基于預(yù)設(shè)協(xié)議的隱蔽通道進(jìn)行通信的報(bào)文；還包括：模型構(gòu)建模塊，所述模型構(gòu)建模塊用于根據(jù)如下步驟得到基于變精度粗糙集的決策樹優(yōu)化模型：采集基于預(yù)設(shè)協(xié)議的多條訓(xùn)練數(shù)據(jù)報(bào)文；針對(duì)所述多條訓(xùn)練數(shù)據(jù)報(bào)文中的每條訓(xùn)練數(shù)據(jù)報(bào)文，獲取一個(gè)訓(xùn)練樣本；其中，每個(gè)訓(xùn)練樣本包括自身對(duì)應(yīng)的訓(xùn)練數(shù)據(jù)報(bào)文的目標(biāo)特征的特征值以及表示所述訓(xùn)練數(shù)據(jù)報(bào)文是否為惡意的數(shù)據(jù)報(bào)文的標(biāo)簽；根據(jù)多個(gè)訓(xùn)練樣本和變精度粗糙集模型，計(jì)算多個(gè)訓(xùn)練樣本中的各目標(biāo)特征的分類精度；將分類精度大于或等于預(yù)設(shè)閾值的目標(biāo)特征作為指定特征；根據(jù)多個(gè)訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，構(gòu)建基于變精度粗糙集的決策樹優(yōu)化模型。

15、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述獲取模塊，具體用于：提取所述待檢測(cè)數(shù)據(jù)報(bào)文的第一指定特征的特征值；和/或，在預(yù)設(shè)時(shí)間內(nèi)，在目標(biāo)檢測(cè)環(huán)境中統(tǒng)計(jì)指定特征的特征值，將統(tǒng)計(jì)得到的所述指定特征的特征值作為所述待檢測(cè)數(shù)據(jù)報(bào)文的第二指定特征的特征值。

16、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述裝置還包括：預(yù)處理模塊，用于在所述采集模塊采集目標(biāo)檢測(cè)環(huán)境中的待檢測(cè)數(shù)據(jù)報(bào)文之后，獲取模塊獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值之前，對(duì)所述待檢測(cè)數(shù)據(jù)報(bào)文進(jìn)行數(shù)據(jù)預(yù)處理；清洗模塊，用于對(duì)完成數(shù)據(jù)預(yù)處理的所述待檢測(cè)數(shù)據(jù)報(bào)文進(jìn)行清洗；通知模塊，用于通知所述獲取模塊針對(duì)清洗后的所述待檢測(cè)數(shù)據(jù)報(bào)文，以使所述獲取模塊獲取所述待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值。

17、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述模型構(gòu)建模塊，具體用于：根據(jù)各訓(xùn)練樣本中的各所述指定特征、各所述指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，計(jì)算每個(gè)所述指定特征的增益率；將各所述指定特征中增益率最大的第一指定特征，作為決策樹的根節(jié)點(diǎn)；根據(jù)所述第一指定特征的特征值、各訓(xùn)練樣本中的所述指定特征中除所述第一指定特征之外的其它指定特征、其它指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，依次確定葉子節(jié)點(diǎn)，以構(gòu)建基于變精度粗糙集的決策樹優(yōu)化模型。

18、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，各所述指定特征包括第二指定特征；其中，所述所述模型構(gòu)建模塊，具體用于：根據(jù)各訓(xùn)練樣本中的所述第二指定特征、所述第二指定特征的特征值以及各訓(xùn)練樣本的標(biāo)簽，計(jì)算所述第二指定特征的增益率；

19、其中，根據(jù)如下公式計(jì)算所述第二指定特征的增益率：

20、

21、其中，為第二指定特征，為所述第二指定特征的增益率，為所述第二指定特征的增益，為所述第二指定特征的懲罰因子；

22、

23、其中，為訓(xùn)練樣本總數(shù)量；為訓(xùn)練樣本中標(biāo)簽為惡意的樣本個(gè)數(shù)；為訓(xùn)練樣本中標(biāo)簽為安全的樣本個(gè)數(shù)；為與相關(guān)的權(quán)重；為與相關(guān)的權(quán)重；為第二指定特征的取值個(gè)數(shù)；為大于等于1小于等于的整數(shù)；為訓(xùn)練樣本中，第二指定特征的第個(gè)取值的樣本個(gè)數(shù)；為第二指定特征的第個(gè)取值的樣本個(gè)數(shù)中，標(biāo)簽為惡意的樣本個(gè)數(shù)；為第二指定特征的第個(gè)取值的樣本個(gè)數(shù)中，標(biāo)簽為安全的樣本個(gè)數(shù)；為與相關(guān)的權(quán)重；

24、

25、其中，為第二指定特征的取值個(gè)數(shù)；為大于等于1小于等于的整數(shù)；為訓(xùn)練樣本中，第二指定特征的第個(gè)取值的樣本個(gè)數(shù)；為訓(xùn)練樣本總數(shù)量；為與相關(guān)的權(quán)重。

26、根據(jù)本技術(shù)實(shí)施例的一種具體實(shí)現(xiàn)方式，所述指定特征包括域名、域名請(qǐng)求類型的特征、域名請(qǐng)求負(fù)載長(zhǎng)度和/或基于預(yù)設(shè)協(xié)議的請(qǐng)求。

27、第三方面，本技術(shù)實(shí)施例提供一種電子設(shè)備，所述電子設(shè)備包括：殼體、處理器、存儲(chǔ)器、電路板和電源電路，其中，電路板安置在殼體圍成的空間內(nèi)部，處理器和存儲(chǔ)器設(shè)置在電路板上；電源電路，用于為上述電子設(shè)備的各個(gè)電路或器件供電；存儲(chǔ)器用于存儲(chǔ)可執(zhí)行程序代碼；處理器通過讀取存儲(chǔ)器中存儲(chǔ)的可執(zhí)行程序代碼來運(yùn)行與可執(zhí)行程序代碼對(duì)應(yīng)的程序，用于執(zhí)行前述任一實(shí)現(xiàn)方式所述的基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法。

28、第四方面，本技術(shù)實(shí)施例提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)有一個(gè)或者多個(gè)程序，所述一個(gè)或者多個(gè)程序可被一個(gè)或者多個(gè)處理器執(zhí)行，以實(shí)現(xiàn)前述任一實(shí)現(xiàn)方式所述的基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法。

29、本實(shí)施例的基于預(yù)設(shè)協(xié)議的隱蔽通道通信的檢測(cè)方法、裝置、電子設(shè)備及可讀存儲(chǔ)介質(zhì)，采集目標(biāo)檢測(cè)環(huán)境中的待檢測(cè)數(shù)據(jù)報(bào)文，獲取待檢測(cè)數(shù)據(jù)報(bào)文的指定特征的特征值，根據(jù)特征值和預(yù)先訓(xùn)練的基于變精度粗糙集的決策樹優(yōu)化模型，確定待檢測(cè)數(shù)據(jù)報(bào)文是否為惡意報(bào)文，從而可以進(jìn)一步地，確定待檢測(cè)數(shù)據(jù)報(bào)文是否為基于預(yù)設(shè)協(xié)議的隱蔽通道進(jìn)行通信的報(bào)文，能夠有效地檢測(cè)基于預(yù)設(shè)協(xié)議的隱蔽通道進(jìn)行通信的報(bào)文。