(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111413625.7 (22)申请日 2021.11.25 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 邵瑞　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 代理人 吴崇 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 隐蔽信道检测方法、 装置、 设备及存 储介质 (57)摘要 本公开实施例涉及一种隐蔽信道检测方法、 装置、 设备及存储介质。 本公开实施例通过获取 客户端与服务器在握手阶段的流量； 对流量进行 特征提取处理， 得到与安全套接字协议SSL隐蔽 信道相关的特征； 对提取的特征进行编码处理， 得到特征对应的特征向量； 将特征向量输入预设 的隐蔽信道检测模型， 基于该隐蔽信道检测模型 进行SSL隐蔽信道检测。 本公开实施例通过预设 的隐蔽信道检测模型， 根据握手阶段流量中与 SSL隐蔽信道相关的特征判断流量中是否存在 SSL隐蔽信道， 满足了当前对SSL隐蔽信道 检测方 法的需求， 可以有效提高检测精度。 权利要求书2页 说明书8页 附图2页 CN 113938315 A 2022.01.14 CN 113938315 A 1.一种隐蔽信道检测方法， 其特 征在于， 所述方法包括： 获取客户端与服 务器在握 手阶段的流 量； 对所述流量进行特征提取处 理， 得到与安全套接 字协议SSL隐蔽信道相关的特 征； 对所述特 征进行编码处 理， 得到所述特 征对应的特 征向量； 将所述特征向量输入预设的隐蔽信道检测模型， 基于所述隐蔽信道检测模型进行SSL 隐蔽信道检测。 2.根据权利要求1所述的方法， 其特征在于， 所述对所述流量进行特征提取处理， 得到 与安全套接 字协议SSL隐蔽信道相关的特 征之前， 所述方法还 包括： 从所述流量中剔除如下数据中的至少一种： 冗余数据包、 有 效载荷为零的数据包、 单向 数据流、 心跳包。 3.根据权利要求1或2所述的方法， 其特征在于， 所述对所述流量进行特征提取处理， 得 到与安全套接 字协议SSL隐蔽信道相关的特 征， 包括： 从所述流量中提取得到客户问候报文中的随机数、 服务器名称指示字段SNI、 证书信息 量、 数据交 互的时序特 征和背景流； 分别基于所述客户问候报文中的随机数、 服务器名称指示字段SNI、 证书信息量、 数据 交互的时序特征和背景流， 确定得到客户问候报文中的随机数的字符重复率或熵值、 服务 器名称指示字段SNI为空的占比、 证书信息量在所述流量中的比例、 数据交互的时序特征值 和背景流在所述 流量中的比例。 4.根据权利要求3所述的方法， 其特征在于， 在满足如下条件时， 所述 隐蔽信道检测模 型确定所述 流量中存在S SL隐蔽信道： 客户问候报文中的随机数的字符重复率或熵值大于第一预设阈值； 服务器名称指示字段SN I为空的占比大于第二预设阈值； 证书信息量在所述 流量中的比例小于第三预设阈值； 数据交互的时序特 征值小于第四预设阈值； 背景流在所述 流量中的比例大于第五预设阈值。 5.一种隐蔽信道检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取客户端与服 务器在握 手阶段的流 量； 提取模块， 用于对所述流量进行特征提取处理， 得到与安全套接字协议SSL隐蔽信道相 关的特征； 编码模块， 用于对所述特 征进行编码处 理， 得到所述特 征对应的特 征向量； 检测模块， 用于将所述特征向量输入预设的隐蔽信道检测模型， 基于所述 隐蔽信道检 测模型进行S SL隐蔽信道检测。 6.根据权利要求5所述的装置， 其特 征在于， 所述装置还 包括： 剔除模块， 用于从所述流量中剔除如下数据中的至少一种： 冗余数据包、 有效载荷为零 的数据包、 单向数据流、 心跳包。 7.根据权利要求5或6所述的装置， 其特 征在于， 所述 提取模块包括： 第一提取子模块， 用于从所述流量中提取得到客户问候报文中的随机数、 服务器名称 指示字段SN I、 证书信息量、 数据交 互的时序特 征和背景流； 第一确定子模块， 用于分别基于所述客户问候报文中的随机数、 服务器名称指示字段权　利　要　求　书 1/2 页 2 CN 113938315 A 2SNI、 证书信息量、 数据交互的时序特征和背景流， 确定得到客户问候报文中的随机数的字 符重复率或熵值、 服务器名称指示字段SNI为空的占比、 证书信息量在所述流量中的比例、 数据交互的时序特 征值和背景流在所述 流量中的比例。 8.根据权利要求7 所述的装置， 其特 征在于， 所述检测模块包括： 第二确定子模块， 用于在满足如下条件时， 所述 隐蔽信道检测模型确定所述流量中存 在SSL隐蔽信道： 客户问候报文中的随机数的字符重复率或熵值大于第一预设阈值； 服务器名称指示字段SN I为空的占比大于第二预设阈值； 证书信息量在所述 流量中的比例小于第三预设阈值； 数据交互的时序特 征值小于第四预设阈值； 背景流在所述 流量中的比例大于第五预设阈值。 9.一种计算设备， 其特 征在于， 包括： 存储器和处理器， 其中， 所述存储器 中存储有计算机程序， 当所述计算机程序被所述处 理器执行时， 实现如权利要求1 ‑4中任一项所述的隐蔽信道检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质中存储有计算机程序， 当所 述计算机程序被处 理器执行时， 实现如权利要求1 ‑4中任一项所述的隐蔽信道检测方法。权　利　要　求　书 2/2 页 3 CN 113938315 A 3